I Quest Ce Que La Securite Informatique

CHAPITRE 6 LA SECURITE INFORMATIQUE
I- Qu'est-ce que la sécurité informatique ?
La sécurité informatique, d'une manière générale, consiste à assurer que les ressources matérielles ou
logicielles d'une organisation sont uniquement utilisées dans le cadre prévu.
la sécurité informatique consiste généralement en quatre principaux objectifs :
* l'intégrité, c'est-à-dire garantir que les données sont bien celles qu'on croit être
* la confidentialité, consistant à assurer que seules les personnes autorisées aient accès aux ressources
* la disponibilité, permettant de maintenir le bon fonctionnement du système informatique
* la non répudiation, permettant de garantir qu'une transaction ne peut être niée
La sécurité informatique à d’autres objectifs, bien sûr liés aux types de menaces ainsi qu'aux types de
ressources, etc... Néanmoins, les points principaux points sont les suivants :
• empêcher la divulgation non-autorisée de données

• empêcher la modification non-autorisée de données
• empêcher l'utilisation non-autorisée de ressources réseau ou informatiques de façon générale
II- Les champs d'application de la sécurité informatique
Ces objectifs s'appliquent dans différents domaines ou champs d'applications, chacun faisant appel à
des techniques différentes pour atteindre le ou les mêmes objectifs; ces champs sont:
• la sécurité physique
• la sécurité personnelle
• la sécurité procédurale (audit de sécurité., procédures informatiques...)
• la sécurité des émissions physiques (écrans, câbles d'alimentation, courbes de consommation
de courant...)
• la sécurité des systèmes d'exploitation
• la sécurité des communications
III- Terminologie de la sécurité informatique
La sécurité informatique utilise un vocabulaire bien défini que nous utilisons dans nos articles. De
manière à bien comprendre ces articles, il est nécessaire de définir certains termes :
• Les vulnérabilités : ce sont les failles de sécurité dans un ou plusieurs systèmes. Tout système
vu dans sa globalité présente des vulnérabilités, qui peuvent être exploitables ou non.
• Les attaques (exploits): elles représentent les moyens d'exploiter une vulnérabilité. Il peut y
avoir plusieurs attaques pour une même vulnérabilité mais toutes les vulnérabilités ne sont pas
exploitables.
• Les contre-mesures : ce sont les procédures ou techniques permettant de résoudre une
vulnérabilité ou de contrer une attaque spécifique (auquel cas il peut exister d'autres attaques
sur la même vulnérabilité).
• Les menaces : ce sont des adversaires déterminés capables de monter une attaque exploitant
une vulnérabilité.
Cours Proposé par M Raoul KEMMOE 1

Enseignant en licence professionnelle dans les IPES et à L’IUT de Bandjoun.
IV- Types d'attaques
Les attaques peuvent à première vue être classées en 2 grandes catégories :
• les attaques passives : consistent à écouter sans modifier les données ou le fonctionnement du
réseau. Elles sont généralement indétectables mais une prévention est possible.
• les attaques actives : consistent à modifier des données ou des messages, à s'introduire dans
des équipements réseau ou à perturber le bon fonctionnement de ce réseau. Noter qu'une
attaque active peut être exécutée sans la capacité d'écoute. De plus, il n'y a généralement pas
de prévention possible pour ces attaques, bien qu'elles soient détectables (permettant ainsi une
réponse adéquate).
IV 1- Profils et capacités des attaquants
Les attaquants peuvent être classés non-seulement par leurs connaissances (haker, experts, etc...) mais
également suivant leurs capacités d'attaques dans une situation bien définie. Ainsi, on dénombrera les
capacités suivantes :
• transmission de messages sans capacité d'écoute (IP spoofing...)

• écoute et transmission de messages
• écoute et perturbation des communications (blocage de paquets, DoS et DDoS...)
• écoute, perturbation et transmissions de messages
• écoute et relai de messages (attaques type man-in-the-middle)
Une autre caractéristique des attaquants va être leur emprise uni-directionnelle ou bi-directionnelle sur
les communications, du fait de la nature asymétrique de celles-ci. En effet, la plupart des canaux de
transmissions sur Internet ou sur tout autre réseau hétérogène sont uni-directionnels et empruntent des
chemins différents suivant les règles de routage. Ainsi, de nombreux protocoles de sécurité sont
également unidirectionnels et il faut établir plusieurs canaux pour permettre un échange en "duplex".
Ces canaux qui sont au nombre de 2 minimum, sont la plupart du temps gérés de façon totalement
indépendante par les protocoles de sécurité. C'est le cas pour SSL/TLS mais également pour IPSec
dont les associations de sécurité (SA) sont unidirectionnelles et indépendantes, chacune définissant
son propre jeu de clés, algorithmes, etc...
IV-2 Services principaux de la sécurité informatique
Pour remédier aux failles et pour contrer les attaques, la sécurité informatique se base sur un certain
nombre de services qui permettent de mettre en place une réponse appropriée à chaque menace. A ce
niveau, aucune technique n'est encore envisagée; il ne s'agit que d'un niveau d'abstraction visant à
obtenir une granularité minimale pour déployer une politique de sécurité de façon optimale (les
aspects pratiques tels qu'analyses de risques, solutions technologiques et coûts viendront par la suite.
Voir le "Site Security Handbook", RFC 1244 pour plus de détails). Décrivons les principaux services
de sécurité :
• confidentialité
• authentification (entité, origine des données)
• intégrité
o machines (tamper-résistance, tamper-proofness, exécution sécurisée...)
o données (avec possibilité de récupération)
o flux :
mode non-connecté, au niveau paquet (échanges de type requête-réponse,
comme UDP)
mode orienté-connexion (ensemble de l'échange, comme TCP)

intégrité de séquences partielles (VoIP, applications, etc... permet d'éviter les
DoS par exemple)
• contrôle d'accès (= autorisation, à différentier de l'authentification)
• non-répudiation (avec preuve d'émission ou avec preuve de réception)
Notez que le chiffrement, les signatures digitales et autres techniques correspondent au niveau
d'abstraction inférieur, décrit comme l'ensemble des mécanismes de sécurité permettant de réaliser
les services décrits ci-dessus. Plusieurs mécanismes peuvent par exemple réaliser le service
d'authentification (schémas d'authentification, chiffrement, signatures digitales...). Néanmoins, ces
mécanismes de sécurité ne correspondent pas encore aux solutions finales qui seront réellement
implémentées. Il faudra pour cela effectuer un dernier raffinement, consistant à choisir les algorithmes
symétriques, les algorithmes asymétriques, la tailles des clés, etc...
Enfin, il existe d'autres notions qui ne peuvent être classées directement dans ces listes; la confiance
(trust) est un bon exemple. En effet, bien qu'elle soit très coûteuse, la confiance est obligatoire pour
garantir l'efficacité des mécanismes de sécurité mis en place. Citons l'exemple d'un protocole
d'encapsulation chiffrée (tunneling), développé en soft, permettant d'échanger des données tout en
préservant leur confidentialité. Or, si seules les données sont protégées, il est plus simple pour un
attaquant de s'introduire dans l'une des machines aux extrémités (PC ou autres), de modifier les
librairies correspondantes de façon à fausser le mécanisme de sécurité (nombres aléatoires forcés à une
valeur constante, valeurs de clés prédéfinies, algorithmes NULL) et enfin de pouvoir accéder à loisir
aux données transmises. D'où la nécessité de mettre en place un schéma de confiance visant à interdire
ce type d'attaque; il est nécessaire de pouvoir faire confiance aux équipements de sécurité car dans le
cas contraire, l'utilité même des mécanismes de sécurité est remise en question.
IV-3 TECHNIQUES D’ATTAQUES DES HAKERS
Les hackers utilisent plusieurs techniques d'attaques. Ces attaques peuvent être regroupées en trois
familles différentes :
• Les attaques directes.

