Académique Documents
Professionnel Documents
Culture Documents
3 Huawei Confidential
Table des matières
4 Huawei Confidential
Aperçu des menaces pour la sécurité des réseaux
d'entreprise (1/2)
⚫ Les entreprises sont confrontées à des menaces de sécurité internes et externes. La figure suivante
montre une architecture typique de réseau d'entreprise.
Vecteur
Attaques DDoS Virus
Routeur
AntiDDoS ATIC
Pare-feu
IPS
Contour Hôte bastion
Serveur UMA
Web Commutateur central
iMaster NCE
Serveur
d'e-mail
Commutateur d'accès
Zone Zone
d'employés 1 d'employés 2 Environnement
Environnement informatique
informatique
(zone du serveur) Centre de gestion
(Zone bureaux)
5 Huawei Confidential
Aperçu des menaces pour la sécurité des réseaux
d'entreprise (2/2)
⚫ Les entreprises prennent généralement des mesures de gestion et des mesures techniques pour éviter les risques de
sécurité. En termes de gestion, les entreprises formulent généralement diverses réglementations en matière de
sécurité, des exigences d'exploitation et maintenance (O&M) ou des processus d'urgence pour améliorer la
sensibilisation des employés à la sécurité.
⚫ La sensibilisation à la sécurité constitue la base de toutes les mesures de défense. Une formation régulière de
sensibilisation à la sécurité pour tous les employés et des règles et règlements clairs en matière de sécurité peuvent
aider les entreprises à prévenir les violations de l'information ou d'autres événements liés à la sécurité de
l'information causés par des erreurs de manipulation.
⚫ Pour se défendre contre les menaces à la sécurité du réseau, les ingénieurs d'entreprise divisent le réseau en
différentes zones en fonction des sources de menaces.
Architecture des
Environnement Centre de
réseaux de Contour
informatique gestion
communication
6 Huawei Confidential
Table des matières
8 Huawei Confidential
Exigence 1 : Fiabilité de l'architecture réseau
⚫ À partir d'une protection classifiée de niveau 3 Internet
(protection supervisée), l'architecture du réseau de
communication sécurisé doit prévoir une Routeur A Routeur B
disponibilité du système.
⚫ En tant que dispositifs clés à la sortie d'un réseau Commutateur A Commutateur B
9 Huawei Confidential
Exigence 2 : Isolation de zone
⚫ Les ressources du réseau d'entreprise ne peuvent pas être directement exposées au réseau public afin d'éviter les attaques depuis
Internet. En outre, des utilisateurs non autorisés sur Internet peuvent utiliser le balayage des adresses IP ou d'autres méthodes pour
sonder le réseau d'entreprise afin de lancer d'autres attaques.
⚫ En général, un pare-feu est déployé à la sortie du réseau. Le pare-feu isole le réseau interne du réseau externe en divisant le réseau
connecté en différentes zones de sécurité. La technologie de traduction d'adresses de réseau (NAT) est déployée sur le pare-feu pour
masquer dans une certaine mesure les adresses IP internes et protéger ainsi le réseau interne.
Trust Untrust
Adresse IP Adresse IP de
Adresse IP Adresse IP de
source destination
source destination Chemin de transmission des
paquets de données 200.10.10.2 200.1.2.3
192.168.1.1 200.1.2.3
192.168.1.254 200.10.10.1
Internet
PC Pare-feu Serveur Web
Commutateur
192.168.1.1/24 200.1.2.3
10 Huawei Confidential
Exigence 3 : Confidentialité des informations
⚫ Une entreprise a des employés en voyage d'affaires, ou une grande entreprise a plusieurs succursales. Lorsque des
données sont transmises entre un employé en voyage d'affaires et le siège social (HQ) ou entre une succursale et le
HQ via l'Internet non sécurisé, les données peuvent être volées ou altérées pour les raisons suivantes :
La transmission des données de l'entreprise n'est pas cryptée ou le niveau de cryptage est insuffisant.
Attaque de l'intercepteur : Un auteur de l'attaque établit une connexion indépendante avec chacun des deux interlocuteurs et
échange les données reçues. De cette façon, les deux parties de la communication considèrent qu'elles communiquent l'une avec
l'autre par une liaison privée. En fait, la session entière est complètement contrôlée par l'auteur de l'attaque. Dans le cas d'une
attaque de l'intercepteur, l'auteur de l'attaque peut intercepter tous les paquets circulant entre les deux parties de la
communication et en insérer de nouveaux.
