CENTRE DE FORMATION PROFESSIONNELLE

BERNE FRANCOPHONE

REPETITION THEORIE – ICH184

TABLE DES MATIÈRES
1. SUPERVISION INDUSTRIELLE
2. SYSTÈME DE SUPERVISION
3. RRDTOOL
4. MRTG (MULTI ROUTER TRAFFIC GRAPHER)
5. PRTG (PAESSLER ROUTEUR TRAFFIC GRAPHER)
6. NTOP (NETWORK TOP)
7. SNMP (SIMPLE NETWORK MANAGEMENT PROTOCOL)
8. MIB
9. CONTRE MESURE
9.1. PFSENSE 4
9.2. PFBLOCKERNG 5
9.3. IPBLOCKLIST 5
10. DETECTION D’INTRUSION
10.1. NIDS (NETWORK BASED INTRUSION DETECTION SYSTEM) 6
10.2. HIDS (HOSTBASED INTRUSION DETECTION SYSTEM) 6
10.3. IDS (INTRUSION DETECTION SYSTEM) 6
10.4. IDS CONNUS 7
10.5. IPS (INTRUSION PREVENTION SYSTEM) 7
10.6. TROIS FAMILLES 7
10.7. LISTE DES IPS CONNUES 8
11. ATTAQUES INFORMATIQUE

629660511.docx 1/11
11.1. MOTIVATIONS 8
11.2. PLUSIEURS CATEGORIES 9
11.3. ACCES PHYSIQUE 9
11.4. INTERCEPTION DE COMMUNICATIONS 9
11.5. DENIS DE SERVICE 9
11.6. INTRUSIONS 9
11.7. INGENIERIE SOCIALE 9
11.8. ATTAQUE PAR REBOND 10
11.9. EFFORT DE PROTECTION 10

2/11
1. SUPERVISION INDUSTRIELLE
 Est une technique de suivi et de pilotage
 Concerne l’acquisition des données (mesures. Alarmes, retour d’état de
fonctionnement)
 Hypervision  centralisation des outils de supervision, infrastructure, application
référentielle

2. SYSTÈME DE SUPERVISION
 PRTG
 MRTG
 NAGIOS
 ZABBIX
 XYMON
 GANGLIA
 NTOP
 …

3. RRDTOOL
 Outil de gestion de base de données RRD (Round-Robin Database) « Tobias Oetiker »
 Utilisé par la sauvegarde de données graphiques, chornologiques : Cacti, collectd,
lighttpd, Nagios
 Créé pour superviser des données serveur
 Logiciel libre

4. MRTG (MULTI ROUTER TRAFFIC GRAPHER)

 Developpé sous licence GNU/GPL
 Permet de surveiller le trafic réseau
 Utilise le protocole SNMP pour interroger des équipements tels que des routeurs,
commutateurs, serveurs disposant d’une MIB (Management Information Base
 Peut lancé Windows, Linux, MacOS et NetWare

5. PRTG (PAESSLER ROUTEUR TRAFFIC GRAPHER)

 Logiciel commercial sous Windows
 Permet de créer des capteurs
 ICMP, SNMP, WMI (Virtual Machine Interface)
 Les capteurs génèrent des graphiques mesurant l’activité des switches, routeurs,
serveurs et imprimantes
 PRTG est capable de faire du sniffing grâce à Npcap

3/11
4/11
6. NTOP (NETWORK TOP)
 Outil libre
 Application portable
 Produit des informations sur le trafic réseau en temps réel
 Capture les trames d’une interface de données
 Observe une majeure partie du trafic
 Interface web et mode interactif
 S’appuie sur la lib « libpcap » pour effectuer les captures de trames

7. SNMP (SIMPLE NETWORK MANAGEMENT PROTOCOL)

 Protocole de communication qui permet aux admins de gérer les équipements,
superviser et diagnostiquer des problèmes et matériels à distance
 SNMP est un datagramme UDP envoyé par le manager au port 161
 Les schémas de sécurité dépendent des versions
 Permet le dialogue entre le superviseur et les agents

