Académique Documents
Professionnel Documents
Culture Documents
2
Introduction
⚫ Attaquant actif-n-m:
Attaquant qui possède m nœuds malicieux et qui
compromis n nœuds
⚫ Attaques externes :
Attaques lancées par un nœud qui n’appartient pas au
réseau ou bien qui n’est pas autorisé à y accéder
5
Sécurité informatique
Le système d'information est généralement défini par l'ensemble des
données et des ressources matérielles et logicielles de l'entreprise
permettant de les stocker ou de les faire circuler. Le système
d'information représente un patrimoine essentiel de l'entreprise, qu'il
convient de protéger.
La sécurité informatique, d'une manière générale, consiste à assurer
que les ressources matérielles ou logicielles d'une organisation sont
uniquement utilisées dans le cadre prévu.
6
Sécurité d'un réseau
La sécurité d'un réseau est un niveau de garantie que l'ensemble des
machines du réseau fonctionnent de façon optimale et que les
utilisateurs desdites machines possèdent uniquement les droits qui leur
ont été octroyés.
Il peut s'agir :
– d'empêcher des personnes non autorisées d'agir sur le système de
façon malveillante
– d'empêcher les utilisateurs d'effectuer des opérations involontaires
capables de nuire au système
– de sécuriser les données en prévoyant les pannes
– de garantir la non-interruption d'un service
7
Terminologie de la sécurité
informatique
La sécurité informatique utilise un vocabulaire bien défini que nous
utilisons dans nos articles. De manière à bien comprendre ces articles,
il est nécessaire de définir certains termes :
Les vulnérabilités : ce sont les failles de sécurité dans un ou plusieurs
systèmes. Tout système vu dans sa globalité présente des
vulnérabilités, qui peuvent être exploitables ou non.
Les attaques (exploits): elles représentent les moyens d'exploiter une
vulnérabilité. Il peut y avoir plusieurs attaques pour une même
vulnérabilité mais toutes les vulnérabilités ne sont pas exploitables.
Les contre-mesures : ce sont les procédures ou techniques permettant
de résoudre une vulnérabilité ou de contrer une attaque spécifique
(auquel cas il peut exister d'autres attaques sur la même vulnérabilité).
Les menaces : ce sont des adversaires déterminés capables de monter
une attaque exploitant une vulnérabilité.
8
Types d'attaques
• Les attaques peuvent à première vue être classées en 2
grandes catégories :
• les attaques passives : consistent à écouter sans modifier les
données ou le fonctionnement du réseau. Elles sont généralement
indétectables mais une prévention est possible.
• les attaques actives : consistent à modifier des données ou des
messages, à s'introduire dans des équipements réseau ou à perturber
le bon fonctionnement de ce réseau. Noter qu'une attaque active peut
être exécutée sans la capacité d'écoute. De plus, il n'y a généralement
pas de prévention possible pour ces attaques, bien qu'elles soient
détectables (permettant ainsi une réponse adéquate).
•
9
Types d'attaques
Les intrus peuvent accéder à un réseau en profitant de vulnérabilités
logicielles, au moyen d'attaques matérielles ou même par des
méthodes plus rudimentaires, comme deviner le nom et le mot de
passe d'un utilisateur. Les intrus qui modifient le logiciel ou tirent profit
de vulnérabilités logicielles pour accéder au réseau sont souvent
appelés des pirates informatiques.
10
Types d'attaques
11
Types d’attaques réseaux
Ecoute des connexions (sniffing) : interception des messages et/ou mot
de passe par des renifleurs, identification des services du réseaux, des
machines qui communiquent, des comportements, etc.
– Associer les @MAC avec les @IP pour les machines critiques
15
Types d’attaques réseaux
ARP Poisonning par requête
16
Attaques réseaux
Attaques ICMP
– Le protocole ICMP (Internet Control Message Protocol) est utilisé par
tous les routeurs
– Il est utilisé pour signaler une erreur sur une machine connectée
ICMP Flooding
But du ICMP Flooding
– Rendre un ou plusieurs services inaccessible
– Rendre un réseau totalement inaccessible
Moyen
inonde la machine cible de requêtes ping.
