6 Scurit des rseaux

La scurit informatique consiste assurer que les ressources matrielles ou logicielles d'une
organisation sont uniquement utilises dans le cadre prvu. Le terme scurit recouvre 3
domaines :
- La fiabilit de fonctionnement : sexprime en termes de disponibilit
- La confidentialit de linformation : consiste sassurer que seules les personnes
autorises aient accs aux ressources
- Lintgrit des donnes
Confidentialit et intgrit font appel aux techniques de la cryptographie.

Une politique de scurit est lensemble des orientations suivies par une organisation (au
sens large) en matire de scurit. Elle se doit d'tre labore au niveau de la direction de
l'organisation concerne et doit tre aborde dans un contexte global, cest--dire au niveau
des utilisateurs (sensibilisation aux problmes de scurit), des applications, des donnes, des
tlcommunications et des infrastructures matrielles.

1. Fiabilit de fonctionnement
Pour laugmenter, on peut amliorer la fiabilit des lments qui composent la chane de
transmission, prvoir des redondances et des chemins de secours ou rduire les temps
dintervention et de rparation.

La topologie de cblage est le premier lment prendre en compte. On estime que plus de
70% des pannes dun rseau sont dues aux couches basses et plus particulirement au cblage
lui-mme.
Une topologie en toile est bien moins sensible quun bus : en cas de problme sur un
segment coaxial, toutes les stations connectes sont coupes du rseau, alors que dans le cas
dun cblage en paires torsades (10BASE-T), seule une station est gne et le hub remplit
son rle de protection en inhibant le port concern.

Lalimentation est gnralement un point critique des matriels actifs. Il est fortement
recommander de prvoir une alimentation redondante pour tous les quipements lourds.

Une caractristique importante pour assurer une bonne disponibilit des matriels actifs est la
possibilit de hot swap. Les cartes peuvent tre retires ou ajoutes sous tension, sans
perturber le fonctionnement du reste de lquipement.

2. Confidentialit
Dans un rseau Ethernet, tout le monde voit tout : les quipements connects sur le rseau
voient circuler toutes les trames. Une solution simple est de remplacer les concentrateurs
(hubs) par des commutateurs.

La scurit rseau Christian Bulfone / Licence MIASS 61

Les stations de travail dun rseau peuvent tre dplaces et connectes sur dautres prises
tout instant. Il est important que ladministrateur du rseau soit inform de ces mouvements et
quil puisse les contrler. Plusieurs niveaux de contrle sont possibles.
une alerte est envoye au gestionnaire par le commutateur quand celui-ci dtecte un
changement dtat de la liaison.
une alerte est gnre lorsquune nouvelle adresse physique Ethernet est identifie sur
un port. Tout mouvement est ainsi repr immdiatement.
un mode de scurit plus strict est possible. Toute station inconnue qui tente de se
raccorder un port et dmettre une trame est automatiquement dconnecte
(dsactivation de la liaison) et gnre un message dalerte.

Il arrive souvent que des entreprises prouvent le besoin de communiquer avec des filiales,
des clients ou mme du personnel gographiquement loignes via Internet. Pour autant, les
donnes transmises sur Internet sont vulnrables car elles peuvent tre coutes voire
mme dtournes en chemin.
Comme il nest souvent pas envisageable de relier ces diffrents rseaux locaux entre eux par
des liaisons spcialises, un bon compromis consiste utiliser Internet comme support de
transmission en utilisant un protocole dencapsulation (en anglais tunneling), c'est--dire
encapsulant les donnes transmettre de faon chiffre. On parle alors de rseau priv
virtuel (not RPV ou VPN, acronyme de Virtual Private Network) pour dsigner le rseau
ainsi artificiellement cr.

donnes
chiffres

Client
VPN Internet
tunnel VPN

Passerelle
VPN

Paris
Grenoble

Ce rseau est dit virtuel car il relie deux rseaux physiques (rseaux locaux) par une
liaison non fiable (Internet), et priv car seuls les ordinateurs des rseaux locaux de part et
d'autre du VPN peuvent voir les donnes.

