Composants et Architectures

de Sécurité des Réseaux

CHAPITRE 3
Par : Ali GHORBEL
Ali.ghorbel@esprit.tn

1
 Plan
Introduction
Défense en profondeur
Les menaces réseaux
Firewall/Pare-feu
● Fonctionnement d'un firewall
● Architecture et déploiement d'un firewall
● La zone DMZ
● Types de firewall
Systèmes de Détection et de Prévention d'Intrusions
● Fonctionnement
● Techniques de détection
● Types d'IDS et d'IPS
 Introduction

La sécurité du réseau se réfère à toutes les activités visant à

protéger le réseau de l'entreprise.

Les activités et composants de sécurité réseaux visent àprotéger:

Network and data

Usability Integrity Fiability
security

La mise en place d'une politique de sécurité réseau efficace vise à

protéger contre une variété de menaces et empêche toute
pénétration ou propagation sur un réseau.
 Les défenses matérielles
Les défenses matérielles interviennent au niveau de l’architecture du
réseau, directement sur le support sur lequel est stockée l’information à
protéger (protection d’une base de données centralisée sur le disque dur
d’un serveur par exemple), sur les médias servant à transporter cette
information (sécurisation du réseau sans fil) et sur les équipements
intermédiaires traversés lors du transport (utilisation d’un firewall installé
sur le routeur d’accès).
Par ailleurs, quelques principes de base doivent être respectés pour
assurer l’efficacité des défenses :
• principe du moindre privilège : chaque élément du système (utilisateur,
logiciel) ne doit avoir que le minimum de privilèges nécessaires pour
accomplir sa tâche (les utilisateurs ne doivent pas être administrateurs,
une session sur un serveur web est ouverte par défaut sur un compte
utilisateur …).
 Les défenses matérielles

• interdiction par défaut : dans la mesure où toutes les menaces ne peuvent

être connues à l’avance, il est mieux d’interdire tout ce qui n’est pas
explicitement permis que de permettre tout ce qui n’est pas explicitement
interdit (sur un firewall, il vaut mieux commencer par fermer tous les
ports pour n’ouvrir ensuite que ceux qui sont nécessaires).
• participation des utilisateurs : un système de protection n’est efficace
que si tous les utilisateurs le supportent, un système trop restrictif pousse
les utilisateurs à devenir créatifs.
• simplicité : la plupart des problèmes de sécurité ont leur origine dans
une erreur humaine.
Dans un système simple, le risque d’erreur est plus faible et les analyses
sont plus rapides.
 Défense en profondeur

 Mise en place de Potential Attack

WWW

plusieurs couches de Physical security Network-based

Firewall Internal
Firewall
sécurité. Policies and procedures
Router
WWW IPS
Router/Firewall/VPN
 Si l'une des couches
VPN
Network
@ IPS Host-based
DMZ DNS Firewall
Network
est compromise ou Security architecture IDS
IDS
IDS
défaillante les autres sont Account Management Host-based
IDS

encore debout. Internal devices

Host-based
Antivirus

Plusieurs mesures de sécurité valent mieux qu’une (anti-spam sur

les postes de messagerie et sur les postes de travail, firewall sur le
routeur d’accès et sur les machines d’extrémité …).
 Les menaces réseaux
Bcp de menaces de sécurité réseau sont aujourd'hui
réparties sur l'Internet.

• Advanced Evasion • Attaques zero-day

Techniques (AET) • Attaques de pirates
• Advanced Persistant • Attaques par déni de
Threat (APT) service DoS
• Virus, vers et chevaux • Interception de
de Troie données et le vol
• Spyware et adware d'identité
4
 Composants de sécurité réseau

• Un système de sécurité réseau est constitué de

plusieurs composants:
 Pare-feu/Firewall
 Système de détection d'intrusions (IDS)
 Système de prévention d'intrusions (IPS)
 Antivirus et antispyware
 Virtual Private Network (VPN)

• Tous les composants travaillent ensemble, ce qui

minimise la maintenance et améliore la sécurité.
Les Firewalls
 Firewall

Un pare-feu/Firewall est un dispositif utilisé pour appliquer

des politiques de sécurité (contrôle les flux du trafic réseau)
au sein d'un réseau ou entre plusieurs réseaux.