Filiale
Auteur de d'entreprise
l'attaque
HQ de Internet
l'entreprise
Employé en
voyage
d'affaires
11 Huawei Confidential
Solution de sécurité pour la confidentialité des informations
⚫ En raison de l'ouverture d'Internet, la sécurité de la transmission de données entre une entreprise et ses succursales
ne peut être garantie. C'est à ce niveau que la technologie de réseau privé virtuel (VPN) entre en jeu. Cette
technologie peut être utilisée pour établir des tunnels de transmission sécurisés et fiables sur Internet. Les
entreprises possédant une grande puissance économique et des exigences élevées en matière de sécurité et de
fiabilité peuvent acheter des lignes privées auprès d'opérateurs pour répondre aux besoins d'interconnexion entre le
HQ et les succursales.
⚫ Les employés en voyage d'affaires peuvent utiliser L2TP par IPsec ou VPN SSL pour accéder en toute sécurité au
réseau d'entreprise.
Filiale
d'entreprise
IPsec VPN
HQ de Internet
l'entreprise
12 Huawei Confidential
Table des matières
13 Huawei Confidential
Menace 1 : Attaque DDoS
⚫ Lors d'une attaque DDoS, un auteur d'attaque contrôle un grand nombre d'hôtes zombies pour envoyer un grand
nombre de paquets d'attaque à la cible de l'attaque. En conséquence, les liens du réseau où réside la cible de
l'attaque sont encombrés, les ressources du système sont épuisées et la cible de l'attaque ne peut pas fournir de
services aux utilisateurs autorisés.
⚫ Certains concurrents malveillants peuvent lancer des attaques DDoS, causant d'importantes pertes économiques
aux entreprises légitimes. Par exemple, des attaques DDoS sont lancées sur des plateformes d'achat en ligne
pendant les fêtes du shopping.
14 Huawei Confidential
Types d'attaques DDoS
⚫ Les attaques DDoS peuvent être classées en inondation TCP, inondation UDP, inondation ICMP, inondation HTTP et
inondation GRE en fonction des types de paquets d'attaque.
Type Répartition des types d'attaques au T2 2021
Description
d'attaque
HTTP, 1.28%
Les attaques DDoS lancées à l'aide de TCP, telles que GRE, 1.63%
Inondation
l'inondation SYN, l'inondation SYN+ACK, l'inondation
TCP TCP, 13.42%
ACK et l'inondation FIN/RST.
Les paquets GRE sont utilisés pour lancer des attaques UDP SYN TCP GRE HTTP
Inondation DDoS. Lors d'une attaque DDoS, les paquets GRE sont
GRE décapsulés pour consommer les ressources Source des données : kaspersky securelist-
informatiques de la cible de l'attaque. attaques DDoS au T2 2021
15 Huawei Confidential
Défense contre les attaques DDoS
Défense contre les attaques d'innondation SYN via l'authentification
⚫ Les dispositifs anti-DDoS utilisent différents modes, de la source (sources falsifiées)
tels que l'authentification de la source et la Auteur de l'attaque Pare-feu Serveur cible
limitation du trafic, pour se défendre contre
différents types d'attaques DDoS. La figure de
SYN
droite montre le mécanisme de défense contre le SYN+ACK
SYN flood via l'authentification de la source. SYN
SYN+ACK
⚫ Les auteurs d'attaques envoient des paquets SYN … Active l'authentification de la source lorsque
SYN le nombre de paquets SYN vers la même
avec des adresses sources falsifiées aux hôtes pour destination dans une période spécifique
SYN+ACK dépasse le seuil prédéfini.
lancer une inondation SYN. Les hôtes répondent
SYN+ACK : Un paquet avec un numéro
par des paquets SYN+ACK aux adresses sources, d'accusé de réception correct est renvoyé.
mais ne reçoivent pas de paquets ACK. En Hôte réel
conséquence, les hôtes conservent de nombreuses
SYN SYN+ACK : Un paquet avec un numéro
connexions semi-ouvertes jusqu'à l'expiration des
SYN+ACK d'accusé de réception correct est renvoyé.
connexions. Ces connexions semi-ouvertes épuisent ACK : L'authentification réussit et l'adresse IP
ACK source de l'hôte est sur la liste de confiance.
les ressources de l'hôte. Par conséquent, l'hôte ne
RST L'adresse IP source figure dans la liste de
parvient pas à établir de connexions TCP. SYN confiance et est fiable.