La scurit rseau Christian Bulfone / Licence MIASS 62

3. Introduction la cryptographie
La cryptologie est une science mathmatique qui comporte deux branches :
- la cryptographie
- la cryptanalyse

La cryptographie regroupe lensemble des mthodes permettant de communiquer de faon

confidentielle par des voies de communication susceptibles dtre espionnes. Afin de
protger un message, on lui applique une transformation qui le rend incomprhensible ; cest
ce que lon appelle le chiffrement, qui, partir dun texte en clair, donne un texte chiffr ou
cryptogramme.
Inversement le dchiffrement est laction lgitime qui permet de retrouver linformation en
clair partir de donnes chiffres. Dans la cryptographie moderne, les transformations en
question sont des fonctions mathmatiques appeles algorithmes cryptographiques, qui
dpendent dun paramtre appel cl.

Cl de Cl de
chiffrement dchiffrement

Texte chiffr
Texte en Chiffrement ou Dchiffrement Texte en
clair cryptogramme clair

Dcryptage

Texte en clair
et/ou cl

La cryptanalyse, linverse, est ltude des procds cryptographiques dans le but de trouver
des faiblesses et, en particulier, de pouvoir dcrypter des textes chiffrs. Le dcryptage 3 est
laction consistant retrouver le texte en clair sans connatre la cl de dchiffrement.

La cryptographie ralise plusieurs fonctions :

Confidentialit : consiste rendre l'information inintelligible des personnes autres que
les acteurs de la transaction
Intgrit : consiste dterminer si les donnes n'ont pas t altres durant la
communication (de manire fortuite ou intentionnelle)
Non rpudiation : permet de prouver la participation dune entit dans un change de
donnes
Authentification : consiste assurer l'identit d'un utilisateur, c'est--dire de garantir
chacun des correspondants que son partenaire est bien celui qu'il croit tre.

3
les termes cryptage et crypter sont souvent employs incorrectement la place de chiffrement et
chiffrer .
En France, il existe une rglementation stricte sur la longueur des cls utilises pour le chiffrement (voir
http://www.telecom.gouv.fr rubrique scurit).

La scurit rseau Christian Bulfone / Licence MIASS 63

 Lauthentification est le processus par lequel une entit (personne, machine ) prouve
son identit. Il existe plusieurs classes de mthodes dauthentification possibles :
je connais : exemple du mot de passe. Gnralement lauthentification est prcde
dune identification qui permet cette entit de se faire reconnatre du systme par un
lment dont on la dote.
je possde : exemple de la carte magntique.
je suis : exemple de lempreinte digitale (biomtrie).
je sais faire : exemple de la signature manuscrite.

3.1. Cryptographie cl secrte

Dans la cryptographie cl secrte 4 (ou chiffrement symtrique), une mme cl secrte est
utilise pour le chiffrement et le dchiffrement du message.

Expditeur Chiffrement du message

avec la cl secrte

Cl secrte
Message Message chiffr

Canal non sr
Transmission
du message

Dchiffrement du message avec

la cl secrte

Message
Cl secrte Message chiffr

Destinataire

Cette technique permet d'assurer la confidentialit du message chang. Pour que le systme
soit sr, la longueur de la cl doit tre au moins gale celle du message chiffrer et il est
ncessaire dutiliser un canal sr pour se transmettre la cl. Le problme du partage de la cl
devient crucial ds que le nombre d'utilisateurs augmente (si chaque paire parmi N utilisateurs
partagent une cl, il faut alors N cls secrtes).

4
Le plus utilis de ces systmes de chiffrement cl secrte a longtemps t le DES (Data Encryption System),
avec ses cls de 56 bits. L'espace des cls qu'il peut offrir (256) n'est plus actuellement assez vaste pour rsister
la recherche exhaustive (c'est--dire la recherche de toutes les cls possibles), et le DES a d'ailleurs t cass en
1998. Son successeur, l'AES (Advanced Encryption Standard), peut quant lui travailler avec des cls de 128,
192 ou 256 bits. Il existe de nombreux autres algorithmes, notamment IDEA (International Data Encryption
Algorithm) utilisant des cls de 128 bits et implment dans le logiciel PGP, le RC2 ou RC4 (Ron's Code de son
concepteur Ron Rivest) pouvant utiliser des cls de longueur maximale de 2048 bits et que l'on retrouve dans
SSL.

