COURS SÉCURITÉ

des R É S E A U X

Dr. Zeraoulia Khaled- Master S S I

Stratégie de sécurisation des réseaux

 Stratégie de sécurité des réseaux

 Concepts de bases

 Techniques de sécurisation des réseaux

 Indicateurs, critères d évaluations,…;

 Méthode d’implémentation

 Sécurité en profondeur ( défense Interne)

 Périmètre de Défense

 Gouvernance

 Contrôles
 Pré-requis

⚫ Réseau (Standard TCP-IP)

⚫ Administration des réseaux et des systèmes

 Outils de
travail:
⚫ Packet tracer, GNS3, Vmware,
⚫ Wireshark…
Techniques de sécurisation des réseaux

 Types et sources d’attaques réseaux (Attaque

dénis de services, Intrusion, Spamming, ARP spoofing, IP
spoofing, attaque par UDP,ICMP, TCP , failles des
applications….)
 Sécurisation des infrastructures (NAT, Firwall,
Proxy)
 Interconnexions des sites (IPsec, kerberos, ldap,
DMZ,IDS)
 Sécurisation des applications (SSH, SSL, TLS, ,
HTTPS,DNS, Firewall applicatifs)
 IP-SEC, VPN: VPN: PPTP, L2TP/IPSEC, VPN SSL
 Sécurité de routage
Techniques de sécurisation des réseaux

 Isolation -Filtrage –Segmentation

 Préventive- détective-préventive

 Proactive-Réactive
Concepts de bases

 Stratégie vs Tactique vs opérationnel

 Stratégie de sécurisation orienté services

 Services visibles vs Service support

 Services Métiers vs Service support

 Chaine de production de services IT

 Phases de mise en place des stratégies

 Ingénierie et pré- déploiement

 Conception et implémentation

 Déploiement, maintenance, Amélioration….

Concepts de bases : Investigation
Concepts de bases : Investigation
Pre-evalauation

 Le réseau: système support avec ses caractéristiques matérielles(switch,

routeurs,…) et logicielles (protocoles)

 Le système d’information: systèmes d’exploitation et applications diverses et

variées

 La sécurité informatique: Ensemble de moyens mis en œuvre pour éviter ou

minimiser les défaillances naturelles dues à l’environnement ou au défaut du
système d’information et les attaques malveillantes « intentionnelles » dont
les conséquences sont catastrophiques .
Sécurité informatique
1. Recherche du risque sécurité dans la chaîne de développement et/ou
de production en utilisant des méthodes appropriées

2. Inspection des différents éléments de sécurité mis en

œuvre lors du cycle de développement ou de production (ISO17799)- autre
normes 27000- 27005
L' I N F O R M A T I Q U E E T L ' ENTREPRISE

Les données des services informatiques partagés en

réseaux ont un niveau de sensibilité et de
confidentialité

Autant de risques pour les données Mise en place

d'une politique de sécurité

Risques et Menaces
 LES FAILLES…
 Des mots de passe largement diffusés ou trop simples à retrouver.
 Des données non sauvegardées et perdues.
 Des paramètres de connexions d’un utilisateur (identification/mot de passe)
non désactivés alors que cette personne ne fait plus partie de l’organisation.
 Des droits d’accès illimités accordés à des fournisseurs ou à des sous-
traitants.
 Des accès physiques à des machines non sécurisés.
 Des ordinateurs perdus ou volés.
 Des données corrompues par des virus.
 Des supports physiques de données jetés sans avoir été préalablement
effacés.
 Le serveur de messagerie utilisé pour la transmission de messages non
autorisés causant des dégradations de service ou de données.
 Des attaques depuis l’extérieur du réseau qui ciblent l’organisation.
 Des risques ou des incidents sans rapports formalisés ou enregistrement.
 ……….
Minimisation des risques
 Entreprise classique: Estimer le coût du risque et le coût de sa
protection

 Entreprise industrielle sensible(systèmes temps réel):

Classifier les risques de pannes en :

 Pannes catastrophiques qui ne devraient pas se produire =>

prévoir des techniques très sévères de validation et de
certification.

Mise en service d’un système si et seulement si une :

« confiance » ou « fiabilité » très élevée lui est accordée

 Pannes non catastrophiques : Estimer le coût de protection

Evaluation de risque: Niveaux de gravité et
niveaux de probabilité d’occurrence

 Le niveau de gravité est échelonné sur cinq

niveaux: négligeable, mineur, majeur, grave et
catastrophique

 Le niveau de probabilité est aussi échelonné sur

cinq niveaux: extrêmement improbable,
extrêmement rare, rare, probable et fréquent
Classification des risques

 Acceptables: pas de conséquences graves sur l’entreprise (panne

électrique, perte de liaison, congestion momentanée sur un réseau

 Courants: pas de préjudices graves, on peut réparer facilement

(mauvaise configuration, erreur d’administration de réseau, etc.…)

 Majeurs: dus à des facteurs graves causant de gros dégâts mais

récupérables (panne sèche d’un routeurs, perte des transactions d’une
journée ou d’une semaine, etc.…)

 Courants: pas Inacceptables: fatales pour l’entreprise, ils peuvent entraîner

le dépôt de bilan (perte d’information importante ou corruption, etc.…)
 Gravité

Criticité

No n 4
Catastrophique
Acc ept abl e
3
Grave
2

Majeur
1

Mineur

Négligeable Acce ptable

Extrèmement

Extrèmement

Rare

Probable

Fréquent
Probabilité
Improbable

Rare

d’occurrence
LES MENACES
Menaces
Ensemble des actions de l’environnement pouvant
entraîner des catastrophes financières, ce sont des
résultantes d’actions et d’opérations du fait d’autrui
- Menaces relevant de problèmes non spécifiques à
l’informatique: Techniques de protection assez bien
maîtrisées

- Pannes et erreurs non intentionnelles: Ensemble

des actions non intentionnelles inhérentes au
système de sa spécification à son utilisation et sa
maintenance peuvent entraîner des pertes
financières
- Menaces intentionnelles: Ensemble des actions
malveillantes constituant la plus grosse partie du risque
qui devraient être l’objet principal de protection

Menaces passives: atteinte à la confidentialité

(prélèvement par copie, écoute de l’information sure les
voies de communication, indiscrétions, elles sont souvent
indétectable

Menaces actives: nuisent à l’intégrité des données

(modification, déguisement, interposition, virus, ver,
etc.…)
Classification des menaces

1 Déguisement: se faire passer pour quelqu’un d’autre

2 Répétition(Replay, rejeu): espionner une interface, une voie de communication pour

capter des opérations et obtenir une fraude

3 Analyse de trafic: observer le trafic des messages échangés pour en déduire (deviner)
des informations sur des décisions futures

4 Inférence: obtenir des informations confidentielles (non divulgables) à travers des

questions autorisées généralement de nature statistique

5 Déni de services: un émetteur ou récepteur affirme n’avoir pas respectivement émis

ou reçu un ordre

6 Modification des données, des messages ou des programmes pour s’attribuer des
avantages illicites

7Modification à caractère de sabotage pour détruire des systèmes ou des informations

8- Attaque par saturation

Sensibilité/vulnérabilité

Sensibilité: plus l’information est stratégique, plus elle a de la valeur, plus elle doit
être confidentielle et plus elle est sensible

Vulnérabilité: Degré d’exposition au danger (on peut parler de fragilité, de

faiblesse, de pauvreté du système de protection)

Le risque est estimé (apprécié) en fonction de la sensibilité et de la vulnérabilité

 Avoir une de Politique de Sécurité

1 être conscient des risques et des menaces éventuelles, de la nature de ces derniers et
de la force des attaquants éventuels

2 délimiter le problème de sécurité ou de l’application

- Qui est concerné par la sécurité
- Où et à quel moment particulier, la sécurité doit s’appliquer

3 organiser la sécurité: établir des règles qui fixent les actions autorisées et interdites
par les personnes et les systèmes

4 évaluer le coût d’une éventuelle attaque

5choisir les contre-mesures adéquates

6- évaluer les coûts des contre-mesures

7- décider de mettre en œuvre

 La protection des données
La sécurité des données se définit par

La disponibilité
Offrir à l'utilisateur un système qui lui permette de continuer ses travaux
en tout temps.
Peut être interrompue à la suite d'un sinistre tel que la panne, la rupture
physique du réseau, l'erreur, la malveillance, etc.
L'intégrité
Garantir la qualité de l'information dans le temps.
Peut être détériorée suite à des erreurs telles que saisie d'information
erronée voire illicite, destruction partielle ou totale de l'information, etc.
La confidentialité
Se prémunir contre l'accès illicite à l'information par des personnes non
autorisées.
Peut être piratée, détournée, etc.
L a sécurité de l’information : les composantes

Confidentialité

Disponibilité Intégrité

C ritères
de
sécurité

Non
Authenticité
répudiation
 La Disponibilité
• Application messagerie • probabilité de mener à terme une
session de travail

• Accessibilité, temps de réponse

• Capacité de la ressource

•Génération des messages dont le

destinataire est le réseau piraté
(spamming)
 Les statistiques (1)
Les chiffres de la sécurité selon Computer Security
Institute :
•la baisse des intrusions réussies au sein des entreprises au profit d’une
hausse des dégâts viraux et des dénis de service. Ces deux derniers types
d’attaques se hissent également à la première place des incidents en terme
d’impact financier,

• 50% ont signalés des violations de sécurité,

• 35% ont souffert d'attaque par déni de service,

• 25% ont fait l'objet d'une intrusion à distance,

•54% ont indiqué qu'Internet constituait le point d'entrée pour les intrus.
 Les statistiques (2)
• Le Malware : l'attaque la plus souvent observée 67,1 %

• Moins d'incidents de fraude financière que les années précédentes 8.7%

•45.6% des entreprises qui ont connu au moins un incident de sécurité l'année dernière, ont déclaré
qu'ils ont fait l'objet d'au moins une attaque

•Les répondants ne croient pas que les activités des initiés malveillants représentent une grande
partie de leurs pertes dues à la cybercriminalité

• 59,1 pour cent croient qu'il n'existe pas de telles pertes étaient dues à des initiés malveillants

•51% du groupe a déclaré que les organisations n'utilisent pas le cloud computing . 10% disent que
leurs organisations, non seulement utiliser le cloud computing, mais ont déployé des outils de
sécurité cloud spécifiques

2010 /2011 C S I C omputer C rime and Secu rity S u rvey

LA MENACE VIENT DE “ L ’ EXTÉRIEUR ”

Destruction
13% La majeure partie des
Erreur de
Bugs, manip. incidents peuvent être gérés au travers
Erreurs, interne de :
Négligences 19%
65% - Politiques et procédures

Attaque
- Classification de l’information
depuis
l'extérieur
-Formation et Sensibilisation des
Source : FBI computer security survey 3% utilisateurs

