SÉCURITÉ RÉSEAU ET SYSTÈME

SOMMAIRE

I. INTRODUCTION_________________________________________________p.3

II. GÉNÉRALITÉS SUR LA SÉCURITÉ DES INFRASTRUCTURES_____________p.12

III. LES PARE-FEU___________________________________________________p.18
IV. LES PROXIES____________________________________________________p.26
V. SYSTÈME DE DÉTECTION D'INTRUSION (IDS)_______________________p.31
VI. CAS CONCRETS (PfSense) ______________________________________p.37
VII. ETUDE DE CAS__________________________________________________p.40
I. INTRODUCTION
PRINCIPES DE LA SSI

 Rôles de la SSI (Sécurité des Systèmes d’Information) :

• Etudier les vulnérabilités des systèmes (matériels, logiciels, procédures, aspects
humains).
• Déployer des mesures pour limiter les vulnérabilités.
• Assurer la continuité des fonctions métier à un niveau acceptable.
• Améliore la robustesse des installations et la productivité des entreprises.
PRINCIPES DE LA SSI
o D’après le RGS (Référentiel Général de Sécurité), la SSI repose sur 4 piliers :
• Disponibilité
 Sa dégradation se traduit en perte financière et insatisfaction des clients (retards de
livraison, augmentation des coûts de production, arrêts de production...).
• Intégrité
 Son respect certifie que produits et services sont conformes aux exigences des clients
ou aux exigences réglementaires.
• Confidentialité
 Divulguer les informations de l’entreprise est un danger réel : paramètres et données
sensibles peuvent être exploités par des concurrents ou des groupes malveillants.
• Traçabilité
 Exigence réglementaire dans de nombreux secteurs d’activité (agro- alimentaire,
transport, nucléaire...). Ne pas apporter la preuve de la traçabilité et ne pas respecter les
exigences réglementaires peut conduire à des poursuites judiciaires.
PRINCIPES DE LA SSI

 Déploiement et gestion de la sécurité doivent être organisés pour

protéger l’installation des conséquences d’incidents de sécurité.
 Les activités peuvent être organisées selon plusieurs phases :
• Sensibilisation des personnels
• Cartographie des installations et analyse de risque
• Prévention
• Surveillance des installations et détection des incidents
• Traitement des incidents, chaîne d’alerte
• Veille sur les menaces et les vulnérabilités
• Les plans de reprise et de continuité d’activité
 Processus continu, demandant des efforts permanents.
SÉCURISER LES INFRASTRUCTURES
 L’élaboration d’architectures sécurisées s’appuie sur plusieurs principes :
• Principe du moindre privilège
• Principe de la défense en profondeur
• Principe de la panne sans danger
• Principe de l’interdiction par défaut
• Principe du goulet d’étranglement
• Principe du maillon le plus faible
• Principe de la diversité
• Principe de l’unicité de fonction
• Principe de la simplicité

 De plus, nécessité de former en permanence les utilisateurs.

SÉCURISER LES INFRASTRUCTURES

 Principe du moindre privilège

• Tout objet (utilisateur, administrateur, programme…) ne doit disposer que des
privilèges dont il a réellement besoin pour effectuer les tâches qui lui sont assignées.
• Utiliser l’identité root que si nécessaire.

 Principe de la défense en profondeur

• Il faut installer plusieurs mécanismes se soutenant mutuellement.
• Ne pas dépendre d’un seul mécanisme de sécurité.
• La faiblesse d’un seul mécanisme ne doit pas compromettre l’ensemble d’un
système.
SÉCURISER LES INFRASTRUCTURES

 Principe de la panne sans danger

• En cas de panne d’un dispositif de sécurité, l’accès doit être refusé à l’agresseur,
mais aussi parfois aux utilisateurs.

