CYBTO

Organisation et sécurité du Système

d'Information
Module 5 : Gestion des
flux réseau
 Les équipements du réseau

© Global Knowledge Training LLC. All rights reserved. Page 3

 Les équipements du réseau

© Global Knowledge Training LLC. All rights reserved. Page 4

 Les équipements du réseau

© Global Knowledge Training LLC. All rights reserved. Page 5

 Les équipements du réseau

© Global Knowledge Training LLC. All rights reserved. Page 6

 Les équipements du réseau

© Global Knowledge Training LLC. All rights reserved. Page 7

 Mise en œuvre de la sécurité

© Global Knowledge Training LLC. All rights reserved. Page 8

 Mise en œuvre de la sécurité

© Global Knowledge Training LLC. All rights reserved. Page 9

 Les équipements du réseau

© Global Knowledge Training LLC. All rights reserved. Page 10

 Les équipements du réseau

© Global Knowledge Training LLC. All rights reserved. Page 11

 Les équipements du réseau

© Global Knowledge Training LLC. All rights reserved. Page 12

 Contrôler les interfaces

© Global Knowledge Training LLC. All rights reserved. Page 13

Détection d’intrusion
 Les équipements du réseau

© Global Knowledge Training LLC. All rights reserved. Page 15

 Systèmes de détection d’intrusion (IDS)

 En anglais : IDS = Intrusion Detection System

 Un système de détection d’intrusion permet de repérer des attaques
 Un IDS doit être utilisé en plus d’un pare-feu
 Un IDS est une protection également à l’intérieur du réseau
 Méthodes utilisées :
 Détection d’anomalies
 Détection par signature
 Détection par utilisation d’un « pot de miel »

© Global Knowledge Training LLC. All rights reserved. Page 16

 Architecture d’une solution IDS-IPS

 La sonde : c’est l’équipement qui se charge de l’analyse en temps réel. 2

types de sondes :
 Matériel, c’est un équipement dédié à cette fonction, souvent riche en fonction
et très performant,
 Logiciel, elle est intégrée à un équipement multifonction ; routeur, firewall,
concentrateur VPN ou serveur proxy.
 La station de supervision : elle gère les sondes, les configurations, elle
centralise les mises à jours.
 La station de collecte des alarmes : elle édite des journaux
d’événements.

© Global Knowledge Training LLC. All rights reserved. Page 17

 Détection active ou passive

 Détection active :
 Interruption de l’attaque
 Equipement installé sur le chemin : en coupure du réseau
 Détection passive :
 Détection et envoi d’alarme uniquement
 Ne se trouve pas forcément sur le chemin

© Global Knowledge Training LLC. All rights reserved. Page 18

 Sonde : IDS - IPS

 IDS : un système de détection d’intrusion a la capacité de détecter des

attaques contre un réseau, ses équipements et les hosts.
 IPS : un système de prévention d’intrusion a la capacité de détecter et
d’éviter les détournements, les abus et les accès non autorisés aux
ressources du réseau.
 La différence entre IDS et IPS porte sur l’action déclenchée suite à la
détection de l’intrusion.

© Global Knowledge Training LLC. All rights reserved. Page 19

 Technologies de détection d’intrusions

 Détection basée sur l’analyse du profil :

 Aussi connue sous le nom de détection d’anomalies.
 Nécessite la création de profils basés sur les statistiques. Profils pour les
utilisateurs comme pour les applications.
 Sujet à un grand nombre d’erreurs puisqu’il est difficile de définir un profil
«normal».

© Global Knowledge Training LLC. All rights reserved. Page 20

 Détection d’anomalies

 On définit un modèle pour le trafic normal

 L’IDS envoie une alerte pour tout trafic qui ne correspond pas au modèle
 Efficace quand on parvient à décrire suffisamment bien ce qu’est un trafic
« normal »
 La détection d’anomalies au niveau des protocoles fonctionne également
(conformité du protocole et respect des RFC)

© Global Knowledge Training LLC. All rights reserved. Page 21

 Technologies de détection d’intrusions

Détection basée sur des signatures :

 Consiste à comparer les flux réseau avec le format numérique connu
d’activités suspectes déjà identifiées.
 Nécessite la création de signatures pour chaque abus, tentative de collecte
d’informations ou d’attaques.
 Pas sujet aux faux positifs puisque l’on fait référence à un événement
identifié.