La réalité : seuls 3%
Les autres types
d’incidents relèvent de :
des incidents majeurs
- Équipe de traitement des incidents viennent de
-Technologie : Solutions de défense à “l’extérieur.”
plusieurs niveaux : pare-feux,
authentification des utilisateurs,
cryptage etc.…
Conséquences d’une sécurité non maîtrisée

 Perte de temps (réinstallation de systèmes)

 Perte de données (réécriture ou régénération des données
perdues)
 Domaines informatiques
-Détournement d’argent
- Faillite d’entreprise
- Pannes …
 L a sécurité de l’information : les composantes

• Politiques et Normes •Les outils physiques et

•Formation & Changements logiques
Culturels •Surveillance étendue de
l’Extranet: protection,
Périmètre détection, réaction
Gouvernance
de Défense
Gestion & Technologie &
Stratégie de
Stratégies Architecture
Sécurité

Défense • Identifications fiables

Contrôles
•Une démarche basée sur
Interne •Contrôle local des accès;
l’analyse des risques contrôle centralisé des
• Implication de la Direction configurations
• Contrôles indépendants • Classification appropriée
des informations
• Sauvegardes et reprise sur
incident
 • Politiques et Directives
LE VOLET GOUVERNANCE • Formation & Changements
Culturels
Gouvernance
Périmètre
de Défense

O R G A N I S AT I O N S f í C U R I T f í - P O L I T I Q U E S E T Stratégie de
Sécurité

DIRECTIVES Contrôles
Défense
Interne

Instances de decision

Comité de
Groupe
entité centrale
Responsable pilotage Audit Politiques
SSI du groupe Contrôle général PSSI

Comité
sécurité des SI
Propriétaires des outils
Responsable applicatifs
Pôles SSI / pôle Utilisateurs des
entités
organisationnelles Comité sécurité
informations
des pôles Directives

Entité Étude & développement Production

Conception d’architecture et d’application Mises a jour
informatique Spécifications fonctionnelles Administration des systèmes
Développement d’application Installations, déploiements
Maintien en condition opérationnelles
 • Politiques et Directives
Périmètre
• Formation & Changements
L E VOLET GOUVERNANCE
Gouvernance
de Défense
Culturels
Stratégie de
Sécurité

Défense
Contrôles
Interne

 L a politique de sécurité est l'ensemble des orientations suivies par une organisation en
terme de sécurité. A ce titre elle se doit d'être élaborée au niveau de la direction de
l'organisation concernée, car elle concerne tous les utilisateurs du système.

Élaborer des règles et des procédures à Surveiller et détecter les Définir les actions à
Identifier les besoins en terme
mettre en oeuvre dans les différents services vulnérabilités du système entreprendre et les
de sécurité, les risques
de l'organisation pour les risques identifiés en d'information et se tenir personnes à
informatiques pesant sur
se conformant aux exigences légales, informé des failles sur les contacter en cas de
l’organisation et leurs
statutaires, réglementaires ou contractuelles applications et matériels détection d'une
éventuelles conséquences
utilisés menace

• Les finalités d'une politique de sécurité s'articulent autour de 4 axes

Susciter la confiance dans le

Créer une structure chargée
Sensibiliser aux d'élaborer, de mettre en oeuvre
risques pesant sur des règles, consignes et
les systèmes procédures cohérentes pour
d'information assurer la sécurité des systèmes
informatiques
Promouvoir la coopération entre
système d'information de
les différents services et unités de
l'établissement, faciliter la mise
l'établissement pour l'élaboration
au point et l'usage du système
et la mise en oeuvre des règles
d'information pour tous les
consignes et procédures définies
utilisateurs autorisés de
l'établissement
 • Politiques et Directives Périmètre

LE GOUVERNANCE
Gouvernance

VOLET •Formation & Changements de Défense

Culturels
Stratégie de

P R O G R A M M E S D E F O R M AT I O N - V E R S U N E Sécurité

Défense
C U LT U R E D E L A S f í C U R I T f í
Contrôles
Interne

 La sensibilisation des utilisateurs à la sécurité, leur

formation à la sécurité et leur éducation sont
absolument nécessaires à la mise en œuvre d’un
programme de sécurité de l’information Enseignement de la
sécurité.
Les connaissances et
La sensibilisation ou prise de conscience des La formation à la sécurité. les compétences
utilisateurs à la sécurité. Adaptée a faire comprendre les aspects sécurité S a cqIuise par cet
Son but est de concentrer l’attention sur la sécur ité. généraux et spécifiques à l’utilisateur. enseignement sont plus
Le programme de sensibilisation doit être clairem ent larges et en profondeur
Par exemple tous les utilisateurs doivent connaîqtrueelelas formation de
établi. caractéristiques de sécurité du LAN, de connectli’vuittielisateur. Il inclus des
Par exemple une campagne de sensibilisation p eut intranet & internet, des routines automatiques répsridoegnratemsmede
prendre la forme d’une pléthore d’affiches rappelant sur leur PC… et de chaque application spécifiquce erqtifuic’ilastion et
que les mots de passe ne doivent pas être partagés. utilisent.
s’adresse aux
La sensibilisation fournit les bases de la A tous les nouveaux employés spécialistes de la
connaissance de la sécurité. Les bases de la A chaque changement SI significatif sécurité SI
A chaque changement de position d’un employé
connaissance de la sécurité requises sont les mêmes Il est une bonne pratique de conduire périodiquement
pour un stagiaire que pour un cadre supérieur des sessions de mise à jour
 • Politiques et Directives Périmètre

LE GOUVERNANCE
Gouvernance

VOLET •Formation & Changements de Défense

Culturels
Stratégie de

P R O G R A M M E S D E F O R M AT I O N – L A M I S E E N Sécurité

Défense
ŒUVRE D’UNE P S S I QUI RfíUSSIT
Contrôles
Interne

1 2 3 4 5

Faire approuver
Obtenir Publier le Dispenser une
la charte Maintenir la
l’attention programme formation
d’utilisation sensibilisation
de l’utilisateur PSSI suffisante

Lettre de la Publier S’adresser Avant que soit Insister sur

direction largement le aux anciens donne l’accès l’importance de
informant les programme et aux au système à la sécurité de
utilisateurs. PSSI format nouveaux un utilisateur, l’information par
électronique et utilisateurs. il doit l’utilisation d’un
Information
papier. formellement site web
permanente sur Utiliser des
approuver interne,
l’avancement Écrire un livret sessions de
qu’il a lu et d’affiches, de
du programme de synthèse formation
compris la bulletins
existantes ou
charte d’information,
en créer de
d’utilisation du rendre
spécifiques
système. accessibles les
FAQ, créer une
boite courriel
specifique…
LE VOLET GOUVERNANCE • Politiques et Directives
•Formation & Changements
Gouvernance
Périmètre
de Défense

L A CHARTE D’UTILISATION D U SYSTfiME Culturels

Stratégie de

D’INFORMATION
Sécurité

Défense
Contrôles
Interne

Consignes de sécurité qui s’appliquent à l’ensemble du personnel quelques soient les fonctions ou les
activités exercées ainsi qu’aux tiers amenés à accéder au SI localement ou à distance.
Les consignes de sécurité S’IMPOSENT A TOUS. Le respect de ces consignes préserve
individuellement et collectivement contre des conséquences qui peuvent être très lourdes, tant pour le
fonctionnement de l’organisation qu’au niveau financier.

Les objectifs du document Le contenu du document (exemple)

Cerner l’environnement informatique dans lequel
l’utilisateur évolue, comprendre les risques et les
moyens pour les prévenir
Présenter les différents intervenants SSI leurs
compétences et leur niveau de responsabilité
respectif
Connaître l’interlocuteur spécifique pour un besoin
spécifiques
Savoir comment réagir en cas d’incident, comment se
comporter au niveau utilisateur pour assurer la
sécurité des ressources informatiques tant sur le plan
individuel que collectif
Être informé sur les obligations professionnelles et
individuelles dans le cadre de l’utilisation du SI
Être informe sur les droits de l’utilisateur en particulier
sur les atteintes au respect de la vie privée
1La sécurité informatique: organisation et cadre des interventions
Organisation / cadre juridique
2 Le droit opposable aux utilisateurs
La législation en vigueur / Les différents niveaux de responsabilité
3-Protection du réseau
Restriction des interconnections avec l’extérieur / autorisations
préalables
4 Sécurité et règles d’utilisation du poste de travail de l’utilisateur
Confidentialité de l’information / mot de passe / configuration du poste /
sauvegardes / contrôle des virus / intégrité des systèmes…
5 Sécurité et règles d’utilisation du réseau internet
6Sécurité et règles d’utilisation de la messagerie électronique
7-Memento des règles de bonne conduite
Le volet Défense interne • Identifications fiables
•Contrôle local des accès;
contrôle centralisé des
Gouvernance
Périmètre
de Défense

Les éléments de défense interne doivent configurations

• Classification appropriée des
Stratégie de
Sécurité
inclure : informations
• Sauvegardes et reprise sur Contrôles
Défense
Interne
incident

Identification fiable :
Solution technique ou procédures
qui permettent de s’assurer de
l’identité des personnes qui ont
accès a des actifs ou utilisent des
outils mis a disposition par une
organisation.
Cette identification s’effectuera au
travers du contrôle d’accès.
L’identification pourra être renforce
en combinant des éléments
logiques (connaissance d’un code
secret ou d’un mot de passe) avec
la possession d’un support
physique strictement personnel et
difficilement falsifiable (badge ou
carte à Puce…) contenant des
informations personnelles qui
peuvent être vérifiées lors des
contrôles d’accès (nom, prénom,
photo, Identifiant unique...)
Contrôle d’accès :
A pour but de vérifier qu’un utilisateur aura
accès a des ressources, des applications
ou des données pour lesquels il a été
explicitement autorisé. Les informations
sur les droits de chaque utilisateur
pourront être stockées dans un référentiel
commun : l’annuaire.
PC configuration type :
Afin de gérer les risques de façon unifiée, il
est nécessaire de standardiser les
équipements et leurs configurations (base
de données de configuration) afin
d’identifier les écarts non justifiés par
rapport a la configuration type ainsi que de
pouvoir apporter des corrections et
modifications les plus génériques possible.
Annuaire d’entreprise
Un annuaire d’entreprise
centralise servira de référence
pour les authentifications et
pour l’allocation des droits
d’accès aux utilisateurs.
Une règle qui impose que les
authentifications s’effectuent vis
a vis de ce référentiel simplifiera
la gestion des utilisateurs
(nouvel utilisateur ou utilisateur
qui quittent l’organisation)
Exemple : La désactivation de
l’enregistrement d’un utilisateur
au niveau de cet annuaire
désactivera de facto l’accès aux
applications ou aux
équipements.
 Périmètre
• Identifications fiables Gouvernance
de Défense
•Contrôle local des accès;
contrôle centralisé des
Stratégie de
Le volet Défense interne configurations
• Classification appropriée des
Sécurité
informations Défense
• Sauvegardes et reprise sur Contrôles
Interne
incident
Identification Accès Application des
Directives et des
Procédures
• Login / Mot de • Accès Physique d’ouverture des accès
Passe
et d’allocation de
Code confidentiel • Accès Logique aux
droits.
systèmes
Gestion
• Cartes à Puce
• Authentification Unifiée

