Vous êtes sur la page 1sur 43

Sécurité des Réseaux

Informatiques

Composants et Architectures
de sécurité des réseaux

Dr. Souheil Ben Ayed

ESPRIT 2014-2015
Plan

● Introduction
● Défense en profondeur
● Les menaces réseaux
● Firewall/Pare-feu
● Fonctionnement d'un firewall
● Architecture et déploiement d'un firewall
● La zone DMZ
● Types de firewall
● Systèmes de Détection et de Prévention d'Intrusions
● Fonctionnement
● Techniques de détection
● Types d'IDS et d'IPS
Octobre 2014 Dr. Souheil Ben Ayed 1
Introduction

La sécurité du réseau se réfère à toutes les activités visant à


protéger le réseau de l'entreprise.

Les activités et composants de sécurité réseaux visent à protéger:

Network and data


Usability Integrity Fiability
security

La mise en place d'une politique de sécurité réseau efficace vise à


protéger contre une variété de menaces et empêche toute
pénétration ou propagation sur un réseau.
Octobre 2014 Dr. Souheil Ben Ayed 2
Défense en profondeur

•Mise en place de Potential Attack


WWW

plusieurs couches de Physical security Network-based

sécurité.
Firewall Internal
Firewall
Policies and procedures
Router

•Si l'une des couches Router/Firewall/VPN VPN


WWW
IPS
Network
est compromis ou DMZ DNS
@
Network
IPS Host-based
Firewall

défaillante les autres Security architecture IDS


IDS
IDS
sont encore debout. Account Management Host-based
IDS

Internal devices Host-based


Antivirus

Pas de solution unique pour protéger un réseau contre la


variété de menaces.
Octobre 2014 Dr. Souheil Ben Ayed 3
Les menaces réseaux

• Nombreuses menaces de sécurité réseau sont


aujourd'hui répartis sur l'Internet.

• Advanced Evasion • Attaques zero-day


Techniques (AET) • Attaques de pirates
• Advanced Persistant • Attaques par déni de
Threat (APT) service DoS
• Virus, vers et chevaux • Interception de
de Troie données et le vol
• Spyware et adware d'identité
Octobre 2014 Dr. Souheil Ben Ayed 4
Composants de sécurité réseau

• Un système de sécurité réseau est constitué de


plusieurs composants:
 Pare-feu/Firewall
 Système de détection d'intrusions (IDS)
 Système de prévention d'intrusions (IPS)
 Antivirus et antispyware
 Virtual Private Network (VPN)

• Tous les composants travaillent ensemble, ce qui


minimise le maintenance et améliore la sécurité.
Octobre 2014 Dr. Souheil Ben Ayed 5
Les Firewalls

Octobre 2014 Dr. Souheil Ben Ayed 6


Firewall

Un pare-feu/firewall est utilisé pour restreindre l'accès à


un réseau à partir d'un autre réseau.

Un firewall comporte au minimum deux interfaces réseau.


Une interface pour le réseau externe ou Une interface pour le réseau à protéger
Internet (réseau interne ou LAN)

Firewall

Internet

Local Area Network


Octobre 2014 Dr. Souheil Ben Ayed 7
Firewall

• Un firewall logiciel peut être installé sur n'importe quelle


machine et avec n'importe quel système d'exploitation pourvu
que:
 La machine soit suffisamment puissante pour traiter le trafic
réseaux la traversant.
 Aucun autre service que celui du firewall ne fonctionne sur le
serveur.
 Le système soit sécurisé.

• Les firewalls peuvent filtrer les messages en se basant sur:


 Le type du trafic (protocole)
 Les adresses source et destination
 les numéros de ports.

Octobre 2014 Dr. Souheil Ben Ayed 8


Fonctionnement d'un Firewall

• Un pare-feu/Firewall est un dispositif utilisé pour


appliquer des politiques de sécurité (contrôle les
flux du trafic réseau) au sein d'un réseau ou
entre plusieurs réseaux.

• Il peut être logiciel ou matériel dédié permettant


d'examiner tous les messages en entrée ou
sortie du réseau local et de bloquer tous ceux
qui ne remplissent pas les critères de sécurité
spécifié.
Octobre 2014 Dr. Souheil Ben Ayed 9
Fonctionnement d'un Firewall

• Un système firewall contient un ensemble de règles


prédéfinies permettant:
 D'autoriser la connexion (allow) ;
 De bloquer la connexion (deny) ;
 De rejeter la demande de connexion sans avertir
l'émetteur (drop).