8. MIB
 Base de données gérée par un agent SNMP
 Possède une structure d’arbre similaire à celui dans le DNS
 Sur Windows, les fichiers se trouvent dans le répertoire System32

9. CONTRE MESURE
 Disposition prise pour s’opposer à une action, un effet, un événement ou les prévenir

9.1. PFSENSE
 Parefeu et blocage de port
 Gestion de la bande passante
 Redirections et isolation-interdiction des machines
 Anti-spammer et blocage de pays
 Filtrage des adresses et blacklist

5/11
9.2. PFBLOCKERNG
 Gère les sources de liste IPv4 (refuser, autoriser ou correspondre)
 Utilise base de données GeoIP
 Amélioration de la déduplication des données
 Télécharger à partir de formats de menaces de réputation IP
 Blocage du nom de domaine (DNSBL)
 Deux composants :
o IP : règles de pare-feu pour interface WAN
o DNSBL : publicité et autres domaines malveillants
 Attribution de listes d’URL IP
 Bloquer les pays et plages d’adresse IP (blacklist)
 Remplacement de Countryblock et IPblocklist
 Utiliser les fonctions natives du logiciel pfSense

9.3. IPBLOCKLIST
 Permet d’entrer des IP à bloquer
o Doit être en CIDR
o Création d’une liste pour chaque type d’action
 Deny both  refusera l’accès des deux sens
 Deny Inbound  refusera accès aux réseaux local
 Deny Outbound  refusera accès des users locaux aux listes d’IP
 Permit Inbound  Permet accès au réseaux local
 Permit outbound Permet accès des users locaux aux IP sélectionner
 Disabled gardera juste la sélection et ne fera rien aux listes
 Alias Only  Créera alias avec listes sélectionnées pour aider affectations de règles

10. DETECTION D’INTRUSION

 Destiné à repérer des activités anormales ou suspectes
 Avoir connaissance sur les tentatives réussies ou échouées d’intrusions
 Trois familles :
o NIDS (Network Based Intrusion Detection System) surveillent l’état au niveau
réseau
o Les systèmes de détection d’intrusion HIDS (Host Based Intrusion Detection
System) surveillent l’état au niveau des hôtes
o IDS (Intrusion Detection System) hybrides utilisent les NIDS et HIDS poura voir
des alertes plus pertinentes

6/11
10.1. NIDS (NETWORK BASED INTRUSION DETECTION SYSTEM)
 Capture 
o Récupération du trafic en temps réel
o La plupart utilisent la library standard libpcap
 Signatures
o Démarche d’analyse similaire à celle des antivirus
o NIDS est efficace s’il connaît l’attaque, mais inefficace en cas contraire
 Alertes
o Généralement stockées dans les journaux système
o Existe une norme qui permet d’en formaliser le contenu : IDMEF (Intrusion
Detection Message Exchange Format
o IDMEF : popularisé par le projet Prelude offrant infrastructure permettant aux IDS
de ne pas avoir à s’occuper de l’envoi des alertes

10.2. HIDS (HOSTBASED INTRUSION DETECTION SYSTEM)

 Dédie à un matériel ou OS
 Contrairement au NIDS, il récupère les infos qui lui sont données par l’OS ou le
matériel
 Plusieurs approches : signatures, comportement ou délimitation de périmètre avec
système ACL
 Se comporte comme un DAEMON ou service standard sur un système d’host qui
détecte une activité suspecte
 Si dépassement de la norme, alerte générée
 La machine peut être surveillée sur plusieurs points :
o Activité de la machine : nombre de listes de processus ainsi que des users
o Activité de l’utilisateur : horaires et durée des connexions, commandes utilisées,
messages envoyés, programmes activés, dépassement du périmètre défini
o Activité malicieuse : virus, ver, cheval de troie

10.3. IDS (INTRUSION DETECTION SYSTEM)

 Basé sur architecture distribuée où chaque composant unifie son format d’envoi
d’alerte
 IDMEF permet à des composants divers de communiquer et d’extraire des alertes plus
pertinentes (NIDS et HIDS)
 Avantages IDS hybrides
o Moins de faux positifs
o Meilleure corrélation
o Possibilité de réaction sur les analyseurs

