Académique Documents
Professionnel Documents
Culture Documents
des R É S E A U X
Méthode d’implémentation
Périmètre de Défense
Gouvernance
Contrôles
Pré-requis
Outils de
travail:
⚫ Packet tracer, GNS3, Vmware,
⚫ Wireshark…
Techniques de sécurisation des réseaux
Préventive- détective-préventive
Proactive-Réactive
Concepts de bases
Conception et implémentation
Risques et Menaces
LES FAILLES…
Des mots de passe largement diffusés ou trop simples à retrouver.
Des données non sauvegardées et perdues.
Des paramètres de connexions d’un utilisateur (identification/mot de passe)
non désactivés alors que cette personne ne fait plus partie de l’organisation.
Des droits d’accès illimités accordés à des fournisseurs ou à des sous-
traitants.
Des accès physiques à des machines non sécurisés.
Des ordinateurs perdus ou volés.
Des données corrompues par des virus.
Des supports physiques de données jetés sans avoir été préalablement
effacés.
Le serveur de messagerie utilisé pour la transmission de messages non
autorisés causant des dégradations de service ou de données.
Des attaques depuis l’extérieur du réseau qui ciblent l’organisation.
Des risques ou des incidents sans rapports formalisés ou enregistrement.
……….
Minimisation des risques
Entreprise classique: Estimer le coût du risque et le coût de sa
protection
Criticité
No n 4
Catastrophique
Acc ept abl e
3
Grave
2
Majeur
1
Mineur
Extrèmement
Rare
Probable
Fréquent
Probabilité
Improbable
Rare
d’occurrence
LES MENACES
Menaces
Ensemble des actions de l’environnement pouvant
entraîner des catastrophes financières, ce sont des
résultantes d’actions et d’opérations du fait d’autrui
- Menaces relevant de problèmes non spécifiques à
l’informatique: Techniques de protection assez bien
maîtrisées
3 Analyse de trafic: observer le trafic des messages échangés pour en déduire (deviner)
des informations sur des décisions futures
6 Modification des données, des messages ou des programmes pour s’attribuer des
avantages illicites
Sensibilité: plus l’information est stratégique, plus elle a de la valeur, plus elle doit
être confidentielle et plus elle est sensible
1 être conscient des risques et des menaces éventuelles, de la nature de ces derniers et
de la force des attaquants éventuels
3 organiser la sécurité: établir des règles qui fixent les actions autorisées et interdites
par les personnes et les systèmes
La disponibilité
Offrir à l'utilisateur un système qui lui permette de continuer ses travaux
en tout temps.
Peut être interrompue à la suite d'un sinistre tel que la panne, la rupture
physique du réseau, l'erreur, la malveillance, etc.
L'intégrité
Garantir la qualité de l'information dans le temps.
Peut être détériorée suite à des erreurs telles que saisie d'information
erronée voire illicite, destruction partielle ou totale de l'information, etc.
La confidentialité
Se prémunir contre l'accès illicite à l'information par des personnes non
autorisées.
Peut être piratée, détournée, etc.
L a sécurité de l’information : les composantes
Confidentialité
Disponibilité Intégrité
C ritères
de
sécurité
Non
Authenticité
répudiation
La Disponibilité
• Application messagerie • probabilité de mener à terme une
session de travail
• Capacité de la ressource
•54% ont indiqué qu'Internet constituait le point d'entrée pour les intrus.
Les statistiques (2)
• Le Malware : l'attaque la plus souvent observée 67,1 %
•45.6% des entreprises qui ont connu au moins un incident de sécurité l'année dernière, ont déclaré
qu'ils ont fait l'objet d'au moins une attaque
•Les répondants ne croient pas que les activités des initiés malveillants représentent une grande
partie de leurs pertes dues à la cybercriminalité
• 59,1 pour cent croient qu'il n'existe pas de telles pertes étaient dues à des initiés malveillants
•51% du groupe a déclaré que les organisations n'utilisent pas le cloud computing . 10% disent que
leurs organisations, non seulement utiliser le cloud computing, mais ont déployé des outils de
sécurité cloud spécifiques
Destruction
13% La majeure partie des
Erreur de
Bugs, manip. incidents peuvent être gérés au travers
Erreurs, interne de :
Négligences 19%
65% - Politiques et procédures
Attaque
- Classification de l’information
depuis
l'extérieur
-Formation et Sensibilisation des
Source : FBI computer security survey 3% utilisateurs
La réalité : seuls 3%
Les autres types
d’incidents relèvent de :
des incidents majeurs
- Équipe de traitement des incidents viennent de
-Technologie : Solutions de défense à “l’extérieur.”