• Deux types de politiques de sécurité peuvent être


adopté à chaque table de règles:
 Soit d'autoriser uniquement les communications
ayant été explicitement autorisées.
 Soit d'empêcher les échanges qui ont été
explicitement interdits.
Octobre 2014 Dr. Souheil Ben Ayed 10
Architecture de Firewall (1/3)

• Bastion host est une machine conçu et configurée pour


protéger les ressources réseaux des attaques externes.
• Cette machine fournit un point d'entrée et de sortie unique
vers Internet ou réseau externe.
• Elle comporte deux interfaces:
 Interface publique connecté directement vers l'Internet.
 Interface privée connecte vers le réseau local.

Octobre 2014 Dr. Souheil Ben Ayed 11


Architecture de Firewall (2/3)

• Screened subnet firewall permet aux entreprises d'offrir des


services en toute sécurité pour les utilisateurs d'Internet.
• Tous les serveurs hébergeant des services publics (accessible
a partir de l'Internet) sont placés dans la zone démilitarisée
(DMZ).
 La zone DMZ est séparée de l'Internet et du réseau Intranet par le firewall.
 Les services de la zone DMZ répondes aux requêtes du réseau publique.

Le réseau interne
(Intranet) n'est pas accessible
à partir du réseau externe
(Internet).
Octobre 2014 Dr. Souheil Ben Ayed 12
Architecture de Firewall (3/3)

• Multi-homed firewall réfère à une architecture de deux


réseaux ou plus.
• Multi-homed firewall est équipé de trois interfaces réseaux
ou plus permettant de subdiviser le réseau en se basant sur
les objectifs de sécurité spécifiques de l'organisation.
• Chaque interface est connecté à un segment réseau séparé.

Octobre 2014 Dr. Souheil Ben Ayed 13


C'est quoi une zone DMZ?

Un DMZ est une machine ou un réseau placé comme un réseau


neutre entre le réseau privé (Intranet) et le réseau publique (Internet)
pour empêcher tout accès du réseau publique vers les ressources et
données du réseau privée.

Octobre 2014 Dr. Souheil Ben Ayed 14


Evolution des Firewalls

1st generation: Packet Filter

2nd generation: Application Proxy Filter

3rd generation: Stateful Inspection

4th generation: Adaptive Response

5th generation: Kernel Proxy


Octobre 2014 Dr. Souheil Ben Ayed 15
Packet Filter Firewall /Filtrage Simple

• Fonctionne au niveau de la couche 3 du modèle OSI


(parfois couche 4).
• Chaque paquet est compare a un ensemble de critères
(décrites sous forme de règles) avant de le rediriger.
• En fonction du paquet et des critères, le firewall peut
accepter le paquet, le bloquer ou le rejeter.

• Les règles de filtrages peuvent inclure:


 Adresse IP source et destination
 Numéro de port source et destination
 Type de protocole a filtrer.
Octobre 2014 Dr. Souheil Ben Ayed 16
Packet Filter Firewall /Filtrage Simple

• Les adresses IP permettent


d'identifier la machine
émettrice et la machine cible.
• Le type du paquet et le
numéro de port donnent une
indication sur le type de
service transporté.
• Le tableau ci-dessous donne des exemples de règles de pare-feu :

Octobre 2014 Dr. Souheil Ben Ayed 17


Packet Filter Firewall /Filtrage Simple

• Les limites:
 Pas d’authentification des utilisateurs
 Pas de traces des sessions individuelles
 Problème de performances s’il y a trop de règles
 Ce type de filtrage ne résiste pas à certaines
attaques de type IP Spoofing/ IP Flooding ou
encore certaines attaques de type DoS.

Octobre 2014 Dr. Souheil Ben Ayed 18


Application Proxy Filter/Filtrage Applicatif

• Si le filtrage simple ne protège pas pour autant de


l'exploitation des failles applicatives.
 Pas de contrôle du contenu HTTP.
 Ne supporte pas l’authentification des utilisateurs ou des applications.