 Principe de l’interdiction par défaut

• « Tout ce qui n’est pas autorisé est interdit ».
• Partir d’une situation initiale où tout est interdit par défaut, puis assigner des
autorisations (services, logiciels et protocoles) au cas par cas, selon les besoins réels.
SÉCURISER LES INFRASTRUCTURES

 Principe du goulet d’étranglement

• Dans une infrastructure sécurisée, il doit exister uniquement un seul accès depuis /
vers l’extérieur.
 Principe du maillon le plus faible
• « La solidité d’une architecture de sécurité correspond à celle du maillon le plus
faible ». Rien ne sert de renforcer la sécurité d’un élément s’il est possible de la
contourner facilement.
• En permanence :
 Surveiller les alertes du CERTA (centre d'expertise gouvernemental de réponse et de
traitement des attaques informatiques) et appliquer les patchs recommandés.
 Remplacer les éléments non ou faiblement sécurisés par d’autres éléments disposant
d’une sécurité élevée.
SÉCURISER LES INFRASTRUCTURES

 Principe de la diversité
• Une même fonction, à des endroits différents dans l’architecture, doit être portée
par des solutions techniques différentes (ex : un pare-feu sous Linux et un autre sous
BSD).
 Principe de l’unicité de fonction
• Dédier un serveur à la réalisation d’une fonction unique, ainsi sa compromission ne
met pas en danger les autres composants de l’architecture.
 Principe de la simplicité
• La réussite d’une attaque repose sur l’erreur humaine et sur l’incapacité de
comprendre toutes les subtilités d’un système complexe.
• Plus un système est simple, plus il sera configuré correctement.
II. GÉNÉRALITÉS SUR LA SÉCURITÉ DES
INFRASTRUCTURES
FONCTIONNEMENT ET LIMITES DU PROTOCOLE IPV4
 Fonctionnement
FONCTIONNEMENT ET LIMITES DU PROTOCOLE IPV4
 Structure d’un paquet IPv4 :
FONCTIONNEMENT ET LIMITES DU PROTOCOLE IPV4

 IPv4 (version 4 du protocole Internet) existe depuis l’origine d’Internet :

• Aucune fonction ou mécanisme de sécurité
• Pas d’authentification source / destination d’un paquet
• Pas de confidentialité des données ou des adresses IP

 IPv4 ne garantit pas :

• La remise des données
• La livraison des données au bon destinataire
• L’ordonnancement correct des données à leur réception
• La confidentialité et l’intégrité des données transmises
• L’authentification de la source ou de la destination des données
LES SOLUTIONS APPORTÉES PAR LES PROTOCOLES
IPV6 ET IPSEC

 Evolutions apportées par IPv6 :

• Support d’un adressage étendu et hiérarchisé :
 Adresses sur 128 bits (16 octets) au lieu de 32 bits (4 octets),
 Adresse sous forme de nombres hexadécimaux séparés par « : » tous les 2 octets
au lieu d’une notation décimale pointée
• Allocation dynamique de bande passante pour le support
d’applications multimédia
• Création des réseaux IP virtuels
• Support de procédures d’authentification et de chiffrement
• En-têtes des paquets simplifiés pour faciliter et accélérer le routage
LES SOLUTIONS APPORTÉES PAR LES PROTOCOLES IPV6 ET
IPSEC
 Structure d’un paquet IPv6
III.LES PARE-FEU
DÉFINITION

 Pare-feu ou firewall :

• Matériel ou logiciel permettant

 De réaliser le cloisonnement d’environnements informatiques,
 Le masquage des ressources,
 Le filtrage des données (entrée et sortie), afin de contribuer à leur protection
RISQUES LIÉS À INTERNET
 Mise en place d’un Intranet (réseau « Internet » privé), offre aux
utilisateurs des services mettant en œuvre des technologies de l’Internet.
 Relié à l’Internet public, un réseau Intranet doit être protégé pour rester
privé et non accessible à l’extérieur, à priori hostile.
 L’ensemble du SI (infrastructure, contrôle, routage, logiciels clients,
serveurs…), doit être préparé au déploiement d’Intranet.
FONCTIONNALITÉS D'UN PARE-FEU

