Vous êtes sur la page 1sur 46

Mesures de prévention et de détection

A.BATTOU Sécurité des réseaux informatiques SMI6 1 / 46


Mesures de prévention/Détection

Mieux vaut prévenir que guérir

Prévention (souhaitable) Détection (obligatoire)


Cryptographie le plus rapidement possible
Serveurs d’Authentification alertes
d’Accès traçabilité / log
Firewall/DMZ IDS (Intrusion Detection
IPS (Intrusion Prévention System)
System) honey pots
Réseaux privés virtuels (VPN)
Scan de vulnérabilité

A.BATTOU Sécurité des réseaux informatiques SMI6 2 / 46


Cryptographie
Cryptographie : La cryptographie est l’ensemble des techniques qui
permettent de rendre un message inintelligible.
Cryptanalyse : la science qui consiste à tenter de déchiffrer un message
ayant été chiffré sans posséder la clé de chiffrement
Chiffrement : Ensemble de procédés et ensemble de symboles (lettres,
nombres, signes, etc.) employés pour remplacer les lettres du message à
chiffrer.
Déchiffrement :le procédé consistant à retrouver le texte original en
possédant la clé de (dé)chiffrement
Décryptage : consiste à retrouver le texte original à partir d’un
message chiffré sans posséder la clé de (dé)chiffrement

A.BATTOU Sécurité des réseaux informatiques SMI6 3 / 46


Service de la cryptographie

La cryptographie permet d’assurer


la confidentialité des données : personne n’a le droit de lire les
données.
L’intégrité : personne ne pourra modifier les données.
L’authenticité : personne ne pourra contrefaire l’origine des données.

A.BATTOU Sécurité des réseaux informatiques SMI6 4 / 46


Un peu d’histoire

Grèce antique : La scytale utilisée à Sparte :

I Algorithme : Texte écrit sur un ruban enroulé autour d’un bâton


I Clé : diamètre du bâton
Le chiffrement de la substitution par décalage / Chiffre -code de César
I Chaque lettre correspond à la lettre n fois plus loin dans l’alphabet
Pour N=5 , A=F , B=G, etc
I Facilement déchiffrable lorsque la langue est connue
I Exemple : montrer qu’il est très aisé de décrypter le message suivant (écrit
en français) :
pk buay gosk inkxy kzajogtzy

A.BATTOU Sécurité des réseaux informatiques SMI6 5 / 46


Cryptage par clé

Il existe deux catégories de chiffrement


Symétrique (Utilisation d’une clé secrète)
I Les deux entités partagent une clé secrète
I La clé sert au chiffrement et au déchiffrement

Asymétrique (Utilisation de clés publiques)


I Une clé sert à chiffrer , l’autre à déchiffrer
I Il n’y a pas de relation directe entre les 2 clés

A.BATTOU Sécurité des réseaux informatiques SMI6 6 / 46


Cryptographie symétrique

Exemple d’algorithme à clé symétrique : DES, AES, Browfish Etc.

A.BATTOU Sécurité des réseaux informatiques SMI6 7 / 46


Caractéristiques du chiffrement symétrique

Avantages :
I Système rapide pour l’implémentation matérielle
I Clés relativement courtes (64, 128, etc.)

Inconvénients :
I Gestion des clés difficiles (plusieurs clés)
I Transmission de clé ( échange d’un secret =point faible)

A.BATTOU Sécurité des réseaux informatiques SMI6 8 / 46


Cryptographie symétrique : DES

Data Encryption Standard (DES ) :


I Publié en 1977 par IBM Corp
I Chiffrement par bloc de 64 bits
I Utilise une clé de longueur fixe
F 56 bits générés aléatoirement dans une clé de 64 bits
F 8 bits servant à la parité (8, 16, 24, 32, 40, 48, 56)
I Schéma de Feistel à 16 itérations. Ces itérations dépendent à chaque tour
d’une clé partielle de 48 bits générée à partir de la clé initiale.
I DES n’est pas fiable et peu performant : cassé en 22h en 1999
I Désormais remplacé par Advanced Encryption Standard (AES)

A.BATTOU Sécurité des réseaux informatiques SMI6 9 / 46


Principe de fonctionnement

A.BATTOU Sécurité des réseaux informatiques SMI6 10 / 46


Fonction Feistel

F(D0, K0)= P(S(E(D0) XOR K0))