16 Huawei Confidential
Menace 2 : Attaque à paquet unique
⚫ Contrairement aux attaques DDoS qui provoquent une congestion du réseau ou consomment des ressources
système, les attaques à paquet unique sont lancées par l'envoi de paquets malformés afin que les hôtes ou les
serveurs tombent en panne lors du traitement de ces paquets, ou par l'envoi de paquets de contrôle spéciaux ou de
paquets d'analyse pour sonder la structure du réseau avant de lancer de véritables attaques.
Un auteur d'attaque utilise des paquets ICMP pour sonder l'adresse IP cible afin de déterminer
Attaque
quels systèmes cibles sont vivants et connectés au réseau cible. Alternativement, l'auteur
par
balayage d'attaque scanne les ports pour sonder les ports ouverts de l'objet attaqué et déterminer le
mode d'attaque.
Attaque Un auteur d'attaque envoie un grand nombre de paquets malformés à un hôte ou à un serveur.
par paquet En conséquence, l'hôte ou le serveur tombe en panne lors du traitement de ces paquets. Les
malformé attaques typiques sont les attaques Teardrop, Smurf et Land.
Attaque Un comportement d'attaque potentiel qui n'endommage pas directement le réseau. Un auteur
par paquet
d'attaque envoie des paquets de contrôle spéciaux pour sonder la structure du réseau et
de
contrôle préparer les attaques suivantes. Les attaques typiques comprennent les attaques de contrôle de
spécial paquets ICMP ultra-grands et les attaques de contrôle de paquets IP.
17 Huawei Confidential
Défense contre les attaques à paquet unique
⚫ Les pare-feu offrent la fonction de défense contre les attaques à paquet unique pour se défendre efficacement
contre les attaques par balayage, les attaques par paquet malformé et les attaques par contrôle spécial de paquet.
⚫ Les mécanismes des attaques par paquet unique sont différents, et les mécanismes de défense des pare-feu sont
également différents. Les paragraphes suivants décrivent le mécanisme d'initiation des attaques par balayage
d'adresses ainsi que le mécanisme de défense contre ces attaques.
Paquet ICMP Adresse Adresse de
source destination
10.0.0.1 10.0.0.2
Sur le pare-feu, définissez le seuil du
10.0.0.1 10.0.0.3 nombre de paquets ICMP (Taux) envoyés
10.0.0.1 10.0.0.4 depuis la même adresse IP source vers
… différentes adresses de destination par
seconde.
Réseau interne d'une
Si le Taux est plus petit que le seuil, les entreprise
Auteur de l'attaque paquets sont autorisés.
Si le Taux est supérieur au seuil, l'adresse IP
Déterminer les nœuds de source est mise sur liste de blocage et les
dispositif sur le réseau paquets sont rejetés.
cible en fonction des
paquets de réponse.
18 Huawei Confidential
Menace 3 : Comportement incontrôlé de l'utilisateur
⚫ 70 % des incidents liés à la sécurité de l'information sont dus à des erreurs de manipulation des employés internes ou à une
sensibilisation insuffisante à la sécurité. Outre la sensibilisation des employés à la sécurité, les entreprises doivent gérer et contrôler
le comportement des employés en matière d'accès à Internet au niveau technique. iMaster NCE peut être utilisé pour gérer et
contrôler les droits d'accès des utilisateurs, et la fonction de filtrage du contenu du pare-feu peut être utilisée pour gérer et contrôler
le comportement en ligne des utilisateurs.
Contrôle des
Trust comportements Untrust
Apprentissage et
Violence Virus Violation des HTTP et FTP noms de
du jeu informations domaine valides 1 Filtrage d'URL
1 3 4 6 2 2 Filtrage DNS
Département R&D
Serveur de 3 Filtrage de fichier
Pare-feu
Internet fichiers
4 Filtrage de contenu
5 Filtrage des courriers
5 5
6 Contrôle du
Contrôle de l'envoi Restriction de comportement des
Secret et de la réception la taille des Serveur Web
Service des ventes applications
d'e-mails pièces jointes
DMZ
Serveur de Serveur de
Réseau interne d'une entreprise messagerie fichiers Réseau externe
19 Huawei Confidential
Menace 4 : Intrusion dans un réseau externe
⚫ Tant que le réseau interne d'une entreprise est connecté à un réseau externe, il est vulnérable aux attaques
externes, telles que les virus, les injections SQL et les attaques DDoS.
21 Huawei Confidential
Prévention des intrusions et protection de sécurité
⚫ La fonction de prévention des intrusions des pare-feu détecte et
analyse tous les paquets qui passent et détermine s'il faut autoriser
Base de données
ou bloquer les paquets en temps réel. Les dispositifs IPS peuvent de signatures
également être utilisés pour se défendre contre les intrusions dans le Serveur de messagerie
réseau.