 Cloisonnement :
• Un pare-feu filtre les communications, les analyse et les autorise ou
non, selon certaines conditions.
 Conditions : règles définies par la configuration du pare-feu.
• Un pare-feu cloisonne le réseau et, en principe, le masque aux
utilisateurs d’Internet.
• Cloisonner un réseau, permet de constituer des environnements IP
disjoints :
 Les accès des réseaux sont rendus physiquement indépendants.
 Permet de connecter 2 réseaux avec des niveaux de sécurité différents.
CHOIX DU PARE-FEU PARMI LES DIFFÉRENTS TYPES
 Cloisonnement
FONCTIONNALITÉS D'UN PARE-FEU

 Filtre :
• Pare-feu stateless :
 Filtrage simple de paquets,
 Basé sur les adresses, les ports, les entrées ou des informations de la couche application.
• Pare-feu stateful :
 Réalise un suivi de connexion.
 Différents états pour une connexion :
o NEW : connexion créée (ex : un client envoie sa 1ère requête vers un serveur Web).
o ESTABLISHED : connexion déjà établie, suit une connexion NEW déjà passée.
o RELATED : peut être une nouvelle connexion, mais présente un rapport direct avec une
connexion déjà connue.
o INVALID : pour tous les paquets suspects suivant des règles préétablies.
FONCTIONNALITÉS D'UN PARE-FEU

 Relais et masque:
• Un pare-feu peut jouer le rôle de passerelle applicative ou proxy (nécessite
ressources et temps de traitement).
• Proxy :
 Réalise un masquage d’adresse par relais applicatif
 Rend transparent l’environnement interne
 Constitue un point de passage obligatoire pour toute application nécessitant un accès
Internet
 Une application relais doit alors être installée sur le poste de travail et sur le pare-feu
 A chaque demande de connexion Internet, le proxy contacte le serveur externe avec sa
propre adresse (et non celle de l’utilisateur) et échange les données nécessaires

o Le proxy cache toute l’infrastructure interne

PLACE OPTIMALE D'UN PARE-FEU DANS
L'ARCHITECTURE

 Plusieurs configurations possibles :

• Routeur, pare-feu, NAT (Network Address Translation)
• Routeur, pare-feu, NAT / PAT (Port Address Translation)
• Routeur, pare-feu, DMZ
IV. LES PROXIES
DÉFINITION
 Proxy (en français : mandataire) :
• Eléments émettant des requêtes (HTTP, FTP, ARP…) à la place des clients.
• Agit à la fois comme un client et comme un serveur.
DÉFINITION

 Différents types de proxies :

• Proxies applicatifs
• Proxies ARP
• Proxies SOCKS
• Proxies anonymiseurs
• Reverse proxies ou relais inverses
 Plusieurs RFC traitent des proxies :
• RFC 2616
• RFC 2782
• RFC 3040
PRÉSENTATION DE SQUID
 SQUID : proxy applicatif ou serveur mandataire, travaille au niveau 7.

 Réalise les fonctions :

• Cache : réduit utilisation de bande passante et temps d’accès
• Hiérarchie des caches
• Suivi d’activités : constitution de journaux d’activité
• Filtrage : peu adapté pour ce rôle
• Authentification : basic, digest, ntlm, negociate
• Chiffrement : gère le protocole SSL, permettant l’accès à des sites HTTPS
• Reverse proxy : permet aux utilisateurs l’accès à Internet et au réseau interne
• Proxy transparent : aucune configuration à réaliser sur le client pour lui indiquer
l’dresse IP d’un proxy
PRÉSENTATION DE SQUID

 Gère les protocoles : HTTP, HTTPS, FTP et SSL / TLS

 Domaines d’emploi :
• Optimisation de la bande passante vers Internet (fonction de cache)
• Soulage la charge, si il est disposé en « frontal » d’un serveur Web (mode reverse
proxy)
• Contrôle des accès utilisateurs (authentification, filtrage de contenu, plage horaire,
journalisation)
V.SYSTÈME DE DÉTECTION
D'INTRUSION (IDS)
DÉFINITION

 Système de détection d’intrusion ou IDS (Intrusion Detection System) :

 Permet de détecter les incidents qui pourraient conduire à des violations de la
politique de sécurité.
 Permet de diagnostiquer des intrusions potentielles.