plusieurs niveaux : pare-feux,
authentification des utilisateurs,
cryptage etc.…
Conséquences d’une sécurité non maîtrisée
O R G A N I S AT I O N S f í C U R I T f í - P O L I T I Q U E S E T Stratégie de
Sécurité
DIRECTIVES Contrôles
Défense
Interne
Instances de decision
Comité de
Groupe
entité centrale
Responsable pilotage Audit Politiques
SSI du groupe Contrôle général PSSI
Comité
sécurité des SI
Propriétaires des outils
Responsable applicatifs
Pôles SSI / pôle Utilisateurs des
entités
organisationnelles Comité sécurité
informations
des pôles Directives
Défense
Contrôles
Interne
L a politique de sécurité est l'ensemble des orientations suivies par une organisation en
terme de sécurité. A ce titre elle se doit d'être élaborée au niveau de la direction de
l'organisation concernée, car elle concerne tous les utilisateurs du système.
Élaborer des règles et des procédures à Surveiller et détecter les Définir les actions à
Identifier les besoins en terme
mettre en oeuvre dans les différents services vulnérabilités du système entreprendre et les
de sécurité, les risques
de l'organisation pour les risques identifiés en d'information et se tenir personnes à
informatiques pesant sur
se conformant aux exigences légales, informé des failles sur les contacter en cas de
l’organisation et leurs
statutaires, réglementaires ou contractuelles applications et matériels détection d'une
éventuelles conséquences
utilisés menace
LE GOUVERNANCE
Gouvernance
P R O G R A M M E S D E F O R M AT I O N - V E R S U N E Sécurité
Défense
C U LT U R E D E L A S f í C U R I T f í
Contrôles
Interne
LE GOUVERNANCE
Gouvernance
P R O G R A M M E S D E F O R M AT I O N – L A M I S E E N Sécurité
Défense
ŒUVRE D’UNE P S S I QUI RfíUSSIT
Contrôles
Interne
1 2 3 4 5
Faire approuver
Obtenir Publier le Dispenser une
la charte Maintenir la
l’attention programme formation
d’utilisation sensibilisation
de l’utilisateur PSSI suffisante
D’INFORMATION
Sécurité
Défense
Contrôles
Interne
Consignes de sécurité qui s’appliquent à l’ensemble du personnel quelques soient les fonctions ou les
activités exercées ainsi qu’aux tiers amenés à accéder au SI localement ou à distance.
Les consignes de sécurité S’IMPOSENT A TOUS. Le respect de ces consignes préserve
individuellement et collectivement contre des conséquences qui peuvent être très lourdes, tant pour le
fonctionnement de l’organisation qu’au niveau financier.
Identification fiable :
Contrôle d’accès : Annuaire d’entreprise
Solution technique ou procédures
qui permettent de s’assurer de
l’identité des personnes qui ont A pour but de vérifier qu’un utilisateur aura Un annuaire d’entreprise
accès a des actifs ou utilisent des accès a des ressources, des applications centralise servira de référence
outils mis a disposition par une ou des données pour lesquels il a été pour les authentifications et
organisation. explicitement autorisé. Les informations pour l’allocation des droits
sur les droits de chaque utilisateur d’accès aux utilisateurs.
Cette identification s’effectuera au pourront être stockées dans un référentiel Une règle qui impose que les
travers du contrôle d’accès. commun : l’annuaire. authentifications s’effectuent vis
a vis de ce référentiel simplifiera
L’identification pourra être renforce la gestion des utilisateurs
en combinant des éléments (nouvel utilisateur ou utilisateur
logiques (connaissance d’un code PC configuration type : qui quittent l’organisation)
secret ou d’un mot de passe) avec
la possession d’un support Exemple : La désactivation de
Afin de gérer les risques de façon unifiée, il
physique strictement personnel et l’enregistrement d’un utilisateur
est nécessaire de standardiser les
difficilement falsifiable (badge ou au niveau de cet annuaire
équipements et leurs configurations (base
carte à Puce…) contenant des désactivera de facto l’accès aux
de données de configuration) afin
informations personnelles qui applications ou aux
d’identifier les écarts non justifiés par
peuvent être vérifiées lors des équipements.
rapport a la configuration type ainsi que de
contrôles d’accès (nom, prénom,
pouvoir apporter des corrections et
photo, Identifiant unique...)
modifications les plus génériques possible.