Conséquences
– La machine cible passe tout son temps à répondre à des requêtes
ICMP
– Surcharge machine et du réseau
– DENI DE SERVICE (D.O.S.) 17
Attaques réseaux
18
Attaques réseaux
Attaques ICMP
Attaque Unreachable Host Attack
Cette attaque envoie des messages ICMP "Host Unreachable" à une
victime, provoquant la déconnexion des sessions et la paralysie de la
victime, même si elles sont envoyées à faible cadence.
L'attaque "Pong" : est aussi connue sous le nom ‘’Echo Reply Without
Request" ou "ICMP echo reply attack". Elle consiste à envoyer à
l'ordinateur victime le résultat d'un Ping (autrement dit, un Pong), alors que
la victime n'a pas envoyé de Ping.
→Détermination de l'architecture réseau derrière un firewall
Si un routeur reçoit un pong à destination d'un ordinateur qui n'existe pas, il renverra
un message "ordinateur inexistant’’ à l'envoyeur. L'attaquant pourra donc déterminer
le nombre de machines derrière le firewall, et plus encore, il aura les adresses IP de
ces ordinateurs. 19
Attaques réseaux
Attaques TCP
TCP, est un protocole de transport fiable, en mode connecté
Une session TCP fonctionne en trois phases :
– l'établissement de la connexion ;
– les transferts de données ;
– la fin de la connexion.
Établissement de connexion 20
Attaques réseaux
Attaques TCP
SYN Attack
Cette attaque exploite les échanges de paquets utilisés lors de l'ouverture de
sessions TCP. L'attaquant envoie un grand nombre de demandes d'ouvertures
TCP (Flag SYN positionné) à la victime. Cette dernière acquitte les demandes
en répondant par des messages TCP avec les flags SYN et ACK positionnés,
puis attend indéfiniment l'acquittement qui n'est jamais renvoyé. Au bout d'un
temps très court la victime est asphyxiée par le grand nombre de sessions
ouvertes et en attente d'acquittement.
→Tous les services TCP deviennent indisponibles
ConnectionReset : Forcer la déconnexion entre deux machines.
Forger une fausse trame TCP avec le flag RST et une bonne valeur de numéro
de séquence
21
Attaques réseaux
Attaques TCP
Land Attack
Cette attaque essaie de rendre "fou" la victime en lui envoyant des
paquets TCP comportant une adresse source IP et un numéro de port
identiques à ceux de la victime. Le host attaqué pense alors qu'il parle à lui
même ce qui généralement provoque un crash.
22
Attaques réseaux
Attaques UDP
UDP, est un protocole de transport, en mode non connecté.
Ce protocole est très simple étant donné qu'il ne fournit pas de contrôle
d'erreurs
Attaque UDP 0
Consiste à envoyer une trame UDP vers le port zéro d'un ordinateur
distant. L'ordinateur cible peut alors planter. Si celui-ci est derrière un
firewall, le firewall peut éventuellement planter.
UDP Flooding
L’ attaquant envoie un grand nombre de requêtes UDP sur une machine.
Le trafic UDP étant prioritaire sur le trafic TCP, ce type d'attaque peut vite
troubler et saturer le trafic transitant sur le réseau.
23
Conseils pour optimiser sa sécurité
1. Inciter ou obliger les employés à choisir des mots de passe qui ne
soient pas évidents à trouver.
2. Exiger des employés qu'ils changent leurs mots de passe tous les 90
jours.
3. Vérifier que l'abonnement à la protection antivirus est à jour.
4. Sensibiliser les employés aux risques relatifs à la sécurité des pièces
jointes aux messages électroniques.
5. Mettre en œuvre une solution de sécurité du réseau complète et
adéquate.
6. Evaluer régulièrement l'infrastructure de sécurité.
7. Supprimer immédiatement les droits d'accès au réseau d'un employé
quittant la société.
8. Si des employés sont autorisés à travailler à distance, mettre en place
un serveur sécurisé et géré de façon centralisée pour le trafic distant.
9. Mettre à jour régulièrement le logiciel du serveur Web.
24
10. Ne pas exécuter de services de réseau superflus.
Comment se protéger ?