© Global Knowledge Training LLC. All rights reserved. Page 22

 Détection par signature

 Utilisation d’une base de données contenant les signatures des attaques

connues (comme un antivirus)
 L’IDS envoie une alerte quand le flux correspond à l’une des signatures
 Nécessite une mise à jour automatique
 Inefficace face aux nouvelles menaces (avant mise à jour) et aux
variantes (attaques proches mais inconnues)
 Paramétrage possible et souvent indispensable

© Global Knowledge Training LLC. All rights reserved. Page 23

 Technologies de détection d’intrusions

 Détection basée sur l’analyse de protocole :

 Consiste à vérifier la conformité du paquet, la cohérence des informations
transmises dans les entêtes.
 Vérifie la conformité des échanges successifs et analyse les données
utilisateur. Elles sont comparées aux signatures.

© Global Knowledge Training LLC. All rights reserved. Page 24

 Génération des Signatures

1. Dès qu’une nouvelle menace est découverte, son vecteur de

propagation est isolé. Son analyse permet de définir la signature.
2. La signature est ensuite codée par les éditeurs d’IDS puis mise à
disposition des clients.
3. Le client final doit s’informer de cette nouvelle menace.
4. Télécharger la nouvelle signature.
5. L’intégrer dans son environnement puis la déployer.
La fenêtre d’exposition est le temps qui s’écoule entre la phase 1 et la
phase 5

© Global Knowledge Training LLC. All rights reserved. Page 25

 Détection par utilisation d’un « pot de miel »

 Mise en place d’une machine isolée dans le seul but de détecter des
attaques
 Cette machine ne contient pas de réelles données mais ressemble à un
serveur classique
 L’administrateur est averti du moindre accès à cette machine

© Global Knowledge Training LLC. All rights reserved. Page 26

 Précautions à prendre

 Les fausses alarmes

 Un faux positif : un trafic ordinaire ou une action sans danger qui déclenche
une alarme
 Un faux négatif : un trafic malicieux ou une attaque qui ne déclenche pas
d’alarme
 L’IDS lui-même doit être protégé !
 Si l’IDS est corrompu, les attaques seront dissimulées
 Performance
 L’équipement ne doit pas provoquer de ralentissement
 L’IDS doit pouvoir absorber un trafic très important pour ne manquer aucun
paquet
 La réactivité suite aux alertes est primordiale !
© Global Knowledge Training LLC. All rights reserved. Page 27
 Types de périphériques IDS

 NIDS ou HIDS
 Actif ou passif Host Pot de miel
 Pot de miel
Host

IDS
HIDS NIDS

© Global Knowledge Training LLC. All rights reserved. Page 28

 Sonde : IDS - IPS

 NIDS/NIPS : un système de détection qui analyse le trafic réseau. Il

capture le flux d’un segment Ethernet ou d’un vlan. Il s’exécute sur un
équipement réseau (FW, Routeur, nids).
 HIDS/HIPS : un système de détection qui analyse le trafic entrant sur un
host (serveur ou poste de travail). Il intercepte les appels systèmes émis
par les applications. C’est un logiciel chargé dans la mémoire du host.

© Global Knowledge Training LLC. All rights reserved. Page 29

 Détection réseau (NIDS)

 NIDS = Network IDS

 Surveille tout le trafic du
réseau local
 Peut surveiller n’importe quel
Réseau trafic à destination des
local machines du réseau
Internet

NIDS

© Global Knowledge Training LLC. All rights reserved. Page 30

 Détection sur une machine (HIDS)

 HIDS = Host IDS

 Logiciel installé sur une machine (serveur)
 Analyse le trafic de cette machine en entrée et en sortie
 Peut surveiller les applications (services hébergés)
 Peut fonctionner avec un contrôle d’intégrité sur les fichiers

© Global Knowledge Training LLC. All rights reserved. Page 31

 Administration centralisée et positionnement

 On ne peut pas détecter toutes les attaques avec un seul IDS

 On peut choisir de protéger spécifiquement une partie du réseau
regroupant un grand nombre de données sensibles
 On peut aussi multiplier le nombre d’IDS en les positionnant de part et
d’autre du pare-feu

© Global Knowledge Training LLC. All rights reserved. Page 32

 Sonde en mode IPS

 La sonde analyse les flux autorisés et acceptés par le firewall, ces flux sont
dans le réseau de l’entreprise et donc près des cibles sensibles tels que les
serveurs.
 La sonde peut également analyser les flux avant leurs inspections par le firewall
dans un objectif de statistique.
Réseau
d’entreprise Réseau
Public

Switch Sonde Switch Routeur Firewall Non sûr

Station de supervision
© Global Knowledge Training LLC. All rights reserved. Page 33
 Réactions après une détection d’intrusion

 Les actions dépendent du mode IDS ou IPS :

 Un IDS peut :
– Générer une alarme vers sa station de supervision.
– Fermer la session dans le cas d’un flux TCP.
– Consigner en fichier l’ensemble des paquets liés à l’attaque.
– Configurer en temps réel un équipement tiers (firewall ou routeur) pour filtrer les
flux en provenance de l’intrus.
 Un IPS peut, en plus des actions listées ci-dessus :
– Jeter le paquet, mettant ainsi fin à l’attaque.