• Les attaques indirectes par rebond.
• Les attaques indirectes par réponses.
Nous allons voir en détail ces trois familles.
1- Les attaques directes
C'est la plus simple des attaques. Le hacker attaque directement sa victime à partir de son
ordinateur. La plupart des "script kiddies" utilisent cette technique. En effet, les programmes de
hack qu'ils utilisent ne sont que faiblement paramétrables, et un grand nombre de ces logiciels
envoient directement les packets à la victime.

Si vous vous faites attaquer de la sorte, il y a de grandes chances pour que vous puissiez remonter à
l'origine de l'attaque, identifiant par la même occasion l'identité de l'attaquant.
2- Les attaques indirectes par rebond
Cette attaque est très prisée des hackers. En effet, le rebond a deux avantages :
• Masquer l'identité (l'adresse IP) du hacker.

• Eventuellement, utiliser les ressources de l'ordinateur intermédiaire car il est plus puissant
(CPU, bande passante...) pour attaquer.
Le principe en lui même, est simple : Les packets d'attaque sont envoyés à l'ordinateur intermédiaire,
qui répercute l'attaque vers la victime. D'où le terme de rebond.
L'attaque FTP Bounce fait partie de cette famille d'attaque.

Si vous êtes victime de ce genre d'attaque, il n'est pas facile de remonter à la source. Au plus simple,
vous remontrez à l'ordinateur intermédaire.
3- Les attaques indirectes par réponse
Cette attaque est un dérivé de l'attaque par rebond. Elle offre les mêmes avantages, du point de vue du
hacker. Mais au lieu d'envoyer une attaque à l'ordinateur intermédiaire pour qu'il la répercute,
l'attaquant va lui envoyer une requête. Et c'est cette réponse à la requête qui va être envoyée à
l'ordinateur victime.
Là aussi, il n'est pas aisé de remonter à la source...

4- AUTRES ATTAQUES
a) IP SPOOFING
L'IP Spoofing signifie usurpation d'adresse IP. Bien que cette attaque soit ancienne, certaines formes
d'IP Spoofing sont encore d'actualité. Effectivement, cette attaque peut être utilisée de deux manières
différentes :
• La première utilité de l'IP Spoofing va être de falsifier la source d'une attaque. Par exemple,
lors d'une attaque de type déni de service, l'adresse IP source des paquets envoyés sera
falsifiée pour éviter de localiser la provenance de l'attaque.
• L'autre utilisation de l'IP Spoofing va permettre de profiter d'une relation de confiance entre
deux machines pour prendre la main sur l'une des deux. Il s'agit de cette attaque dont il va être
question ici.
b) DNS SPOOFING
L'objectif de cette attaque est de rédiriger, à leur insu, des Internautes vers des sites pirates. Pour la
mener à bien, le pirate utilise des faiblesses du protocole DNS (Domain Name System) et/ou de son
implémentation au travers des serveurs de nom de domaine. A titre de rappel, le protocole DNS met en
oeuvre les mécanismes permettant de faire la correspondance entre une adresse IP et un nom de
machine (ex.: www.truc.com). Il existe deux principales attaques de type DNS Spoofing : le DNS
ID Spoofing et le DNS Cache Poisoning. Concrètement, le but du pirate est de faire correspondre
l'adresse IP d'une machine qu'il contrôle à un nom réel et valide d'une machine publique.
c) DNS ID Spoofing
Si une machine A veut communiquer avec une machine B, la machine A a obligatoirement besoin de
l'adresse IP de la machine B. Cependant, il se peut que A possède uniquement le nom de B. Dans ce
cas, A va utiliser le protocole DNS pour obtenir l'adresse IP de B à partir de son nom.
Une requête DNS est alors envoyée à un serveur DNS, déclaré au niveau de A, demandant la
résolution du nom de B en son adresse IP. Pour identifier cette requête une numéro d'identification (en
fait un champs de l'en-tête du protocole DNS) lui est assigné. Ainsi, le serveur DNS enverra la réponse
à cette requête avec le même numéro d'identification. L'attaque va donc consister à récupérer ce
numéro d'identification (en sniffant, quand l'attaque est effectuée sur le même réseau physique, ou en
utilisant une faille des systèmes d'exploitation ou des serveurs DNS qui rendent prédictibles ces
numéros) pour pouvoir envoyer une réponse falsifiée avant le serveur DNS. Ainsi, la machine A
utilisera, sans le savoir, l'adresse IP du pirate et non celle de la machine B initialement destinatrice. Le
schéma ci-dessous illustre simplement le principe du DNS ID Spoofing.
d) DNS Cache Poisoning
Les serveurs DNS possèdent un cache permettant de garder pendant un certain temps la
correspondance entre un nom de machine et son adresse IP. En effet, un serveur DNS n'a les
correspondances que pour les machines du domaine sur lequel il a autorité. Pour les autres machines, il
contacte le serveur DNS ayant autorité sur le domaine auquel appartiennent ces machines. Ces
réponses, pour éviter de sans cesse les redemander aux différents serveurs DNS, seront gardées dans
ce cache. Le DNS Cache Poisoning consiste à corrompre ce cache avec de fausses informations. Pour