Un Anti-virus : un logiciel qui protège vos ordinateurs de la destruction
d'informations pouvant être causée, par exemple, par un virus envoyé
dans un e-mail.
Un Firewall : un équipement matériel ou logiciel qui protège contre les
accès non autorisés venant de l'extérieur.
Un Réseau Privé Virtuel (VPN) : il sécurise vos communications et
vos échanges d’informations entre vos différents sites (siège social,
succursales, employés itinérants ou mobiles ...).
Un Détecteur d’intrusion : un équipement matériel ou logiciel qui
empêche les tentatives de vol de vos informations (Bases de données
Clients, comptabilité, etc.), qu'elles viennent de l'extérieur ou de
l'intérieur.
Authentification : vérifier la véracité des utilisateurs, du réseau et des
documents.
Contrôles d’accès aux ressources (physiquement aussi).
25
Comment se protéger ?
Éléments techniques
Réseaux interne / externe
Adresses privées / publiques
Routeurs, passerelles, filtrage...
Serveurs, Postes-clients, « Bastions
»,...
Proxy (mandataire, relais)
Tunnels, réseaux privés virtuels (VPN)
... 26
Comment se protéger ?
27
Architecture à « DMZ »
zone démilitarisée :
une zone démilitarisée (ou DMZ, de l'anglais demilitarized zone) est
un sous-réseau séparé du réseau local et isolé de celui-ci et d'Internet (ou
d'un autre réseau) par un pare-feu.
28
Réseau Virtuel Privé
Un VPN (Virtual Private Network ou réseau virtuel privé) est un
moyen de simuler un réseau privé sur un réseau public comme
Internet.
Un VPN crée des connexions temporaires ou tunnels entre 2
machines, ou une machine et un réseau, ou 2 réseaux.
Protection du transfert de données
29
VPN Cisco à accès distant
▪ Le VPN est une solution sécurisée pour assurer les connexions accès
distant à moindre coût.
▪ En effet, ils permettent aux entreprises d’utiliser Internet via des
fournisseurs d’accès pour favoriser l’échange d’informations d’une manière
sécurisée entre des PC distants et le siège de l’entreprise.
▪ Le déploiement d’une solution VPN évite des connexions téléphoniques
point à point coûteuses.
▪ Le VPN est une solution idéale pour offrir aux personnes en déplacement,
aux travailleurs distants ou effectuant des heures supplémentaires de
bénéficier d’une connectivité sécurisée et haut débit via le câble et les lignes
DSL.
31
Systèmes de Détection d'intrusion
sécurisé Cisco
Cisco propose deux systèmes de détection d’intrusion complémentaires :
32
Authentification
Identification : déclaration d’une identité par une entité
– Exemple : entrée du login
33
Contrôle d’accès
Fonction permettant de garantir que les utilisateurs (et les processus
qui agissent pour le compte de ceux-ci) ne peuvent accéder aux
informations et aux ressources auxquelles ils ne sont pas autorisés à
accéder
• exigences concernant la création ou la modification (y compris
la suppression) non autorisées d’informations
Fonctionnalités associées au contrôle d’accès
– fonctions servant à établir et entretenir les listes et règles qui
régissent
– les droits d’effectuer différents types d’accès
– fonctions d’administration (l’octroi ou le retrait) des droits d’accès et
leur vérification
– fonctions destinées à contrôler les flux d’informations entre
utilisateurs,
– processus --> Contrôle de flux
34
Contrôle d’accès
Les serveurs de contrôle d'accès fonctionnent comme un badge
permettant d'accéder à une pièce, le gardien qui supervise la sécurité du
site fournissant l'autorisation, l'authentification et la comptabilisation du
trafic et des utilisateurs.
35
Conclusion
– L'organisation
36
Chapitre :
FIREWALL
37
Plan
Définitions
Fonctionnement
Filtrage des paquets
Architecture de Firewall
Limites d’un firewall
Produits
Conclusion
38
Pare-feu (Firewall)
Un pare-feu joue un rôle de douanier vis-à-vis des ports. Il contrôle les
flux de données entrant et sortant de l’ordinateur ou du réseau de
l’entreprise. Il est très fréquent qu’un logiciel professionnel ait besoin
d’accéder a un serveur extérieur a l’entreprise pour effectuer des mises a
jour. Il lui faut alors communiquer par un canal spécifique (port de
communication), a la fois pour émettre des données (port sortant) mais
aussi pour en recevoir (port entrant).