La scurit rseau Christian Bulfone / Licence MIASS 64

 Mise en accord en priv sur la
cl CHAMPIGNON
Alice Bernard

J E V O U S A I M E
1001010100010110101101001111101010110100111000001100100110011011000101

XOR
C H A M P I G N O N
1000011100100110000011001101101000010010011000111100111010011111001110

XOR

0001001000110000101110000010000010100110100000110000011100000100001011

1001010100010110101101001111101010110100111000001100100110011011000101
J E V O U S A I M E

XOR 0 1
0 0 1
1 1 0

Pour garantir une bonne scurit de ce type de systme de chiffrement, on considre qu'
l'heure actuelle, la taille des cls ne doit pas tre infrieure 128 bits. En France, la lgislation
limite d'ailleurs la longueur des cls de chiffrement cls secrtes 128 bits.

3.2. Cryptographie cl publique

La cryptographie cl publique 5 (chiffrement asymtrique) utilise deux cls, une pour
chiffrer, une pour dchiffrer. Le message est chiffr avec la cl publique du destinataire et
seule la cl prive peut dchiffrer le message chiffr. Le destinataire est le seul possder et
connatre la cl prive (dont l'accs est protg par une "passphrase") et il est impossible de
calculer la cl prive partir de la cl publique.

5
Depuis son invention en 1978, RSA, du nom de ses trois inventeurs, Ronald Rivest, Adi Shamir et Leonard
Adleman, est le plus utilis des cryptosystmes cl publique. Il est fond sur une des branches des
mathmatiques, la thorie des nombres. L'entier n est le produit de deux grands nombres premiers p et q, et la
scurit du RSA est lie la difficult de factoriser n, c'est--dire de retrouver p et q partir de leur produit.
Cette difficult n'est tablie que pour n assez grand, c'est--dire au moins 1024 bits.

La scurit rseau Christian Bulfone / Licence MIASS 65

 Expditeur Chiffrement du message
avec la cl publique

Cl publique
Message Message chiffr

en clair sur le rseau

Transmission de la cl publique
Transmission
du message

Canal non sr
Gnration des cls

Cl Cl
publique prive
Dchiffrement du message avec
la cl prive

Message
Cl prive Message chiffr

Destinataire

3.3. Cryptographie cl mixte

La cryptographie cl mixte combine les avantages des deux techniques prcdentes tout en
vitant leurs inconvnients. En effet, la cryptographie cl symtrique ne permet pas de
transmission scurise de la cl et la cryptographie cl publique utilise des algorithmes trop
lents pour le chiffrement des donnes.

Lors d'une session de communication, une cl secrte dite cl de session, alatoire et de

longueur suffisante est gnre. Cette cl est ensuite chiffre avec la cl publique du
destinataire et transmise travers le rseau. Le destinataire est alors en mesure de dchiffrer la
cl de session avec sa cl prive. Les deux entits possdent prsent la mme cl secrte
qu'ils vont pouvoir utiliser pour chiffrer et dchiffrer les messages changs jusqu' la fin de
la session. Une fois la session termine, la cl secrte est dtruite.

La scurit rseau Christian Bulfone / Licence MIASS 66

 Chiffrement du message avec
Expditeur

la cl secrte

Message Cl secrte Message chiffr

Chiffrement de la cl secrte
avec la cl publique
Gnration dune

cl secrte
alatoire Cl publique

Transmission du

Transmission de la cl publique
en clair sur le rseau
message chiffr et
de la cl secrte

chiffre
Gnration des cls

Cl Cl
publique prive Message chiffr
Dchiffrement
de la cl
secrte chiffre
avec la cl
prive
Cl secrte
Message
Dchiffrement du message avec
Destinataire
la cl secrte
Cl secrte

3.4. Fonctions de hachage

Le rle des fonctions de hachage 6 est de crer une sorte
d'empreinte numrique du message. Cette empreinte, appele
digest ou hach ou encore condensat, est de taille fixe et trs Message
petite compare celle du message.
En principe, chaque message ne doit donner qu'un seul rsultat.
En outre, la fonction de hachage est dite sens unique, c'est--
dire qu'il est impossible de retrouver ou de recomposer le
message d'origine partir de son empreinte. Cela permet de
garantir l'intgrit du message envoy.