 Les IDS sont nécessaires pour renforcer la robustesse des environnements

informatiques, en identifiant au plus tôt des évènements non sollicités ou
des incidents.
RÔLES

 UnIDS analyse les données pour détecter celles pouvant produire un

incident ou une intrusion.

 Deux catégories :
• IDS_Réseaux (N-IDS, Network Based Intrusion Detection System) : constituent des
sondes assez similaires aux « sniffers ».
• IDS_Hôtes (H-IDS, Host Based Intrusion Detection System) : en fonction du système
d’exploitation, peuvent analyser le trafic entrant et les données enregistrées dans les
journaux.
RÔLES
 Un IDS se compose de 3 blocs fonctionnels :
• Collecte des informations :
 Fonction principale,
 Au niveau de l’hôte et/ou du réseau.
• Analyse des informations récupérées :
 Les activités suspectes sont isolées lors de leur apparition ou plus tard.
 2 catégories de méthodes d’analyse : celles basées sur les signatures et celles basées sur
les profils.
• Détection des intrusions et réponses à donner :
 2 catégories de réponses :
o Réponses actives : action agressive contre l’intrus, restructuration de l’architecture réseau et
surveillance du système attaqué.
o Réponses passives : les informations récoltées sont transmises au responsable qui décide des
actions à mener.
MÉTHODES DE DÉTECTION

 « Pattern Matching » : recherche de motifs dans les trames.

 « Stateful Pattern Matching » : recherche de motifs avec une mémoire des contextes.

 « Protocol Decode-Based Analysis » : analyse de l’échange applicatif suivant la norme

du protocole (violation de protocoles, RFC).

 « Heuristic-Based Analysis » : moteur d’inférence de règles et corrélation (systèmes

experts).

 « Anomaly-Based Analysis » : analyse des variations soudaines suivant des profils établis
dits « normaux » (statistiques).
FAUX POSITIFS ET FAUX NÉGATIFS

 Les méthodes d’analyse ne sont pas parfaites, elles peuvent générer :

• Des faux positifs : des alarmes apparaissent suite à des identifications qui ne sont pas
des attaques.
• Des faux négatifs : attaques non détectées.

 Letaux de faux positifs et de faux négatifs dépend de la méthode

d’analyse choisie
• Il peut être réduit par l’adaptation des sondes à leur environnement.
VI. CAS CONCRETS
PFSENSE
 PfSense est un firewall/routeur open-source basé sur FreeBSD et distribué
sous licence BSD.
 Cettedistribution offre une multitude de fonctionnalités comme la prise
en charge de : NAT, VPN over IPSec, L2TP, DHCP Server, serveur proxy….
https://www.pfsense.org/
PFSENSE
 Netgate propose l’achat de matériels avec pfsense :
MISE EN PLACE D’UN LAB SOUS PFSENSE
LAN 192.168.10.0/24 WAN 172.34.0.0/16

192.168.10.254 172.34.11.27

Windows 10 Admin

Switch Vmnet1 Pfsense Switch Salle 22 Routeur Fortinet WAN

192.168.20.254

Vmnet2
Windows 7 User

SRV-WEB-01
192.168.20.253

DMZ 192.168.20.0/24
ETUDE DE CAS

 Vous êtes l’administrateur en charge de la sécurité d’une grande école publique

française.
 Au sein de l’établissement se côtoient des étudiants, chercheurs et personnels
administratifs.
 L’école héberge également des serveurs web lui permettant de publier des informations
sur Internet
 Enfin, elle propose un accès Wifi a tout le monde (mais doit identifier les utilisateurs ).
 Votre premiere mission consiste a proposer une topologie et une segmentation du
réseau pertinente d’un point de vue sécurité en vous appuyant sur les éléments et
concepts suivants: switches, routage, VLAN, pare-feu, proxy
 Présentez le schéma idéal d’implantation selon votre point de vue.