Il peut être logiciel ou matériel dédié permettant d'examiner

tous les messages en entrée ou sortie du réseau local et de
bloquer tous ceux qui ne remplissent pas les critères de
sécurité spécifié.

9
 Pourquoi un firewall?
De nos jours, toutes les entreprises possédant un réseau local possèdent
aussi un accès à Internet, afin d’accéder à la manne d’information
disponible sur le réseau des réseaux, et de pouvoir communiquer avec
l’extérieur.
Cette ouverture vers l’extérieur est indispensable et dangereuse en même
temps.
Ouvrir l’entreprise vers le monde signifie aussi laisser place ouverte aux
étrangers pour essayer de pénétrer le réseau local de l’entreprise, et y
accomplir des actions douteuses, parfois gratuites, de destruction, vol
d’informations confidentielles, …
Les mobiles sont nombreux et dangereux.
Pour parer à ces attaques, une architecture sécurisée est nécessaire.
Pour cela, le cœur d’une telle architecture est basé sur un firewall.

9
 Pourquoi un firewall?
Cet outil a pour but de sécuriser au maximum le réseau local de l’entreprise,
de détecter les tentatives d’intrusion et d’y parer au mieux possible.
Cela représente une sécurité supplémentaire rendant le réseau ouvert sur
Internet beaucoup plus sûr.
De plus, il peut permettre de restreindre l’accès interne vers l’extérieur.
En effet, des employés peuvent s’adonner à des activités que l’entreprise ne
cautionne pas, le meilleur exemple étant le jeu en ligne.
En plaçant un firewall limitant ou interdisant l’accès à ces services, l’entreprise
peut donc avoir un contrôle sur les activités se déroulant dans son enceinte.
Le firewall propose donc un véritable contrôle sur le trafic réseau de
l’entreprise.
Il permet d’analyser, de sécuriser et de gérer le trafic réseau, et ainsi d’utiliser
le réseau de la façon pour laquelle il a été prévu et sans l’encombrer avec des
activités inutiles, et d’empêcher une personne sans autorisation d’accéder à ce
réseau de données. 9
 Firewall

Un pare-feu/firewall est utilisé pour restreindre l'accès

à un réseau à partir d'un autre réseau.

Un firewall comporte au minimum deux interfaces réseau.

Une interface pour le réseau externe ou Une interface pour le réseau à protéger
Internet (réseau interne ou LAN)

Firewall

Internet

Local Area Network

Firewall
 Ce que fait un Firewall ?

 Prévenir des scans réseau

 Contrôle du trafic

 Authentification des utilisateurs

 Filtrage des paquets, services et protocoles

 Journalisation

 Translation d’adresse réseau

Ce que ne fait pas un Firewall ?

Ne prévient pas des backdoors

Ne protège pas des menaces internes

N’est pas une alternative aux antivirus et antimalwares

Ne prévient pas contre les attaques de social engineering

Ne prévient pas contre la mauvaise utilisations des mots de passe

 Types de firewalls

Logiciel Appliance
Types de firewalls
Types de firewalls
Types de firewalls
 Firewall

Un firewall logiciel peut être installé sur n'importe quelle

machine et avec n'importe quel système d'exploitation pourvu
que:
 La machine soit suffisamment puissante pour traiter le trafic
réseaux la traversant.
 Aucun autre service que celui du firewall ne fonctionne sur le
serveur.
 Le système soit sécurisé.

Les firewalls peuvent filtrer les messages en se basant sur:

 Le type du trafic (protocole)
 Les adresses source et destination
 les numéros de ports.
 Fonctionnement d'un Firewall
Un système Firewall contient un ensemble de règles prédéfinies
permettant :
 D’autoriser la connexion (allow)
 De bloquer la connexion (deny)
 De rejeter la demande de connexion sans avertir l’émetteur (drop)
L’ensemble de ces règles permet de mettre en œuvre une méthode de
filtrage dépendant de la politique de sécurité adoptée par l’entité. On
distingue habituellement deux types de politiques de sécurité
permettant :
 Soit d’autoriser uniquement les communications ayant été
explicitement autorisées: «Tout ce qui n’est pas explicitement autorisé
est interdit»
 Soit d’empêcher les échanges qui ont été explicitement interdits.
La première méthode est sans nul doute la plus sûre, mais elle impose
toutefois une définition précise et contraignante des besoins en
communication.
 Architecture de Firewall (1/3)