Périmètre
• Identifications fiables Gouvernance
de Défense
•Contrôle local des accès;
contrôle centralisé des
Stratégie de
Le volet Défense interne configurations
• Classification appropriée des
Sécurité
informations Défense
• Sauvegardes et reprise sur Contrôles
Interne
incident
Identification Accès Application des
Directives et des
Procédures
• Login / Mot de • Accès Physique d’ouverture des accès
Passe
et d’allocation de
Code confidentiel • Accès Logique aux
droits.
systèmes
Gestion
• Cartes à Puce
• Authentification Unifiée
LE DÉFENSE
Gouvernance
VO L E T INTERNE
de Défense
contrôle centralisé des
configurations Stratégie de
•Classification appropriée des
L E S O P T I O N S D E S AU V E G A R D E D E S D O N N f í E S informations
Sécurité
Défense
•Sauvegardes et reprise sur Contrôles Interne
incident
Information Solutions
l’Extranet Stratégie de
•Prévision des intrusions et Sécurité
L E S O U T I L S D E P R OT E C T I O N P H Y S I Q U E
notification en temps réel Défense
Contrôles Interne
Schlumberger
Contrôle
d’accès Biométrie Contrôle
machine d’Accès Gestion des Gestion des Vidéo
Physique Attributs Visiteurs surveillance
d’Identification
Disponibilité de la Composants de
fourniture et des accès
… Réseau électrique, Sécurité physique
Tour de garde
de communication….
des accès
externes.. Détection
d’Intrusion
Sécurité Système
Ascenseur Système
Parking Intercom Matériel de
Traçabilité
Gestion
automatisée Système
des locaux Incendie
• Les outils physiques et Gouvernance
Périmètre
logiques de Défense
Le volet Défense du périmètre •Surveillance étendue de
l’Extranet: protection, Stratégie de
Gestion de l’Intégrité
du Matériel Proxies-Cache
On a bien ce que l’on pense avoir filtre; optimisation BP, contrôle
Composants de Sécurité
Sécurité du Logique pour la Défense du VPN Site à Site,
Réseau Sans-fil VPN Client à site,
périmètre
• Une barrière est associée à une menace (approche inductive : causes -> conséquences)
• Une ligne de défense est une barrière ou un ensemble de barrières qui protége d’une menace.
•La gravité d’un événement mesure l’impact réel ou potentiels sur des ressources. Elle est fonction de la criticité de la
ressource et dépendra du nombre de lignes de défense restantes.
• Une ligne de défense dispose de dispositifs de veille et d’alerte et correspond a une transition entre 2 niveaux de gravité.
• Le franchissement d’une ligne de défense provoque un incident de sécurité associe a un niveau de gravité
LE VOLET DÉFENSE DU •Les outils physiques et
Gouvernance
Périmètre
logiques de Défense
et réévaluation Sécurité
Défense
Contrôles Interne
Le contrôle doit être fondé sur l’évaluation des risques et être global
Le volet contrôle doit examiner et réévaluer constamment la sécurité des
systèmes et réseaux d’information et introduire les modifications appropriées dans
les politiques, pratiques, mesures et procédures de sécurité
Qualification et Évaluation:
Démarche Qualité (Chap. 7 de la Norme ISO 15408) qui vise à vérifier l’atteinte des objectifs de Sécurité au regard des risques.
Références et Normes
ISO/IEC 17799: Cette norme indique qu’une organisation doit identifier ses exigences de sécurité
ISO/IEC 27001: L’objectif de l’ISO/IEC 27001 est de « fournir un modèle pour établir et gérer un système de gestion de la sécurité de
l’information »
Périmètre
•Une démarche basée sur
LE CONTRÔLE
Gouvernance
VO L E T
de Défense
l’analyse des risques
• Les Tableaux de bord SSI Stratégie de
Sécurité
L E S TA B L E AU X D E B O R D S S I Contrôles
Défense
Interne
Les tableaux de bord S S I permettent de disposer d’une visibilité sur la façon dont les
risques liés au S I de l’organisation évoluent, compte tenu des moyens mis en œuvre
Stratégie de
Sécurité
Défense
Contrôles
•Identifier les facteurs favorables Interne
et défavorables et définir les
paliers de progression
•Se coordonner avec les acteurs
impliqués dans la gestion du Sans oublier que…
risque et le contrôle interne La sécurité est un concept
•Multiplier les zones de dynamique
concertation Il n’y a pas d’excuses aux
défaillances de la sécurité
•Privilégier les organisations et
les hommes
•Créer un environnement
favorable
La sécurité réseau
Les attaques à l’encontre
⚫ Des protocoles de couche liaison (…)
⚫ Des protocole de routage (…)
⚫ …..
