Chapitre : 3

infrastructures
 Périphérique réseau
• Les répéteurs sont des matériels de la couche 1. Un répéteur
reçoit les bits et ne fait que les renvoyer directement sans en
comprendre les protocoles au dessus. Ils permettent d’étendre la
longueur d’un réseau
• Un hub est un répéteur avec plus de 2 ports. Il reçoit un flux de
bits par un port et le répète sur tout les autres ports.
– ne permet aucune isolation de trafic et aucune sécurité.
– Pas de confidentialité ou d’intégrité.
– half duplex. -> indisponibilité.
– un domaine de collision.
– Peut être utilisé pour le forensic réseau, puisqu’il permet un accès en
promiscuité
Mme K. MEKLICHE 68
 Périphérique réseau
• Ponts : est un matériel de la couche 2. il possède 2 ports et
permet de connecter des segments réseaux ensemble.
– Le pont permet une isolation du trafic (les données envoyées d’un
ordi d’un côté vers un ordi du même coté ne passeront par le
pont…)
– Il possède 2 domaine de collisions
• Switch : est un pont avec plus de 2 ports
– Le switch permet une isolation de trafic en associant l’@mac de
chaque machine avec le port auquel il est connecté
– Le domaine de collision se limite à un port seul
– VLAN : On peut considérer un virtual lan comme si c’était switch
virtuel.
• La communication inter-VLAN requiert un routage de couche 3

Mme K. MEKLICHE 69
 Périphérique réseau
– Port span : pour Switched Port Analyzer. À cause de l’isolation du trafic par le
switch, un NIDS ne pourra voir le trafic envoyer aux différents élèments du
réseau. Le port span permet le mirroring du trafic vers un port span
• PB de BP, et possibilité pour le NIDS de ne pas voir tous le trafic.
• TAP réseau (test access port) : les tap permettent de mettre sur écoute le
trafic réseau et voir tous les flux dans un réseau. Les tap peuvent être en
« fail open » ce qui veut dire que le trafic passe dans le cas d’une
défaillance. Ce qui n’est pas vrai pour un hub ou un port span. Les taps
permettent aussi de voir tout le trafic, même les trames ethernet malformé.

Mme K. MEKLICHE 70
 Périphérique réseau
• Routeurs : les routeurs sont des appareils de la couche 3 qui permettent de
router le trafic d’un LAN vers un autre.
• Routeurs filtrants : en vrai, vous pouvez trouver qu’un routeur a plusieurs
fonctionnalités comme celle d’un parefeu, ou IDS en plus de son role de
routeur. Le rôle principal du routeur filtrant est de filtrer de paquets est de
permettre ou d'empêcher le passage des paquets de données reçus. Le
routeur examine tous les datagrammes conformément aux règles de
filtrage. Ces règles sont basées sur le contenu de l'en-tête du datagramme
(@ IP source et destination, protocole source et destination TCP/UDP), ainsi
qu'un message de type ICMP (Internet Control Message Protocol). Il est aisé
de vérifier si le paquet est destiné ou provient d'une localisation qui n'est
pas autorisée. Signalons au passage que le routeur se positionne au niveau
3 du modèle OSI et que le filtrage s'effectue généralement sur les segments
TCP et les datagrammes, UDP et IP.

Mme K. MEKLICHE 71
 Périphérique réseau
• Pare-feu : filtre le trafic entre les réseaux, on retrouve
principalement 3 types de pare-feu :
– Parefeu sans état : travaille sur la couche 3 et 4. il n’a pas de
concept d’état. chaque décision de filtrage doit se faire sur la base
d’un seul paquet. Limites de la technique :
• Manque de souplesse
– Si cette approche offre une défense simple et efficace, elle manque de
souplesse pour que sa mise en place en protection d’un réseau, dans la
majorité des cas, ne s’avère pas bloquante pour le bon fonctionnement
des systèmes du réseau concerné.
• Difficulté pour gérer certains protocoles
– Certains protocoles sont particulièrement délicats à gérer à l’aide
de cette technique comme FTP (le suivi des échanges FTP est une
opération complexe) ou TCP (protocole de type connecté)

Mme K. MEKLICHE 72
 Périphérique réseau
• Pare-feu : filtre le trafic entre les réseaux, on retrouve
principalement 3 types de pare-feu :
– Le parefeu à état : possède une table d’état qui permet au
parefeu de comparer les paquets courants aux paquets
précédents. Limites :
• Risque d’accès illimité
– Si cette approche apporte une amélioration certaine par rapport à la
technique du filtrage simple de paquets, elle se borne cependant à
autoriser ou interdire l’accès à un service donné. Dès lors que l’accès à
un service est accordé, celui-ci est illimité.
• Faille interne au firewall
– Ne protège aucunement un serveur contre les attaques s’appuyant sur
des failles du logiciel utilisé pour fournir le service.