• Bastion host est une machine conçue et configurée pour

protéger les ressources réseaux des attaques externes.
• Cette machine fournit un point d'entrée et de sortie unique
vers Internet ou réseau externe.
• Elle comporte deux interfaces:
 Interface publique connecté directement vers l'Internet.
 Interface privée connecte vers le réseau local.

Bastion Host

Internet Firewall Intranet

 Architecture de Firewall (2/3)
• Screened subnet firewall permet aux entreprises d'offrir des
services en toute sécurité pour les utilisateurs d'Internet.
• Tous les serveurs hébergeant des services publics (accessibles à
partir de l'Internet) sont placés dans la zone démilitarisée (DMZ).
 La zone DMZ est séparée de l'Internet et du réseau Intranet par le firewall.
 Les services de la zone DMZ répondent aux requêtes du réseau public.

Le réseau interne (Intranet)

n'est pas accessible à partir du
réseau externe (Internet).
DMZ

Internet Firewall Intranet

12
 Architecture de Firewall (3/3)

• Multi-homed firewall réfère à une architecture de deux

réseaux ou plus.
• Multi-homed firewall est équipé de trois interfaces réseaux
ou plus permettant de subdiviser le réseau en se basant sur
les objectifs de sécurité spécifiques de l'organisation.
• Chaque interface est connecté à un segment réseau séparé.

DMZ

Internet Firewall 1 Firewall 2 Intranet

C'est quoi une zone DMZ?
 C'est quoi une zone DMZ?
Une zone DMZ (DeMilitarized Zone) est une zone de réseau privée ne
faisant partie ni du LAN privé ni de l’Internet.
Concrètement, c’est une machine ou un réseau placé comme un réseau
neutre entre le réseau privé (Intranet) et le réseau public (Internet) pour
empêcher tout accès du réseau public vers les ressources et données du
réseau privé.
Elle est isolée par un firewall mais avec des règles de filtrage moins
contraignantes que le LAN.
 C'est quoi une zone DMZ? (2/2)

Un niveau supplémentaire de sécurité peut être introduit avec un

deuxième firewall. Les règles d’accès sur le firewall du LAN privé
sont plus restrictives. La DMZ est située entre deux firewalls (DMZ
« en sandwich ») avec des règles moins restrictives introduites par
le premier firewall.
 C'est quoi un Proxy?

Un système mandataire (Proxy) repose sur un accès à l’Internet pour

une machine dédiée : le serveur mandataire ou Proxy server, joue le rôle
de mandataire pour les autres machines locales et exécute les requêtes
pour le compte de ces dernières.
Un serveur mandataire est configuré pour un ou plusieurs protocoles de
niveau applicatif (HTTP, FTP, SMTP, …) et permet de centraliser, donc de
sécuriser, les accès extérieurs (filtrage applicatif, enregistrement des
connexions, masquage des adresses des clients, …).
Les serveurs mandataires configurés pour HTTP permettent également
le stockage des pages web dans un cache pour accélérer le transfert des
informations fréquemment consultées vers les clients connectés (Proxy
cache).
C'est quoi un Proxy?
 Evolution des Firewalls

1st generation: Packet Filter

2nd generation: Application Proxy Filter

3rd generation: Stateful Inspection

4th generation: Adaptive Response

5th generation: Kernel Proxy

 Packet Filter Firewall /Filtrage Simple

• Fonctionne au niveau de la couche 3 du modèle OSI

(parfois couche 4).

• Chaque paquet est comparé a un ensemble de critères

(décrits sous forme de règles) avant de le rediriger.

• En fonction du paquet et des critères, le firewall peut

accepter le paquet, le bloquer ou le rejeter.