39
Définition
Un pare-feu (appelé aussi coupe-feu, garde-barrière ou firewall en
anglais), est un système permettant de protéger un ordinateur ou un
réseau d'ordinateurs des intrusions provenant d'un réseau tiers
(notamment internet). Le pare-feu est un système permettant de filtrer
les paquets de données échangés avec le réseau, il s'agit ainsi d'une
passerelle filtrante comportant au minimum les interfaces réseau
suivante : une interface pour le réseau à protéger (réseau interne) ; une
interface pour le réseau externe.
40
Fonctionnement d'un système
pare-feu
Un système pare-feu contient un ensemble de règles prédéfinies
permettant :
– D'autoriser la connexion (allow) ;
– De bloquer la connexion (deny) ;
– De rejeter la demande de connexion sans avertir l'émetteur (drop).
L'ensemble de ces règles permet de mettre en œuvre une méthode de
filtrage dépendant de la politique de sécurité adoptée par l'entité. On
distingue habituellement deux types de politiques de sécurité
permettant :
– soit d'autoriser uniquement les communications ayant été
explicitement autorisées :
– soit d'empêcher les échanges qui ont été explicitement interdits.
41
Filtrage de paquets : principe
Rôle : filtre entre le réseau local et un autre réseau
Routeur ou ordinateur dédié qui transmet les paquets en suivant un
certain nombre de règles déterminées
Supervise le trafic entrant et sortant
Chaque paquet IP contient des informations que le routeur va extraire
et étudier :
– l'adresse de l'expéditeur
– l'adresse du destinataire
– le port IP du service demandé
– le port IP du poste demandeur
– le flag (drapeau) qui précise si le paquet est une réponse à une
demande de service, ou une demande d'établissement de
connexion. Un flag ayant la valeur "ACK" (acknowledge) indique
que le paquet fait partie d'une discussion en cours 42
Filtrage de paquets : exemple
Une société dispose d'un réseau interne et d'un serveur web. Les
machines doivent être inaccessibles de l'extérieur, sauf le serveur web
qui peut être consulté par n'importe quel équipement connecté à
l'Internet
La liste de règles doit servir pour interdire toutes les connexions venant
de l'extérieur, sauf vers le port 80 du serveur web.
43
Le filtrage simple de paquets
(Stateless)
Principe
C'est la méthode de filtrage la plus simple, elle opère au niveau de la
couche réseau et transport du modèle OSI. La plupart des routeurs
d'aujourd'hui permettent d'effectuer du filtrage simple de paquet. Cela
consiste à accorder ou refuser le passage de paquet d'un réseau à un
autre en se basant sur :
- L'adresse IP Source/Destination.
- Le numéro de port Source/Destination.
- Et bien sur le protocole de niveau 3 ou 4.
44
Le filtrage simple de paquets
(Stateless)
Limites
Le premier problème vient du fait que l'administrateur réseau est
rapidement contraint à autoriser un trop grand nombre d'accès, pour
que le Firewall offre une réelle protection. Par exemple, pour autoriser
les connexions à Internet à partir du réseau privé, l'administrateur
devra accepter toutes les connexions TCP provenant de l'Internet avec
un port supérieur à 1024. Ce qui laisse beaucoup de choix à un
éventuel pirate.
Enfin, ce type de filtrage ne résiste pas à certaines attaques de type IP
Spoofing / IP Flooding, la mutilation de paquet, ou encore certaines
attaques de type DoS. Ceci est vrai sauf dans le cadre des routeurs
fonctionnant en mode distribué. Ceci permettant de gérer les Acl
directement sur les interfaces sans remonter à la carte de traitement
central. Les performances impactées par les Acl sont alors quasi
nulles.