Mise à jour/personnalisation
⚫ Les pare-feu et les dispositifs IPS sont généralement déployés à la
Pare-feu Réseau interne
sortie du réseau pour se défendre contre les menaces provenant Internet d'une entreprise
d'Internet. Détecter
⚫ Les pare-feu et les dispositifs IPS sont équipés du module de fonction
de prévention des intrusions. Ce module compare le trafic passant Serveur Web
22 Huawei Confidential
Table des matières
23 Huawei Confidential
Vulnérabilité du logiciel du terminal
⚫ Les logiciels des terminaux sur le réseau interne d'une entreprise présentent des vulnérabilités, qui peuvent être
exploitées par des auteurs d'attaques. Peu importe que les virus proviennent du réseau interne ou externe, une fois
qu'un terminal du réseau interne est infecté par des virus, ces derniers se propagent horizontalement en fonction
des relations de confiance entre les appareils du réseau interne. En conséquence, un grand nombre de terminaux du
réseau interne sont infectés.
⚫ Vulnérabilités et expositions communes (CVE) est une plateforme de divulgation des vulnérabilités. Elle propose des
IDs en tant que chaîne de caractères caractéristiques des vulnérabilités.
24 Huawei Confidential
Méthodes de traitement des vulnérabilités des logiciels de
terminaux
⚫ Installer en temps utile les correctifs pour les logiciels système et les logiciels d'application des terminaux du réseau d'entreprise, et
installer des logiciels antivirus.
⚫ La solution de contrôle d'admission au réseau (NAC) est utilisée pour vérifier la sécurité des terminaux du réseau d'entreprise et des
terminaux externes et empêcher les terminaux non autorisés d'accéder au réseau.
⚫ Utiliser des outils d'analyse de vulnérabilité pour analyser les réseaux d'entreprise et évaluer les risques liés à la sécurité de
l'information. Détecter et corriger les vulnérabilités des dispositifs du réseau en temps utile.
⚫ Effectuez des tests de pénétration, faites appel à des professionnels pour évaluer la sécurité des systèmes du réseau d'entreprise et
prenez des mesures d'amélioration ciblées.
25 Huawei Confidential
Table des matières
26 Huawei Confidential
Exigence 1 : Contrôle des autorisations de l'administrateur
⚫ Dans certains cas, les employés de l'entreprise peuvent adopter des comportements qui mettent en danger la
sécurité des informations de l'entreprise en raison de conflits d'intérêts ou d'insatisfaction. Par exemple, ils volent
les données confidentielles de l'entreprise ou endommagent son infrastructure réseau.
Poussé par des intérêts dans les devises Un employé d'une entreprise a Poussé par ses intérêts, un employé
virtuelles, un employé d'une entreprise a malicieusement endommagé d'une entreprise a volé des informations
exploité les ressources informatiques des l'environnement de production en ligne de confidentielles de l'entreprise en prenant
serveurs de l'entreprise pour mener des l'entreprise en raison de son statut mental des photos ou en envoyant des e-mails à
activités de minage et a gagné des personnel et de raisons de vie. des comptes de messagerie externes
centaines de milliers de CNY. Le L'environnement de production et les avant de démissionner. L'employé a
comportement de l'employé a été révélé données ont été gravement endommagés, et finalement été sanctionné par des lois.
et sanctionné par des lois. Cependant, les les intérêts de l'entreprise et de ses clients
ressources du serveur de l'entreprise ont ont également été gravement compromis.
été détournées, affectant le Finalement, l'employé a été sanctionné par
fonctionnement normal des services. des lois.
27 Huawei Confidential
Solution : Contrôle des autorisations de l'administrateur
⚫ Les éventuels comportements à risque des employés des entreprises en matière de sécurité de l'information peuvent
être traités sous deux aspects : la technologie et la gestion.
⚫ Technologie
Gestion plus stricte des autorisations : Des comptes avec des autorisations différentes sont définis pour les employés de
l'entreprise à différents niveaux. L'autorisation d'exploitation et maintenance (O&M) doit respecter le principe de l'autorisation
minimale. Par exemple, l'UMA peut être utilisé pour contrôler de manière centralisée les autorisations d'exploitation et
maintenance (O&M) des administrateurs et surveiller les comportements des administrateurs.
Mécanisme de sauvegarde plus fiable : Si l'environnement de production et les données sont endommagés, les données peuvent
être rapidement restaurées pour minimiser la perte.