• Les règles de filtrages peuvent inclure:

 Adresse IP source et destination
 Numéro de port source et destination
 Type de protocole à filtrer.
 Packet Filter Firewall /Filtrage Simple
• Les adresses IP permettent
d'identifier la machine
émettrice et la machine cible.
• Le type du paquet et le
numéro de port donnent une
indication sur le type de
service transporté.
• Le tableau ci-dessous donne des exemples de règles de pare-feu :
 Packet Filter Firewall /Filtrage Simple

• Les limites:
 Pas d’authentification des utilisateurs
 Pas de traces des sessions individuelles
 Problème de performance s’il y a trop de règles
 Ce type de filtrage ne résiste pas à certaines
attaques de type IP Spoofing/ IP Flooding ou
encore certaines attaques de type DoS.
Application Proxy Filter/Filtrage Applicatif
Si le filtrage simple ne protège pas pour autant de
l'exploitation des failles applicatives.
 Pas de contrôle du contenu HTTP.
 Ne supporte pas l’authentification des utilisateurs ou des applications.

Le filtrage applicatif permet de filtrer les communications application

par application. Opérant au niveau 7 (couche application) du modèle
OSI:
 Filtrer le contenu & détecter les intrusions
 Limiter l’envoi & la réception de courriers non sollicités (SPAM).

 Bloquer l’envoi & la réception de certains documents (.exe, multimédias,

etc)

 Empêcher certaines applications (eMule, Kazaa, BitTorrent, Morpheus...)

 Empêcher certains scirpts: ActiveX filter, invalid URL, Cookies Filter,
Application Proxy Filter/Filtrage Applicatif

• Il s'agit d'un dispositif performant.

• En contrepartie, une analyse fine des données applicatives

se traduit donc souvent par un ralentissement des
communications, chaque paquet devant être finement
analysé.

• Une évolutivité limitée

 Solution: le filtrage niveau 3 et 4 fait par la routeur et
décharger au maximum le firewall pour l’inspection
applicative
 Stateful Inspection Firewall

• Le filtrage dynamique ou "Stateful Inspection" garde

une trace des paquets et conserve les sessions et les
connexions.
 Maintient une table d'états en interne qui suit la
session de chaque communication jusqu'à sa
fermeture.
 Fournit des données pour le suivi des protocoles sans
connexion comme UDP et ICMP.

• Le filtrage dynamique permet de protéger le réseau

face à certains types d'attaques DoS.
 Stateful Inspection Firewall

• Un dispositif pare-feu de type "stateful inspection" est

ainsi capable d'assurer un suivi des échanges:
 Contrôle de l’établissement d’une connexion TCP (SYN)
 Les numéros de séquences TCP (SEQ).
 Connexion FTP qui
utilisent des ports
dynamiques > 1023
 UDP based applications
 Etc.
 Adaptive Response Firewall

• Une amélioration dans la technologie d'un firewall lui

permettant de communiquer avec un système de
détection et de prévision d'intrusion.

• Ce type de firewall permet d'obtenir une réponse

adaptative à des attaques du réseau.

• Le firewall peut s'auto-reconfigurer pour bloquer des

ports ou réinitialiser des connexions.

• Les firewalls de 4ème génération peuvent

accidentellement désactiver des dispositifs
équipements critiques ce qui peut provoquer un
problème de déni de service.
 Kernel Proxy Firewall
• Kernel proxy firewall est diffèrent de toutes les quatre
technologies de firewall présentés car il crée une pile de
couches réseaux dynamique et spécifique quand un paquet
nécessite d'être évalué.

• Lorsqu'un paquet arrive à un kernel proxy firewall, une

nouvelle pile de réseau virtuel est créé, qui est constitué de
seulement les protocoles nécessaires pour examiner ce
paquet spécifique.