cela le pirate doit avoir sous son contrôle un nom de domaine (par exemple fourbe.com) et le
serveur DNS ayant autorité sur celui-ci ns.fourbe.com. L'attaque se déroule en plusieurs étapes :
• Le pirate envoie une requête vers le serveur DNS cible demandant la résolution du nom d'une
machine du domaine fourbe.com (ex.: www.fourbe.com)
• Le serveur DNS cible relaie cette requête à ns.fourbe.com (puisque c'est lui qui a autorité
sur le domaine fourbe.com)
• Le serveur DNS du pirate (modifié pour l'occasion) enverra alors, en plus de la réponse, des
enregistrements additionnels (dans lesquels se trouvent les informations falsifiées à savoir un
nom de machine publique associé à une adresse IP du pirate)
• Les enregistrements additionnels sont alors mis dans le cache du serveur DNS cible
• Une machine faisant une requête sur le serveur DNS cible demandant la résolution d'un des
noms corrompus aura pour réponse une adresse IP autre que l'adresse IP réelle associée à cette
machine.
Comment s'en protéger ?
Mettre à jour les serveurs DNS (pour éviter la prédictibilité des numéros d'identification et les
failles permettant de prendre le contrôle du serveur)
• Configurer le serveur DNS pour qu'il ne résolve directement que les noms des machines du
domaine sur lequel il a autorité
• Limiter le cache et vérifier qu'il ne garde pas les enregistrements additionnels.
• Ne pas baser de systèmes d'authentifications par le nom de domaine : Cela n'est pas fiable du
tout.
d) LES BUFFER OVERFLOW
Un buffer overflow est une attaque très efficace et assez compliquée à réaliser. Elle vise à exploiter
une faille, une faiblesse dans une application (type browser, logiciel de mail, etc...) pour exécuter un
code arbitraire qui compromettra la cible (acquisition des droits administrateur, etc...).
Le fonctionnement général d'un buffer overflow est de faire crasher un programme en écrivant dans un
buffer plus de données qu'il ne peut en contenir (un buffer est un zone mémoire temporaire utilisée par
une application), dans le but d'écraser des parties du code de l'application et d'injecter des données
utiles pour exploiter le crash de l'application.
Cela permet donc en résumé d'exécuter du code arbitraire sur la machine où tourne l'application
vulnérable.
L'intérêt de ce type d'attaque est qu'il ne nécessite pas -le plus souvent- d'accès au système, ou dans le
cas contraire, un accès restreint suffit. Il s'agit donc d'une attaque redoutable. D'un autre côté, il reste
difficile à mettre en oeuvre car il requiert des connaissances avancées en programmation; de plus, bien
que les nouvelles failles soient largement publiées sur le web, les codes ne sont pas ou peu portables.
Une attaque par buffer overflow signifie en général que l'on a affaire à des attaquants doués plutôt qu'à
des "script kiddies".

5- Comment Prévenir une attaque
Vous détectez une activité anormale, une déconnexion, un ralentissement système... Après
vérification, vous en êtes sûr, vous êtes attaqué. Voici quelques règles qu'il faut appliquer rapidement.
Ces règles dépendent de vous : vous ne réagirez pas de la même façon si vous êtes un particulier qui
surfe sur le web, ou un administrateur réseau en entreprise.
5-1 Les règles communes
Dans tous les cas, appliquez ces règles :
• La première règle : être rapide ! Une attaque n'est souvent qu'une affaire de secondes, voire de
minutes. Le but du hacker est d'arriver à ses fins le plus rapidement possible.
• Ne pas contre-attaquer le hacker. Il réagirait de deux façons différentes si vous contre-attaquez
:
o Il se rend compte qu'il a été repéré, et il quitte rapidement le terrain, réduisant d'autant
vos chances de savoir qui il était et ce qu'il voulait.
o Il attaque de plus belle et, s'il est plus fort que vous, vous avez tout à y perdre : un
hacker énervé qui pénètre dans votre système risque de faire beaucoup de dégâts...
• Notez l'adresse IP de l'ordinateur victime de l'attaque.
• Notez l'heure de l'attaque.
• Notez le temps de l'attaque.
a) Vous êtes un particulier
Un hacker qui s'attaque à un particulier, ce n'est pas courant. Mais cela arrive : c'est certainement un
hacker débutant qui veut se faire la main, sans pour autant prendre le risque de s'attaquer à une société
commerciale... Il veut généralement vous déconnecter, faire planter votre ordinateur, ou le ralentir.
Néanmoins, ce sont certainement les plus dangereux, car ce sont ceux qui ont le moins d'éthique. Ce
sont ces débutants qui prennent plaisir à effacer le contenu de votre disque dur...
b) L'attitude à prendre dépend de vous :
• Vous n'y connaissez rien en sécurité informatique :

o Coupez immédiatement votre modem : à la reconnexion, votre adresse IP changera
(adresse IP dynamique), car c'est votre fournisseur d'accès qui vous l'attribue. Le
hacker aura du mal à vous retrouver.
o Ne lancez pas logiciel de messagerie instantanée, car on peut voir si vous êtes online.
Pire encore, on peut obtenir votre adresse IP, même si vous avez coché la case
"Masquer l'adresse IP".
o N'allez plus sur IRC, du moins pendant quelques heures.
• Vous connaissez quelques trucs en sécurité informatique :
o Essayez de comprendre l'attaque : si vous comprenez ce que le hacker fait, vous
pourrez peut-être trouver une solution pour ne plus être attaqué de cette façon à
l'avenir.
o Ayez toujours un doigt sur le bouton "Reset" de votre ordinateur, car vous prenez
d'énormes risques à laisser faire le hacker...
• Vous êtes un gourou de la sécurité informatique :
Vous pouvez appliquez les mêmes règles que celles établies pour les administrateurs réseau.

c) Vous êtes un administrateur réseau
Prévenez immédiatement votre supérieur hiérarchique.
• Essayez d'obtenir l'adresse IP du hacker.

• Faites un "tracert" pour connaître la localisation la plus précise possible du hacker.
• Essayez de savoir ce qu'il fait :
o Est-ce un simple flood ou une tentative d'intrusion de votre réseau ?
o Scannez vos ports.
o Utilise-t-il un troyen ? Essayez de trouver s'il n'y en a pas un, à l'aide d'un antivirus,
ou autre.
o Enregistrez les packets d'attaques avec un analyseur de protocole.
o Notez tout ce qu'il fait.
d) L'attaque est finie
Il y a quatre possibilités :
• Le hacker n'a pas réussi ce qu'il voulait et vous n'avez pas su ce qu'il faisait (vous avez coupé
rapidement votre modem par exemple) : l'incident est clos, mais restez sur vos gardes un
moment.
• Le hacker a réussi, mais vous n'avez rien récupéré sur lui et sa méthode : c'est la pire des
choses. Faites appel à un consultant, un expert, pour sécuriser au mieux votre réseau.
• Le hacker n'a pas réussi, et vous avez noté plein de renseignements sur lui et sa méthode :
faites attention, il pourrait revenir avec une autre méthode. Configurez votre firewall pour ne
plus accepter de packets de l'adresse IP de l'attaquant. Prenez un maximum de mesures en
prévention.
• Le hacker a réussi, et vous avez noté sa méthode : il est grand temps de trouver une solution
pour palier à ce trou de sécurité. Prenez un maximum de mesures en prévention.
Dans tous les cas
Si le hacker :
• A pénétré votre réseau, ou votre ordinateur,

• A dégradé matériellement votre ordinateur (il est possible, par logiciel, de dégrader du
matériel),
• A modifié des données,
• A effacé des données,
• A mis en place un cheval de Troie,
• A mis en place un virus ou un ver,
• Vous a porté un préjudice financier,
• Etc (liste non exhaustive).