Sécurisation des protocoles de couche liaison
Sécurité des équipements et infrastructures (Routeurs,
commutateurs, NAT, Firwall, proxy … )
Sécurité des interconnexions de sites (Kerberos, ldap,dmz)
IPv4,6, Ipsec, V P N
Sécurisation des protocoles de routage
S N M P et administration distante
⚫ Authentification, autorisation et audit (AAA)
⚫ Liste de contrôle d’accès
⚫ Vérification de l’intégrité
⚫ Les VPNs
Les Protocoles de la couche liaison
ARP : Address Resolution Protocol
CDP : Cisco Discovery Protocol
VLAN : Virtual L A N
{D/V}TP : Dynamic, V L A N Trunking Protocol
50
INTÉRÊT
PRINCIPE
• Niveau 2 du modèle O S I .
• Segmentation d’un support physique en segments
logiques.
• Avantages:
▫ Limite la diffusion des broadcasts.
▫ Plus grande flexibilité de la segmentation du réseau.
(indépendance géographique)
▫ Amélioration de la sécurité.
▫ Priorisation des flux.
TRAME ETHERNET 802.1Q
Mode d’accès
⚫ Port Access ou untagged(non étiqueté)
⚫ Port trunk ou tagged(étiquetté)
⚫ Matériel Aware (Vlan-informé)
VLANs de base
⚫ VLAN par défaut généralement V L A N 1
⚫ VLAN utilisateur
⚫ VLAN de management
⚫ VLAN natif
TYPES DE VLAN
Par port
Par adresse M A C
Par adresse IP
Par Protocole de niveau 3
VLAN P A R P O RT
56
VLAN PAR ADRESSE MAC
On attribue un numéro de V L A N à chaque ou
plusieurs adresses M AC .
57
VLAN PAR ADRESSE IP
On attribue un numéro de V L A N à chaque ou
plusieurs adresses IP.
58
Trame Ethernet
PV ID=20
Commutateur
Commutateur
trame
INTERCONNEXION I N T E R -VLAN
65
INTÉRÊT DU VTP
VTP nécessaire si l’on veut étendre
une configuration de V L A N sur plusieurs
commutateurs : mise en place d’un lien
trunk entre les commutateurs.
69
VLAN ET S P A N N I N G - T R E E (STP)
I E E E 802.1D
ST P classique
⚫ Trame ST P sur le Vlan de management.
⚫ Nécessairement un seul arbre recouvrant.
⚫ E n bref, non adapté, pas prévu pour.
L E S FONCTIONNALITÉS ÉVOLUÉES (1/7)
RSPAN
• Permet de monitorer un port à distance
LES F O N C T I O N NA L I T É S É V O L U É E S (3/7)
Virtual Local Area Network (802.1q) : séparer virtuellement des réseaux
physiquement identiques :
Affectation du VLAN par port, ou VLAN de niveau 1 ;
Affectation du VLAN par adresse MAC ou VLAN de niveau 2 ;
Affectation du VLAN par adresse IP ou VLAN de niveau 3 ;
Séparation de réseaux IP => nécessité de passer par un routeur
pour aller d’un VLAN à l’autre ;
Tag/marquage sur un port lorsqu’il est nécessaire d’indiquer dans
le paquet le VLAN d’appartenance (utile pour l’interconnexion de 2
switchs) ;
Le réseau ethernet
LES F O N C T I O N NA L I T É S É V O L U É E S (5/7)
Routage inter-VLAN avec une seule
interface routeur. Ou 1 plage IP,
plusieurs VLAN qui n’ont pas à
communiquer entre eux. Attention, si
un switch connecte plusieurs VLAN
les multicasts / broadcasts transitent
entre les VLANS !
LES F O N C T I O N NA L I T É S É V O L U É E S (6/7)
(Rapid) Spanning Tree Protocol : Désactivation automatique des ports impliqués
dans un boucle.
STP => v1 ; RSTP => v2 ;
Communication entre les switchs (Bridge Protocol Data Unit) pour détecter
les boucles ;
Élection d’un switch root et notion de coûts pour chaque liaison.
Multiple Spanning Tree Protocol : 802.1s
Plusieurs arbres actifs répartition de charge.