Empreinte

3.5. Les protocoles SSH / SSL

Plusieurs protocoles peuvent tre utiliss pour chiffrer et authentifier les changes notamment
SSH (Secure SHell). Il sagit la fois de la dfinition d'un protocole et dun ensemble de
programmes permettant des sessions interactives depuis une machine cliente distance sur
des serveurs et le transfert des fichiers entre deux machines de manire scurise
Ces programmes ont pour but de remplacer les utilitaires de connexions classiques n'utilisant
pas de chiffrement (rlogin, rcp, rsh et telnet notamment)
SSH chiffre et compresse un tunnel de session vitant ainsi la circulation des mots de passe et
des donnes en clair sur le rseau.
6
Diffrentes techniques de hachage sont utilises, notamment le MD5 (Message Digest 5) dvelopps par Ron
Rivest. Le MD5, qu'utilise entre autre le programme md5sum, produit une empreinte d'une taille de 128 bits.

La scurit rseau Christian Bulfone / Licence MIASS 67

Deux modes d'authentification de l'utilisateur peuvent tre mis en oeuvre avec SSH
une authentification "traditionnelle" par mot de passe : comme le canal est dj chiffr
par le protocole SSH, le mot de passe en clair est encapsul dans une communication
scrte
une authentification forte : l'authentification est base sur la cryptographie asymtrique,
utilisant des cls publique/prive. La cl prive est protge par une passphrase, cette
passphrase ne circulant pas sur le rseau. L'utilisateur s'identifie alors sans utiliser le mot
de passe de la connexion classique (mot de passe Unix), mais l'aide de ces cls (et de sa
passphrase pour accder sa cl prive).

SSL (Socket Secure Layer) est un protocole mis en oeuvre initialement par Netscape et repris
par l'IETF sous le nom TLS (Transport Layer Security). Il offre un certain nombre de services
de scurit tels que la confidentialit des donnes transmises ou l'authentification des
interlocuteurs l'aide de certificats lectroniques. SSL est utilis pour scuriser des services
Web (protocole HTTPS), ou encore des protocoles comme POP et IMAP (on parle alors des
protocoles POPS et IMAPS).

4. Le firewall
Louverture des rseaux dentreprise sur lInternet les rend vulnrables. Les tentatives
dintrusion sur les systmes en rseau se multiplient, ainsi que les dnis de services qui visent
rendre indisponible un service (application spcifique), une machine, voire parfois le rseau
lui-mme (par saturation de ses ressources).

Pour se prmunir de ses attaques externes, la plupart des entreprises ont dploy des
architectures particulires, dans lesquelles le firewall (ou pare-feu, garde-barrire ) est un
lment important. Il permet de restreindre laccs au rseau en un point prcis.
Le firewall nest pourtant quun acteur dune politique de scurit ; il ne peut lui seul
rsoudre tous les problmes de scurit.

On distingue :
- Le firewall logiciel ; il est mis en uvre sur un simple PC avec plusieurs interfaces rseau,
embarquant un OS gnraliste (Linux, ou un autre UNIX). Les fonctions du pare-feu sont
implmentes laide dun logiciel adapt (Ipchains ou Netfilter sous Linux ; Packet
Filter sous OpenBSD),
- Le firewall matriel ; il se prsente sous la forme dun botier spcialis embarquant un
OS souvent minimaliste (routeurs ou quipements ddis).

Un pare-feu assure un ensemble de fonctions

- Le filtrage : il sagit de la principale fonction
- Lauthentification des utilisateurs et la gestion des droits (protocoles dauthentification
RADIUS ou TABACS+)
- La translation dadresses ou NAT (Network Address Translation) : permet docculter
totalement le plan dadressage interne de lentreprise et de rduire le nombre dadresses IP
officielles ncessaires.

La scurit rseau Christian Bulfone / Licence MIASS 68

4.1. Le filtrage
4.1.1. Les bases du filtrage
Tout service rseau est priori filtrable par un firewall. Le filtrage peut tre ralis sur :
les adresses Ethernet source ou destination (couche 2)
les protocoles de couche 3 : par exemple, uniquement IP et pas ICMP pour viter de
propager les pings
les protocoles de couche 4 : accepter TCP (FTP, Telnet) et pas UDP (NFS, )
les adresses IP source et/ou destination
les numros de port : par exemple interdire le port 25 pour interdire la messagerie (SMTP)

4.1.2. Politique de filtrage

Il existe deux politiques de scurit :
tout autoriser sauf quelques services connus que lon veut refuser
tout interdire sauf certains services que lon peut/souhaite scuriser
La politique la plus restrictive est toujours la plus sre. Il faut veiller toujours utiliser des
logiciels prouvs ou corrigeant des trous de scurit de versions antrieures.

