Vous êtes sur la page 1sur 11

Contenu de la matière

Partie I: Concepts généraux sur la sécurité informatique


− Aspects généraux de la sécurité
Cours : Sécurité Informatique − Rappel sur les réseaux TCP/IP
− Vulnérabilités des systèmes informatiques et méthodes d’attaque
Partie II: Mesures et techniques de défense
Dr. Khaled HAMOUID − Les systèmes de filtrage de paquets (pare-feux)
− Les systèmes de détection/prévention d’intrusion (IDS/IPS)
Département d’informatique
− La détection d’intrusion, NIDS/HIDS, Snort
Université de Batna 2 − L’infrastructure à clé public (PKI) et les certificats
Contact : k.hamouid@univ-batna2.dz − Les protocoles de sécurité dans les réseaux TCP/IP
o IPsec, TLS/SSL
− Le contrôle d’accès

Références
William Stallings, Cryptography and Network Security:
Chapitre I
Principles and Practice, 6th edition

Cédric Llorens, Laurent Levier, Denis Valois, Benjamin Aspects généraux sur la sécurité
Morin, Tableaux de bord de la sécurité réseau, 3ème édition
informatique
Charles P. Pfleeger et al., Security in Computing, 5th edition

Joseph Migga Kizza, Guide to Computer Network Security

3 4
Introduction Analyse de la cible
Sécurité informatique ? Écoute réseau (Sniffing): capturer les trames échangées
Outils : Wireshark, tcpdum, etc.

Vulnérabilité des systèmes Techniques de protection Scan de ports : détecter les services (applications) en écoute
& cyberattaques Outils : nmap: nessus, etc.

Recherche de vulnérabilités: détecter les failles présentes


Outils: nessus, metasploit, etc.

5 6

cyber-attaque ? cyber-attaque ?
Une attaque informatique (cyberattaque) est une activité malveillante Une attaque informatique (cyberattaque) est une activité malveillante
qui consiste à exploiter une vulnérabilité d’un système informatique à qui consiste à exploiter une vulnérabilité d’un système informatique à
des fins généralement préjudiciables. (W. Stallings) des fins généralement préjudiciables. (W. Stallings)

Attaques passives Attaques actives

• Écoute et interception sans altération • Provoquer une altération


• Motivation: récupération d’informations • Modification
utiles, confidentielles, etc. • Usurpation
• Deux types • Rejeu de messages
• Analyse de trafic • Déni de service
• Accès aux données confidentielles
• Difficile à détecter
7 8
Protection contre les cyberattaques
Scenarios typiques de menaces
Sécurité défensive:
Mesurer les risques et déterminer les failles
application d’une politique de sécurité: mise en
œuvre des techniques de défenses

Techniques
Filtrage de paquets (parfeux)
Contrôle d’accès, IDS
Détection de code malicieux (Virus, ver, trojan,…)
Cryptographie: chiffrement, signatures
numériques, …etc

9 10

Conditions de base de la sécurité Analyse de réseau


1) Confidentialité Le Sniffing (Ecoute du réseau)
Interception de trafic transitant dans un LAN
2) Authentification Servant à
Récupération de données confidentielles non chiffrées
(MdP, etc.)
3) Intégrité Identification des machines qui communiquent
Etc.
4) Non-repudiation

5) Disponibilité

6) Contrôle d’accès
11 12
Analyse de réseau Analyse de réseau
Outil de Sniffing: Wireshark Écoute réseau switché
Usurpation d’adresse MAC du destinataire (ARP
spoofing)
Activation du IP forwarding sur le Sniffer

13 14

Analyse de réseau Analyse de réseau


Balayage d’hôtes (découverte d’hôtes) Balayage de ports (port scanning)
Détection des services en écoute (ports
Détection des @ IP des hôtes actifs ouverts)
Outils : Ping sweeps, Nmap, Nessus, … Services : http, ftp, ssh, etc.
Principe : Outils : Nmap, Nessus, …
Principe :
Exploiter ICMP et sa fonction echo-request Exploiter le mode de connexion TCP (3 way
Méthode: handshake)
Diffuser un paquet icmp: Echo-request
Méthode:
Envoyer un paquet de test (probes): SYN
Si Echo-reply reçu alors hôte accessible. Si SYN/ACK reçu alors port ouvert
Si RST reçu, alors port fermé

15 16
Analyse de réseau Analyse de réseau
Balayage de ports : Le scanneur nmap Balayage de ports : Le scanneur nmap

Permet de détecter localement ou à distance : Etats des ports :


L’état des ports (ouvert | fermé | filtré)
Ouvert
Port accessible, il accepte des connexions
Les adresses ip des machines actives
Fermé
Le système d’exploitation et les services actifs (Fingerprinting)
Port accessible , il n’accepte pas des connexions
Méthode Filtré
Envoi de paquets de tests (Probes) sur les ports à scanner et Nmap ne peut pas déterminer si le port est ouvert ou fermé,
analyse des réponses pour en conclure l’état du port. généralement protégé par Pare-feux.
Non-filtré
le port est accessible, nmap ne peut pas déterminer si le port est
ouvert ou fermé.

