Académique Documents
Professionnel Documents
Culture Documents
1 Securite Des Reseaux.2p PDF
1 Securite Des Reseaux.2p PDF
informatiques
Bernard Cousin
Universit de Rennes 1
Introduction
Risques
Attaques, services et mcanismes
Les attaques
Services de scurit
Mcanismes de dfense
Politique de scurit
Architectures de scurit
1
Bibliographie
Stallings, W. Network Security
Essentials, 2nd edition. Prentice Hall,
2003
Un grand nombre de figures ont t
extraites de ce livre
Support de cours inspir de Henric Johnson
(Blekinge Institute of Technology, Sweden)
Maiwald, E. Network Security, Mc Graw
Hill, 2001 (traduction Campus Press)
Contre-mesures
Exemple : Authentification + contrle Risque mineur
des droits de modification
Vulnrabilits
Compromis efficacit/cot des contre-
mesures
cot de l'incident versus cot des
contre-mesures
2
Les objets de la scurit
Les informations
Le systme
Le rseau
Etc.
3
Attaques
4
Attaques passives ou actives
5
Description des attaques :
analyse de trafic
6
Description des attaques : rejeu
7
Description des attaques : Dni
de service ("DoS")
Services de S
S curit
curit
Confidentialit : les donnes (et l'objet et les
acteurs) de la communication ne peuvent pas tre
connues dun tiers non-autoris.
Authenticit : lidentit des acteurs de la
communication est vrifie.
Intgrit : les donnes de la communication nont pas
t altres.
Non-rpudiation : les acteurs impliqus dans la
communication ne peuvent nier y avoir participer.
Disponibilit : les acteurs de la communication
accdent aux donnes dans de bonnes conditions.
8
Scurit des rseaux informatiques 17
9
Mcanismes de dfense
Chiffrement : algorithme gnralement bas sur des
clefs et transformant les donnes. Sa scurit est
dpendante du niveau de scurit des clefs.
Signature numrique: donnes ajoutes pour vrifier
l'intgrit ou l'origine des donnes.
Bourrage de trafic : donnes ajoutes pour assurer
la confidentialit, notamment au niveau du volume du
trafic.
Notarisation : utilisation dun tiers de confiance pour
assurer certains services de scurit.
Contrle daccs : vrifie les droits daccs d'un
acteur aux donnes. N'empche pas l'exploitation
d'une vulnrabilit.
Mcanismes de dfense
Antivirus : logiciel cens protger ordinateur contre les logiciels (ou fichiers
potentiellement excutables) nfastes. Ne protge pas contre un intrus qui
emploie un logiciel lgitime, ou contre un utilisateur lgitime qui accde une
ressource alors qu'il n'est pas autoris le faire.
Le pare-feu : un lment (logiciel ou matriel) du rseau informatique contrlant
les communications qui le traversent. Il a pour fonction de faire respecter la
politique de scurit du rseau, celle-ci dfinissant quels sont les communications
autoriss ou interdits. N'empche pas un attaquant d'utiliser une connexion
autorise pour attaquer le systme. Ne protge pas contre une attaque venant du
rseau intrieur (qui ne le traverse pas).
Dtection d'intrusion : repre les activits anormales ou suspectes sur le rseau
surveill. Ne dtecte pas les accs incorrects mais autoriss par un utilisateur
lgitime. Mauvaise dtection : taux de faux positifs, faux ngatifs.
Journalisation ("logs") : Enregistrement des activits de chaque acteurs. Permet
de constater que des attaques ont eu lieu, de les analyser et potentiellement de
faire en sorte qu'elles ne se reproduisent pas.
Analyse des vulnrabilit ("security audit") : identification des points de
vulnrabilit du systme. Ne dtecte pas les attaques ayant dj eu lieu, ou
lorsqu'elles auront lieu.
10
Mcanismes de dfense
Contrle du routage : scurisation des chemins (liens
et quipements d'interconnexion).
Contrle d'accs aux communications : le moyen de
communication n'est utilis que par des acteurs
autoriss. Par VPN ou tunnels.
Horodatage : marquage scuris des instants
significatifs .
Certification : preuve d'un fait, d'un droit accord.