Plusieurs VLAN par spanning tree
LES F O N C T I O N NA L I T É S É V O L U É E S (7/7)
Quality of Services (802.1p inclus dans 802.1q) : Définition de priorités selon 7
classes de services (champ de 3 bits) (les constructeurs regroupent parfois dans
une même file d’attente plusieurs classes de services !) :
0 = Best effort
1 = Background
2 = Réservé (spare)
3 = Excellent effort (business critical)
4 = Application à contrôle de charge (streaming multimedia)
5 = Vidéo (interactive media), moins de 100ms de latence et jitter
6 = Voix (interactive media), moins de 10ms de latence et jitter
7 = Network control reserved traffic
Port Mirroring : recopie de ports (attention toutes les données ne sont pas
toujours recopiées !).
Power over Ethernet : alimentation par le câble réseau des périphériques
connectés au switch 15,4 W sur 3, 4, 7, 8 en 802.3af, >30W en 802.3at ,
sur 4 paires.
CONCLUSION: VLAN
Flexibilité
Sécurité
L’ A D R E S S A G E (2/5)
27 + 26 . 27 + 25 + 2 3 . 23 + 2 1 . 27 + 22
11000000.10101000.00001010.10000100 (192.168.10.132/28)
11111111.11111111.11111111.11110000 (255.255.255.240)
L’ A D R E S S A G E (3/5)
Classes
Les bits les plus lourds définissent la classe :
Classe A : réseaux de 16777214 machines max (de 0.0.0.0 à 127.255.255.255) :
00000000.00000000.00000000.00000000 à 01111111.00000000.00000000.00000000
Classe B : réseaux 65534 machines max (de 128.0.0.0 à 191.255.255.255) :
10000000.00000000.00000000.00000000 à 10111111. 11111111.00000000.00000000
Classe C : réseaux de 254 machines max (de 192.0.0.0 à 223.0.0.0) :
11000000.00000000.00000000.00000000 à 11011111.11111111.11111111.00000000
Classe D : adresses multicasts
Classe E : réservée à des usages expérimentaux
Le réseau IP
L’ A D R E S S A G E (4/5)
CIDR
Le masque sous-réseau permet de créer des sous-réseaux ou sur-réseaux qui ne
respectent plus le découpage en classes A, B, C.
C’est le masque sous-réseau qui définit la limite des bits d’adressage du réseau, des
bits d’adressage de la machine :
192.168.10.5/255.255.255.0 ou 192.168.10.5/24 24 bits Rx sur 32
Plage IP : 192.168.10.0 192.168.10.255
192.168.10.5/255.255.255.128 ou 192.168.10.5/25 25 bits Rx sur 32
Plage IP : 192.168.10.0 192.168.10.127
192.168.10.5/255.255.252.0 ou 192.168.10.5/22 22 bits Rx sur 32
Plage IP : 192.168.8.0 192.168.11.255
Le réseau IP
L’ A D R E S S A G E (5/5)
Exceptions
Les plages I P à ne pas router par défaut
10.0.0.0/8 à 10.255.255.255/8
172.16.0.0/16 à 172.31.255.255/16
192.168.0.0/16 à 192.168.255.255/16
Les plages I P réservées
0.0.0.0 => utilisée par l’hôte quand l’adresse réseau est inconnue
255.255.255.255 => diffusion limitée à tous les hôtes du sous-
réseau.
0.x.x.x
127.x.x.x => boucle locale/loopback
128.0.x.x
191.255.x.x
192.0.0.x
223.255.255.x
224.0.0.0 => diffusion multipoint (multicast)
Le réseau IP
ARP/RARP (1/2)
ARP/RARP (2/2)
0à7 8 à 15 16 à 23 24 à 31
Hardware type (01 pour eth) Protocol type (0x0800 pour IP)
Hardware Protocol Address Operation (01 pour request, 02 pour
Address Length Length (04 pour reply)
(06 pour eth) IPv4 et 16 pour
IPv6)
Sender Hardware Address
Sender Protocol Address (@IP)
Target Hardware Address (que des 1 si request)
Target Protocol Address (@IP)
Le réseau IP
DHCP/BOOTP (1/3)
DHCP/BOOTP (2/3)
DHCPDISCOVER
SERVEUR
CLIENT
Demande d’adresse DHCPOFFER
IP réussie DHCPREQUEST
DHCPACK
DHCP/BOOTP (3/3)
Toute adresse IP délivrée par un serveur DHCP l’est pour un temps donné : c’est le bail. Lorsqu’on
arrive à T1, le client demande en unicast le renouvellement du bail. Sans réponse du serveur, arrivé
à T2 le bail est échu et le client doit redemander une adresse par diffusion. Si le client n’a toujours
pas de nouvelle adresse IP, alors il doit désactiver son adresse et ne peut plus communiquer.
