Académique Documents
Professionnel Documents
Culture Documents
Sommaire
Scanner réseau
Attaques DNS
Le DNS Bind
BIND est le serveur DNS le plus utilisé au monde
Logiciel libre disponible sur beaucoup de plate formes
Attention aux différentes versions
BIND 4.x
• De nombreuses failles de sécurité – ne pas utiliser
BIND 8.x
• Beaucoup moins de failles – version 9.x conseillée
BIND 9.x
• Très peu de failles
• Les fichiers de configuration changent : pb de compatibilité avec les anciens fichiers
BIND 9.x propose le support de DNSSEC
Permet de sécuriser les accès aux serveurs DNS
Voir la RFC 3833 : Analyse des menaces du système DNS
DNS est très sensible aux attaques de type « man in the middle »
DNSSEC utilise la cryptographie à clé publique
La clé publique est fournie soit par le domaine parent, soit par
un fichier de configuration
Possibilité d’assurer l’authentification et l’intégrité des
messages DNS
Nécessite un système de distribution des clés
Les zones sont « signées »
Ajout d’une signature pour assurer l’intégrité
ICMP redirect
ARP Poisoning
Routag
e
DHCP
Objectifs
Activer la fonction « Port Security » sur un port du switch
CISCO en fixant une limite d’une seule adresse MAC par port
• Switch(config-if)# switchport port-security
• Switch(config-if)# switchport port-security maximum 1
• Switch(config-if)# switchport port-security violation shutdown
• Switch(config-if)# errdisable recovery cause psecure-violation
• Switch(config-if)# errdisable recovery interval 30
Essayer de mener une attaque de type APR avec Cain
• Constater l’échec de l’attaque
Protocole TCP
SYN Flooding
Lors de cette attaque, le
client utilise une adresse IP
non utilisée
Le client envoie une
multitude de segments
« SYN »
Le serveur alloue des
ressources pour une
connexion qui ne sera jamais
utilisée
Le client sature les
ressources du serveur
Le serveur n’accepte plus de
nouvelles connexions (DoS)
Les connexions à demi-
ouvertes seront fermés au
bout d’un
Greta industriel des « timeout » avancées
technologies G. Valet – genael.valet@gita.fr
La sécurité des réseaux
Chapitre 6 : Protection des réseaux Slide 34
L’effet domino
Compromis
sion
Si attaque
sur la
couche 2
Port Security
Les « Access Control List » sont des listes définissant les règles
Exemple d’ACL
Autoriser uniquement le trafic HTTP sortant
N Action IP Port dest. IP source Port src Commentaires
° destination
1 Autorise 172.16.0.0/1 >1023 Toutes 80 WEB vers réseau
6 interne
2 Autorise Toutes 80 172.16.0.0/ >1023 Réseau interne vers
16 WEB
3 Bloque Toutes Tous Toutes Tous Défaut
Est-ce suffisant ?
Proxies applicatifs
Firewall et DMZ
Topologie classique
Avantages
L’accès aux services externes n’a pas d’impact sur le réseau
interne
Le serveur DNS de la DMZ donne un minimum d’informations
• Le serveur DNS interne est isolé des attaques externes
Les filtres du routeur filtrant doivent restreindre les accès
externes à la DMZ
Autoriser FTP de l’externe vers l’adresse IP du serveur FTP
uniquement
Topologie « Chapman »
Topologie « Chapman »
Topologie à 2 firewalls
La détection d’intrusion
« La détection d’intrusion est la reconnaissance qu’une intrusion
a été tentée, est en cours, ou a réussi »
Source NSTAC
« Un système de détection d’intrusion (IDS), collecte les
informations systèmes et réseaux et les analyse pour détecter
des signes d’intrusion »
Source ICSA
« Un système de prévention/protection d’intrusion (IPS), permet
d’agir en temps réel sur le trafic suspect »
IDS écoute alors que l’IPS agit
Les IPS