Distribution de clefs : distribution scurise des
clefs entre les entits concernes.
Mcanismes de dfense
Authentification : Authentifier un acteur peut se faire en
utilisant une ou plusieurs de ses lments.
Ce qu'il sait. Par ex. : votre mot de passe, la date anniversaire de votre
grand-mre
Ce qu'il a. Par ex. : une carte puce
Ce qu'il est. Par ex. : la biomtrie (empreinte digitale, oculaire ou vocale)
Dans le domaine des communications, on authentifie l'metteur du
message. Si l'on considre les (deux) extrmits d'une
communication il faut effectuer un double authentification
Par ex. pour lutter contre le "phishing"
L'authentification est ncessaire au bon fonctionnement des autres
mcanismes.
11
Remarques sur la confiance
Confiance dans la scurit d'un systme:
Systme rparti = {systme de communication, les sous-systmes
locaux}
Niveau de confiance d'un systme = min (niveau de confiance de ses
sous-systmes)
Dans un systme sre de confiance
Les mcanismes de scurit peuvent formellement tablir la
confiance
Cration d'un chane de confiance
Les amis surs de mes amis sont des amis surs
Problme du point de dpart de la chane de confiance
L'authentification des centres de certification
Renforcement de la confiance, au cours des changes
Graphe de confiance
Rvocation de la confiance accorde
12
Politique de scurit
Une politique de scurit ce n'est pas
seulement :
Les paramtres de scurit
longueur des clefs,
choix des algorithmes,
frquence de changement des "passwords",
etc.
Une fois une politique de scurit dfinie, sa
mise en oeuvre (utilisation d'outils appropris)
et sa bonne gestion (maintien de la cohrence)
sont des points critiques
Le processus de scurit
Evaluation/audit
Politique
Implmentation/(In)Formation
Evaluation
Evaluation/audit
Implmentation/(In)Formation Politique
13
Quelques procdures de scurit
Dfinition du domaine protger
Dfinition de l'architecture et de la politique de scurit
Equipements/Points de scurit
Paramtres de scurit
C--d mcanismes de prvention, dtection et enregistrement des incidents
Plan de rponse aprs incident
Procdure de reprise
Procdure pour empcher que cela se renouvelle
Suppression de la vulnrabilit, ou suppression de l'attaquant
Charte du bon comportement de l'employ
Procdures d'intgration et de dpart des employs
Politique de mise jour des logiciels
Mthodologie de dveloppement des logiciels
Dfinition des responsabilits (organigramme)
Etc.
Le facteur humain
Le facteur humain est souvent
prpondrant:
Respect des rgles de scurit
Comprhension de l'utilit des rgles,
Surcharge induit par les moyens de scurit
L'ingnierie sociale
14
Elments d'architecture
Pare-feu
DMZ
IDS
Log
VPN
Elments d'architecture
DMZ
IDS
Serveur externe
Serveur interne
Hub/switch
Firewall Routeur
Internet
log
15
Virtual Private Network
Seuls les agents autoriss peuvent avoir accs
aux rseaux virtuels
Authentification des agents
Chiffrement des communications
Remarques:
Le rseau virtuel est un moyen d'accder des
services (extension au rseau de la notion de
contrle d'accs aux fichiers)
On limite dlibrment la capacit
d'interconnexion totale propose par l'Internet
Le nombre des rseaux virtuels dpend du nombre
des types d'agents (et donc des services
accessibles chaque type d'agent)
Scurit des rseaux informatiques 31
Rseau virtuel
Il existe de nombreuses implmentations
du concept de rseau virtuel :
Au niveau 2 : VLAN
Les trames Ethernet sont compltes par un VID
Au niveau 3 : IPsec+
Accompagn d'une phase d'authentification
(serveur d'authentification)
Les paquets sont chiffrs (serveurs de scurit)
16
Rseaux virtuels
Rseau d'entreprise
Station distante
log Serveur 1
Serveur 2
Routeur 1 Routeur 2
Internet
Station locale
Rseaux virtuels
Serveur 1
17
Conclusion
Prsentation des risques (attaques),
services et mcanismes de scurit
Introduction la politique et
architecture de scurit
18