• Contrôle d’Accès aux •Annuaire centralisé

• Mot de Passe Applications
•Gestion des
aléatoire • Contrôle d’accès aux Utilisateurs et des
données Droits (groupes;
• Cryptage d’Email & rôles)
•Identification Signature Electronique •Gestion sécurisée
Biométrique des données
• Accès Distant Sécurisé d’authentification
 • Identifications fiables
•Contrôle local des accès; Périmètre

LE DÉFENSE
Gouvernance

VO L E T INTERNE
de Défense
contrôle centralisé des
configurations Stratégie de
•Classification appropriée des
L E S O P T I O N S D E S AU V E G A R D E D E S D O N N f í E S informations
Sécurité

Défense
•Sauvegardes et reprise sur Contrôles Interne
incident

Grille de choix des Solutions de

disponibilite
Caractéristiques des guichets d’accès

- être capable de vérifier la propriété de confidentialité

- être capable de vérifier la propriété d’intégrité des données

- être capable de vérifier la propriété d’authentification des entités et

des guichets

- être capable de vérifier la propriété de non répudiation

- être capable de vérifier la propriété d’auditabilité

- être capable de vérifier la propriété de pérennité

 Pour pouvoir administrer un système sécurisé, il faut
donner la possibilité de

⚫ Gérer les entités(personnes, processus, machine du réseau) par la

création, la nomination, et la destruction de ces entités et par leurs
données d’authentification,
⚫ Gérer les guichets incontournables et les données d’authentification
de ces guichets
⚫ Gérer les droits d’accès de chaque entité

Solution d’administration sécurisée

 LE VOLET DÉFENSE DU •Accès externe, robuste, sûr &
fonctionnel Gouvernance
Périmètre
de Défense
•Surveillance étendue de
PÉRIMÈTRE

Information Solutions
l’Extranet Stratégie de
•Prévision des intrusions et Sécurité

L E S O U T I L S D E P R OT E C T I O N P H Y S I Q U E
notification en temps réel Défense
Contrôles Interne

Schlumberger
Contrôle
d’accès Biométrie Contrôle
machine d’Accès Gestion des Gestion des Vidéo
Physique Attributs Visiteurs surveillance
d’Identification
Disponibilité de la Composants de
fourniture et des accès
… Réseau électrique, Sécurité physique
Tour de garde
de communication….
des accès
externes.. Détection
d’Intrusion
Sécurité Système
Ascenseur Système
Parking Intercom Matériel de
Traçabilité

Gestion
automatisée Système
des locaux Incendie
 • Les outils physiques et Gouvernance
Périmètre
logiques de Défense
Le volet Défense du périmètre •Surveillance étendue de
l’Extranet: protection, Stratégie de

Les outils de protection logique

Sécurité
détection, réaction
Défense
Contrôles
Interne

Scanners de Pare Feu,

Vulnérabilités United Threat Systèmes de
Gestion des Mise à Jour Management (UTM) Prévention / Détection
et des Patches Tests; audits
d’Intrusion (IPS)
Temps réel

Gestion de l’Intégrité
du Matériel Proxies-Cache
On a bien ce que l’on pense avoir filtre; optimisation BP, contrôle

Composants de Sécurité
Sécurité du Logique pour la Défense du VPN Site à Site,
Réseau Sans-fil VPN Client à site,
périmètre

Surveillance des Filtrage d’URL,

Événements, Filtrage Contenu Web
Analyse des Logs
Temps différé
Lissage du Trafic, Authentification Relais Mail,
Haute Disponibilité, Forte (AAA) Anti-virus,
Partage de Charge (PKI; …) Anti-spamming
 Le volet Défense du •Accès externe, robuste, sûr &
fonctionnel Gouvernance
Périmètre
de Défense
•Surveillance étendue de
périmètre l’Extranet
•Prévision des intrusions et
notification en temps réel
Stratégie de
Sécurité

Le concept de défense en profondeur Contrôles

Défense
Interne

Une notion de barrière a été introduite :

Le concept de défense en profondeur se retrouve
dans les 3 domaines, militaire, industriel, et
sécurité des SI.
Les concepts sous-jacents étant :
•Les biens à protéger sont entourés de plusieurs lignes de
défense
• Chaque ligne de défense participe à la défense globale
•Chaque ligne de défense a un rôle à jouer (affaiblir, gêner,
retarder…)
• Chaque Ligne de défense est autonome (la perte de la ligne
précédente est prévue pour éviter un effet château de cartes)
•Des moyens seront mis en oeuvre pour renforcer la défense
des différentes lignes tels que l’utilisation du terrain, le
cloisonnement pour limiter les effets et le renseignement.
• Les barrières peuvent être procédurales, technologiques, humaines ou
mixtes
• Les barrières sont soit statiques (enceinte de confinement) soit
dynamiques (s’ouvrent et se ferment)
• Les barrières peuvent agir soit sur l’élément agresseur, soit sur le flux,
soit sur l’élément à protéger
•Les barrières dynamiques seront procédurales, technologiques,
humaines ou mixtes
• Elles inhibent une agression (en se fermant) ou s’ouvrent si le flux
n’est pas agressif
• Elles peuvent agir sur des échelles de temps différentes
• Être en réussite ou en échec
• L’efficacité d’une barrière ne dépend pas uniquement de sa
conception mais aussi de sa maintenance et de son évolution dans le
temps.

• Une barrière est associée à une menace (approche inductive : causes -> conséquences)
• Une ligne de défense est une barrière ou un ensemble de barrières qui protége d’une menace.
•La gravité d’un événement mesure l’impact réel ou potentiels sur des ressources. Elle est fonction de la criticité de la
ressource et dépendra du nombre de lignes de défense restantes.
• Une ligne de défense dispose de dispositifs de veille et d’alerte et correspond a une transition entre 2 niveaux de gravité.
• Le franchissement d’une ligne de défense provoque un incident de sécurité associe a un niveau de gravité
LE VOLET DÉFENSE DU •Les outils physiques et
Gouvernance
Périmètre
logiques de Défense

PÉRIMÈTRE •Surveillance étendue de

l’Extranet: protection, Stratégie de
détection, réaction Sécurité
HIfíRARCHISATION DE S RI SQU E S Défense
Contrôles
Interne

Catégorie Niveau Gravite Critère

Arrêt 5 Inacceptable
4 Très Forte
Dégradation 3 Forte
2 Moyenne
Perturbation 1 Faible
Fonctionnement 0 Aucune importance du
Normal point de vue de la Sécurité
L'événement met en cause la survie de l'entreprise
(le fait redouté est arrivé).
L'événement présente un risque très important et
nécessite donc des mesures d'urgence immédiates.
L'événement n'entraîne pas de risque important mais une partie
significative du système a été touchée
L'événement a une conséquence sur le fonctionnement
normal et doit entraîner une réaction immédiate
L'événement n'a pas de conséquences notables mais doit être
traité pour rétablir un fonctionnement normal.
Fonctionnement normal
LE VOLET DÉFENSE DU •Accès externe, robuste, sûr &
fonctionnel Gouvernance
Périmètre
de Défense
• Surveillance étendue de
PÉRIMÈTRE l’Extranet
•Prévision des intrusions et
Stratégie de
Sécurité

LA DfíMARCHE notification en temps réel

Contrôles
Défense
Interne

1. Déterminer les barrières à mettre en place en fonction des menaces et

des biens à protéger
2. Déterminer le niveau de gravité des incidents de sécurité provoqués par
le franchissement des barrières et regrouper les incidents par niveau de
gravité.
Exemple : Un poste de travail protégé par un pare-feu et un antivirus.
Le pare-feu constitue une première barrière contre les accès non autorisés issus de l’Internet
L’antivirus constitue la seconde barrière et a pour but de bloquer les tentatives d’intrusion par un code malicieux de corruption des données.
L’antivirus deviendra la première barrière dans le cas ou un Virus est transmis par e-Mail puisque le pare-feu autorise la réception des e-Mails.

Définir une défense globale et

Planifier et
coordonnée
organiser
Hiérarchisation
• Découpage des zones du S.I en fonction des risques et
des risques •Définir les modalités de
Déterminatio des fonctions dans l’organisation
fonctionnement dégradés
• Détermination des barrières
n des biens •Classes de gravité, •Classification des zones par sensibilité et définition des •Définir les plans de
à défendre règles de passage entre les zones (prendre en compte la réaction et de secours,
fréquence / probabilité
procédures d’escalade,
•Matrice d’acceptabilité Classification des informations..)
•Découper les zones en Domaines de Confiance et plan de continuité
par gravité et fréquence
introduire les cloisonnements Organisationnels •Corrélation des
• Faire un découpage prive/commun dans chaque événements
• Alertes
Domaine et entre les domaines
 Périmètre
•Une démarche basée sur
Le volet Contrôle
Gouvernance
de Défense
l’analyse des risques
• Les Tableaux de bord SSI Stratégie de

et réévaluation Sécurité

Défense
Contrôles Interne

Le contrôle doit être fondé sur l’évaluation des risques et être global
Le volet contrôle doit examiner et réévaluer constamment la sécurité des
systèmes et réseaux d’information et introduire les modifications appropriées dans
les politiques, pratiques, mesures et procédures de sécurité

Instances Tableaux Audits Veille

Journalisation
de de bord indépendant technologique
pilotage SSI s
Évaluation Répond aux
Implication et Mesures Utilisation
de la exigences optimum des
responsabilisati et d’imputabilité,
conformité progrès
on de la reporting non répudiation
par rapport technologiques
Direction et traçabilité
aux
standards

Qualification et Évaluation:
Démarche Qualité (Chap. 7 de la Norme ISO 15408) qui vise à vérifier l’atteinte des objectifs de Sécurité au regard des risques.
Références et Normes
ISO/IEC 17799: Cette norme indique qu’une organisation doit identifier ses exigences de sécurité
ISO/IEC 27001: L’objectif de l’ISO/IEC 27001 est de « fournir un modèle pour établir et gérer un système de gestion de la sécurité de
l’information »
 Périmètre
•Une démarche basée sur
LE CONTRÔLE
Gouvernance

VO L E T
de Défense
l’analyse des risques
• Les Tableaux de bord SSI Stratégie de
Sécurité
L E S TA B L E AU X D E B O R D S S I Contrôles
Défense
Interne

Les tableaux de bord S S I permettent de disposer d’une visibilité sur la façon dont les
risques liés au S I de l’organisation évoluent, compte tenu des moyens mis en œuvre