Longueur du bail : Sur un réseau où les machines se branchent/débranchent souvent, il faut donner
des bails courts pour éviter d’épuiser inutilement le pool d’adresse IP.
Sur un réseau où les machines restent longtemps connectées, il faut préférer des bails plus
longs afin de ne pas surcharger le réseau avec les broadcasts des
DHCPDISCOVER/DHCPOFFER/DHCPREQUEST.
Gestion avancée avec DHCP : Il est possible d’affecter une adresse IP libre choisie au hasard ou de
configurer dans le serveur des couples @IP/@MAC. Il est également possible d’affecter les
adresses IP en fonction du réseau d’origine de la requête, de mettre à jour un DNS.
Client et serveur DHCP sur des segments différents : Implémenter un relais DHCP ou un UDP
helper sur le routeur du site client.
LA T R A N S L AT I O N D ’ A D R E S S E (2/3)
Longueur
de l’en- Type de service (8
Version (4 bits)
tête (4 bits) Longeur totale (16 bits)
NAT statique :
bits)
… on utilise la version 4 IPv4) afin de vérifier la validité du datagramme. Elle est codée
sur 4 bits.
Longueur d'en-tête, ou IHL pour Internet Header Length (4 bits) : il s'agit du nombre
de mots de 32 bits constituant l'en-tête (nota : la valeur minimale est 5). Ce champ est
NAT dynamique
codé sur 4 bits.
Type de service (8 bits) : il indique la façon selon laquelle le datagramme doit être
traité.
Longueur totale (16 bits) : indique la taille totale du datagramme en octets. La taille
{A1, A2, …} translatée en {B1, B2 , …} de ce champ étant de 2 octets, la taille totale du datagramme ne peut dépasser 65536
octets. Utilisé conjointement avec la taille de l'en-tête, ce champ permet de déterminer
où sont situées les données.
pas de lien prédéfini entre une adresse An et Identification, drapeaux (flags) et déplacement de fragment sont des champs qui
permettent la fragmentation des datagrammes, ils sont expliqués plus bas.
Durée de vie appelée aussi TTL, pour Time To Live (8 bits) : ce champ indique le
Bm. nombre maximal de routeurs à travers lesquels le datagramme peut passer. Ainsi ce
champ est décrémenté à chaque passage dans un routeur, lorsque celui-ci atteint la
valeur critique de 0, le routeur détruit le datagramme. Cela évite l'encombrement du
réseau par les datagrammes perdus.
Protocole (8 bits) : ce champ, en notation décimale, permet de savoir de quel
protocole est issu le datagramme
Somme de contrôle de l'en-tête, ou en anglais header checksum (16 bits) : ce
champ contient une valeur codée sur 16 bits qui permet de contrôler l'intégrité de l'en-
tête afin de déterminer si celui-ci n'a pas été altéré pendant la transmission. La somme
de contrôle est le complément à un de tous les mots de 16 bits de l'en-tête (champ
somme de contrôle exclu). Celle-ci est en fait telle que lorsque l'on fait la somme des
champs de l'en-tête (somme de contrôle incluse), on obtient un nombre avec tous les
bits positionnés à 1
Adresse IP source (32 bits) : Ce champ représente l'adresse IP de la machine
émettrice, il permet au destinataire de répondre
Adresse IP destination (32 bits) : adresse IP du destinataire du message
Le réseau IP
LA T R A N S L AT I O N D ’ A D R E S S E (3/3)
Overloading
@IPA1 translatée en @IP B(port x)
@IPA2 translatée en @IP B(port x+1)
@IPA3 translatée en @IP B(port x+2)
…
Overlapping
Utilisé quand l’adresse utilisée dans le LAN est dans une
plage IP déjà existante sur un autre site et qui, depuis
l’extérieur, apparaît comme un doublon. Le routeur joue alors
de relais en faisant croire au client que la machine extérieure à
une autre adresse IP.
Le réseau IP
LE ROUTAGE (1/7)
95/115
Routage sur les PC Routage sur les équipements réseaux
LE ROUTAGE (2/7)
Le routage statique :
Simple à mettre en place ;
Adapté à un faible nombre de réseaux IP ;
Permet de gérer les exceptions.
Le routage dynamique :
Plus complexe à mettre en place ;
Seule solution viable sur un réseau comprenant de
nombreux réseaux IP ;
Communication entre les routeurs par un
protocole de routage.
Le réseau IP
LE ROUTAGE (3/7)
RIP (v1 et v2) : le meilleur chemin est celui ayant le
moins de sauts. Vecteur de distance (Bellman-Ford)
O S P F : le meilleur chemin est celui proposant les
meilleures bande-passantes. Arbre du plus court
chemin (Dijkstra).