ARCHITECTURES SECURISEES
V-LE PARE FEU
Introduction
Un Firewall ou Pare-feu (ou encore garde barrière) est un logiciel qui protège votre ordinateur ou votre
réseau du monde extérieur et de tout programmes malveillants placés à votre insu sur votre ordinateur,
il supervise tous les flux entrant et sortant de votre ordinateur et assure donc la sécurité des accès.
Cependant la plupart des Firewall ne protègent pas des virus, imaginons que vous téléchargiez une
pièce attachée à un e-mail qui provient d’un collègue infecté par un virus, le pare feu n’assurera pas le
rôle d’un antivirus correctement configuré et vous serez à votre tour infecté. Nous verrons dans ce
document pourquoi un firewall est nécessaire, quel type de firewall existe, comment celui-ci
fonctionne t-il et quel est la configuration nécessaire pour le faire tourner.
1. Définition d’un Firewall
1.1. Pourquoi un Firewall ?
Certains se disent que rien ne leur est jamais arrivé jusqu’ici alors pourquoi s’embêter avec un pare
feu, jusqu’au jour où un petit programme de quelque kilos octet s’exécute automatiquement tous les
jours et que chaque nouveau fichier enregistré est modifié jusqu’au plantage de votre ordinateur. Il y a
aussi les informations confidentielles volées comme un numéro de compte bancaire enregistrées sur
votre disque et qu’une personne mal intentionnée a réussi à vous dérober par absence de protection.
Les risques varient selon le type de connexions utilisées. Les connexions à plus hauts risques sont sans
doute le câble et l’ADSL. En effet, haut débit et connexions de longues durées voire permanentes sont
les facteurs idéaux pour les hackers, ils auront le temps de s’entraîner, d’essayer leurs programmes et
même de vous utiliser en tant que relais pour s’infiltrer dans d’autres particuliers ou entreprises. Le
problème est que c’est votre adresse IP qui parlera, lui sera donc couvert et vous pourrez être tenu
responsable pour les attaques en questions. De plus avec ce type connexion vous possédez une adresse
IP fixe, cela veut donc dire que l’on sait où vous trouver sur le réseau, vos amis mais aussi bien les
hackers…
« Mais moi je possède un routeur ! » : ne pensez pas être hors de porté des intrusions, certes le routeur
peut limiter certains ports d’accès et peut être même filtrer les données mais il ne vous protègera pas
aussi efficacement q’un firewall contre les derniers trojans sortis.
« Je passe beaucoup de temps sur mIRC » : dans ce cas toutes personnes sur le chat peuvent connaître
votre adresse IP et certaines de ces personnes peuvent très bien alors s’infiltrer chez vous grâce à votre
adresse IP et l’absence de firewall. Le firewall est donc indispensable.
1.2. Firewall logiciel – Firewall matériel
Le premier est le pare feu qui tourne sur votre ordinateur en tant que logiciel et le second est une boîte
que l’on nomme firewall matériel, ce dernier plus tourné vers les entreprises est en faite un ordinateur
réduit au strict nécessaire et sur lequel tourne un pare feu. Le firewall matériel tourne généralement sur
un O.S. (système d’exploitation) configuré en association avec le pare feu contrairement à un logiciel
qui est paramétré selon les désires de l’utilisateur et qui ne prend pas forcément en compte les failles
de l’ O.S., le firewall matériel est donc potentiellement plus efficace. Il comporte cependant des
désagréments comme par exemple lors de cas particuliers il offre beaucoup moins de souplesse au
niveau de l’ accès.

2. Fonctionnement d’un Firewall
2.1. Comment fonctionne t-il ?
Tout d’abord un pare feu après son installation contient quelques règles prédéfinies permettant :
l’autorisation des communications ayant été explicitement autorisées ou l’interdiction des échanges
ayant été explicitement interdits. C’est en quelque sorte le niveau de sécurité que vous voulez adopter
pour votre ordinateur.
2.2. Le filtrage des paquets
Chaque machine d’un réseau relié à Internet est localisée grâce à une adresse IP (Internet Protocole) et
lors d’échanges de données le pare feu analyse les entêtes des paquets échangées entre les deux
entités(les données sont envoyés au destinataire par paquets). Ainsi quand une machine extérieure se
connecte à une machine appartenant à un réseau local (et vice-versa), les paquets contenant les
données sont analysées par le pare feu et contiennent différents entêtes tel que : les adresses IP des
machines de l’émetteur et du destinataire, le type de paquet et le numéro de port utilisé. (Le port de
communication sert à l’échange des données vers l’extérieur.)
Les adresses IP contenues dans les paquets permettent l’identification des machines émettrice et cible,
tandis que le type de paquet et le numéro de port spécifient le type de communication. Certains ports
sont réservés à des services courants tel que le courrier électronique (port 25 et 110), Internet (port 80)
et ne sont généralement pas bloqués. Les ports non utilisés et non indispensables devraient être
bloqués selon le niveau de sécurité appliqué.
2.3. Le filtrage applicatif
Celui-ci filtre toutes les communications application par application, il faut donc connaître l’utilité des
applications et leur importance ainsi que la manière dont elles structurent les données échangées. Un
pare feu qui effectue ce type de filtrage est appelé passerelle applicative car il relaye les données entre
deux réseaux en filtrant le contenu des paquets échangés.

3. Configuration d’un Firewall
3.1. Les options d’un Firewall
Les firewalls peuvent avoir différents options plus ou moins importantes comme :
o Le blocage de publicités,
o La protection de la messagerie,
o Le mode invisible,
o L’antispam,
o Un bouton d’arrêt d’urgence,
o Les contrôles des scripts tel que Java, VbScripts ou ActiveX,
o La protection des données personnelles,
o Le blocage des chevaux de Troie
3.2. Configuration nécessaire
Elle varie selon les options du firewall ainsi que du système d’exploitation utilisé. Le firewall peut
utiliser de 10 MB à 128 MB de RAM et de 5 Mo à 60 Mo d’espace libre sur le disque dur. Au
minimum mieux vaut avoir un Pentium 150 Mhz et 128 Mo de RAM.
3.3. Quelques firewall
Parmi les firewall les plus appréciés et gratuits on retrouve Kerio Personnal Firewall, ZoneAlarm ou
encore Outpost. Interfaces simplifiées, efficaces et gratuites et Iptables sous linux.
3.4. Test de votre firewall
Vous voulez maintenant tester votre pare feu, il existe des test en ligne sur:
http://scan.sygatetech.com (assez rapide selon les tests)