45
Le filtrage de paquet avec état
(Stateful)
Principe
L'amélioration par rapport au filtrage simple, est la conservation de la
trace des sessions et des connexions dans des tables d'états internes
au Firewall. Le Firewall prend alors ses décisions en fonction des états
de connexions, et peut réagir dans le cas de situations protocolaires
anormales. Ce filtrage permet aussi de se protéger face à certains
types d'attaques DoS.
46
Le filtrage de paquet avec état
(Stateful)
Pour le protocole FTP (et les protocoles fonctionnant de la même
façon), c'est plus délicat puisqu'il va falloir gérer l'état de deux
connexions. En effet, le protocole FTP, gère un canal de contrôle établi
par le client, et un canal de données établi par le serveur.
Le Firewall devra donc laisser passer le flux de données établi par le
serveur. Ce qui implique que le Firewall connaisse le protocole FTP, et
tous les protocoles fonctionnant sur le même principe. Cette technique
est connue sous le nom de filtrage dynamique (Stateful Inspection) et a
été inventée par Checkpoint. Mais cette technique est maintenant
gérée par d'autres fabricants.
47
Le filtrage de paquet avec état
(Stateful)
Limites
Tout d'abord, il convient de s'assurer que les deux techniques sont bien
implémentées par les Firewalls, car certains constructeurs ne
l'implémentent pas toujours correctement. Ensuite une fois que l'accès
à un service a été autorisé, il n'y a aucun contrôle effectué sur les
requêtes et réponses des clients et serveurs. Un serveur Http pourra
donc être attaqué impunément.
Enfin les protocoles maisons utilisant plusieurs flux de données ne
passeront pas, puisque le système de filtrage dynamique n'aura pas
connaissance du protocole.
48
Le filtrage applicatif
Le filtrage applicatif est comme son nom l'indique réalisé au niveau de
la couche Application. Pour cela, il faut bien sûr pouvoir extraire les
données du protocole de niveau 7 pour les étudier. Les requêtes sont
traitées par des processus dédiés, par exemple une requête de type
Http sera filtrée par un processus proxy Http. Le pare-feu rejettera
toutes les requêtes qui ne sont pas conformes aux spécifications du
protocole. Cela implique que le pare-feu proxy connaisse toutes les
règles protocolaires des protocoles qu'il doit filtrer.
49
Le filtrage applicatif (2)
Limites
Le premier problème qui se pose est la finesse du filtrage réalisé par le
proxy. Il est extrêmement difficile de pouvoir réaliser un filtrage qui ne
laisse rien passer, vu le nombre de protocoles de niveau 7. En outre le
fait de devoir connaître les règles protocolaires de chaque protocole
filtré pose des problèmes d'adaptabilité à de nouveaux protocoles ou
des protocoles maisons.
50
Architecture 1
Cas particulier : 1 seule machine : la vôtre
==> Utiliser un logiciel tel que
IPChains
LookNStop
etc …
51
Architecture 2
Avantages :
– Facile à mettre en place
– Pas cher
Inconvénients
– Lorsque le routeur est contourné ou paralysé, le réseau
entier est ouvert !
– Traces peu exploitables 52
Architecture 3 : principe
53
Architecture 3 : avantages
54
Architecture 4
La machine :
filtre
joue le rôle de serveur
fait office de proxy avec authentification
log
etc...
56
Architecture 5
Système sûr
Abordable
57
Architecture 5 : inconvénients
Si l'une des deux est paralysée, le réseau est menacé dans son
intégralité
58
Architecture 6
Avantages :
– système très sûr
Inconvénients
– coût d ’investissement élevé
– effort administratif important
59
Zone démilitarisée: DMZ
Lorsque certaines machines du réseau interne ont besoin d'être
accessible de l'extérieur (comme c'est le cas par exemple pour un
serveur web, un serveur de messagerie, un serveur FTP public, ...) il
est souvent nécessaire de créer une nouvelle interface vers un réseau
à part, accessible aussi bien du réseau interne que de l'extérieur, sans
pour autant risquer de compromettre la sécurité de l'entreprise.