E : expansion S : substitution P : permutation
A.BATTOU Sécurité des réseaux informatiques SMI6 11 / 46
Cryptographie symétrique : AES

Advanced Encryption Standard remplace DES


Standard du gouvernement américain
Utilise l’algorithme de Rijndael
Chiffrement par blocs. Chaque bloc est de taille 128 bits
La clé peut être 128 bits, 192 bits ou bien 256 bits
Nombre de cycle entre 10, 12 et 14
Pour les curieux http ://people.eku.edu/styere/Encrypt/JS-AES.html

A.BATTOU Sécurité des réseaux informatiques SMI6 12 / 46


Principe de fonctionnement

A.BATTOU Sécurité des réseaux informatiques SMI6 13 / 46


Cryptographie asymétrique

Exemple d’algorithme à clé asymétrique : RSA, DSA Etc.

A.BATTOU Sécurité des réseaux informatiques SMI6 14 / 46


Cryptographie asymétrique

Résout le problème de la distribution de la clé


Les deux clés forment une paire

Impossible de trouver la clé privée en partant de la clé publique


Sécuriser l’échange de la clé publique n’est pas nécessaire
La clé privée n’est pas transmise
Ce système permet deux choses majeures :
I d’assurer la confidentialité
I d’assurer de l’authenticité de l’expéditeur

A.BATTOU Sécurité des réseaux informatiques SMI6 15 / 46


RSA

RSA : algorithme a été décrit en 1977 par Ronald Rivest, Adi


Shamir et Leonard Adleman
Le système le plus répandu et le plus utilisé
Utilise des longueurs de clé arbitraire Longueur standard de 512 bits
RSA est lent comparé à la cryptographie symétrique
Utilisé pour chiffrer une clé secrète plutôt que le message
La clé chiffrée est alors la clé de session

A.BATTOU Sécurité des réseaux informatiques SMI6 16 / 46


Fonctionnement RSA

A.BATTOU Sécurité des réseaux informatiques SMI6 17 / 46


principe

Comment procède-t-on pour former les couples (e,n) et (d,n).


On choisit au hasard 2 grands nombres premiers p et q.
On calcule n = p.q
On pose j = (p-1).(q-1)
On sélectionne e tel que : e et j soient premiers entre eux avec 1 < e < j .
On calcule d tel que : e.d = 1 mod j (e et d sont inverses l’un de l’autre
modulo j)

A.BATTOU Sécurité des réseaux informatiques SMI6 18 / 46


Exemple

Soit p = 47 ,q = 59 et e = 17
Utiliser l’algorithme RSA pour chiffrer et déchiffrer le message
M = 01000010

A.BATTOU Sécurité des réseaux informatiques SMI6 19 / 46


Exemple

Soint p = 47 ,q = 59 et e = 17
Utiliser l’algorithme RSA pour chiffrer et déchiffrer le message
M = 01000010
On calcule n = p ∗ q = 47 ∗ 59 = 2773
On calcule alors, d tel que d.e = 1mod(p − 1)(q − 1), soit d = 157.
Clef publique : (e, n) = (17, 2773)
Clef privé : d = 157.
Chiffrement du message M = 01000010 = 66 :
C = (M e mod(n)) = (6617mod(2773)) = 872
Déchiffrement de C : (C d mod(n)) = (872157mod(2773)) = 66

A.BATTOU Sécurité des réseaux informatiques SMI6 20 / 46


Inconvénient RSA

Complexité algorithmique de la méthode :recherche de nombres premiers


de grande taille, et choix de clés très longue
Réalisation des opérations modulo n.
I Problème d’implémentation sur les équipements disposants de faible
puissance de calcul (ex : cartes bancaire, stations mobiles, etc.)
I La méthode est officiellement sûre si des contraintes de longueur des clés et
d’usage sont respectées.
Solution : Utilisation de RSA pour l’échange des clés secrètes de session
d’un algorithme symétrique