http://hackyourself.com/startdemo.dyn (en anglais)
http://grc.com/x/ne.dll?bh0bkyd2 (test rapide des ports)
4- Qu'est-ce qu'un filtre IP ?
Il est important de bien comprendre ce qu'est un filtre IP. Iptables est un filtre IP, et si vous ne
comprenez pas Complètement cela, vous irez au devant de sérieux problèmes dans la conception de
vos pare-feux. Un filtre IP opère principalement au niveau de la couche 2 de la pile de référence
TCP/IP. Iptables cependant peut également travailler au niveau de la couche 3. Mais par définition un
filtre IP travaille sur la seconde couche. Si l'implémentation du filtre IP suit strictement la définition, il
devrait être capable, en d'autres termes, de filtrer les Paquets basés sur leurs en-têtes IP (adresses
source et destination, TOS/DSCP/ECN, TTL, protocole, etc.).
Toutes choses actuellement dans l'en-tête IP. Cependant, l'implémentation d'Iptables n'est pas
strictement en accord avec la définition, il est aussi capable de filtrer les paquets basés sur d'autres en-
têtes se trouvant dans le paquet (TCP, UDP, etc.), et l'adresse MAC.
Il y a une chose cependant sur laquelle Iptables est plutôt strict aujourd'hui. Il ne "suit" pas les flux ou
les morceaux de données ensemble. Ce serait une grosse perte de temps. Il garde la trace des paquets
et regarde s'ils font partie du même flux de données (via numéros d'interclassement, numéros de port,

etc.) à peu près comme la vraie pile TCP/IP. Ceci est appelé traçage de connexion, et grâce à ça nous
pouvons effectuer de la translation (masquage/traduction) d'adresse source et destination
(généralement appelé SNAT et DNAT), aussi bien que de la vérification d'état de paquets.
4-1 Termes et expressions du filtrage IP
Pour pleinement comprendre la notion de filtrage, il est impératif de connaitre les termes et
expressions généraux suivants:
• Effacement/refus (Drop/Deny) - Quand un paquet est effacé ou refusé, il est tout simplement
supprimé.
• Rejet (Reject) - De façon basique, c'est la même chose que effacer/refuser, sauf qu'une notification
est envoyée à l'hôte expéditeur du paquet rejeté.
• État (State) - Un état spécifique d'un paquet par rapport à l'ensemble d'un flux de paquets.
• Chaîne - Une chaîne contient un ensemble de règles qui sont appliquées aux paquets qui traversent la
chaîne.
• Table - Chaque table possède une fonctionnalité spécifique, et Iptables possède trois tables. Les
tables nat, mangle et filter.
• Match - Ce terme peut avoir deux sens différents quand il est employé avec iptables. Le premier sens
est une simple correspondance qui indique à la règle ce que l'en-tête doit contenir. Par exemple, la
correspondance --source nous indique que l'adresse source doit être une plage réseau spécifique ou une
adresse hôte. Le second indique si la règle entière est une correspondance. Si le paquet s'accorde à
toute la règle, les instructions saut et cible seront exécutées (ex. le paquet sera supprimé).
• Cible (Target) - C'est généralement une cible placée pour chaque règle dans une table de règles.
• Règle (Rule) - Une règle est un ensemble de correspondances avec cible unique dans la plupart des
implémentations de filtres IP, incluant Iptables. Il existe certaines implémentations qui nous
permettent d'utiliser plusieurs cibles/ actions par règle.
• Table de règles (Ruleset) - Une table de règles est un ensemble complet de règles placé dans une
implémentation de filtre IP. Dans le cas d'Iptables, ceci inclut toutes les règles placées dans le filtre,
nat et mangle, et toutes les chaînes qui suivent. La plupart du temps, elles sont écrites dans un fichier
de configuration.
• Saut (Jump) - L'instruction jump est très proche d'une cible. Une instruction jump est écrite
exactement de la même façon qu'une cible dans Iptables, sauf qu’au lieu d'écrire un nom de cible, vous
écrivez un nom de chaîne. Si la règle correspond, le paquet sera désormais envoyé à la seconde chaîne
et exécuté comme d'habitude dans cette chaîne. Traçage de connexion - Un pare-feu qui implémente le
traçage de connexion est capable de suivre les connexions/flux.
• Acceptation (Accept) - Pour accepter un paquet et le laisser passer à travers les règles du pare-feu.
C'est l'opposées cibles effacement et refus, de même pour la cible rejet.
• Gestion des règles (Policy) - Il existe deux sortes de gestion des règles dans l'implémentation d'un
pare-feu. En premier nous avons la gestion des chaînes, qui indiquent le comportement par défaut du
pare-feu. C'est l'usage principal du terme que nous utiliserons dans ce didacticiel. Le second type de
gestion des règles est la gestion de sécurité établie par une stratégie d'ensemble d'une entreprise par
exemple, ou pour un segment de réseau spécifique. Les stratégies de sécurité sont des documents a
étudier de près avant de commencer l'implémentation d'un pare-feu.

4-2 Les commandes
Commandes principales
#service iptables start (demarrage des services iptables)

# service iptables stop (arret des services)
# service iptables status (etat des services)
# service iptables restart (redemarrage des services)
-A (append) Ajoute la règle à la fin de la chaîne spécifiée

# iptables -A INPUT ...
-D (delete) Permet de supprimer une chaîne. On peut la matcher de 2 manières, soit en
spécifiant le numéros de la chaîne a supprimer, soit en spécifiant la règle à retirer.
# iptables -D INPUT --dport 80 -j DROP
# iptables -D INPUT 1
-R (replace) Permet contrairement à --delete de remplacer la chaîne spécifiée.

# iptables -R INPUT 1 -s 192.168.0.1 -j DROP
-I (insert) Permet d'ajouter une chaîne dans un endroit spécifié de la chaîne.
# iptables -I INPUT 1 --dport 80 -j ACCEPT
-L (list) Permet d'afficher les règles.
# iptables -L # Affiche toutes les règles des chaînes de FILTER
# iptables -L INPUT # Affiche toutes les règles de INPUT (FILTER)
-F (flush) Permet de vider toutes les règles d'une chaîne.
# iptables -F INPUT
-N (new-chain) Permet de créer une nouvelle chaîne.
# iptables -N LOG_DROP
-X (delete-chain) Permet d'effacer une chaîne.
# iptables -X LOG_DROP
-P (policy) Permet de spécifier au kernel la target par défaut d'une chaîne DENY,
ACCEPT, REJECT, DROP ...
# iptables -P INPUT DROP
Commandes pour matcher
Le "!" peut être utilisé pour certaines commandes afin de spécifier le contraire (on peut le
traduire par "sauf"). Par exemple une commande qui doit refuser tout trafic TCP sauf ce qui
provient de l'adresse IP 10.42.42.42 sera traduite par la commande suivante :
# iptables -A INPUT -p tcp --source ! 10.42.42.42 -j DENY
Les adresses IP peuvent être spécifiées avec le masque sous la forme [adresse
ip]/[masque].
-p (protocol) Spécifier un protocole : tcp, udp, icmp, all (tous)