E I G R P : protocole propriétaire Cisco, combinant le
routage par saut, par bande-passante, et par charge
réseau.
Le réseau IP
LE ROUTAGE (4/7)
R I P (Routing Information Protocol)
101/115
Sécurité des protocoles de routages
cercles privés)
Sécurité des protocoles de routages
Mesures de sécurité
⚫ Activez l’authentification par mot de passe
⚫ Changez l’adresse M A C virtuelle
⚫ Utilisez IPsec (recommandation Cisco), mais n’est pas trivial (trafic
multicast, ordre des processus, limité à un groupe avec deux routeurs)
Le réseau IP
LE R O U TA G E (7/7)
V R R P (Virtual Router Redundancy Protocol) :
Une adresse IP et une adresse M A C virtuelles sont utilisées comme
passerelle par défaut. U n groupe de routeurs se surveille pour
qu’un seul d’entre eux ait ces adresses (éviter les conflits d’adresses)
et que ces adresses soient toujours affectées à un routeur valide
(gateway toujours disponible vu des PC).
H S R P (Hot Standby Router Protocol) : propriétaire Cisco, ancêtre de
VRRP.
C A R P (Common Address Redundancy Protocol) : travail
d’OpenBSD. Non reconnu par les organismes de normalisation
malgré sa valeur technique. Implémentation existante sous d’autres
plateformes (cf. UCARP).
Sécurisation d’un réseau
opérande : n° de port
Ip interface ethernet0/1
Ip address 2.0.5.1.255.255.255.0
Ip address-group Internetfilter out
Ip access-group afnog_group in
…
La règle est de placer les listes de contrôle d'accès étendues le plus près possible
de la source du trafic refusé. Étant donné que les listes de contrôle d'accès
standard ne précisent pas les adresses de destination, vous devez les placer le
plus près possible de la destination.
Pour tirer parti des avantages des listes de contrôle d'accès en matière de
sécurité, vous devez au moins configurer des listes de contrôle d'accès sur les
routeurs périphériques situés aux frontières du réseau. Cela permet de fournir
une protection de base contre le réseau externe ou de mettre à l'abri une zone
plus privée du réseau d'une zone moins contrôlée.
Sur ces routeurs périphériques, des listes de contrôle d'accès peuvent être
créées pour chaque protocole réseau configuré sur les interfaces des routeurs.
Vous pouvez configurer des listes de contrôle d'accès afin que le trafic entrant, le
trafic sortant ou les deux soient filtrés au niveau d'une interface.
Modélisation du contrôle d’accès
Machines à domaines
chaque objet s’exécute dans un espace d’adressage propre (domaine). Les appels à
l’intérieur du domaine ne sont pas contrôlés. Tout appel à l’extérieur du domaine est
réalisé par passage de paramètres par valeur et passage d’une capacité (identité,
droits).
Le domaine appelé contrôle la capacité avant d’exécuter la méthode et retourne le
résultat par valeur
FireWall (pare-feu)
Le firewall détermine:
- quels services internes peuvent être accédés de l’extérieur,
-quels éléments extérieurs peuvent accéder aux services internes
autorisés
- quels services externes peuvent être accédés par les éléments
internes
Avantages d’un firewall
Exemples
Avenir
Communications autorisées
Réseau local
Pourquoi un Firewall
Problématique
Attaques et Outils associés
Technologie
Architectures
Internet
Outils, Coûts
Sécuriser le trafic entrant
Exemples
Avenir
Réseau local
Couches de protocoles
Problématique
Attaques et Outils associés
Technologie
Architectures
Outils, Coûts
Exemples
Telnet FTP HTTP
Avenir
TCP UDP
Couches basses
Déni de service
Problématique
Attaques et Outils associés
Déni de service
Spoofing IP
Scanners
machine A machine B
Autres (client) (serveur)
Technologie
SYN
Architectures
Outils, Coûts SYN, ACK
Exemples
Avenir ACK
Spoofing IP
Problématique
Attaques et Outils associés
Déni de service
Machine B Machine d’attaque (H)
Spoofing IP
Scanners
Autres
Technologie
Architectures
Outils, Coûts
Exemples