A.BATTOU Sécurité des réseaux informatiques SMI6 21 / 46


La fonction de hachage

Fonction de hachage ou fonction de condensation, permet à partir d’un


texte de longueur quelconque, de calculer une chaîne de taille inférieure et
fixe appelé condensé ou empreinte (message digest ou hash en anglais)
Une fonction de hachage doit être :
I à sens unique, c’est à dire qu’à partir du message haché, il est impossible
de retrouver le message original.
I sans collisions, impossibilité de trouver deux messages distincts ayant la
même valeur de condensé. La moindre modification du message entraîne la
modification de l’empreinte.
Exemples :
I MD5 (Message Digest 5 - Rivest1991-RFC 1321) : calcul une empreinte de
128 bits.
I SHA-1 (Secure Hash Algorithm 1 - NIST1994) : plus sûr que MD5 -
empreinte de 160 bits

A.BATTOU Sécurité des réseaux informatiques SMI6 22 / 46


La fonction de hachage

Utilisée seule, elle permet de vérifier l’intégrité d’un message.


Associé à un chiffrement symétrique, elle permet le calcul du
MAC(Message Authentification de Code) pour assurer
I Intégrité des données
I Authentification de la source
Associé à un chiffrement asymétrique, elle permet le calcul de signatures,
pour assurer :
I Intégrité des données
I Authentification de la source
I Non-répudiation de la source

A.BATTOU Sécurité des réseaux informatiques SMI6 23 / 46


firewall

Un système parefeu (firewall)


un dispositif conçu pour examiner et éventuellement bloquer les échanges
de données entre réseaux.

C’est un élément de sécurité d’un réseau composé de matériels et de


logiciel et qui peut être :
I un ordinateur
I un routeur
I un matériel propriétaire
Il comporte au minimum les interfaces réseau suivante :
I une interface pour le réseau à protéger (réseau interne) ;
I une interface pour le réseau externe.

A.BATTOU Sécurité des réseaux informatiques SMI6 24 / 46


Firewall

Objectif d’un firewall


I Contrôler : Gérer les connexions sortantes à partir du réseau local.
I Sécuriser : Protéger le réseau interne des intrusions venant de l’extérieur.
I Surveiller : tracer le trafic entre le réseau local et internet.
I Journalisation des événements
Un système pare-feu contient un ensemble de règles prédéfinies
permettant
I d’autoriser la connexion (allow) ;
I de bloquer la connexion (deny) ;
I de rejeter la demande de connexion sans avertir l’émetteur (drop).

A.BATTOU Sécurité des réseaux informatiques SMI6 25 / 46


Firewall

Les règles prédéfinies d’un Firewall dépendent essentiellement de la


politique de sécurité à adopter :
I Politique restrictive : Elle consiste à spécifier les actions qui sont
autorisées. Tout ce qui n’est pas explicitement autorisé est alors interdit.
I Politique permissive : À l’opposé de la restrictive, elle décrit les actions
interdites. Tout ce qui n’est pas explicitement interdit est alors autorisé.
I Politique combinatoire : Contrairement aux deux premières, une
politique combinatoire consiste à définir aussi bien les actions autorisées
que celles interdites.
Trois méthodes de filtrage :
I filtrage simple de paquets (Stateless).
I filtrage dynamique (filtrage de paquet avec état) (Stateful)
I filtrage applicatif

A.BATTOU Sécurité des réseaux informatiques SMI6 26 / 46


Firewall : filtrage simple de paquet
opère au niveau de la couche réseau du modèle OSI.
analyse les entêtes de chaque paquet de données échangé entre une
machine du réseau interne et une machine extérieure.
I adresse IP de la machine émettrice/réceptrice ;
I type de paquet (TCP, UDP, ICMP) ;
I numéro de port (le service ou l’application réseau).

examine chaque paquet indépendamment des autres et le compare à une


liste de règles préconçues.
Exemple de règles :

limites :
I Ne permet pas l’authentification des utilisateurs ni le filtrage des
applications
I Ce type de filtrage ne résiste pas à certaines attaques :IP Spoofing, DoS,

etc.
A.BATTOU Sécurité des réseaux informatiques SMI6 27 / 46
Firewall : filtrage de paquet dynamique

fait le suivi des paquets sortants dont il a autorisé la transmission et


n’autorise que le retour des paquets de réponse correspondants.
inspecte les données des couches 3 et 4,
I conserve la trace des sessions dans des tables d’état interne
I vérifie que chaque paquet est bien la suite d’un précédent paquet / la
réponse a un paquet dans l’autre sens.
I prend alors ses décisions en fonction des états de connexions, et peut réagir
dans le cas de situations protocolaires anormales.
limites :
I Ne protège pas contre l’exploitation des failles applicatives, liées aux
vulnérabilités des applications.
I Non prise en compte des protocoles supérieures à la couche transport
(telnet, FTP, ...)