# iptables -A INPUT -p icmp -j DENY
-s (source) Spécifier une adresse source à matcher

# iptables -A INPUT -p tcp -s 192.168.42.42 -j ACCEPT
-d (destination) Spécifier une adresse destination

# iptables -A FORWARD -p tcp -d 10.1.0.1 -j ACCEPT
-i (in-interface) Spécifier une interface d'entrée

# iptables -A INPUT -p icmp -i eth0 -j DENY
-o (out-interface) Spécifier une interface de sortie

# iptables -A OUTPUT -p icmp -o eth0 -j DENY
-f (fragment) Paquet fragmenté

# iptables -A INPUT -p icmp -f -j DENY
--sport(source-port)
Spécifier le port source ou une plage de ports, fonctionne aussi en udp, -m multiport permet
de spécifier plusieurs ports à matcher.
# iptables -A INPUT -p tcp --sport 80 -j ACCEPT
# iptables -A INPUT -p udp --sport 80 -j DROP
# iptables -A OUTPUT -p tcp -m multiport --sport 3128,21,1000 -j DROP
# iptables -A OUTPUT -p tcp --sport 1024:2042 -j ACCEPT
--dport (destination-port)
Spécifier le port destination ou une plage de ports, fonctionne aussi en
udp, -m multiport permet de spécifier plusieurs ports a matcher.
# iptables -A INPUT -p tcp --dport 110 -j DENY
# iptables -A INPUT -p udp --dport 110 -j DENY
# iptables -A INPUT -p tcp -m multiport --dport 110,4242,119 -j DROP
# iptables -A INPUT -p tcp --sport 4925:4633 -j ACCEPT
--tcp-flags Spécifier un flag tcp à matcher : SYN ACK FIN RST URG PSH ALL NONE
# iptables -A INPUT -p tcp --dport 42 --tcp-flags SYN,ACK -j ACCEPT
--icmp-type Spécifier un type de paquet icmp à matcher
# iptables -A INPUT -p icmp --icmp-type 8 -j DROP
--mac-source Spécifier l'adresse MAC à matcher
# iptables -A INPUT --mac-source 42.42.AA.42.42.AA -j DROP
--state Permet de spécifier l'état du paquet à matcher parmi les états suivants :
ESTABLISHED : paquet associé à une connexion déjà établie
NEW : paquet demandant une nouvelle connexion INVALID :
paquet associé à une connexion inconnue
RELATED : Nouvelle connexion mais liée, idéal pour les connexions
FTP
# iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state
NEW,ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state
ESTABLISHED -j ACCEPT
Spécificités NAT :
--to-destination Utilisé en target pour le DNAT, permet de spécifier l'adresse de destination

de la translation, on peut également spécifier un port s'il est différent du port
source.
# iptables -t nat -A PREROUTING -d 42.12.42.12 -p tcp --dport 110 -j DNAT
--to-destination 192.168.1.2:6110
# iptables -t nat -A PREROUTING -d ! 42.12.42.12 -p tcp --dport 80 -j DNAT
--to-destination 192.168.2.1:3128
--to-source Utilisé pour en target pour le SNAT, permet de spécifier l'adresse source de
la translation.

Quelques exemples :
Fire wall LAN

Internet Linux 192.168.1.0/24
ppp0
On suppose un firewall relié à l’Internet par line série ppp0, et connecté au LAN par eth0.
Pour fixer les politiques par défaut (càd: ce qui se passe quand aucune règle ne correspond
-
ne matche pas), ici, on refuse tout (normal, on fait un firewall, oui ou non ?) :
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Pour loguer tout ce qu'on jette :
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : '
iptables -A LOG_DROP -j DROP
Et ensuite, plutôt que de mettre -j DROP, il faut mettre -j LOG_DROP et les trois dernières
règles doivent être :
iptables -A FORWARD -j LOG_DROP
iptables -A INPUT -j LOG_DROP
iptables -A OUTPUT -j LOG_DROP
Pour accepter tout ce qui se passe sur l'interface lo (sinon ce n'est pas la peine d'activer le
réseau !) :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
Pour accepter tout ce qui se passe sur le réseau local 192.168.1.0 :
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
Pour accepter les résolutions de nom (ie: le dns) :
iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j
ACCEPT
iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53
-j ACCEPT
iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j
ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53
-j ACCEPT
Pour accepter le traffic web (on veut surfer!) :
iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m

state --state ESTABLISHED -j LOG_ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80
-m state --state NEW,ESTABLISHED -j LOG_ACCEPT
La première ligne pour accepter ce qui entre sur notre interface ppp0 sur le port 80 (le port
http) si c'est une connexion déjà établie, la seconde pour accepter ce qui sort sur ppp0 sur le
port 80 si c'est une nouvelle connexion ou si c'est une connexion déjà établie.
Pour autoriser le ssh, il faut préciser le port 22; pour autoriser l'irc, le port 6667 (ou celui que
vous utilisez pour vous connecter à votre srvr); pour le smtp (envoi d'emails), le port 25;

pour le pop3 (réception d'emails), le port 110; pour le imap (réception d'emails), les ports 143
et 220 (imap3) ; pour le cvs, le port 2401 ; pour le https, le port 443.
De manière générale, le numéros de port se trouvent dans /etc/services.
Pour le ftp c'est un peu plus complexe. D'abord, il faut charger le module : ip_conntrack_ftp
(c'est lui qui suit - track en anglais - les connections ftp) et, si vous natez (en utilisant le
masquerading par exemple) vos connections ftp vers d'autres postes le module : ip_nat_ftp :
modprobe ip_conntrack_ftp
# éventuellement : modprobe ip_nat_ftp

Ensuite, il faut taper les commandes suivantes :
iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state
iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state
NEW,ESTABLISHED -j ACCEPT
Cela pour que la connexion puisse s'établir. Ensuite (et c'est la qu'on a besoin de
ip_conntrack_ftp) :
iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state
ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state

Pour que serveur puisse établir la connexion pour les données (en mode actif). Et enfin :
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport

1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport
1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
Pour que le serveur puisse établir la connexion pour les données (en mode passif). Ici aussi
ip_conntrack_ftp est nécessaire. Pour partager une connexion, il faut que le forwarding soit
activé dans le noyau
(echo 1 > /proc/sys/net/ipv4/ip_forward),
puis il faut autoriser iptable à faire le forwarding :
iptables -F FORWARD
iptables -A FORWARD -j ACCEPT
et enfin, cacher les machines forward-ées par le firewall :
iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
Sur chaque machine devant être cachée par le firewall (ou devant partager la connexion
avec
la machine qui est connectée à Internet), il faut ajouter une route par défaut :
route add default gw 192.168.1.1
Si la machine connectée à Internet a comme ip : 192.168.1.1. Il suffit avec une

redhat/mandrake d'éditer /etc/sysconfig/network
et d'ajouter dedans : GATEWAY=192.168.1.1
puis de redémarrer le réseau
/etc/rc.d/init.d/network restart