Mme K. MEKLICHE 73
 Périphérique réseau
– Parefeu proxy : travaille sur la couche 5,6 et 7. ce sont des parefeu qui
agissent comme serveur intermédiaire. Tout comme un NAT il cache
l’origine d’une connexion. Les proxy parefeu de la couche application
peuvent prendre des décisions de filtrage relative aux données de la
couche 7. comme le trafic HTTP. Ils sont dédiés. Ce qui permet d’avoir
des règles de filtrages plus spécifiques et plus fermes. Ce qui pourrait
permettre de bloquer l’accès à un contenu web particulier. Ces systèmes
se substituent au serveur ou au client qu’ils ont pour mission de
défendre pour :
• traiter les requêtes et réponses à la place du système à protéger,
• les transmettre, après d’éventuelles modifications
• ou les bloquer
– Limites de la technique :
• Adapatabilité
– En premier lieu, tout protocole transitant par le firewall doit être connu de
celui-ci pour pouvoir bénéficier de ses capacités de proxy.

Mme K. MEKLICHE 74
 Périphérique réseau
– Parefeu proxy : limites
• Difficulté
– Comme la gamme de protocoles à examiner étant grande, il est délicat
d’obtenir un système éliminant réellement toutes les attaques envisageables.
• Failles du proxy
– Un tel système a pour rôle, comme les clients et serveurs qu’il défend,
d’interpréter, comprendre et réécrire les requêtes et réponses qu’il reçoit. Or,
c’est précisément ce type de fonctionnalités qui est à l’origine d’une vaste
majorité des failles applicatives.
• Performance
– Enfin, le gain de sécurité obtenu à l’aide du proxy applicatif se paie en termes
de performances : les tâches que ce système a pour rôle de réaliser étant
nettement plus complexes que celles du firewall stateful, une machine
puissante est nécessaire pour faire tourner ce type de logiciel, et il est rare que
des débits réseau supérieurs au cinquième des débits gérés par un firewall
stateful puissent être traités.

Mme K. MEKLICHE 75
 Périphérique réseau
• Différences entre parefeu à état et parefeu proxy

Mme K. MEKLICHE 76
 Périphérique réseau
• Architecture d’un parefeu :
– Hôtes bastion : est un hôte qui est complètement exposé aux attaques.
Ex : firewall ou routeurs, peuvent être considéré comme des hôtes
bastions. Les servers web, ftp, mail et dns sont aussi des hôtes bastions.
Les hôtes bastions sont configurés pour limiter les méthodes d’attaques
potentielle. Les best practices de configuration d’un hôte bastion sont :
• Désactiver ou supprimer les services ou démons inutiles de l’hôte
• Désactiver ou supprimer les comptes utilisateurs inutiles
• Désactiver ou supprimer les protocoles réseaux inutiles
• Désactiver ou supprimer les utilitaires et outils de configuration système dont
on a pas besoin.
• Faire les mises à jour de sécurité du système d’exploitation
• Fermer tous les ports non utilisés ou inutile
• Chiffrer les bases de données de mot de passe et de comptes utilisateurs si
possible
• La journalisation de tout évènement relative à la sécurité doit être faite et des
mesures doivent être prises pour s’assurer de l’intégrité des journaux afin qu’un
intrus ne puisse pas effacer ses
Mmetraces
K. MEKLICHE 77
 Périphérique réseau
• Architecture d’un parefeu :
– Hotes dual-homed : un hôte dual-homed a deux NIC, une connectée à
un réseau de confiance et l’autre à un réseau non sûr (ex : internet).
L’hôte dual-homed ne route pas, en effet un utilisateur voulant accéder
au réseau de confiance à partir d’internet doivent d’abord s’authentifier
à cet hôte puis accéder au réseau interne à partir de là.
– Screened host architecture (architecture d’hôte filtrant) : est une
architecture réseau utilisant un routeur filtrant permetant de filtrer les
trafic externes de et vers un hôte bastion en utilisant des ACLs. L’hôte
bastion peut atteindre les ressources internes, mais les ACLs du routeur
empêche l’interaction direct entre le réseau interne et externe. La
différence entre une architecture dual-homed et screened host est
l’utilisation d’un routeur filtrant qui filtre le trafic internet vers les
systèmes internes.