• Kernel firewall est plus rapides que le firewall applicatif parce

que tous les tâche d'inspection et de transformation se
déroulent dans le noyau sans à les passer vers une couche
logicielle supérieure dans le système d'exploitation.
 Critères de choix d’un firewall

Nature et nombre d'applications (FTP, messagerie, HTTP, Vidéo …)

Type de filtre (méthodes de filtrage)
Facilité à enregistrer les actions (login, paramètres de connexion, ...)
à des fins d'audit
Outils et facilité d'administration (interface graphique,)
Simplicité du système pare-feu (facile à comprendre par le(s)
administrateur(s))
Capacité à supporter un tunnel chiffré
Disponibilité d'outils de surveillance, d'alarmes.
 Déploiement d'un Firewall FW

Passerelle de réseau d'entreprise

• Protéger le réseau interne contre les attaques.
• Point de déploiement le plus courant

Passerelle segment interne

• Protéger les segments sensibles (ressources
humaines, …)
• Fournir une deuxième couche de défense
• Protection contre les attaques internes et
l'utilisation abusive

Server-Based Firewall
• Protéger les serveurs d'applications individuels
• Protéger les fichiers

26
Exemples de déploiement de Firewall
Systèmes de Détection d'Intrusions (IDS)

Systèmes de Prévention d'Intrusions (IPS)

 Détection d’intrusion
• L’intrusion est l’action d'intervenir, de s'ingérer dans un réseau sans
en avoir le droit.

• Les intrus peuvent être des individus internes ou externes, qui

tentent d'accéder aux ressources ou de nuire au système
d’information.
 La tentative d’attaque ou d’ intrusion vise la confidentialité, l’intégrité
et/ou la disponibilité d’un système, d’une application et/ou d’un
réseau.
• La détection d’intrusion consiste à:
1. Collecter de façon automatisé les activités (évènements) du système,
d’application ou du réseau à surveiller
2. Analyser les données des activités collectées
3. Alerter en cas de détection d’une signature d’intrusion
 Les Systèmes de Détection d’Intrusions (IDS)

• L’IDS (Intrusion Detection System) est un système de

collecte et d’analyse en temps réel ou différé des
évènements en provenance de plusieurs emplacements
dans l’intention de détecter et prévenir en cas d’attaque
ou intrusion.
• Fonctions d’IDS:
 Collecte d’information (surveillance)
 Analyse des évènements (détecter la nature de l’attaque)
 Gestion des alertes
 Réaction active à l’attaque (la ralentir ou la stopper)

• L’IDS est devenu un composant critique et essentiel dans

une architecture de sécurité informatique.
 Terminologies

• Faux-positif:
 Activité non malicieuse (fausse alerte) signalé comme étant une
intrusion par l’IDS

• Faux-négatif:
 Activité ou évènement d’une attaque non détecté ni signalé par
l’IDS

• Evasion:
 Attaque informatique ou technique qui détourne les
équipements de détection d’intrusion ( non détecté par les IDS)

• Une sonde IDS:

 Le composant d’IDS qui collecte les informations brutes.
 Fonctionnement d’un IDS

• Un IDS est compose de:

 sniffer couplé avec un moteur qui analyse le
trafic selon des règles (signatures).

• Les règles décrivent une signature, une règle

de détection ou un comportement anormale
à signaler.

• Selon l'intrusion ou anomalie détecte, l’IDS

accomplit certaines actions:
 Journaliser l’événement
 Avertir un système avec un message (appel
SNMP)
 Avertir un administrateur avec un message
(email, SMS, etc)
 Amorcer certaines actions sur un réseau ou
un équipement de blocage
 Techniques de détection

Comment détecter si le flux est normal ou susceptible d’être

une intrusion ?

Signature-based
Pattern matching Stateful matching

Anomaly-based (heuristic-based)
Statistical Protocol Traffic
anomaly anomaly anomaly
based based based

Rule based
 Signature-based detection

• Se base sur une base de signature d’attaques

 Recherche s’il existe une signature qui correspond à
l’évènement collecté.

• Nécessite la mise à jour en continu de la base de

signatures.

• Inconvénient: ne peut pas identifier de nouvelles

attaques

• Deux types:
 Pattern matching: Comparer les paquets aux signatures
 Stateful matching: Comparer les signatures aux plusieurs
évènements en même temps.
 Anomaly-based detection

• Techniques basées sur le comportement qui passe par

l’apprentissage des activités «normales» d'un
environnement.

• L’apprentissage permet la détection de nouvelles

attaques.

• Trois types
 Statistical anomaly–based: Création d’un profile appelé
‘’normale’’, auquel les évènements sont comparées.
 Protocol anomaly–based: Identifie les protocoles utilisés
hors de leurs limites connues
 Traffic anomaly–based: Identifie un évènement inhabituel
sur le trafic du réseau.
 Rule-based detection

• C’est une technique de détection basée sur la comparaison des

évènements avec un ensemble de règles.