VI – DMZ
1- Notion de cloisonnement
Les sytèmes pare-feu (firewall) permettent de définir des règles d'accès entre deux réseaux.
Néanmoins, dans la pratique, les entreprises ont généralement plusieurs sous-réseaux avec des
politiques de sécurité différentes. C'est la raison pour laquelle il est nécessaire de mettre en place des
architectures de systèmes pare-feux permettant d'isoler les différents réseaux de l'entreprise : on parle
ainsi de « cloisonnement des réseaux » (le terme isolation est parfois également utilisé).
2- Architecture DMZ
Lorsque certaines machines du réseau interne ont besoin d'être accessibles de l'extérieur (serveur web,
un serveur de messagerie, un serveur FTP public, etc.), il est souvent nécessaire de créer une nouvelle
interface vers un réseau à part, accessible aussi bien du réseau interne que de l'extérieur, sans pour
autant risquer de compromettre la sécurité de l'entreprise. On parle ainsi de « zone démilitarisé »
(notée DMZ pour DeMilitarized Zone) pour désigner cette zone isolée hébergeant des applications
mises à disposition du public. La DMZ fait ainsi office de « zone tampon » entre le réseau à protéger
et le réseau hostile.
Les serveurs situés dans la DMZ sont appelés « bastions » en raison de leur position d'avant poste
dans le réseau de l'entreprise.
La politique de sécurité mise en oeuvre sur la DMZ est généralement la suivante :
• Traffic du réseau externe vers la DMZ autorisé ;

• Traffic du réseau externe vers le réseau interne interdit ;
• Traffic du réseau interne vers la DMZ autorisé ;
• Traffic du réseau interne vers le réseau externe autorisé ;
• Traffic de la DMZ vers le réseau interne interdit ;
• Traffic de la DMZ vers le réseau externe refusé.
La DMZ possède donc un niveau de sécurité intermédiaire, mais son niveau de sécurisation n'est pas
suffisant pour y stocker des données critiques pour l'entreprise.
Il est à noter qu'il est possible de mettre en place des DMZ en interne afin de cloisonner le réseau
interne selon différents niveaux de protection et ainsi éviter les intrusions venant de l'intérieur.

VII- Les VPN
1- Qu’est-ce qu’un VPN ?
Les réseaux privés virtuels (VPN : Virtual Private Network) permettent à l’utilisateur de créer un
chemin virtuel sécurisé entre une source et une destination. Avec le développement d’Internet, il est
intéressant de permettre ce processus de transfert de données sécurisé et fiable. Grâce à un principe de
tunnel (tunnelling) dont chaque extrémité est identifiée, les données transitent après avoir été chiffrées.
Un des grands intérêts des VPN est de réaliser des réseaux privés à moindre coût. En chiffrant les
données, tout se passe exactement comme si la connexion se faisait en dehors d’Internet. Il faut par
contre tenir compte de la toile, dans le sens où aucune qualité de service n’est garantie.
2- Comment marche un VPN ?
Le principe du VPN est basé sur la technique du tunnelling. Cela consiste à construire un chemin
virtuel après avoir identifié l’émetteur et le destinataire. Ensuite la source chiffre les données et les
achemine en empruntant ce chemin virtuel.
Les données à transmettre peuvent appartenir à un protocole différent d’IP. Dans ce cas le protocole de
tunnelling encapsule les données en rajoutant une entête. Permettant le routage des trames dans le
tunnel. Le tunneling est l’ensemble des processus d’encapsulation, de transmission et de
désencapsulation.
3- A quoi sert un VPN ?
Auparavant pour interconnecter deux LANs distants, il n’y avait que deux solutions, soit les deux sites
distants étaient reliés par une ligne spécialisée permettant de réaliser un WAN entre les deux sites
soient les deux réseaux communiquaient par le RTC.
Une des premières applications des VPN est de permettre à un hôte distant d’accéder à l’intranet de
son entreprise ou à celui d’un client grâce à Internet tout en garantissant la sécurité des échanges. Il
utilise la connexion avec son fournisseur d’accès pour se connecter à Internet et grâce aux VPN, il crée
un réseau privé virtuel entre l’appelant et le serveur de VPN de l’entreprise.
Cette solution est particulièrement intéressante pour des commerciaux sillonnant la France : ils
peuvent se connecter de façon sécurisée et d’où ils veulent aux ressources de l’entreprise. Cela dit, les
VPN peuvent également être utilisé à l’intérieur même de l’entreprise, sur l’intranet, pour l’échange de
données confidentielles.

4- Services des VPN
Ces VPN n’ont pas comme seul intérêt l’extension des WAN à moindre coût mais aussi l’utilisation de
services ou fonctions spécifiques assurant la QoS et la sécurité des échanges. Les fonctionnalités de
sécurité sont matures mais par contre la réservation de bandes passantes pour les tunnels est encore un
service en développement limité par le concept même d’Internet.
La qualité de service (QoS) est une fonctionnalité importante des VPN n’est pas encore une
technologie assez mature et les solutions proposées sur le marché à l’heure actuelle ne permettent que
des garanties sur des réseaux locaux propriétaires, c’est pourquoi peu d’ISP proposent à leurs clients
des solutions VPN.
La sécurité des échanges est assurée à plusieurs niveaux et par différentes fonctions comme le
cryptage des données, l’authentification des deux extrémités communicantes et le contrôle d’accès des
utilisateurs aux
ressources.
5- Principaux protocoles de VPN
Il existe sur le marché trois principaux protocoles :
- PPTP (Point to Point Tunnelling Protocol) de Microsoft

- L2F (Layer Two Forwarding) de Cisco
- L2TP (Layer Two Tunnelling Protocol) de l’IETF
6- - Fonctionnalités des Vpn
Il existe 3 types standard d'utilisation des Vpn. En étudiant ces schémas d'utilisation,
il est possible d'isoler les fonctionnalités indispensables des Vpn.
1 - Le Vpn d'accès
Le Vpn d'accès est utilisé pour permettre à des utilisateurs itinérants d'accéder au réseau privé.
L'utilisateur se sert d'une connexion Internet pour établir la connexion Vpn. Il existe deux cas:
L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée vers le serveur
distant : il communique avec le Nas (Network Access Server) du fournisseur d'accès et c'est le Nas qui
établit la connexion cryptée.