17 18

Analyse de réseau Analyse de réseau


Balayage de ports : Le scanneur de ports nmap Balayage de ports : Le scanneur de ports nmap
Exemple
Options de scan:
Découverte des hôtes
-sL: Liste simplement les cibles à scanner
-sP: Ping scan
Détection de service/version
-sV: Teste les ports ouverts pour déterminer le service en
écoute et sa version
Détection de système d'exploitation
-O: Active la détection d'OS

19 20
Attaques informatique Attaques informatique
Méthodes Méthodes
Attaques exploitant les protocoles de réseaux Attaques exploitant les protocoles de réseaux
IP spoofing, ARP spoofing, TCP syn flooding, session hijacking, … IP spoofing, ARP spoofing, TCP syn flooding, session hijacking, …
Attaques exploitant les programmes Attaques exploitant les programmes
Xss, SQL injection, buffer overflow Xss, SQL injection, buffer overflow
Attaques exploitant le e-mail, les réseaux sociaux Attaques exploitant le e-mail, les réseaux sociaux
Spaming (pourriel), Scaming (cyber-arnaques), Fishing Spaming (pourriel), Scaming (cyber-arnaques), Fishing
(hameçonnage), hoax (canular informatique) (hameçonnage), hoax (canular informatique)
Attaques par codes malicieux Attaques par codes malicieux
Virus, vers, trojan, trappes, spyware, rootkit, …..etc. Virus, vers, trojan, trappes, spyware, rootkit, …..etc.
Attaques sur les algorithmes et protocoles cryptographiques Attaques sur les algorithmes et protocoles cryptographiques
Cryptanalyse Cryptanalyse

21 22

Attaques exploitant les protocoles réseaux : Attaques exploitant les protocoles réseaux :
ARP Spoofing (ARP cache poisoning) ARP Spoofing (ARP cache poisoning)
Principe Méthodes
Une machine se fait passer pour une autre au niveau Émission d'une réponse ARP sans requête préalable
physique (dans le même LAN)
Émission d'une requête ARP forgée
Empoisonner le cache ARP de la cible
MSG ARP: @ip src = machine spoofée, @MAC=pirate
Associer l’@ MAC du pirate à l’@ IP d’une autre
machine
Outils ARP Spoofing
arp-sk (unix) winarp-sk (windows)
ArpSpoof (Linux)
Host A Host B
192.168.1.100 at 08:00:46:07:04:A3 192.168.1.10 at 00:01:03:1d:98:b8

Host C 192.168.1.100 08:00:46:07:04:A3


192.168.1.10 00:01:03:1D:98:B8
192.168.1.137 at BA:DB:AD:BA:DB:AD

192.168.1.100 08:00:46:07:04:A3

24 192.168.1.10 00:01:03:1D:98:B8
Attaques exploitant les protocoles réseaux : Attaques exploitant les protocoles réseaux :
ARP Spoofing (ARP cache poisoning) ARP Spoofing (ARP cache poisoning)
Méthodes Méthodes
Émission d'une réponse ARP sans requête préalable Émission d'une réponse ARP sans requête préalable
Émission d'une requête ARP forgée Émission d'une requête ARP forgée
MSG ARP: @ip src = machine spoofée, @MAC=pirate MSG ARP: @ip src = machine spoofée, @MAC=pirate

ARP Reply: ARP Reply:


192.168.1.10 is at BA:DB:AD:BA:DB:AD 192.168.1.10 is at BA:DB:AD:BA:DB:AD

Host A Host B Host A Host B


192.168.1.100 at 08:00:46:07:04:A3 192.168.1.10 at 00:01:03:1d:98:b8 192.168.1.100 at 08:00:46:07:04:A3 192.168.1.10 at 00:01:03:1d:98:b8

Host C 192.168.1.100 08:00:46:07:04:A3 Host C 192.168.1.100 08:00:46:07:04:A3


192.168.1.10 00:01:03:1D:98:B8 192.168.1.10 BA:DB:AD:BA:DB:AD
192.168.1.137 at BA:DB:AD:BA:DB:AD 192.168.1.137 at BA:DB:AD:BA:DB:AD