A.BATTOU Sécurité des réseaux informatiques SMI6 28 / 46


Firewall : filtrage applicatif(proxy serveur mandataire)

opère au niveau de la couche application (couche 7 du modèle OSI)


gère toutes les connexions au nom des machines de réseau local.
I Si une machine locale a un logiciel qui désire accéder à l’Internet alors
celui-ci devra être configuré pour communiquer avec le coupe-feu à la
place. Le coupe-feu établira alors la connexion.
I Vu de l’extérieur, seul le firewall est visible.
I Une attaque doit s’en prendre au proxy. Une machine est plus facile à
protéger que plusieurs.
maintient un journal des évènements très détaillée
limites : Chaque paquet est finement analysé : ralentissement des
communication

A.BATTOU Sécurité des réseaux informatiques SMI6 29 / 46


Que choisir

A.BATTOU Sécurité des réseaux informatiques SMI6 30 / 46


Limites des Firewalls

Installer un firewall n’est bien évidemment pas signe de sécurité absolue.


Les firewalls ne protègent que des communications passant à travers eux.
Ainsi, les accès au réseau extérieur non réalisés au travers le firewall sont
des failles de sécurité (cas des connexions effectuées à l’aide d’un modem).
La mise en place d’un firewall doit donc se faire en accord avec une
véritable politique de sécurité.

A.BATTOU Sécurité des réseaux informatiques SMI6 31 / 46


DMZ

Zone Dé-Militarisé(DMZ)
un sous-réseau séparé du réseau local et isolé de celui-ci et d’Internet (ou d’un
autre réseau) par un pare-feu. Ce sous-réseau contient les machines
susceptibles d’être accédées depuis Internet

Propriétés :
Comporte des machines du réseau interne qui ont besoin d’être accessibles
de l’extérieur (Serveurs : Web, Mail, FTP public) que de l’intérieur.
Possède un niveau de sécurité intermédiaire,
On ne peut y stocker des données critiques de l’entreprise.
les connexions à partir de la DMZ ne sont autorisées que vers l’extérieur

A.BATTOU Sécurité des réseaux informatiques SMI6 32 / 46


DMZ

A.BATTOU Sécurité des réseaux informatiques SMI6 33 / 46


DMZ

A.BATTOU Sécurité des réseaux informatiques SMI6 34 / 46


DMZ

La politique de sécurité mise en œuvre sur la DMZ est généralement la


suivante :
Trafic du réseau externe vers la DMZ autorisé ;
Trafic du réseau externe vers le réseau interne interdit ;
Trafic du réseau interne vers la DMZ autorisé ;
Trafic du réseau interne vers le réseau externe autorisé ;
Trafic de la DMZ vers le réseau interne interdit ;
Trafic de la DMZ vers le réseau externe autorisé.

A.BATTOU Sécurité des réseaux informatiques SMI6 35 / 46


Système de detection d’intrusion(IDS)

Système de detection d’intrusion(IDS)


mécanisme écoutant le trafic réseau de manière furtive afin de repérer des
activités anormales ou suspectes et permettant ainsi d’avoir une action de
prévention sur les risques d’intrusion

Il existe trois grandes familles distinctes d’IDS :


Les N-IDS (Network Intrusion Detection System), ils assurent la sécurité
au niveau du réseau.
Les H-IDS (Host Intrusion Detection System), ils assurent la sécurité au
niveau des hôtes.
IDS Hybrides : NIDS + HIDS

A.BATTOU Sécurité des réseaux informatiques SMI6 36 / 46


N-IDS
Un N-IDS nécessite un matériel dédié capable de contrôler les paquets
circulant sur un ou plusieurs lien(s) réseau dans le but de découvrir si un acte
anormal a eu lieu.
place les interfaces réseau du système dédié en mode promiscuité
analyse de manière passive les flux en transit sur le réseau et détecter les
intrusions en temps réel.
écoute donc tout le trafic réseau, puis l’analyse et génère des alertes si des
paquets semblent dangereux.