Pour chaque paquet IP, on peut

- Accepter ou router le paquet (ACCEPT)
- Rejeter le paquet sans notification lmetteur (DROP) ou refuser le paquet avec
notification (ICMP) lmetteur (REJECT)

ACCEPT

Internet rseau interne

REJECT

DROP

Les premiers pare-feu taient sans tat (stateless firewall), chaque paquet tant trait
indpendamment des autres et compar une liste de rgles prconfigures. Ces rgles
peuvent avoir des noms trs diffrents en fonction du pare-feu ( ACL pour Access Control
List par exemple chez Cisco). La configuration de ces dispositifs est souvent complexe et
l'absence de prise en compte des machines tats des protocoles rseaux ne permet pas
d'obtenir une finesse du filtrage trs volue. Ces pare-feu ont donc tendance tomber en
dsutude mais restent prsents sur certains routeurs ou systmes d'exploitation.

Certains protocoles dits tats comme TCP introduisent une notion de session dans le
droulement des changes. Les pare-feu tats (statefull firewall) vrifient la conformit des
paquets une connexion en cours. Un tel dispositif est ainsi capable d'assurer un suivi des
changes, c'est--dire de tenir compte de l'tat des anciens paquets pour appliquer les rgles
de filtrage. De cette manire, partir du moment o une machine autorise initie une
connexion vers une machine situe de l'autre ct du pare-feu, l'ensemble des paquets
transitant dans le cadre de cette connexion seront implicitement accepts par le pare-feu.

La scurit rseau Christian Bulfone / Licence MIASS 69

Ce mcanisme apporte en fiabilit puisqu'il est plus slectif quant la nature du trafic
autoris.

ESTABLISHED

NEW
Internet rseau interne
RELATED

established : paquet associ une connexion dj tablie

new : paquet demandant une nouvelle connexion
related : nouvelle connexion mais lie

4.1.3. Firewall routeur cran

Cest larchitecture la moins chre qui permet de faire un filtrage simple mais efficace.

Internet

Route ou bloque les paquets selon la

politique de scurit du site
Routeur cran

Rseau interne

4.2. La translation dadresses

Les paquets venant de rseaux privs ne sont pas routables. Les adresses IP prives sont
dfinies dans la RFC 1918. Il sagit des rseaux :
- classe A : 10.0.0.0 10.255.255.255
- classe B : 172.16.0.0 172.31.255.255
- classe C : 192.168.0.0 192.168.255.255
Une passerelle (ou proxy) fait la liaison rseau priv Internet

La scurit rseau Christian Bulfone / Licence MIASS 70

 Internet
Serveur rel

@IP externe visible

Hte externe
Serveur Hte
double
mandataire rseau

Firewall @IP interne invisible

Rseau interne

@IP interne Client

mandataire

Hte interne

Les paquets venant des htes du rseau priv sont rcrits (camoufls ou masqus) lorsquils
passent par la passerelle, comme sils provenaient de la passerelle elle-mme. Les rponses
destination des htes du rseau priv sont rcrites par la passerelle, comme si elles venaient
du destinataire originel.

4.3. Autres architectures

4.3.1. Firewall avec bastion
Toutes les connexions en provenance de lInternet passent forcment par le bastion qui se
trouve sur le rseau interne.
Les clients du rseau interne peuvent accder directement lInternet pour les services non
mandats par le bastion, sinon ils passent obligatoirement par les proxies du bastion.

Internet

Firewall
Routeur
cran

Rseau interne

bastion

La scurit rseau Christian Bulfone / Licence MIASS 71

4.3.2. Firewall zone dmilitarise
On utilise un sous-rseau part pour isoler les bastions : cest la zone dmilitarise (DMZ). Il
est possible de fusionner routeur interne et externe.
Mme si le bastion est perc, le pirate est isol dans la DMZ et ne peut pas accder au rseau
interne facilement (il nest pas possible dusurper une machine du rseau interne par
exemple).

Internet
Hte Hte
FTP/WWW SMTP/DNS

Routeur
extrieur
Rseau priphrique

Routeur
Firewall intrieur

Rseau interne

4.3.3. Firewall hirarchiques

Cette architecture est souvent utilise pour isoler un rseau de test interne une entreprise.

La scurit rseau Christian Bulfone / Licence MIASS 72