⚫ Gestion
Publiez fréquemment des cas de sécurité de l'information dans les entreprises pour améliorer la sensibilisation des employés à la
sécurité.
Le système de contrôle d'accès peut être utilisé dans des zones présentant des exigences de sécurité élevées.
Prêter attention au statut professionnel et privé des employés et fournir une aide psychologique en temps utile pour prévenir les
risques de sécurité de l'information causés par des problèmes psychologiques.
28 Huawei Confidential
Exigence 2 : Contrôle des autorisations d'accès à Internet
⚫ Outre les risques de sécurité liés aux réseaux externes, les
risques de sécurité liés aux réseaux internes des entreprises
augmentent. L'accès non autorisé aux réseaux de l'entreprise
peut causer des dommages aux systèmes de service et une
violation des actifs d'information clés.
Les utilisateurs malveillants peuvent endommager ou voler des
informations après avoir accédé au réseau.
Si un terminal qui accède au réseau interne d'une entreprise est
infecté par des virus, ces derniers peuvent se propager sur le réseau.
⚫ Nous pouvons faire face aux accès non autorisés sous deux
aspects : la technologie et la gestion.
Technologie : Utilisez la solution NAC.
Gestion : Une gestion administrative stricte est effectuée sur le
personnel entrant et sortant de l'entreprise.
29 Huawei Confidential
Solution : Contrôle des autorisations d'accès à Internet (1/2)
⚫ Pour empêcher les accès non autorisés, Huawei
fournit la solution NAC pour mettre en œuvre le
Terminal Dispositif Système de
contrôle de sécurité sur les utilisateurs d'accès. Seuls NAS serveur
les utilisateurs autorisés et les terminaux sécurisés 802.1X/Portail
30 Huawei Confidential
Solution : Contrôle des autorisations d'accès à Internet (2/2)
⚫ Les approches de gestion peuvent être utilisées pour réglementer l'entrée des
employés dans l'entreprise et contrôler strictement l'entrée du personnel
externe.
Internet
Les visiteurs doivent s'inscrire à l'avance et présenter des certificats valides avant Isolation entre le
d'entrer dans l'entreprise. réseau invité et le
réseau du bureau
Employer du personnel de sécurité et utiliser des équipements de sécurité pour contrôler
Routeur
l'entrée des visiteurs et des véhicules.
Le système de contrôle d'accès peut être utilisé dans les zones importantes de
l'entreprise pour empêcher le personnel non autorisé de pénétrer dans ces zones. Point d'accès
Il est interdit d'insérer des dispositifs de stockage tels que des clés USB dans des
appareils tels que des ordinateurs sans autorisation. Wi-Fi de bureau Wi-Fi invité
Employé XX Invité XX
⚫ Créez un réseau invité auquel les utilisateurs externes pourront accéder. Le
réseau invité est isolé du réseau du bureau de l'entreprise pour éliminer les
risques de sécurité.
Employés d'entreprise Invités
31 Huawei Confidential
Quiz
1. (Question à réponse unique) Laquelle des fonctions de filtrage des données suivantes peut empêcher
les employés de divulguer leurs informations d'identité sur Internet ? ( )
B. Filtrage de fichier
C. Filtrage d'URL
D. Filtrage de contenu
2. (Vrai ou faux) Même si le trafic illégitime est filtré par l'authentification de la source, le trafic destiné
au serveur cible est toujours lourd. Dans ce cas, une limitation du trafic peut être effectuée pour
protéger le serveur cible. ( )
A. Vrai
B. Faux
32 Huawei Confidential
Sommaire
⚫ Ce cours présente brièvement les types et les sources de menaces courantes pour la sécurité
de l'information, décrit les principes et les impacts des différentes attaques, et décrit les
contre-mesures et les solutions pour les différentes menaces.
⚫ À l'issue de ce cours, vous serez en mesure d'avoir une compréhension globale des menaces
à la sécurité et de poser les bases d'une étude plus approfondie.
33 Huawei Confidential
Recommandations
⚫ Sites Web officiels de Huawei
Service d'entreprise : https://e.huawei.com/en/
Assistance technique : https://support.huawei.com/enterprise/en/index.html
Apprentissage en ligne : https://learning.huawei.com/en/
34 Huawei Confidential
Acronymes et abréviations
35 Huawei Confidential
Thank you. 把数字世界带入每个人、每个家庭、
每个组织,构建万物互联的智能世界。
Bring digital to every person, home, and
organization for a fully connected,
intelligent world.