192.168.1.100 08:00:46:07:04:A3 192.168.1.100 08:00:46:07:04:A3

25 192.168.1.10 00:01:03:1D:98:B8 26 192.168.1.10 00:01:03:1D:98:B8

Attaques exploitant les protocoles réseaux : Attaques exploitant les protocoles réseaux :
ARP Spoofing (ARP cache poisoning) ARP Spoofing (ARP cache poisoning)
Méthodes Méthodes
Émission d'une réponse ARP sans requête préalable Émission d'une réponse ARP sans requête préalable
Émission d'une requête ARP forgée Émission d'une requête ARP forgée
MSG ARP: @ip src = machine spoofée, @MAC=pirate MSG ARP: @ip src = machine spoofée, @MAC=pirate

ARP Reply: ARP Reply:


192.168.1.100 is at BA:DB:AD:BA:DB:AD 192.168.1.100 is at BA:DB:AD:BA:DB:AD

Host A Host B Host A Host B


192.168.1.100 at 08:00:46:07:04:A3 192.168.1.10 at 00:01:03:1d:98:b8 192.168.1.100 at 08:00:46:07:04:A3 192.168.1.10 at 00:01:03:1d:98:b8

Host C 192.168.1.100 08:00:46:07:04:A3 Host C 192.168.1.100 BA:DB:AD:BA:DB:AD


192.168.1.10 BA:DB:AD:BA:DB:AD 192.168.1.10 BA:DB:AD:BA:DB:AD
192.168.1.137 at BA:DB:AD:BA:DB:AD 192.168.1.137 at BA:DB:AD:BA:DB:AD

192.168.1.100 08:00:46:07:04:A3 192.168.1.100 08:00:46:07:04:A3

27 192.168.1.10 00:01:03:1D:98:B8 28 192.168.1.10 00:01:03:1D:98:B8


Attaques exploitant les protocoles réseaux : Attaques exploitant les protocoles réseaux :
ARP Spoofing (ARP cache poisoning) ARP Spoofing (ARP cache poisoning)
Méthodes Méthodes
Émission d'une réponse ARP sans requête préalable Émission d'une réponse ARP sans requête préalable
Émission d'une requête ARP forgée Émission d'une requête ARP forgée
MSG ARP: @ip src = machine spoofée, @MAC=pirate MSG ARP: @ip src = machine spoofée, @MAC=pirate

Ethernet: BA:DB:AD:BA:DB:AD Ethernet: 00:01:03:1D:98:B8


IP: 192.168.1.100 IP: 192.168.1.10
Data: SECRET Data: SECRET

Host A Host B Host A Host B


192.168.1.100 at 08:00:46:07:04:A3 192.168.1.10 at 00:01:03:1d:98:b8 192.168.1.100 at 08:00:46:07:04:A3 192.168.1.10 at 00:01:03:1d:98:b8

Host C 192.168.1.100 BA:DB:AD:BA:DB:AD Host C 192.168.1.100 BA:DB:AD:BA:DB:AD


192.168.1.10 BA:DB:AD:BA:DB:AD 192.168.1.10 BA:DB:AD:BA:DB:AD
192.168.1.137 at BA:DB:AD:BA:DB:AD 192.168.1.137 at BA:DB:AD:BA:DB:AD

192.168.1.100 08:00:46:07:04:A3 192.168.1.100 08:00:46:07:04:A3

29 192.168.1.10 00:01:03:1D:98:B8 30 192.168.1.10 00:01:03:1D:98:B8

Attaques exploitant les protocoles réseaux : Attaques exploitant les protocoles réseaux :
ARP Spoofing (ARP poisoning) ARP Spoofing (ARP poisoning)
Exemple (arpspoof): Exemple (arpspoof):
Soit la machine victime 10.0.0.171, sa passerelle par défaut 10.0.0.1 et Soit la machine victime 10.0.0.171, sa passerelle par défaut 10.0.0.1 et
la machine du pirate 10.0.0.227. la machine du pirate 10.0.0.227.
Avant l’attaque : Cache ARP de la machine cible Lancer l’attaque
[root@cible -> ~]$ arp [root@pirate -> ~]$ arpspoof -t 10.0.0.171 10.0.0.1
Address HWtype HWAddress Flags Mask Iface 0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42: arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f
10.0.0.1 ether 00:b0:c2:88:de:65 C eth0 0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42: arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f
10.0.0.227 ether 00:00:86:35:c9:3f C eth0 0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42: arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f
0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42: arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f
0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42: arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f