• Mesure du niveau d’application des principes de sécurité (PSSI)

• Évaluation du niveau de sécurité
• Mesure de l’effort déployé par l’organisation
• Appréhension des risques résiduels et du risque maximum toléré

Cartographie des risques SSI

Degré d’application Évolution de la menace et
des règles et mesure de la perméabilité
principes de sécurité Tableaux du SI aux risques
de bord
Prise en compte du SSI
Coût de la SSI
risque SI au sein des Impact de la SSI sur
projets la performance de
l’activité
CONCLUSION Gouvernance
Périmètre
PRINCIPES D’ACTION de Défense

Stratégie de
Sécurité

Défense
Contrôles
•Identifier les facteurs favorables Interne
et défavorables et définir les
paliers de progression
•Se coordonner avec les acteurs
impliqués dans la gestion du Sans oublier que…
risque et le contrôle interne La sécurité est un concept
•Multiplier les zones de dynamique
concertation Il n’y a pas d’excuses aux
défaillances de la sécurité
•Privilégier les organisations et
les hommes
•Créer un environnement
favorable
 La sécurité réseau
 Les attaques à l’encontre
⚫ Des protocoles de couche liaison (…)
⚫ Des protocole de routage (…)
⚫ …..
 Sécurisation des protocoles de couche liaison
 Sécurité des équipements et infrastructures (Routeurs,
commutateurs, NAT, Firwall, proxy … )
 Sécurité des interconnexions de sites (Kerberos, ldap,dmz)
 IPv4,6, Ipsec, V P N
 Sécurisation des protocoles de routage
 S N M P et administration distante
⚫ Authentification, autorisation et audit (AAA)
⚫ Liste de contrôle d’accès
⚫ Vérification de l’intégrité
⚫ Les VPNs
 Les Protocoles de la couche liaison
 ARP : Address Resolution Protocol
 CDP : Cisco Discovery Protocol
 VLAN : Virtual L A N
 {D/V}TP : Dynamic, V L A N Trunking Protocol

 Trafic et adressage unicast, broadcast et multicast

 ST P : Spanning Tree Protocol

 Attaques contre les protocoles
 Les attaques connues (et anciennes)
⚫ Pollution de cache ARP, annonces A R P gratuites, messages
ARP/DHCP falsifiés
⚫ Outils : dsniff, hunt, etc.

 Les attaques plus récentes

⚫ Paquets HSRP/VRRP falsifiés
⚫ Attaques contre STP/VTP
⚫ Saut de V L A N
 Les attaques à venir
⚫ Attaques avancées contre les protocoles de routage
LES VLANS
 Virtual Local Area Network
 INTÉRÊT
RÉSEAUX ETHERNET PHYSIQUEMENT
S É PA R É S
 Inconvénient : il faut à la fois autant de
commutateurs et de liens d'interconnexions que
de réseaux.

 C'est pour cela que l'on s'est dirigé vers le V L A N.

50
INTÉRÊT
PRINCIPE
• Niveau 2 du modèle O S I .
• Segmentation d’un support physique en segments
logiques.
• Avantages:
▫ Limite la diffusion des broadcasts.
▫ Plus grande flexibilité de la segmentation du réseau.
(indépendance géographique)
▫ Amélioration de la sécurité.
▫ Priorisation des flux.
TRAME ETHERNET 802.1Q

• TPID: type du tag, 0x8100 pour 802.1Q

• Priorité: niveaux de priorité définis par l’IEEE
802.1P
• CFI: Ethernet ou token-ring
• VID: V L A N identifier, jusqu’à 4096 vlans
TERMINOLOGIE
 V I D : Vlan ID
 P V I D : Port Vlan ID

 Mode d’accès
⚫ Port Access ou untagged(non étiqueté)
⚫ Port trunk ou tagged(étiquetté)
⚫ Matériel Aware (Vlan-informé)
 VLANs de base
⚫ VLAN par défaut généralement V L A N 1
⚫ VLAN utilisateur
⚫ VLAN de management
⚫ VLAN natif
TYPES DE VLAN
 Par port
 Par adresse M A C
 Par adresse IP
 Par Protocole de niveau 3
VLAN P A R P O RT

 On attribue un numéro de V L A N à chaque ou

plusieurs ports du commutateur.

56
VLAN PAR ADRESSE MAC
 On attribue un numéro de V L A N à chaque ou
plusieurs adresses M AC .

57
VLAN PAR ADRESSE IP
 On attribue un numéro de V L A N à chaque ou
plusieurs adresses IP.

58
 Trame Ethernet

PV ID=20

Commutateur

PV I D = 20 V L A N 20 autorisé, Port trunk

Port access

Trame Ethernet V I D =20 Trame Ethernet

Tag: champs 802.1q

 Tag: champs 802.1q

V I D =20 Trame Ethernet

V L A N 20 autorisé, port trunk

Commutateur

PVID= 20 Port untagged V L A N 20 autorisé, Port trunk

Trame Ethernet V I D =20 Trame Ethernet

Tag: champs 802.1q

E XEM PLE

trame
 INTERCONNEXION I N T E R -VLAN

 Se fait au niveau 3 du modèle O S I ,

 Donc routage, entre interfaces virtuelles

 Seul un routeur peut réaliser l’interconnexion

entre deux VLANs et modifier ainsi le VID
associé à une trame.
P R O T O C O L E 802.1Q OU LIEN TRUNK
 Le protocole de transport 802.1Q fonctionne avec
des V LA Ns par ports.

 On ajoute 3 octets décrivant le V L A N

d'appartenance dans la trame Ethernet.

65
INTÉRÊT DU VTP
VTP nécessaire si l’on veut étendre
une configuration de V L A N sur plusieurs
commutateurs : mise en place d’un lien
trunk entre les commutateurs.

Ce lien trunk représente un canal par

lequel transitent les trames des différents
V L A N s d’un commutateur à un autre.

69
VLAN ET S P A N N I N G - T R E E (STP)

 I E E E 802.1D
 ST P classique
⚫ Trame ST P sur le Vlan de management.
⚫ Nécessairement un seul arbre recouvrant.
⚫ E n bref, non adapté, pas prévu pour.
L E S FONCTIONNALITÉS ÉVOLUÉES (1/7)
RSPAN
• Permet de monitorer un port à distance

Routeur(Config)#set vlan 200 rspan

• Sur le switch distant

Routeur(Config)# set rspan source 3/1 both

OU
Routeur(Config)# set rspan source 100 both
Routeur(Config)#set rspan destination 4/5
 Le réseau ethernet

LES FONCTIONNALITÉS ÉVOLUÉES (2/7)

 Agrégation de liens (802.3ad) : Lier plusieurs liens physiques hôte

à hôte comme un seul lien logique. Répartition de charge (par
« session » MAC) :
 Montée en charge en parallèle des liens agrégés ;
 Basculement de la charge sur un autre lien de l’agrégation une
fois le premier lien arrivé à pleine charge ;
 Basculement de la charge sur un autre lien de l’agrégation si le
premier lien est hors-service.
 Le réseau ethernet

LES F O N C T I O N NA L I T É S É V O L U É E S (3/7)
Virtual Local Area Network (802.1q) : séparer virtuellement des réseaux
physiquement identiques :
Affectation du VLAN par port, ou VLAN de niveau 1 ;
Affectation du VLAN par adresse MAC ou VLAN de niveau 2 ;
Affectation du VLAN par adresse IP ou VLAN de niveau 3 ;
Séparation de réseaux IP => nécessité de passer par un routeur
pour aller d’un VLAN à l’autre ;
Tag/marquage sur un port lorsqu’il est nécessaire d’indiquer dans
le paquet le VLAN d’appartenance (utile pour l’interconnexion de 2
switchs) ;
 Le réseau ethernet

LES FONCTIONNALITÉS ÉVOLUÉES (4/7)

Exemples d’architectures

Utilisation des tags

pour transmettre
plusieurs VLAN sur
un même lien.

Bouclage physique sans

tempête de broadcasts.
Répartition de charges
vers le switch du bas.
Attention aux
multicasts/broadcasts !
 Le réseau ethernet

LES F O N C T I O N NA L I T É S É V O L U É E S (5/7)
Routage inter-VLAN avec une seule
interface routeur. Ou 1 plage IP,
plusieurs VLAN qui n’ont pas à
communiquer entre eux. Attention, si
un switch connecte plusieurs VLAN 
les multicasts / broadcasts transitent
entre les VLANS !

Routage entre des VLAN hermétiques.

 Le réseau ethernet

LES F O N C T I O N NA L I T É S É V O L U É E S (6/7)
 (Rapid) Spanning Tree Protocol : Désactivation automatique des ports impliqués
dans un boucle.
 STP => v1 ; RSTP => v2 ;
 Communication entre les switchs (Bridge Protocol Data Unit) pour détecter
les boucles ;
 Élection d’un switch root et notion de coûts pour chaque liaison.
 Multiple Spanning Tree Protocol : 802.1s
 Plusieurs arbres actifs  répartition de charge.
 Plusieurs VLAN par spanning tree

Si on rajoute à cela la possibilité d’affecter des

VLAN différents suivant que le trafic d’un port
est sortant ou entrant, nous pouvons alors avoir
des configurations très complexes …
78/11
5
 Le réseau ethernet

LES F O N C T I O N NA L I T É S É V O L U É E S (7/7)
 Quality of Services (802.1p inclus dans 802.1q) : Définition de priorités selon 7
classes de services (champ de 3 bits) (les constructeurs regroupent parfois dans
une même file d’attente plusieurs classes de services !) :
 0 = Best effort
 1 = Background
 2 = Réservé (spare)
 3 = Excellent effort (business critical)
 4 = Application à contrôle de charge (streaming multimedia)
 5 = Vidéo (interactive media), moins de 100ms de latence et jitter
 6 = Voix (interactive media), moins de 10ms de latence et jitter
 7 = Network control reserved traffic
 Port Mirroring : recopie de ports (attention toutes les données ne sont pas
toujours recopiées !).
 Power over Ethernet : alimentation par le câble réseau des périphériques
connectés au switch 15,4 W sur 3, 4, 7, 8 en 802.3af, >30W en 802.3at ,
 sur 4 paires.
CONCLUSION: VLAN
 Flexibilité
 Sécurité

 Facilité d’administration (selon l’architecture)

LE RÉSEAU IP
L’adressage
ARP/RARP
D HCP/B O O T P
L a translation d’adresse
Les équipements
L e routage
 Le réseau IP
L’ A D R E S S A G E (1/5)
 Internet Protocol : actuellement en version 4. L’utilisation de IP a
fortement évolué !
 32 bits utilisés, écriture en 4 fois 8 bits.
11000000.10101000.00001010.10000010 = 192.168.10.130
 L’adressage d’une machine/d’un réseau = @ IP + masque sous-réseau
(exception avec la notion de classes).
 1 réseau IP = 1 plage IP constituée (exception pour le multicast) :
 d’une adresse définissant le réseau (première adresse de la plage).
 d’une adresse définissant le broadcast réseau (la dernière adresse de
la plage).
 d’adresses des hôtes uniques (toutes les autres adresses).
 Plusieurs méthodes de découpage des plages d’adresses :
 Classes.
 C I D R (Classless Inter-Domain Routing).
 V L S M (Variable Length Subnetwork Mask), sorte de C I D R local à
l’entreprise.
 Il existe des exceptions : des plages IP réservées et d’autres à ne pas
router.
 Le réseau IP

L’ A D R E S S A G E (2/5)

27 + 26 . 27 + 25 + 2 3 . 23 + 2 1 . 27 + 22
11000000.10101000.00001010.10000100 (192.168.10.132/28)
11111111.11111111.11111111.11110000 (255.255.255.240)

Partie réseau Partie machine

⚫ La partie réseau, se sont les bits à 1 du masque sous-réseau.