• Le filtrage applicatif permet de filtrer les communications


application par application. Opérant au niveau 7 (couche
application) du modèle OSI:
 Filtrer le contenu & détecter les intrusions
 Limiter l’envoi & la réception de courriers non sollicités (SPAM).
 Bloquer l’envoi & la réception de certains documents (.exe,
multimédias, etc)
 Empêcher certaines applications (eMule, Kazaa, BitTorrent,
Morpheus...)
 Empêcher certains scirpts: ActiveX filter, invalid URL, Cookies Filter,

Octobre 2014 Dr. Souheil Ben Ayed 19


Application Proxy Filter/Filtrage Applicatif

• Il s'agit d'un dispositif performant.

• En contrepartie, une analyse fine des données


applicatives se traduit donc souvent par un
ralentissement des communications, chaque paquet
devant être finement analysé.

• Une évolutivité limitée


 Solution: le filtrage niveau 3 et 4 fait par la routeur et
décharger au maximum le firewall pour l’inspection
applicative
Octobre 2014 Dr. Souheil Ben Ayed 20
Stateful Inspection Firewall

• Le filtrage dynamique ou "Stateful Inspection" garde


une trace des paquets et conserver les sessions et
les connexions.
 Maintient une table d'états en interne qui suit la
session de chaque communication jusqu'à sa
fermeture.
 Fournit des données pour le suivi des protocoles sans
connexion comme UDP et ICMP.

• Le filtrage dynamique permet de protéger le réseau


face à certains types d'attaques DoS.

Octobre 2014 Dr. Souheil Ben Ayed 21


Stateful Inspection Firewall

• Un dispositif pare-feu de type "stateful inspection"


est ainsi capable d'assurer un suivi des échanges:
 Contrôle de l’établissement d’une connexion TCP
(SYN)
 Les numéros de séquences TCP (SEQ).
 Connexion FTP qui
utilisent des ports
dynamiques > 1023
 UDP based applications
 Etc.

Octobre 2014 Dr. Souheil Ben Ayed 22


Adaptive Response Firewall

• Une amélioration dans la technologie d'un firewall lui


permettant de communiquer avec un système de
détection et de prévision d'intrusion.
• Ce type de firewall permet d'obtenir une réponse
adaptative à des attaques du réseau.
• Le firewall peut s'auto-reconfigurer pour bloquer des
ports ou réinitialiser des connexions.
• Les firewalls de 4ème génération peuvent
accidentellement désactiver des dispositifs
équipements critiques ce qui peut provoquer un
problème de déni de service.
Octobre 2014 Dr. Souheil Ben Ayed 23
Kernel Proxy Firewall

• Kernel proxy firewall est diffèrent de toutes les quatre


technologies de firewall présenté car il crée une pile de
couche réseaux dynamique et spécifique quand un paquet
nécessite d'être évalué.

• Lorsqu'un paquet arrive à un kernel proxy firewall, une


nouvelle pile de réseau virtuel est créé, qui est constitué de
seulement les protocoles nécessaires pour examiner ce
paquet spécifique.
• Kernel firewall est plus rapides que le firewall applicatif parce
que tous les tâche d'inspection et de transformation se
déroulent dans le noyau sans à les passer vers une couche
logicielle supérieure dans le système d'exploitation.

Octobre 2014 Dr. Souheil Ben Ayed 24


Critères de choix d’un firewall

• Nature et nombre d'applications (FTP, messagerie,


HTTP, Vidéo, ...)
• Type de filtre (méthodes de filtrage)
• Facilité à enregistrer les actions (login, paramètres
de connexion, ...) à des fins d'audit
• Outils et facilité d'administration (interface
graphique, ...)
• Simplicité du système pare-feu (facile à comprendre
par le(s) administrateur(s))
• Capacité à supporter un tunnel chiffré
• Disponibilité d'outils de surveillance, d'alarmes.

Octobre 2014 Dr. Souheil Ben Ayed 25


Déploiement d'un Firewall FW

Passerelle de réseau d'entreprise


• Protéger le réseau interne contre les attaques.
• Point de déploiement le plus courant

Passerelle segment interne


• Protéger les segments sensibles (ressources
humaines, …)
• Fournir une deuxième couche de défense
• Protection contre les attaques internes et
l'utilisation abusive

Server-Based Firewall
• Protéger les serveurs d'applications individuels
• Protéger les fichiers

Octobre 2014 Dr. Souheil Ben Ayed 26


Exemples de déploiement de Firewall

Octobre 2014 Dr. Souheil Ben Ayed 27


Systèmes de Détection d'Intrusions (IDS)
Systèmes de Prévention d'Intrusions (IPS)

Octobre 2014 Dr. Souheil Ben Ayed 28


Détection d’intrusion

• L’intrusion est l’action d'intervenir, de s'ingérer dans un réseau


sans en avoir le droit.