L'utilisateur possède son propre logiciel client pour le Vpn auquel cas il établit directement la
communication de manière cryptée vers le réseau de l'entreprise.
Les deux méthodes possèdent chacune leurs avantages et leurs inconvénients :
La première permet à l'utilisateur de communiquer sur plusieurs réseaux en créant plusieurs tunnels,
mais nécessite un fournisseur d'accès proposant un Nas compatible avec la solution Vpn choisie par
l'entreprise. De plus, la demande de connexion par le Nas n'est pas cryptée Ce qui peut poser des
problèmes de sécurité.
Sur la deuxième méthode Ce problème disparaît puisque l'intégralité des informations sera cryptée dès
l'établissement de la connexion. Par contre, cette solution nécessite que chaque client transporte avec
lui le logiciel, lui permettant d'établir une communication cryptée. Nous verrons que pour pallier Ce
problème certaines entreprises mettent en place des Vpn à base de Ssl, technologie implémentée dans
la majorité des navigateurs Internet du marché.
Quelle que soit la méthode de connexion choisie, Ce type d'utilisation montre bien l'importance dans
le Vpn d'avoir une authentification forte des utilisateurs. Cette authentification peut se faire par une
vérification "login / mot de passe", par un algorithme dit "Tokens sécurisés" (utilisation de mots de
passe aléatoires) ou par certificats numériques.
2 - L'intranet Vpn
L'intranet Vpn est utilisé pour relier au moins deux intranets entre eux. Ce type de réseau est
particulièrement utile au sein d'une entreprise possédant plusieurs sites distants. Le plus important
dans Ce type de réseau est de garantir la sécurité et l'intégrité des données. Certaines données très
sensibles peuvent être amenées à transiter sur le Vpn (base de données clients, informations
financières...). Des techniques de cryptographie sont mises en oeuvre pour vérifier que les données
n'ont pas été altérées. Il s'agit d'une authentification au niveau paquet pour assurer la validité des
données, de l'identification de leur source ainsi que leur non-répudiation. La plupart des algorithmes
utilisés font appel à des signatures numériques qui sont ajoutées aux paquets. La confidentialité des
données est, elle aussi, basée sur des algorithmes de cryptographie. La technologie en la matière est
suffisamment avancée pour permettre une sécurité quasi parfaite. Le coût matériel des équipements de
cryptage et décryptage ainsi que les limites légales interdisent l'utilisation d'un codage " infaillible ".
Généralement pour la confidentialité, le codage en lui-même pourra être moyen à faible, mais sera
combiné avec d'autres techniques comme l'encapsulation Ip dans Ip pour assurer une sécurité
raisonnable.

3 - L'extranet Vpn
Une entreprise peut utiliser le Vpn pour communiquer avec ses clients et ses partenaires. Elle ouvre
alors son réseau local à ces derniers. Dans Ce cadre, il est fondamental que l'administrateur du Vpn
puisse tracer les clients sur le réseau et gérer les droits de chacun sur celui-ci.
4 - Bilan des caractéristiques fondamentales d'un Vpn
Un système de Vpn doit pouvoir mettre en oeuvre les fonctionnalités suivantes :
Authentification d'utilisateur. Seuls les utilisateurs autorisés doivent pouvoir s'identifier sur le réseau
virtuel. De plus, un historique des connexions et des actions effectuées sur le réseau doit être conservé.
Gestion d'adresses. Chaque client sur le réseau doit avoir une adresse privée. Cette adresse privée doit
rester confidentielle. Un nouveau client doit pourvoir se connecter facilement au réseau et recevoir une
adresse.
Cryptage des données. Lors de leurs transports sur le réseau public les données doivent être protégées
par un cryptage efficace.
Gestion de clés. Les clés de cryptage pour le client et le serveur doivent pouvoir être générées et
régénérées.
Prise en charge multiprotocole. La solution Vpn doit supporter les protocoles les plus utilisés sur les
réseaux publics en particulier Ip.
Le Vpn est un principe : il ne décrit pas l'implémentation effective de ces caractéristiques. C'est
pourquoi il existe plusieurs produits différents sur le marché dont certains sont devenus standard, et
même considérés comme des normes.


I Quest Ce Que La Securite Informatique

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

I Quest Ce Que La Securite Informatique

Transféré par

Droits d'auteur :

Formats disponibles

CHAPITRE 6 LA SECURITE INFORMATIQUE

I- Qu'est-ce que la sécurité informatique ?

la sécurité informatique consiste généralement en quatre principaux objectifs :

• empêcher la divulgation non-autorisée de données

II- Les champs d'application de la sécurité informatique

III- Terminologie de la sécurité informatique

Cours Proposé par M Raoul KEMMOE 1

Les attaques peuvent à première vue être classées en 2 grandes catégories :

IV 1- Profils et capacités des attaquants

• transmission de messages sans capacité d'écoute (IP spoofing...)

IV-2 Services principaux de la sécurité informatique

Cours Proposé par M Raoul KEMMOE 2

IV-3 TECHNIQUES D’ATTAQUES DES HAKERS

• Les attaques directes.

Nous allons voir en détail ces trois familles.

1- Les attaques directes

Cours Proposé par M Raoul KEMMOE 3

2- Les attaques indirectes par rebond

• Masquer l'identité (l'adresse IP) du hacker.

L'attaque FTP Bounce fait partie de cette famille d'attaque.

3- Les attaques indirectes par réponse

Là aussi, il n'est pas aisé de remonter à la source...

Cours Proposé par M Raoul KEMMOE 4

d) DNS Cache Poisoning

Cours Proposé par M Raoul KEMMOE 5

Comment s'en protéger ?

d) LES BUFFER OVERFLOW

Cours Proposé par M Raoul KEMMOE 6

5-1 Les règles communes

Dans tous les cas, appliquez ces règles :

a) Vous êtes un particulier

b) L'attitude à prendre dépend de vous :

• Vous n'y connaissez rien en sécurité informatique :

Cours Proposé par M Raoul KEMMOE 7

Prévenez immédiatement votre supérieur hiérarchique.

• Essayez d'obtenir l'adresse IP du hacker.

d) L'attaque est finie

Dans tous les cas

• A pénétré votre réseau, ou votre ordinateur,

Cours Proposé par M Raoul KEMMOE 8

V-LE PARE FEU

1. Définition d’un Firewall

1.1. Pourquoi un Firewall ?

1.2. Firewall logiciel – Firewall matériel

Cours Proposé par M Raoul KEMMOE 9

2.1. Comment fonctionne t-il ?

2.2. Le filtrage des paquets

2.3. Le filtrage applicatif

Cours Proposé par M Raoul KEMMOE 10

3.1. Les options d’un Firewall

3.2. Configuration nécessaire

3.3. Quelques firewall

3.4. Test de votre firewall

http://scan.sygatetech.com (assez rapide selon les tests)

4- Qu'est-ce qu'un filtre IP ?

Cours Proposé par M Raoul KEMMOE 11

4-1 Termes et expressions du filtrage IP

Cours Proposé par M Raoul KEMMOE 12

#service iptables start (demarrage des services iptables)

-A (append) Ajoute la règle à la fin de la chaîne spécifiée

-R (replace) Permet contrairement à --delete de remplacer la chaîne spécifiée.

Commandes pour matcher

# iptables -A INPUT -p tcp --source ! 10.42.42.42 -j DENY

-p (protocol) Spécifier un protocole : tcp, udp, icmp, all (tous)