© Global Knowledge Training LLC. All rights reserved. Page 34

 Intégration de l’IDS dans son environnement

 Les réseaux sont tous différents, par leurs contenus, par leur exploitation,
par leurs applications.
 Un IDS n’est efficace que s’il est intégré correctement au réseau qu’il doit
analyser.
 L’intégration de l’IDS passe par :
 La configuration des signatures.
 Le tuning des alarmes.

© Global Knowledge Training LLC. All rights reserved. Page 35

 Intégration de l’IDS dans son environnement

 La configuration des signatures.

 Définir les ripostes pour chaque signature :
– Drop – Reset – Alert – Log – Block
 Certaines signatures ne correspondent à aucune menace pour votre réseau,
il faut les désactiver.
 Certaines signatures mineures représentent, dans votre réseau, une menace
majeure, il faut adapter le niveau de réponse à y apporter.
 Il est parfois nécessaire de corréler plusieurs signatures avant de déclencher
une alarme (Méta signature).
 Création de signatures personnalisées.

© Global Knowledge Training LLC. All rights reserved. Page 36

 Intégration de l’IDS dans son environnement

 Le tuning des Alarmes.

 Certaines signatures nécessitent une alarme par occurrence.
 Pour éviter d’inonder la station de supervision par les alarmes, la sonde doit
pouvoir résumer plusieurs occurrences de la même signature en une seule
alarme.
 Pour certaines signatures, l’action dépend de la volumétrie de l’attaque.
 Une signature peut représenter une menace réelle pour un serveur et rester
inoffensive pour un autre serveur ; le niveau de l’alarme dépend aussi de la
cible.
 Pour qu’un administrateur ne traite que les alarmes « utiles », un système
expert doit au préalable en juger la pertinence.

© Global Knowledge Training LLC. All rights reserved. Page 37

 Principales caractéristiques des Sondes

 Doit inclure les deux méthodes de détection

 Détection d’anomalie (et analyse de protocole)
 Détection par signature
 Doit être paramétrable
 Doit proposer différents systèmes d’alerte
 Pop-up, e-mail, sms ou pager
 Doit permettre de rejouer les attaques
 Doit pouvoir stopper une attaque (IDS active ou IPS : Intrusion
Prevention System)
 Doit proposer des mises à jour régulières
© Global Knowledge Training LLC. All rights reserved. Page 38
Mise en œuvre d’un
UTM
 Mise en oeuvre d’un UTM

Un UTM (Unified Threat Management) est un pare-feu amélioré. Il regroupe

un grand nombre de fonctionnalités :
 Filtrage (firewall)
 Sonde (détection d’intrusion)
 Proxy (http, smtp,…)
 Filtrage d’URL
 Antivirus
 Antispam
 Gestion des accès VPN (PPTP, SSL, IPSec)
© Global Knowledge Training LLC. All rights reserved. Page 40
 Mise en oeuvre d’un UTM

© Global Knowledge Training LLC. All rights reserved. Page 41

 Mise en oeuvre d’un UTM : filtrage

© Global Knowledge Training LLC. All rights reserved. Page 42

 Mise en oeuvre d’un UTM : filtrage

© Global Knowledge Training LLC. All rights reserved. Page 43

 Mise en oeuvre d’un UTM : filtrage

© Global Knowledge Training LLC. All rights reserved. Page 44

 Mise en oeuvre d’un UTM : filtrage

© Global Knowledge Training LLC. All rights reserved. Page 45

 Mise en oeuvre d’un UTM : sonde

© Global Knowledge Training LLC. All rights reserved. Page 46

 Mise en oeuvre d’un UTM : sonde

© Global Knowledge Training LLC. All rights reserved. Page 47

 Mise en oeuvre d’un UTM : sonde

© Global Knowledge Training LLC. All rights reserved. Page 48

 Mise en oeuvre d’un UTM : sonde

© Global Knowledge Training LLC. All rights reserved. Page 49