⚫ La partie machine, se sont les bits à 0 du masque sous-réseau.
⚫ Si cette règle est respectée, les valeurs décimales possibles pour
masque sous-réseau sont : 255, 254, 252, 248, 240, 224, 192, 128 et
0 Adresse réseau (1ière adresse) : …… . 10000000  192.168.10.128
Adresses machines : …… . 10000001 à …… . 10001110  192.168.10.129 à 142
Adresse de broadcast (dernière adresse) : …… . 10001111  192.168.10.143
 Le réseau IP

L’ A D R E S S A G E (3/5)
Classes
 Les bits les plus lourds définissent la classe :
 Classe A : réseaux de 16777214 machines max (de 0.0.0.0 à 127.255.255.255) :
00000000.00000000.00000000.00000000 à 01111111.00000000.00000000.00000000
 Classe B : réseaux 65534 machines max (de 128.0.0.0 à 191.255.255.255) :
10000000.00000000.00000000.00000000 à 10111111. 11111111.00000000.00000000
 Classe C : réseaux de 254 machines max (de 192.0.0.0 à 223.0.0.0) :
11000000.00000000.00000000.00000000 à 11011111.11111111.11111111.00000000
 Classe D : adresses multicasts
 Classe E : réservée à des usages expérimentaux
 Le réseau IP

L’ A D R E S S A G E (4/5)
CIDR
 Le masque sous-réseau permet de créer des sous-réseaux ou sur-réseaux qui ne
respectent plus le découpage en classes A, B, C.
 C’est le masque sous-réseau qui définit la limite des bits d’adressage du réseau, des
bits d’adressage de la machine :
192.168.10.5/255.255.255.0 ou 192.168.10.5/24  24 bits Rx sur 32
 Plage IP : 192.168.10.0  192.168.10.255
192.168.10.5/255.255.255.128 ou 192.168.10.5/25  25 bits Rx sur 32
 Plage IP : 192.168.10.0  192.168.10.127
192.168.10.5/255.255.252.0 ou 192.168.10.5/22  22 bits Rx sur 32
 Plage IP : 192.168.8.0  192.168.11.255
 Le réseau IP

L’ A D R E S S A G E (5/5)
Exceptions
Les plages I P à ne pas router par défaut
 10.0.0.0/8 à 10.255.255.255/8
 172.16.0.0/16 à 172.31.255.255/16
 192.168.0.0/16 à 192.168.255.255/16
Les plages I P réservées
 0.0.0.0 => utilisée par l’hôte quand l’adresse réseau est inconnue
 255.255.255.255 => diffusion limitée à tous les hôtes du sous-
réseau.
 0.x.x.x
 127.x.x.x => boucle locale/loopback
 128.0.x.x
 191.255.x.x
 192.0.0.x
 223.255.255.x
 224.0.0.0 => diffusion multipoint (multicast)
 Le réseau IP

ARP/RARP (1/2)

 Correspondance entre l’adresse M A C (adresse

matérielle) et l’adresse IP (adresse logique).

ARP (Address Resolution Protocol)

Depuis l’@IP on recherche l’@ MAC
RARP (Reverse Address Resolution Protocol)
Depuis l’@MAC on recherche l’@IP
Exemple : permettre à des stations sans disque dur local connaissant leur adresse MAC de se
voir attribuer une IP.
 Le réseau IP

ARP/RARP (2/2)
0à7 8 à 15 16 à 23 24 à 31
Hardware type (01 pour eth) Protocol type (0x0800 pour IP)
Hardware Protocol Address Operation (01 pour request, 02 pour
Address Length Length (04 pour reply)
(06 pour eth) IPv4 et 16 pour
IPv6)
Sender Hardware Address
Sender Protocol Address (@IP)
Target Hardware Address (que des 1 si request)
Target Protocol Address (@IP)
 Le réseau IP

DHCP/BOOTP (1/3)

 B O OT P (BOOTstrap Protocol) : Ce protocole permet à

un équipement de récupérer son adresse IP au
démarrage.

 D H C P (Dynamic Host Configuration Protocol) :

Remplaçant de BOOTP, il permet l’obtention
dynamique d’une configuration réseaux plus ou moins
complète.
 Le réseau IP

DHCP/BOOTP (2/3)
DHCPDISCOVER

SERVEUR
CLIENT
Demande d’adresse DHCPOFFER
IP réussie DHCPREQUEST
DHCPACK

 DHCPDISCOVER (pour localiser les serveurs DHCP disponibles, port 67)

 DHCPOFFER (réponse des serveurs à un paquet DHCPDISCOVER. Contient les
premiers paramètres IP. Port 68)
 DHCPREQUEST (requêtes diverses du client pour par exemple accepter l’adresse IP
proposée par un serveur et avertir les autres serveurs de l’offre choisie par le client parmi
plusieurs, ou encore pour prolonger son bail)
 DHCPACK (réponse du serveur qui contient des paramètres, bail et adresse IP du client)
 DHCPNAK (réponse du serveur pour signaler au client que son bail est échu ou si le
client annonce une mauvaise configuration réseau)
 DHCPDECLINE (le client annonce au serveur que l'adresse est déjà utilisée)
 DHCPRELEASE (le client libère son adresse IP)
 DHCPINFORM (le client demande des paramètres locaux, il a déjà son adresse IP)
 Le réseau IP

DHCP/BOOTP (3/3)
Toute adresse IP délivrée par un serveur DHCP l’est pour un temps donné : c’est le bail. Lorsqu’on
arrive à T1, le client demande en unicast le renouvellement du bail. Sans réponse du serveur, arrivé
à T2 le bail est échu et le client doit redemander une adresse par diffusion. Si le client n’a toujours
pas de nouvelle adresse IP, alors il doit désactiver son adresse et ne peut plus communiquer.

Longueur du bail : Sur un réseau où les machines se branchent/débranchent souvent, il faut donner
des bails courts pour éviter d’épuiser inutilement le pool d’adresse IP.
Sur un réseau où les machines restent longtemps connectées, il faut préférer des bails plus
longs afin de ne pas surcharger le réseau avec les broadcasts des
DHCPDISCOVER/DHCPOFFER/DHCPREQUEST.

Gestion avancée avec DHCP : Il est possible d’affecter une adresse IP libre choisie au hasard ou de
configurer dans le serveur des couples @IP/@MAC. Il est également possible d’affecter les
adresses IP en fonction du réseau d’origine de la requête, de mettre à jour un DNS.

Client et serveur DHCP sur des segments différents : Implémenter un relais DHCP ou un UDP
helper sur le routeur du site client.

Paramètres que DHCP peut fournir au client : RFC 2132.

 Le réseau IP

LA TRANSLATION D’ADRESSE (1/3)

2 types de NAT (Network Address Translation)

 Le SNAT (Source NAT) :
 Changer l’adresse IP et/ou le port de la source.
 Le masquerading est un cas particulier de SNAT.

 Le DNAT (Destination NAT) :

 Changer l’adresse IP et/ou le port de la destination.
 La redirection est un cas particulier du DNAT.
 Le réseau IP

LA T R A N S L AT I O N D ’ A D R E S S E (2/3)
Longueur
de l’en- Type de service (8
Version (4 bits)
tête (4 bits) Longeur totale (16 bits)

 NAT statique :
bits)

Identification (16 bits) Drapeau

Décalage fragments (13 bits)
(3 bits)
93
 @IPA1 sera toujours translatée en @IP B1
Durée de vie (8 bits) Protocole (8 bits) Somme de contrôle en-tête (16 bits)
Adresse IP source (32 bits)
Adresse IP Destination (32 bits) /1
Données 15
 @IPA2 sera toujours translatée en @IP B2
 Version (4 bits) : il s'agit de la version du protocole IP que l'on utilise (actuellement

… on utilise la version 4 IPv4) afin de vérifier la validité du datagramme. Elle est codée
sur 4 bits.
 Longueur d'en-tête, ou IHL pour Internet Header Length (4 bits) : il s'agit du nombre
de mots de 32 bits constituant l'en-tête (nota : la valeur minimale est 5). Ce champ est

 NAT dynamique 
codé sur 4 bits.
Type de service (8 bits) : il indique la façon selon laquelle le datagramme doit être
traité.
 Longueur totale (16 bits) : indique la taille totale du datagramme en octets. La taille

{A1, A2, …} translatée en {B1, B2 , …} 
pas de lien prédéfini entre une adresse An et
Bm.
de ce champ étant de 2 octets, la taille totale du datagramme ne peut dépasser 65536
octets. Utilisé conjointement avec la taille de l'en-tête, ce champ permet de déterminer
où sont situées les données.
 Identification, drapeaux (flags) et déplacement de fragment sont des champs qui
permettent la fragmentation des datagrammes, ils sont expliqués plus bas.
 Durée de vie appelée aussi TTL, pour Time To Live (8 bits) : ce champ indique le
nombre maximal de routeurs à travers lesquels le datagramme peut passer. Ainsi ce
champ est décrémenté à chaque passage dans un routeur, lorsque celui-ci atteint la
valeur critique de 0, le routeur détruit le datagramme. Cela évite l'encombrement du
réseau par les datagrammes perdus.
 Protocole (8 bits) : ce champ, en notation décimale, permet de savoir de quel
protocole est issu le datagramme
 Somme de contrôle de l'en-tête, ou en anglais header checksum (16 bits) : ce
champ contient une valeur codée sur 16 bits qui permet de contrôler l'intégrité de l'en-
tête afin de déterminer si celui-ci n'a pas été altéré pendant la transmission. La somme
de contrôle est le complément à un de tous les mots de 16 bits de l'en-tête (champ
somme de contrôle exclu). Celle-ci est en fait telle que lorsque l'on fait la somme des
champs de l'en-tête (somme de contrôle incluse), on obtient un nombre avec tous les
bits positionnés à 1
 Adresse IP source (32 bits) : Ce champ représente l'adresse IP de la machine
émettrice, il permet au destinataire de répondre
 Adresse IP destination (32 bits) : adresse IP du destinataire du message
 Le réseau IP

LA T R A N S L AT I O N D ’ A D R E S S E (3/3)
 Overloading
 @IPA1 translatée en @IP B(port x)
 @IPA2 translatée en @IP B(port x+1)
 @IPA3 translatée en @IP B(port x+2)
…
 Overlapping
Utilisé quand l’adresse utilisée dans le LAN est dans une
plage IP déjà existante sur un autre site et qui, depuis
l’extérieur, apparaît comme un doublon. Le routeur joue alors
de relais en faisant croire au client que la machine extérieure à
une autre adresse IP.
 Le réseau IP
LE ROUTAGE (1/7)

Le routage permet d’acheminer les paquets d’un réseau à un

autre, en passant par plusieurs autres réseaux, et à priori
en ne connaissant pas le chemin à emprunter.