• Utilisation de règles à base de condition if/else dans un système

expert.

• L’utilisation d'un système expert permet d’intégrer des

caractéristiques de l'intelligence artificielle

• Les règles utilisées peuvent être complexes ce qui demande

généralement plus de ressources matérielle et temps de
traitement des activités
 La signalisation par alerte suite a une attaque ou intrusion n’est
pas en temps réel.

• Cette technique ne permet pas de détecter de nouvelles

attaques
 Types d'IDS
Network based IDS (NIDS) Host based IDS (HIDS)

Surveiller l'état de la sécurité au niveau du Surveiller l'état de la sécurité au niveau des

réseau: hôtes:
• contenu des paquets (entête et données) • les évènements sur les journaux de logs
• paramètres du trafic (Volume, cibles, etc.) • l’intégrité des fichiers
• les accès au processus
L’utilisation d’une sonde permet la surveillance
d’une ou plusieurs zone du réseaux. L’utilisation d’une sonde propre pour chaque
machine.

IDS Hybride
Rassemble les fonctionnalités d’un NIDS et HIDS, surveillance du réseau et de terminaux.
L’IDS hybride est utilisé dans un environnement décentralisé avec une supervisons centralise.
• Placement stratégique des sondes sur le réseau.
• Centraliser les informations en provenance de plusieurs emplacements (sondes) sur le réseau.
• Avoir une vision globale sur les composants du système d’information.
 Déploiement d’un IDS

• Le déploiement d’un IDS se fait en fonction de la

topologie du réseau et de la politique de sécurité.

• L’emplacement des sondes ( senseurs) IDS lors du

déploiement est très important.
 Protéger les serveurs dans la zone DMZ
 Protéger contre attaques vers et depuis le réseau local
(réseau interne).
 Détection de signes d’attaques avant filtrage (sonde à
l’extérieur des firewalls)

• L’efficacité de l’IDS dépend aussi de la correcte

installation et la mise à jour des bases de règles et de
signatures.
 Déploiement d’un IDS

Position (1):
- Détection de tout le trafic entre l’Internet et le réseau
- Trafic entre le réseau local et DMZ invisible pour l’IDS
- Génération de fichiers de log complets mais très complexeà
analyser
- Bonne position pour les Honeypot

Position (2):
- Seul le trafic vers le DMZ est
analysé.
- Détecter les attaques non filtré par
le Firewall.

Position (3):
- Analyser le trafic et détecter les attaques au niveau réseaulocale.
- Détecter la majorité des attaques
- Les attaques internes sont les plus fréquents (Virus, Cheval de Troie,…)
Exemple de déploiement de sonde IDS
 Système de Prévention d'Intrusions

• L'IDS traditionnel ne détecte que qu'une intrusion est peut

être en cours et envoie une alerte.

• Un IPS est système similaire aux IDS , permettant de prendre

des mesures préventifs afin de diminuer les impacts d'une
attaque.

• Ainsi, un IPS est une technique de contremesure préventive

et proactive, alors qu'un IDS est une technologie de
contremesure détective (alerte en cours ou après impact de
l'attaque).

• Il existe deux types d'IPS: IPS réseau (NIPS) et IPS hôte

(HIPS).
 Système de Prévention d'Intrusions

• Différences principales entre un IDS (réseau) et un

IPS (réseau):
 A l’inverse d’un IDS qui fonctionne en mode promiscuité (positionné
comme un sniffer sur le réseau) un IPS va fonctionner en coupure sur
le réseau.
 Les IPS peuvent bloquer immédiatement les intrusions et ce quel que
soit le type de protocole de transport utilisé et sans reconfiguration
d’un équipement tierce, ce qui induit que l’IPS est constitué en natif
d’une technique de filtrage de paquets et de moyens de bloquages

• L’IPS ne remplace pas l’IDS ou le Firewall

• IPS, IDS et firewall sont des systèmes
complémentaires dans une architecture de sécurité.
IDS/IPS
IDS/IPS
IDS/IPS
IDS/IPS