A.BATTOU Sécurité des réseaux informatiques SMI6 37 / 46


Intervention d’ un N-IDS
Les principales méthodes utilisées pour signaler et bloquer les intrusions sur
les N-IDS sont les suivantes :
Reconfiguration d’équipement tierces ( Firewall . . . ) : Ordre envoyé par
N-IDS pour une reconfiguration immédiate dans le but de bloquer un
intrus.
Envoi d’un e-mail à un ou plusieurs utilisateurs : Pour notifier une
intrusion sérieuse.
Journalisation (log) de l’attaque : détails de l’alerte dans une BD ( @IP
de l’intrus et de la cible, protocole utilisé, . . . )
Sauvegarde des paquets suspicieux : Sauvegarde de l’ensemble des
paquets réseaux (raw packets) capturés et/ou seul(s) les paquets qui ont
déclenchés une alerte
Démarrage d’une application extérieur : Lancement d’un programme
extérieur pour exécuter une action spécifique (envoi d’un message sms,
émission d’une alerte auditive. . . ).
Notification visuelle de l’alerte : Affichage de l’alerte dans une ou
plusieurs console(s) de management
etc.
A.BATTOU Sécurité des réseaux informatiques SMI6 38 / 46
Exemple de système de détection d’intrusion

Snort : système de détection d’intrusion libre.


Snort est capable d’effectuer en temps réel des analyses de trafic et de
logger les paquets sur un réseau IP.
I Il peut effectuer des analyses de protocole,
I recherche/correspondance de contenu
I peut être utilisé pour détecter une grande variété d’attaques et de sondes,
I Snort n’est pas infaillible (Faux positif : Détection erronée et Faux négatif :
Non détection d’un paquet malicieux )et demande une mise à jour
régulière.

A.BATTOU Sécurité des réseaux informatiques SMI6 39 / 46


Système de prévention d’intrusion

Système de prévention d’intrusion


un Système de Prévention/Protection contre les intrusions

La principale différence entre un IDS et un IPS :


l’IDS est traditionnellement positionné (seulement en écoute) comme un
sniffer sur le réseau.
IPS a la possibilité de bloquer immédiatement les intrusions et ce quel
que soit le type de protocole de transport utilisé et sans reconfiguration
d’un équipement tierce.
IPS est constitué en natif d’une technique de filtrage de paquets et de
moyens de bloquage :
I drop connection,
I drop offending packets,
I block intruder, . . .
exemple d’IPS : Hogwash, Snort-inline, ISS(proventia),
McAfee(Intrushield, entercept), etc.

A.BATTOU Sécurité des réseaux informatiques SMI6 40 / 46


Positionnement du NIDS/NIPS au sein du réseau

A.BATTOU Sécurité des réseaux informatiques SMI6 41 / 46


RAID

Le RAID (Redundant Array of Inexpensives Disks) :


I ensemble de techniques de virtualisation du stockage permettant de
répartir des données sur plusieurs disques durs afin d’améliorer soit les
performances, soit la sécurité ou la tolérance aux pannes de l’ensemble du
ou des systèmes.
I Types de systèmes RAID : logiciel, pseudo-matériel et Matériel.
I deux catégories : les RAID standards et les RAID combinés.

A.BATTOU Sécurité des réseaux informatiques SMI6 42 / 46


RAID standards

A.BATTOU Sécurité des réseaux informatiques SMI6 43 / 46


IPSec

IPSec (Internet Protocole Security) : Protocole de la couche 3 du modèle OSI


qui permet d’assurer des communications privés et protégées sur les réseaux
IP.
Caractéristiques :
I les données sont chiffrées et protégées ;
I les deux extrémités sont autentifiées ;
I Deux protocoles de sécurité sont utilisés : AH (Authentication header) et
ESP (encapsulation security playload)
I permet d’empêcher les attaques de type MITM.
les modes d’IPSec
I Mode transport : ne modifie pas l’entête initial, il se met entre l’entête du
protocole IP et l’entête du protocole transport
I Mode Tunnel : remplace les entêtes du protocole IP et encapsule la totalité
du paquet IP

A.BATTOU Sécurité des réseaux informatiques SMI6 44 / 46


IPSec

A.BATTOU Sécurité des réseaux informatiques SMI6 45 / 46


Conclusion

Sécurité
=
bon sens
+
sensibilisation
+
méthodologie
+
un peu de technique

A.BATTOU Sécurité des réseaux informatiques SMI6 46 / 46