95/115
Routage sur les PC Routage sur les équipements réseaux

Routage statique Routage dynamique Innondation

Interior Gateway Protocol Exterior Gateway Protocol

(RIP, OSPF, EIGRP) (BGP)
 Le réseau IP

LE ROUTAGE (2/7)

 Le routage statique :
 Simple à mettre en place ;
 Adapté à un faible nombre de réseaux IP ;
 Permet de gérer les exceptions.

 Le routage dynamique :
 Plus complexe à mettre en place ;
 Seule solution viable sur un réseau comprenant de
nombreux réseaux IP ;
 Communication entre les routeurs par un
protocole de routage.
 Le réseau IP

LE ROUTAGE (3/7)
 RIP (v1 et v2) : le meilleur chemin est celui ayant le
moins de sauts. Vecteur de distance (Bellman-Ford)
 O S P F : le meilleur chemin est celui proposant les
meilleures bande-passantes. Arbre du plus court
chemin (Dijkstra).
 E I G R P : protocole propriétaire Cisco, combinant le
routage par saut, par bande-passante, et par charge
réseau.
 Le réseau IP

LE ROUTAGE (4/7)
R I P (Routing Information Protocol)

 15 sauts maximum. Une route de 16 sauts est

considérée comme coupée.
 Par défaut, 1 saut = 1 routeur.
 Protocole dépassé, mais encore présent de part sa
facilité de mise en œuvre et de compréhension.
 Le réseau IP
LE ROUTAGE (5/7)

OSPF (Open Shortest Path First)

 Découpage par aire :
 Aire 0 (backbone area) : aire au centre de toutes les autres.
 Les autres aires, doivent être contiguës à l’aire 0, physiquement
ou par utilisation d’un lien virtuel.
 Stub area : aire qui n’échange pas de route avec les autres aires.
 Routeur désigné (Designated Router) et Routeur désigné de secours
(Backup Designated Router) pour synchroniser l’échange entre les
bases de données.
 Sécurité des protocoles de routages

O S P F :Open Shortest Path First

⚫ Protocole numéro 89
⚫ Trafic multicast : « facile » d’injecter des LSAs
 Mesures de sécurité
⚫ Authentifiez les échanges O S P F
⚫ Placez le réseau en mode N B M A
⚫ Ne mettez pas les interfaces qui ne doivent pas échanger des LSAs
O S P F dans la configuration «réseau »d’OSPF ou enlevez les par
exclusion via des interfaces passives
⚫ Journalisez les changements
⚫ Il n’est pas possible de filtrer ce qui est annoncé par O S P F
(uniquement entre des AS OSPF), le mot clé network est un « faux
ami »
⚫ Il est possible de filtrer ce que l’on reçoit
 Le réseau IP
LE R O U TA G E (6/7)

101/115
 Sécurité des protocoles de routages

B G P : Border Gateway Protocol

 Ecoute sur le port 179/tcp

 Authentication : MD5 (trop rarement utilisée)

 Liaison point-à-point pour les interfaces directement connectées ou

multi-saut pour les routeurs non-adjacents
Des outils d’injection de routes B G P existent (dans des

cercles privés)
 Sécurité des protocoles de routages

B G P : Border Gateway Protocol

O ù se trouvent les risques ?
 Points d’échanges (GIX) : les FAI sont souvent connectés sur la
même infrastructure partagée (un commutateur par exemple) :
filtrez les AS_path et les préfixes
 Vos clients/fournisseurs directs : filtrez par adresses IP sur les
interfaces
 Configuration multi-hop (attaque par interception)

Que faut-il surveiller ?

 Les AS_path annoncés par les fournisseurs

 Les AS_path reçus par d’autres FAI qui contiennent votre A S N

(via des serveurs de routes)
 Si les routes/chemins changent (surtout la/le meilleur(e))

 Les changements ARP (commutateurs publiques dans les IX)

 Sécurité des protocoles de routages

B G P : Border Gateway Protocol

 Mesures de sécurité additionnelles
⚫ N’utilisez pas le même mot de passe avec tous vos partenaires
⚫ Journalisez les changements et utilisez Ipsec
 Outils d’injection de routes, quel est le challenge ?
⚫ Trouver les partenaires eBGP
 par interception
 grâce à S N M P

 grâce aux route-servers et aux « looking glasses » publiques

adresses IP proches, .1, .254, etc.

⚫ Injectez la mise à jour
 par interception (messages ARP falsifiés sur les
commutateurs publiques)
 par synchronisation avec la session TC P existante

 S-BGP (Secure BGP)

P R O T O C O L E S : HSRP/VRRP
Hot Standby Routing Protocol
⚫ Redondance du prochain saut (RFC 2281)
⚫ Fuite d’information: adresse M A C
virtuelle 00-00-0c-07-ac-<groupe H S R P >
l’interface virtuelle H S R P n’envoie pas d’ICMP redirect
⚫ U n groupe H S R P peut contenir plus de deux routeurs, il n’est pas
nécessaire de rendre un routeur inactif, il suffit de devenir le maître
Virtual Router Redundancy Protocol ( R F C 2338)
Supporte l’authentification MD5 (IP Authentication Header)

Mesures de sécurité
⚫ Activez l’authentification par mot de passe
⚫ Changez l’adresse M A C virtuelle
⚫ Utilisez IPsec (recommandation Cisco), mais n’est pas trivial (trafic
multicast, ordre des processus, limité à un groupe avec deux routeurs)
 Le réseau IP

LE R O U TA G E (7/7)
 V R R P (Virtual Router Redundancy Protocol) :
Une adresse IP et une adresse M A C virtuelles sont utilisées comme
passerelle par défaut. U n groupe de routeurs se surveille pour
qu’un seul d’entre eux ait ces adresses (éviter les conflits d’adresses)
et que ces adresses soient toujours affectées à un routeur valide
(gateway toujours disponible vu des PC).
 H S R P (Hot Standby Router Protocol) : propriétaire Cisco, ancêtre de
VRRP.
 C A R P (Common Address Redundancy Protocol) : travail
d’OpenBSD. Non reconnu par les organismes de normalisation
malgré sa valeur technique. Implémentation existante sous d’autres
plateformes (cf. UCARP).
Sécurisation d’un réseau

1 Sécuriser le routeur en n ’autorisant que les services utiles

pour l’entreprise

2 Journaliser les transactions(@E, @D) mais pas les données,

l’objectif est de retrouver la trace pour tout éventuel
recours administratif

3 Contrôler l’accès au routeur (l’idéal est qu’il ne soit pas

configurable à distance)
Liste de contrôle d’accès
Présentation

 Les listes de contrôle d’accès sont des instructions qui

expriment une liste de règles, imposées par l’opérateur,
donnant un contrôle supplémentaire sur les paquets
reçus et transmis par le routeur.

 Les listes de contrôle d’accès sont capables d’autoriser

ou d’interdire des paquets, que ce soit en entrée ou en
sortie vers une destination.

 Elles opèrent selon un ordre séquentiel et logique, en

évaluant les paquets à partir du début de la liste
d’instructions. Si le paquet répond au critère de la
première instruction, il ignore le reste des règles et il est
autorisé ou refusé.
Numérotation des Acl

 Une liste de contrôle d’accès est identifiable par son

numéro, attribué suivant le protocole et le type :

 Type de liste Plage de numéros

Listes d’accès IP standard 1 à 99
Listes d’accès IP étendues 100 à 199
Listes d’accès Appletalk 600 à 699
Listes d’accès IPX standard 800 à 899
Listes d’accès IPX étendues 900 à 999
Listes d’accès IPX SAP 1000 à 1099
Algorithme de vérification

 Lorsque le routeur détermine s'il doit acheminer ou bloquer un

paquet, la plate-forme logicielle Cisco IOS examine le paquet en
fonction de chaque instruction de condition dans l'ordre dans
lequel les instructions ont été créées.

 Si le paquet arrivant à l’interface du routeur satisfait à une

condition, il est autorisé ou refusé (suivant l’instruction) et les
autres instructions ne sont pas vérifiées.

 Si un paquet ne correspond à aucune instruction dans l’ACL, le

paquet est jeté. Ceci est le résultat de l’instruction implicite deny
any à la fin de chaque ACL.
Afnog 2006
Principe de masque de bits générique

 Un masque générique est une quantité de 32 bits divisés en quatre

octets contenant chacun 8 bits.

- 0 signifie " vérifier la valeur du bit correspondant "

-1 signifie " ne pas vérifier (ignorer) la valeur du bit correspondant
".

 Les listes de contrôle d'accès utilisent le masquage générique pour

identifier une adresse unique ou plusieurs adresses dans le but
d'effectuer des vérifications visant à accorder ou interdire l'accès.