Mme K. MEKLICHE 78
Hôte Dual-Homed

Screened-host network
Mme K. MEKLICHE 79
 DMZ
• En informatique, une zone démilitarisée (ou DMZ, de l'anglais
demilitarized zone) est un sous-réseau séparé du réseau local et
isolé de celui-ci et d'Internet par un pare-feu. Ce sous-réseau
contient les machines étant susceptibles d'être accédées depuis
Internet.
• Le pare-feu bloquera donc les accès au réseau local pour garantir
sa sécurité. Et les services susceptibles d'être accédés depuis
Internet seront situés en DMZ.
• En cas de compromission d'un des services dans la DMZ, le pirate
n'aura accès qu'aux machines de la DMZ et non au réseau local.
• La figure ci-contre représente une architecture DMZ avec un pare-
feu à trois interfaces. L'inconvénient est que si cet unique pare-feu
est compromis, plus rien n'est contrôlé. Il est cependant possible
d'utiliser deux pare-feu en cascade afin d'éliminer ce risque.
Mme K. MEKLICHE 80
DMZ

Mme K. MEKLICHE 81
 Honeypot
• Honeypots : sont des systèmes conçu pour attirer les
attaquants.
– A pour but de faire croire à un attaquant qu’il peut prendre le
prendre le contrôle d’une véritable machine de production.
– Permettre à l’administrateur d’observer les moyens de
compromission des attaquants et de se prémunir contre de
nouvelles attaques
– Deux types de honeypot :
• Honeypot à faible interaction : ex honeyd, specter. Leur but est de recueillir
un maximum d’informations tout en limitant les risques en offrant un
minimum de privilèges aux attaquants.
• Honeypot à forte interaction : il repose sur le principe de l’accès à de
véritables services sur une machine du réseau plus ou moins sécurisée. Les
risques sont beaucoup plus importants que pour les honeypots à faible
interaction. Il est important de sécuriser l’architecture du réseau pour que
l’attaquant ne puisse pas rebondir et s’en prendre à d’autres machines
Mme K. MEKLICHE 82
 Protocoles de sécurisation de
communication
• VPN : Virtual Private Network sécurise les données
envoyées à travers un réseau non sûr (ex : Internet).
Protocoles de tunnelisation :
– Ipsec : défini par l'IETF comme « un cadre de standards
ouverts pour assurer des communications privées et
protégées sur des réseaux IP, par l'utilisation des services de
sécurité cryptographiques, est un ensemble de protocoles
utilisant des algorithmes permettant le transport de données
sécurisées sur un réseau IP. »
• N’est pas limité à une seule méthode d’authentification
• IPsec opère à la couche réseau (couche 3 du modèle OSI) ce qui le
rend indépendant des applications.
Mme K. MEKLICHE 83
Protocoles de sécurisation de
communication
Modes de fonctionnement d’IPSEC

Mme K. MEKLICHE 84
 Protocoles de sécurisation de
communication
– SSL et TLS : Secure Socket Layer a été conçu pour protéger les
données HTTP, HTTPs utilise le port 443. TLS est la dernière
version de SSL (SSLv3.1). Initialement axé web. SSL/TLS peut être
utilisé pour chiffrer des données et utiliser pour le tunneling. VPN
SSL sont plus simple que leur équivalent IPSEC.
• VoIP : Voice over IP est une technique qui permet de
communiquer par la voix sur des réseaux compatibles IP.
– Real-time Transport Protocol est le protocole basé sur UDP/IP qui
permet de transporter la voix sur IP.
– SRTP (Secure RTP) : peut être utilisé pour fournir une sécurité au
VoIP, incluant confidentialité (en utilisant AES), intégrité et
authentification des message (HMAC-SHA-1).

Mme K. MEKLICHE 85