31 32
Attaques exploitant les protocoles réseaux : Attaques exploitant les protocoles réseaux :
ARP Spoofing (ARP poisoning) ARP Spoofing (ARP poisoning)
Exemple (arpspoof): Vulnérabilité exploitée
Soit la machine victime 10.0.0.171, sa passerelle par défaut 10.0.0.1 et Absence d’authentification des requêtes ARP
la machine du pirate 10.0.0.227. Effet
Après l’attaque : Cache ARP de la machine cible Perte de connectivité réseau
[root@cible -> ~]$ arp Re-direction du trafic
Address HWtype HWAddress Flags Mask Iface
10.0.0.1 ether 00:00:86:35:c9:3f C eth0 Sniffing dans le cas d’un LAN switché
10.0.0.227 ether 00:00:86:35:c9:3f C eth0 Parades
Utiliser des associations statiques : # arp –s @IP @MAC
Surveiller les changements d'association:
arpwatch (unix)
WinARP Watch (Windows)

33 34

Attaques exploitant les protocoles réseaux : Attaques exploitant les protocoles réseaux :
Smurf TCP Syn Flooding
Principe
Envoi d'un grand nombre de requêtes d'ouverture de
connexion TCP (SYN)
Lors de la réception d'un paquet SYN, le serveur réserve la
mémoire nécessaire à la connexion et l'enregistre dans une
queue de connexions semi-établies
Ce cas n'ayant pas été prévu, le serveur ne peut plus accepter
de nouvelles connexions lorsque la queue déborde
Effet
Déni de Service
Buffer overfllow du processus écoutant
le port TCP de destination
35 36
Attaques exploitant les protocoles réseaux :
TCP Syn Flooding Exercice 1
Vulnérabilité exploitée
Débordement du buffer des connexions semi-établies Soit le réseau suivant :

Parades
Filtrage
On suppose que toutes les machines sont allumées, donner le
Limitation du nombre de Syn reçus par unité de temps résultat des commandes suivantes :
Augmentation du Buffer nmap -sP 10.0.0.0/24
Réduction du temporisateur des connexions semi-établies nmap -sP 10.0.0.0/8
Syn Cookies 1) Donner l’algorithme (pseudo-code) de cette commande
2) Si on suppose que le pare-feu bloque le trafic icmp, proposer un
algorithme qui donne le même résultat que la commande
précédente
37

Exercice 2 Solution EX2


1. Quel est le rôle du protocole ARP ? Expliquez comment --Résolution des adresses MAC / IP dans un réseau local.
les tables ARP sont mises à jour ? Couche Réseau
2. Donnez la table ARP de toutes les stations du réseau ci- 1. Réception d’une réponse ARP : ARP-Reply(IPsrc : 1.2.3.4
dessous après la séquence d’étapes de communication MACsrc : a8 :c8 ; IPdst : 1.5.6.7 MAC dst : x4 :x5 ) ----------
suivante : > ajouter l’entrée (1.2.3.4 ;a8 :c8) dans la table de 1.5.6.7
A : Ping 10.0.0.1 2. Réception d’une requête ARP : ARP_Req (IPsrc : 1.2.3.4
D : Ping 10.1.0.1
MACsrc : a8 :c8 ; IPdst : 1.5.6.7 MAC dst : ??:?? ) ----------
D : Ping 10.0.0.1
> ajouter l’entrée (1.2.3.4 ; a8 :c8) dans la table de 1.5.6.7

39 40
Exercice 3 Exercice 4
Analysez la capture suivante et répondez aux questions posées:
switch Hub

On suppose que la station S5 se connecte sur le serveur FTP qui se trouve sur S3 en
utilisant un mot de passe. Soit la commande : tcpdump qui permet d’afficher toutes
les trames reçues par une carte réseau. un attaquant veut récupérer le mot de passe
FTP ainsi que les données téléchargées par S5 via FTP.
1) Quelle est le type de cette attaque ? Pour chaque adresse IP et
MAC affichée ci-dessus, indiquez à qui elle appartient parmi : 1. Donnez la séquence de commandes pour effectuer cette attaque si l’attaquant se
l’attaquant, la cible, et la machine usurpée? Donnez la table trouve sur S2/puis sur S6.
ARP de la cible après l’attaque. 2. Donnez l’état des tables ARP de S5 et S3 après l’attaque
3. Quels sont les stations qui peuvent être victime de smurf à partir de S2 ?

Vous aimerez peut-être aussi