 Le terme masque générique est un surnom du procédé de

correspondance masque-bit des listes de contrôle d'accès.
Les commandes host et any

 Ces deux commandes sont des abréviations permettant

de simplifier la lecture ainsi que l’écriture des listes de
contrôle d’accès :

-any : n’importe quelle adresse (équivaut à 0.0.0.0

255.255.255.255)

-host : abréviation du masque générique

Ex: host 172.16.33.5 équivaut à 172.16.33.5
255.255.255.255
LES DIFFÉRENTS TYPES DE LISTES DE CONTRÔLE D’ACCÈS

Les listes de contrôle d’accès standard :

 Les listes de contrôle d’accès standard permettent d’autoriser ou

d’interdire des adresses spécifiques ou bien un ensemble
d’adresses ou de protocoles

 Une liste d’accès standard se crée par la commande suivante :

access-list num_acl {permit | deny} source {masque_source}

- Numéro_de_liste_d’accès : identifie la liste

- Permit | deny : autoriser ou interdire
- Source : identifie l’adresse IP source
- Masque_source : bits de masque générique

Exemple : access-list 1 deny 172.69.0.0 0.0.255.255

Les listes de contrôle d’accès étendues

Une liste de contrôle d’accès étendue permet de faire un filtrage

plus précis qu’une liste standard, elle permet également d’effectuer
un filtrage en fonction du protocole, du timing, sur le routage… :

Une liste de contrôle d’accès étendue se crée par la commande

suivante :

access-list numéro de_liste_d’accès {permit | deny} protocole source

{masque_source} destination {masque destination} {opérateur
opérande} [established] [log]

- Numéro_de_liste_d’accès : identifie la liste

- Permit | deny : autoriser ou interdire
- Protocol : indique le type de protocole
o IP, TCP, UDP, ICMP, GRP, IGRP
- Source et destination : identifient l’adresse IP source et
destination
- Masque source et masque destination : bits de masque générique
 Opérateur :
o Lt : plus petit
o Gt : plus grand
o Eq : égal
o neq : non égal

 opérande : n° de port

established : autorise le trafic TCP si les paquets utilisent une

connexion établie (bit de ACK)

Les numéros de ports peuvent être exprimé de manière

numérique ou bien par une équivalence
alphanumérique
Nommage des Acl
Depuis la version 11.2 d’IOS, il est possible d’utiliser les listes de contrôles
d’accès nommées.
Les listes de contrôle d'accès nommées permettent d'identifier les listes de
contrôle d'accès IP standards et étendues par des chaînes alphanumériques
plutôt que par la représentation numérique actuelle.
Vous pouvez utiliser les listes de contrôle d'accès nommées dans les situations
suivantes :
- Identifier intuitivement les listes de contrôle d'accès à l'aide d'un
code alphanumérique.
- Configurer plusieurs ACL standard et plusieurs ACLétendues dans un
routeur pour un protocole donné
Pour configurer les listes de contrôle d’accès nommées,
la syntaxe est la suivante :
Router(config)# ip access-list {standard | extended} nom
En mode de configuration de liste de contrôle d'accès, précisez une ou plusieurs conditions d'autorisation ou de
refus. Cela détermine si le paquet est acheminé ou abandonné.
Router (config {std- | ext-}nacl)# deny {source [masque-générique-source] | any}
ou
Router (config {std- | ext-}nacl)# permit {source [masque-générique-source] | any}
La configuration illustrée dans la figure crée une liste de contrôle d'accès standard nommée Internetfilter et une
liste de contrôle d'accès étendue nommée afnog_group.

Ip interface ethernet0/1
Ip address 2.0.5.1.255.255.255.0
Ip address-group Internetfilter out
Ip access-group afnog_group in
…

ip access-list standard Internetfilter

permit 1.2.3.4
deny any

ip access-list extended afnog_group

permit tcp any 171.69.0.0.0.255.255.255 eq telnet
deny tcp any any
deny udp any 171.69.0.0.0.255.255.255 lt 1024
deny ip any log
Emplacement des ACL

La règle est de placer les listes de contrôle d'accès étendues le plus près possible
de la source du trafic refusé. Étant donné que les listes de contrôle d'accès
standard ne précisent pas les adresses de destination, vous devez les placer le
plus près possible de la destination.
Pour tirer parti des avantages des listes de contrôle d'accès en matière de
sécurité, vous devez au moins configurer des listes de contrôle d'accès sur les
routeurs périphériques situés aux frontières du réseau. Cela permet de fournir
une protection de base contre le réseau externe ou de mettre à l'abri une zone
plus privée du réseau d'une zone moins contrôlée.
Sur ces routeurs périphériques, des listes de contrôle d'accès peuvent être
créées pour chaque protocole réseau configuré sur les interfaces des routeurs.
Vous pouvez configurer des listes de contrôle d'accès afin que le trafic entrant, le
trafic sortant ou les deux soient filtrés au niveau d'une interface.
Modélisation du contrôle d’accès

Matrice de contrôle d’accès

pour une entité donnée et une ressources donnée, des autorisations (lecture,écriture,
propriétaire, création, destruction) sont définies

Machines à anneaux (cas de VMS)

à chaque instant un processus s’exécute dans un contexte donné, les contextes étant
hiérarchisés (anneaux de protection), un niveau est associé à chaque instruction
machine et à chaque référence mémoire

Machines à domaines
chaque objet s’exécute dans un espace d’adressage propre (domaine). Les appels à
l’intérieur du domaine ne sont pas contrôlés. Tout appel à l’extérieur du domaine est
réalisé par passage de paramètres par valeur et passage d’une capacité (identité,
droits).
Le domaine appelé contrôle la capacité avant d’exécuter la méthode et retourne le
résultat par valeur
FireWall (pare-feu)

Définition: c’est un système ou ensemble de systèmes qui

renforce la politique de sécurité d’une entreprise et
Internet. C’est un mécanisme de filtrage des entrées de
l’extérieur vers le réseau

Le firewall détermine:
- quels services internes peuvent être accédés de l’extérieur,
-quels éléments extérieurs peuvent accéder aux services internes
autorisés
- quels services externes peuvent être accédés par les éléments
internes
Avantages d’un firewall

1 Il concentre la sécurité réseau en un seul point, à partir de ce point,

l’administrateur réseau pour protéger le réseau dans sa totalité.

2 Il permet la génération d’alarmes et de monitoring, il est impératif que

l’administrateur réseau évalue régulièrement le trafic pour s’assurer qu’il
n’a pas été contourné ou cracké.

3 Il est l’endroit idéal pour monter un NAT.

4 Il est l’endroit parfait pour déployer un serveur WWW ou F T P ou autre. Il

peut être configuré pour permettre l’accès à certains services tout en
prévenant l’accès aux autres services du réseau privé.

5 Il est un point unique de panne, le réseau local continuera à fonctionner.

 Problématique, Enjeux
Problématique
Attaques et Outils associés
Technologie
Architectures
Outils, Coûts Communications refusées
Internet

Exemples
Avenir

Communications autorisées

Réseau local
 Pourquoi un Firewall
Problématique
Attaques et Outils associés
Technologie
Architectures
Internet
Outils, Coûts
Sécuriser le trafic entrant
Exemples
Avenir

Controler le trafic sortant

Vigilance

Réseau local
 Couches de protocoles
Problématique
Attaques et Outils associés
Technologie
Architectures
Outils, Coûts
Exemples
Telnet FTP HTTP
Avenir
TCP UDP

Internet Protocol (IP) / ICMP

Couches basses
 Déni de service
Problématique
Attaques et Outils associés
Déni de service
Spoofing IP
Scanners
machine A machine B
Autres (client) (serveur)
Technologie
SYN
Architectures
Outils, Coûts SYN, ACK
Exemples
Avenir ACK
 Spoofing IP
Problématique
Attaques et Outils associés
Déni de service
Machine B Machine d’attaque (H)
Spoofing IP
Scanners
Autres
Technologie
Architectures
Outils, Coûts
Exemples
Avenir

Machine attaquée (A)

 Les Scanners
Problématique
Attaques et Outils associés
Déni de service
Spoofing IP
Scanners Fonctionnement des scanners
Autres
Technologie
1. Localiser une machine sur un réseau
Architectures 2. Détecter les services exécutés sur la machine
Outils, Coûts
3. Détecter d’éventuelles failles
Exemples
Avenir
 Autres outils
Problématique
Attaques et Outils associés
Déni de service
Spoofing IP
1. Ping
Scanners 2. SNMP
Autres
Technologie
3. WhoIs
Architectures 4. DNS
Outils, Coûts
5. Finger
Exemples
Avenir 6. Host
7. TraceRoute
 Firewall à filtrage de Paquets
Problématique
Attaques et Outils associés
Technologie
Filtrage de paquets
Circuit Level Gateway
Proxy
Firewall Multi-couches
Architectures
Outils, Coûts
Exemples
Avenir
 Fonctionnement du filtrage de paquets
Problématique
Attaques et Outils associés  Fonctionnement
Technologie  Fait souvent partie d’un routeur
Filtrage de paquets
 Chaque paquet est comparé à un certain nombre de
Circuit Level Gateway
règle (filtres), puis est transmis ou rejeté
Proxy
Firewall Multi-couches  Avantages
Architectures
 C’est un firewall transparent
Outils, Coûts
Exemples
 Apporte un premier degré de protection s’il est utilisé
avec d’autres firewall
Avenir
 Inconvénients
 Définir des filtres de paquets est une tâche complexe
 Le débit diminue lorsque le nombre de filtres
augmente
 Règles de filtrage
Problématique
Attaques et Outils associés Filtrage selon :
Technologie
Filtrage de paquets  l'adresse IP de la source et de la destination,
Circuit Level Gateway
 le protocole,
Proxy
Firewall Multi-couches  le port source et destination pour les protocoles
Architectures TCP et UDP,
Outils, Coûts
 le type de message pour le protocole ICMP,
Exemples
Avenir  et l’interface physique d’entrée du paquet
 Circuit Level Gateways
Problématique
Attaques et Outils associés
Technologie
Filtrage de paquets
Circuit Level Gateway
Proxy
Firewall Multi-couches
Architectures
Outils, Coûts
Exemples
Avenir
 Fonctionnement du Circuit Level Gateway
Problématique
Attaques et Outils associés  Fonctionnement
Technologie
Filtrage de paquets  Capte et teste la validité des « handshake »
Circuit Level Gateway TCP pour savoir si une session peut être
Proxy ouverte
Firewall Multi-couches  Avantages
Architectures
Outils, Coûts  C’est un firewall transparent
Exemples
 Il cache les machines du réseau privé
Avenir
 Proxy
Problématique
Attaques et Outils associés
Technologie
Filtrage de paquets
Circuit Level Gateway
Proxy
Firewall Multi-couches
Architectures
Outils, Coûts
Exemples
Avenir
 Fonctionnement du Proxy
Problématique
Attaques et Outils associés  Fonctionnement
Technologie  Similaire au « Circuit Level Gateway »
Filtrage de paquets
 Spécifique à une application
Circuit Level Gateway
Proxy  Avantages
Firewall Multi-couches
 Les paquets entrants et sortants ne peuvent accéder
Architectures aux services pour lesquels il n’y a pas de proxy
Outils, Coûts
Exemples
 Permet de filtrer des commandes spécifiques (ex: GET
ou POST pour HTTP)
Avenir
 Le plus haut degré de sécurité
 Inconvénients
 Les performances les plus faibles
 N’est pas transparent pour les utilisateurs
 Firewall Multi-couches
Problématique
Attaques et Outils associés
Technologie
Filtrage de paquets
Circuit Level Gateway
Proxy
Firewall Multi-couches
Architectures
Outils, Coûts
Exemples
Avenir
 Routeur à filtrage de paquets
Problématique
Attaques et Outils associés
Technologie
Architectures
mail, dns, etc. Internet
Routeur à filtrage de
paquets
Dual Homed Gateway
Screened Host Firewall
Screened Subnet Firewall
Outils, Coûts
Exemples
Avenir
Réseau local avec serveurs
 Dual Homed Gateway
Problématique
Attaques et Outils associés
Technologie
Architectures Routeur