Avenir
Routeur à filtrage de
Internet
paquets
Dual Homed Gateway
Screened Host Firewall
Screened Subnet Firewall
Outils, Coûts
IP forwarding
Exemples désactivé
Avenir
Réseau local avec serveurs
Screened Host Firewall
Problématique
Attaques et Outils associés
Technologie
Architectures
Internet
Routeur à filtrage de
paquets
Dual Homed Gateway
Screened Host Firewall
Screened Subnet Firewall
Outils, Coûts
Exemples
Bastion host
Avenir
Réseau local avec serveurs
Screened Subnet Firewall
Problématique
Attaques et Outils associés
Technologie
Architectures
Internet
Routeur à filtrage de
paquets
Dual Homed Gateway
Screened Host Firewall
Screened Subnet Firewall
Outils, Coûts
Exemples
Bastion host
Avenir
Réseau local avec serveurs Zone démilitarisée
Outils, Coûts
Problématique
Noyau GNU Gratuit Firewall a
Attaques et Outils associés Linux filtrage de
Technologie paquets
Architectures
Outils, Coûts
Proxy Squid GNU Gratuit Proxy
Exemples
FTP/HTTP
Avenir
Fournisseur
Réseau local Firewall/Proxy Pont d’accès/
Internet
Exemple Firewall-HOWTO
Problématique
Attaques et Outils associés
Technologie Internet
(MAUV AIS)
Architectures
Outils, Coûts
Exemples ppp0 :
192.84.219.1
Firewall+Pont
HOWTO eth0 :
Bat710 192.84.219.250 Proxy
SMTP DNS
HTTP,
Avenir FTP
eth1 : Réseau de serveurs
192.168.1.250 (ZoneDémilitarisée - ZDM)
Réseau local
(BON)
Exemple Bat710
Problématique
NT Workstation Linux
Attaques et Outils associés
Technologie
Architectures
Outils, Coûts
NFS
Exemples
Firewall+Pont
HOWTO Réseau du batiment 710
Bat710
Avenir
Miage
Samba, Proxy
HTTP, FTP, bat710
N ews, HTTPS SMTP, POP3
Internet
Limites du firewall
1 Cible privilégiée pour être saturé (étouffé) et mis hors service.
RDPTool- Netflow
⚫ Journalisation des données réseaux (AS, flux IP, protocoles,etc)
⚫ Données envoyées en clair sur le réseau à un point central
⚫ Avec C E F activé Netflow effectue uniquement la journalisation et les
statistiques
⚫ Sans C E F le routeur passe en mode commutation Netflow
⚫ Seul le trafic sortant sur une interface est comptabilisé
⚫ Visualisation des données : sh ip cache flow
Filtrage au niveau I P
Définissez une A C L et activez la sur chaque interface
Possibilité d’appliquer des AC L s sur le RP (S-train)
Filtrage au niveau applicatif
Définissez une A C L et utilisez la pour le contrôle d’accès à l’application
Utilisez des vues pour limiter la portée
ADMIN : S N M P SIMPLE NETWORK
MANAGEMENT PROTOCOL
Définissez des utilisateurs/groupes et leurs droits
⚫ snmp-server group engineering v3 priv read cutdown 10
⚫ snmp-server user nico engineering v3 auth md5 myp4ss priv des56 mydes56
⚫ snmp-server view cutdown ip.21 excluded
⚫ access-list 10 permit x.x.x.x
⚫ access-list 10 deny any log
2 Approches :
⚫ Approche comportementale
⚫ Approche par scénarios
Qu'est-ce qu'une intrusion ?
U n I D S est un système de détection d'intrusion : que considère-t-on
comme une intrusion ? Il s'agit d'une action ayant pour but de
compromettre, sur un système d'information :
⚫ la confidentialité
⚫ la disponibilité
⚫ Cette action peut :
⚫ avoir réussi
⚫ avoir échoué
⚫ être en cours
⚫ être une simple phase préparatoire
⚫ Le système d'information vise peut être :
⚫ un réseau
⚫ une machine, un système d'exploitation
⚫ une application
IDS – APPROCHE COMPORTEMENTALE
Plusieurs techniques :
⚫ Méthodes statistiques
⚫ Systèmes Experts
⚫ Réseaux de neurones
⚫ Immunologies
Fausses alertes
IDS – APPROCHE PAR SCÉNARIOS
Implémentations logicielles :
⚫ Tivoli Instrusion Manager (IBM)
⚫ I S S Real Secure Network Sensor
Implémentations matérielles
⚫ CISCO IDS
Capacité traitment (de 45 Mbits/s à 500 Mbits/s)
I P S (I N S T R U S I O N P R O T E C T I O N
SOLUTION)
Solution hybride : IDS+
Détection
Mécanisme de contre-attaque Marketing ?
Complément idéal au Firewall
Exemple :
Attack Mitigator de TopLayer
Fin