60
Zone démilitarisée: DMZ
Zones intermédiaires dans lesquelles des serveurs réalisent des
traitements sur des flux de données
Crées pour :
– faciliter la gestion des flux de données au niveau du point de
cloisonnement
– empêcher les flux de données de passer d’une zone sûre à une
zone non sûre directement et inversement
– séparer les grandes fonctionnalités
61
Les limites des firewalls
Un firewall ne peut pas protéger contre le trafic qui ne passe pas par
lui.
Pas de protection contre les menaces internes :
– Rarement déployé et configuré entre les réseaux internes
Pas de confidentialité des informations :
– Option Virtual Private Network (entre deux firewalls) possible
– Option cryptage entre un poste isolé et le Firewall
Pas d’authentification à l’origine des informations :
– Impossible de savoir si l’auteur du paquet est bien celui qui émet le
paquet.
62
Les limites des firewalls (2)
63
Les Produits des firewalls
Les produits significatifs dans le monde /France:
64
Les Produits des firewalls
65
Conclusion
66
Chapitre 3 :
Filtrage du trafic à l’aide des listes
de contrôle d’accès
67
Objectives
Décrire le filtrage du trafic
Expliquer comment les listes de contrôle d’accès
peuvent filtrer le trafic sur les interfaces du routeur;
Analyser l’utilisation des masques génériques
Configurer et mettre en œuvre des listes de contrôles
d’accès;
Créer et appliquer des listes de contrôle d’accès pour
contrôler des types spécifiques de trafic;
Consigner l’activité des listes de contrôle d’accès et
les méthodes recommandées correspondantes
68
Filtrage du trafic
Analyser le contenu d'un paquet
Autoriser ou bloquer le paquet
Sur la base de l'adresse IP source, destination,
adresse MAC, le protocole, le type d'application
69
Filtrage du trafic
Les périphérique utilisés pour filtrer le trafic
des pare-feu inclus dans des routeurs intégrés ;
des appareils de sécurité dédiés ;
des serveurs.
70
Listes de contrôle d’accès
Les ACLs identifient :
La spécification d’hôtes internes pour la fonction NAT
La classification du trafic pour QoS
La limitation des mises à jour de routage, du résultat
de débogage et le contrôle de l’accès au terminal
virtuel des routeurs.
71
Listes de contrôle d’accès
Certains problèmes :
La charge supplémentaire sur le routeur
une interruption possible du réseau.
Conséquences inattendus pour un mal positionnement
72
Types et utilisation des listes de contrôle d’accès
73
Types de liste d’accès
74
Traitement des listes de contrôle d’accès
75
Traitement des listes de contrôle
d’accès
76
Traitement des listes de contrôle
d’accès
ACL est appliqué en entré ou en sortie
La direction est par rapport au routeur
Chaque interface ne peut disposer que d’une seule
ACL par direction pour chaque protocole réseau.
77
Fonction et structure d’un masque générique
78
Fonction et structure d’un masque générique
79
Analyse des effets du masque générique
80
Configuration des listes de contrôle d’accès
Identification des spécifications de filtrage du trafic
Identification du type de liste de contrôle d’accès le
mieux adapté aux spécifications
Identification du routeur et de l’interface sur lesquels
doit être appliquée la liste de contrôle d’accès
Identification de la direction du filtrage du trafic
81
Configuration des listes de contrôle d’accès standard
82
Configuration des listes de contrôle d’accès étendu
83
Configuration des listes de contrôle d’accès nommées
84
Configuration de l’accès du routeur au terminal virtuel
85
Autorisation et interdiction de trafics déterminés
86
Autorisation et interdiction de trafics déterminés
Bloquer le trafic externes nuisibles tout en permettant
le libre accès des utilisateurs internes
Ping: autoriser des réponses d'écho, tout en refusant
les demandes d'écho en dehors du réseau
87
Conclusion
Les listes de contrôles d’accès permettent de gérer le trafic
et assurent un accès sécurisé au réseau et à ses
ressources
Appliquez une liste de contrôle d’accès filtrent le trafic en
fonction des adresses IP source et de destination, de
l’application et du protocole.
ACL peut être standard, étendue ou nommé
Un masque générique offre une certaine souplesse.
La liste de contrôle d’accès se termine par une instruction
implicite deny any.
Tenir compte de la traduction NAT lors de la création et
l’application des ACL
88