Routeur à filtrage de
Internet
paquets
Dual Homed Gateway
Screened Host Firewall
Screened Subnet Firewall
Outils, Coûts
IP forwarding
Exemples désactivé
Avenir
Réseau local avec serveurs
 Screened Host Firewall
Problématique
Attaques et Outils associés
Technologie
Architectures
Internet
Routeur à filtrage de
paquets
Dual Homed Gateway
Screened Host Firewall
Screened Subnet Firewall
Outils, Coûts
Exemples
Bastion host
Avenir
Réseau local avec serveurs
 Screened Subnet Firewall
Problématique
Attaques et Outils associés
Technologie
Architectures
Internet
Routeur à filtrage de
paquets
Dual Homed Gateway
Screened Host Firewall
Screened Subnet Firewall
Outils, Coûts
Exemples
Bastion host
Avenir
Réseau local avec serveurs Zone démilitarisée
 Outils, Coûts
Problématique
Noyau GNU Gratuit Firewall a
Attaques et Outils associés Linux filtrage de
Technologie paquets
Architectures
Outils, Coûts
Proxy Squid GNU Gratuit Proxy
Exemples
FTP/HTTP
Avenir

Check Point Check Point Software ….. e (100 Leader

Firewall 1 Technologies utilisateurs) Contrôle
www.checkpoint.com Temporel

Eagle Raptor Systems .;;;;F (100

Family www.axent.com utilisateurs)
 Exemple Firewall et Pont
Problématique
Attaques et Outils associés
Technologie
Architectures
Outils, Coûts
Exemples
Firewall+Pont
HOWTO
Bat710
Avenir

Fournisseur
Réseau local Firewall/Proxy Pont d’accès/
Internet
 Exemple Firewall-HOWTO
Problématique
Attaques et Outils associés
Technologie Internet
(MAUV AIS)
Architectures
Outils, Coûts
Exemples ppp0 :
192.84.219.1
Firewall+Pont
HOWTO eth0 :
Bat710 192.84.219.250 Proxy
SMTP DNS
HTTP,
Avenir FTP
eth1 : Réseau de serveurs
192.168.1.250 (ZoneDémilitarisée - ZDM)

Réseau local
(BON)
 Exemple Bat710
Problématique
NT Workstation Linux
Attaques et Outils associés
Technologie
Architectures
Outils, Coûts
NFS
Exemples
Firewall+Pont
HOWTO Réseau du batiment 710

Bat710
Avenir

Miage
Samba, Proxy
HTTP, FTP, bat710
N ews, HTTPS SMTP, POP3

Internet
Limites du firewall
1 Cible privilégiée pour être saturé (étouffé) et mis hors service.

2 Il ne protège pas contre les attaques qui ne passent pas par

lui.

3 Il ne prévient pas contre les fichiers infectés, il est difficile

d’inspecter tous les fichiers entrants d’où l’utilité d’installer
les antivirus sur les stations.

4 Supposons que le firewall bloque tous les fichiers .doc (il

suffit de les transformer en un autre format pour les faire
sortir).

Limitations des Passerelles

1. Les passerelles augmentent considérablement le coût des firewall.
2. Les passerelles ont tendance à réduire la qualité de service .
DÉNIS DE SERVICES : DÉTECTION
L a technique « ancienne »
ACLs, charge C P U, charge de la ligne, I D S

RDPTool- Netflow
⚫ Journalisation des données réseaux (AS, flux IP, protocoles,etc)
⚫ Données envoyées en clair sur le réseau à un point central
⚫ Avec C E F activé Netflow effectue uniquement la journalisation et les
statistiques
⚫ Sans C E F le routeur passe en mode commutation Netflow
⚫ Seul le trafic sortant sur une interface est comptabilisé
⚫ Visualisation des données : sh ip cache flow

 Distribution (in)habituelle du trafic par protocole

⚫ > T C P : ~90% (HTTP, F TP, SMTP, outils peer-to-peer)
⚫ > U D P : ~10% (DNS, S N M P , outils de streaming)
⚫ > I C M P : < 1%
⚫ > I G M P : < 1%
DÉNIS DE SERVICES : PRÉVENTION
Unicast R P F (Reverse-Path Forwarding)

⚫ Nécessite C E F (Cisco Express Forwarding) ou d C E F

⚫ Nécessite I O S 12.x et consomme ~30Mo de mémoire
⚫ Mode strict : les datagrammes IP sont vérifiés, la route vers l’adresse IP
source doit pointer vers l’interface d’entrée
⚫ Seulement la meilleure route est dans la F I B (si multi-path ou des routes
de même poids ne sont pas utilisés)
⚫ Les routes asymétriques sont supportées
⚫ Limitation du trafic I C M P, U D P et T C P S Y N
⚫ Vérifiez les poids et les métriques utilisés dans B G P si vous utilisez le
mode strict ou dans une configuration à liens multiples
⚫ T C P Intercept
 Autant d’aspects positifs, que d’aspects négatifs
 Si TC P Intercept est activé le routeur passe en mode commutation de
processus (process switching) et ne reste pas en mode C E F
DÉNIS DE SERVICES : PRÉVENTION
Techniques avancées : BGP/Null0 1/2
>Choisissez une adresse du bloc T E ST - N E T et configurez une
route vers Null0 sur tous les routeurs pour cette adresse
> Sur un routeur B G P maître, changez le prochain saut pour le
réseau source à filtrer par cette adresse IP
>Redistribuez ces adresses via B G P dans votre A S et uRPF va
supprimer le datagramme (au niveau de la L C , pas du RP)
> Ne redistribuez pas ces informations à vos partenaires :
utilisez un A S privé ou une communauté en « no-export »
Techniques avancées : BGP/CAR/FIB 1/2
Marquez le réseau dont vous voulez limiter la bande passante avec une communauté
spécifique et redistribuez ces informations depuis le routeur B G P maître à tous ses
clients
Techniques avancées : BGP/CAR/FIB 2/2
Sur les routeurs changez le QosID dans la F I B par rapport à cette
communauté et limitez la bande passante par rapport à ce QosID
DÉTECTION DES VERS ET PROTECTION

Comment détecter un nouveau vers

 Nombre (inhabituel) de nouveaux flux HTTP/SMTP et journalisation sur
les serveurs
Comment vous protéger avec N B A R (Network-Based
Application Recognition)?
 Nécessite C E F
 Disponible à partir de 12.1(5)T
 Comme TC P Intercept - en a t’on vraiment besoin ?
 Effet de bord: la session TC P est déjà établie mais le serveur ne reçoit pas
la requête H T T P G E T
 Impact sur les performances: ~20% C P U

Classification des flux entrants avec N B A R et filtrage des flux

sortants avec des A C L s
ADMIN : S N M P SIMPLE NETWORK
MANAGEMENT PROTOCOL
S N M P v3 : RFC2274, apporte la vérification d’intégrité, le chiffrement et
l’authentification par utilisateur
Attaques et problèmes connus
 Les administrateurs réseaux utilisent des communautés RW
 Nom de communauté facile à deviner/trouver
 Attaques par rejeux et déni de service
 Fuite d’information
 L a fonction de découverte automatique des outils de gestion de réseaux
peut transmettre la communauté hors de votre réseau/domaine

Filtrage au niveau I P
 Définissez une A C L et activez la sur chaque interface
 Possibilité d’appliquer des AC L s sur le RP (S-train)
Filtrage au niveau applicatif
 Définissez une A C L et utilisez la pour le contrôle d’accès à l’application
 Utilisez des vues pour limiter la portée
ADMIN : S N M P SIMPLE NETWORK
MANAGEMENT PROTOCOL
 Définissez des utilisateurs/groupes et leurs droits
⚫ snmp-server group engineering v3 priv read cutdown 10
⚫ snmp-server user nico engineering v3 auth md5 myp4ss priv des56 mydes56
⚫ snmp-server view cutdown ip.21 excluded
⚫ access-list 10 permit x.x.x.x
⚫ access-list 10 deny any log

Trois avis de sécurité récents

 Communauté I L M I cachée (la commande show snmp community montre
toute les communautés)
 Communauté lecture/écriture visible depuis une communauté d’accès en
lecture seule
 Déni de service (débordement de tampon)
ADMIN : S EC UR E SHELL

Support SSHv1 (client et serveur)

 Routeurs : depuis 12.1(1)T/12.0(10)S (utilisez une image
3DES), scp depuis 12.2T
 Commutateurs : C a t O S 6.x

 Quels sont les risques et limitations ?

 L’implémentation C I S C O est basée sur SSHv1 et souffre

des même bogues : possibilité de retrouver la clé de session,
 CRC32, analyse de trafic (SSHow), attaques par analyse
temporelle
 Impossible de forcer l’utilisation de 3DES ou d’utiliser des
clés pour l’authentification des utilisateurs
 Corrigé dans 12.0(20)S, 12.1(8a)E, 12.2(3), ...
 AAA : Authentification /Journalisation,
Autorisation, Kerberos, RADIUS /TACACS +,

 Vérification d’integrité du routeur

I D S (I N S T R U S I O N D E T E C T I O N
SYSTEM)

 Méthode de détection d’intrusion uniquement

 2 Approches :
⚫ Approche comportementale
⚫ Approche par scénarios
Qu'est-ce qu'une intrusion ?
U n I D S est un système de détection d'intrusion : que considère-t-on
comme une intrusion ? Il s'agit d'une action ayant pour but de
compromettre, sur un système d'information :

⚫ la confidentialité
⚫ la disponibilité
⚫ Cette action peut :
⚫ avoir réussi
⚫ avoir échoué
⚫ être en cours
⚫ être une simple phase préparatoire
⚫ Le système d'information vise peut être :
⚫ un réseau
⚫ une machine, un système d'exploitation
⚫ une application
IDS – APPROCHE COMPORTEMENTALE

 Etude du comportement de l’utilisateur

 Utilisation de fichiers d’audits

 Plusieurs techniques :
⚫ Méthodes statistiques
⚫ Systèmes Experts
⚫ Réseaux de neurones
⚫ Immunologies
 Fausses alertes
IDS – APPROCHE PAR SCÉNARIOS

 Base de connaissances des attaques connues

 Plusieurs techniques :
⚫ Systèmes experts
⚫ Pattern-Matching
⚫ Algorithme génétique
 Fiable avec les attaques connues seulement
IDS
 Approches complémentaires
 Détection uniquement

 Implémentations logicielles :
⚫ Tivoli Instrusion Manager (IBM)
⚫ I S S Real Secure Network Sensor
 Implémentations matérielles
⚫ CISCO IDS
 Capacité traitment (de 45 Mbits/s à 500 Mbits/s)
 I P S (I N S T R U S I O N P R O T E C T I O N
SOLUTION)
Solution hybride : IDS+
Détection
Mécanisme de contre-attaque Marketing ?
Complément idéal au Firewall

Exemple :
Attack Mitigator de TopLayer
Fin