• Les intrus peuvent être des individus internes ou externes, qui


tentent d'accéder aux ressources ou de nuire au système
d’information.
 La tentative d’attaque ou d’ intrusion vise la confidentialité,
l’intégrité et/ou la disponibilité d’un système, d’une application
et/ou d’un réseau.

• La détection d’intrusion consiste à:


1. Collecter de façon automatisé les activités (évènements) du système,
d’application ou du réseau à surveiller
2. Analyser les données des activités collectées
3. Alerter en cas de détection d’une signature d’intrusion

Octobre 2014 Dr. Souheil Ben Ayed 29


Les Systèmes de Détection d’Intrusions (IDS)

• L’IDS (Intrusion Detection System) est un système de


collecte et d’analyse en temps réel ou différé des
évènements en provenance de plusieurs emplacements
dans l’intention de détecter et prévenir en cas d’attaque
ou intrusion.
• Fonctions d’IDS:
 Collecte d’information (surveillance)
 Analyse des évènements (détecter la nature de l’attaque)
 Gestion des alertes
 Réaction active à l’attaque (la ralentir ou la stopper)

• L’IDS est devenu un composant critique et essentiel dans


une architecture de sécurité informatique.
Octobre 2014 Dr. Souheil Ben Ayed 30
Terminologies

• Faux-positif:
 Activité non malicieuse (fausse alerte) signalé comme étant une
intrusion par l’IDS

• Faux-négatif:
 Activité ou évènement d’une attaque non détecté ni signalé par
l’IDS

• Evasion:
 Attaque informatique ou technique qui détourne les
équipements de détection d’intrusion ( non détecté par les IDS)

• Une sonde IDS:


 Le composant d’IDS qui collecte les informations brutes.
Octobre 2014 Dr. Souheil Ben Ayed 31
Fonctionnement d’un IDS

• Un IDS est compose de:


 sniffer couplé avec un moteur qui analyse le
trafic selon des règles (signatures).

• Les règles décrivent une signature, une règle


de détection ou un comportement anormale
à signaler.

• Selon l'intrusion ou anomalie détecte, l’IDS


accomplit certaines actions:
 Journaliser l’événement
 Avertir un système avec un message (appel
SNMP)
 Avertir un administrateur avec un message
(email, SMS, etc)
 Amorcer certaines actions sur un réseau ou
un équipement de blocage
Octobre 2014 Dr. Souheil Ben Ayed 32
Techniques de détection

Comment détecter si le flux est normal ou susceptible d’être


une intrusion ?

Signature-based
Pattern matching Stateful matching

Anomaly-based (heuristic-based)
Statistical Protocol Traffic
anomaly anomaly anomaly
based based based

Rule based
Octobre 2014 Dr. Souheil Ben Ayed 33
Signature-based detection

• Se base sur une base de signature d’attaques


 Recherche s’il existe une signature qui correspond à
l’évènement collecté.

• Nécessite la mise a jour en continue de la base de


signature.
• Inconvénient: ne peut pas identifier de nouvelles
attaques

• Deux types:
 Pattern matching: Comparer les paquets aux signatures
 Stateful matching: Comparer les signatures aux plusieurs
évènements en même temps.
Octobre 2014 Dr. Souheil Ben Ayed 34
Anomaly-based detection

• Techniques basées sur le comportement qui passe par


l’apprentissage des activités «normales» d'un
environnement.

• L’apprentissage permet la détection de nouvelles


attaques.

• Trois types
 Statistical anomaly–based: Création d’un profile appelé
‘’normale’’, auquel les évènements sont comparées.
 Protocol anomaly–based: Identifie les protocoles utilisés
hors de leurs limites connues
 Traffic anomaly–based: Identifie un évènement inhabituel
sur le trafic du réseau.
Octobre 2014 Dr. Souheil Ben Ayed 35
Rule-based detection

• C’est une technique de détection basée sur la comparaison des


évènements avec un ensemble de règles.

• Utilisation de règles à base de condition if/else dans un système


expert.