7/11
10.4. IDS CONNUS
 NIDS
o Snort
o Bro
o Enterasys
o Check Point
o Tipping point
 HIDS
o AIDE
o Dark Spy
o Chkrootkit
o FCheck
o IceSword
o Integrit
 HYBRIDE
o Prelude
o OSSIM

10.5. IPS (INTRUSION PREVENTION SYSTEM)

 Outils des spécialistes en sécurités des systèmes d’informations
o Diminue impact d’une attaque
o IDS actif détecte balayage automatisé de l’IPS
o Les IPS peuvent parer les attaques connues et inconnues
o Comme les IDS, ils ne sont pas fiables à 100%

10.6. TROIS FAMILLES

 HIPS (host based intrusion prevention system) sont des IPS permettant de surveiller le
poste de travail à travers différentes techniques :
o Surveillances des processus des drivers
o En cas de détection de processus suspect le HIPS peut le tuer pour mettre fin à
ses agissements
o Les HIPS peuvent protéger des attaques de buffer Overflow
 NIPS (ntework intrusion prevention system) sont des IPS permettant de surveiller le
trafic
o Peuvent prendre des mesures telles que terminer une session TCP
o Une déclinaison en WIPS (wireless intrusion prevention system
 KIPS (kernel intrusion prevention system)
o Permettent de détecter toutes tentatives d’intrusion au niveau des noyau (IPS
moins utilisé)

8/11
10.7. LISTE DES IPS CONNUES
 Suricata
 Snort inline
 Panoptis
 PHP fiirewall
 Ossec
 Samhain
 Fail2ban

11. ATTAQUES INFORMATIQUE

 Exploitation d’une faille d’un système à des fins non connues par l’exploitant du
système et généralement préjudiciables

11.1. MOTIVATIONS
 Obtenir accès au système
 Voler des informations
 Glaner des informations personnelles
 Récupérer des données bancaires
 S’informer sur l’organisation
 Troubler le bon fonctionnement d’un service
 Utiliser un système de l’utilisateur comme « rebond »
 Utiliser les ressources du système de l’utilisateur notamment lorsque le réseau sur
lequel il est situé possède une bande passante élevée

9/11
11.2. PLUSIEURS CATEGORIES
 Accès physique
 Interception de communications
 Dénis de service
 Intrusions
 Ingénierie sociale
 Attaque par rebond
 Effort de protection

11.3. ACCES PHYSIQUE

 Un cas ou l’attaquant à accès aux locaux éventuellement même aux machines
o Coupure de l’electricité
o Extinction manuelle de l’ordinateur
o Vandalisme
o Ouverture du boîtier de l’ordinateur et vol de disque dur
o Ecoute du trafic

11.4. INTERCEPTION DE COMMUNICATIONS

 Distante ou locale
 Vol de session
 Usurpation d’identité
 Détournement ou altération de messages

11.5. DENIS DE SERVICE

 Exploitation de faiblesses de TCP/IP
 Exploitation de vulnérabilité des logiciels serveurs

11.6. INTRUSIONS
 Balayage de ports
 Élévation de privilèges : exploiter une vulnérabilité d’une application en envoyant une
requête spécifique
 Utilisation de Maliciels, Malware

11.7. INGENIERIE SOCIALE

 L’utilisateur ouvre une brèche sans le savoir par mégarde
 Fraude nigériane : fraude par courriel

10/11
11.8. ATTAQUE PAR REBOND
 Le pirate garde toujours à l’esprit le risque de se faire repérer, il privilégie les attaques
par rebond par opposition aux attaques directes
 Consiste à attaquer une machine par l’intermédiaire d’une autre machine
 Possible de se retrouver complice d’une attaque

11.9. EFFORT DE PROTECTION

 Sécurisation d’un système asymétrique
 Erreurs de programmation contenues dans le programme
 Appartient aux admins de se tenir informé des mises à jour
 D’autre part il existe un certain nombre de dispositifs (pare-feu, système de détection
d’intrusion, antivirus)

11/11