• L’utilisation d'un système expert permet d’intégrer des


caractéristiques de l'intelligence artificielle

• Les règles utilisées peuvent être complexes ce qui demande


généralement plus de ressources matérielle et temps de
traitement des activités
 La signalisation par alerte suite a une attaque ou intrusion n’est
pas en temps réel.

• Cette technique ne permet pas de détecter de nouvelles


attaques
Octobre 2014 Dr. Souheil Ben Ayed 36
Types d'IDS

Network based IDS (NIDS) Host based IDS (HIDS)


Surveiller l'état de la sécurité au niveau du Surveiller l'état de la sécurité au niveau des
réseau: hôtes:
• contenu des paquets (entête et données) • les évènements sur les journaux de logs
• paramètres du trafic (Volume, cibles, etc.) • l’intégrité des fichiers
• les accès au processus
L’utilisation d’une sonde permet la surveillance
d’une ou plusieurs zone du réseaux. L’utilisation d’une sonde propre pour chaque
machine.

IDS Hybride
Rassemble les fonctionnalités d’un NIDS et HIDS, surveillance du réseau et de terminaux.
L’IDS hybride est utilisé dans un environnement décentralisé avec une supervisons centralise.
• Placement stratégique des sondes sur le réseau.
• Centraliser les informations en provenance de plusieurs emplacements (sondes) sur le réseau.
• Avoir une vision globale sur les composants du système d’information.

Octobre 2014 Dr. Souheil Ben Ayed 37


Déploiement d’un IDS

• Le déploiement d’un IDS se fait en fonction de la


topologie du réseau et de la politique de sécurité.

• L’emplacement des sondes ( senseurs) IDS lors du


déploiement est très important.
 Protéger les serveurs dans la zone DMZ
 Protéger contre attaques vers et depuis le réseau local
(réseau interne).
 Détection de signes d’attaques avant filtrage (sonde à
l’extérieur des firewalls)

• L’efficacité de l’IDS dépend aussi de la correcte


installation et la mise à jour des bases de règles et de
signatures.
Octobre 2014 Dr. Souheil Ben Ayed 38
Déploiement d’un IDS

Position (1):
- Détection de tout le trafic entre l’Internet et le réseau
- Trafic entre le réseau local et DMZ invisible pour l’IDS
- Génération de fichiers de log complets mais très complexe à
analyser
- Bonne position pour les Honeypot

Position (2):
- Seul le trafic vers le DMZ est
analysé.
- Détecter les attaques non filtré par
le Firewall.

Position (3):
- Analyser le trafic et détecter les attaques au niveau réseau locale.
- Détecter la majorité des attaques
- Les attaques internes sont les plus fréquents (Virus, Cheval de Troie, …)
Octobre 2014 Dr. Souheil Ben Ayed 39
Exemple de déploiement de sonde IDS

Octobre 2014 Dr. Souheil Ben Ayed 40


Système de Prévention d'Intrusions

• L'IDS traditionnel ne détecte que qu'une intrusion est peut


être en cours et envoie une alerte.

• Un IPS est système similaire aux IDS , permettant de prendre


des mesures préventifs afin de diminuer les impacts d'une
attaque.

• Ainsi, un IPS est une technique de contremesure préventive


et proactive, alors qu'un IDS est une technologie de
contremesure détective (alerte en cours ou après impact de
l'attaque).

• Il existe deux types d'IPS: IPS réseau (NIPS) et IPS hôte


(HIPS).
Octobre 2014 Dr. Souheil Ben Ayed 41
Système de Prévention d'Intrusions

• Principaux différence entre un IDS (réseau) et un IPS


(réseau):
 A l’inverse d’un IDS qui fonctionne en mode promiscuité (positionné
comme un sniffer sur le réseau) un IPS va fonctionner en coupure sur
le réseau.
 Les IPS peuvent bloquer immédiatement les intrusions et ce quel que
soit le type de protocole de transport utilisé et sans reconfiguration
d’un équipement tierce, ce qui induit que l’IPS est constitué en natif
d’une technique de filtrage de paquets et de moyens de bloquages

• L’IPS ne remplace pas l’IDS ou le Firewall


• IPS, IDS et firewall sont des systèmes
complémentaires dans une architecture de sécurité.
Octobre 2014 Dr. Souheil Ben Ayed 42