Chapitre 5: Les mécanismes de sécurité

3ème GL

Dr Anwer KALGHOUM
Plan
- Pare-feu
- Système de détection/prévention d'intrusion (IDS/IPS) :
- Les outils de scan de vulnérabilité
Pare-feu
Pare-feu
• Dispositif informatique

– qui filtre les paquets IP les segments TCP et ou les datagramme UDP entre un
réseau interne et un réseau public

→ Filtrage du trafic entrant et du trafic sortant

Le firewall laisse passer certains paquets et rejette d’autres paquets selon sa

politique de sécurité
Filtrage de paquets: principe
Le filtrage se fait en analysant les en-têtes des protocoles, en priorité IP, UDP et
TCP.
En général, on définit une règle de filtrage en considérant
● 1. Adresse IP source
● 2. Adresse IP destination
● 3. Port source
● 4. Port destination
● 5. Protocole encapsulé (ICMP, UDP, TCP…)
● etc…
A chaque règle de filtrage est associé une action:
● Laisser passer/Allow le paquet ou
● Détruire/Rejeter/Deny le paquet
Filtrage de paquets: principe
Protocole Description Port(s)

TCP (Transmission Control Protocole de communication fiable 80 (HTTP), 443 (HTTPS), 21

Protocol) garantissant une livraison ordonnée (FTP), 25 (SMTP), 22 (SSH), 3389
des données (RDP) et bien d'autres

UDP (User Datagram Protocole de communication sans 53 (DNS), 67 (DHCP), 123 (NTP),
Protocol) connexion, utilisé pour des 161 (SNMP), 69 (TFTP) et bien
transmissions rapides d'autres

HTTP (Hypertext Transfer Protocole de transfert de données 80 (par défaut)

Protocol) utilisé pour le web

HTTPS (Hypertext Transfer Version sécurisée de HTTP utilisant 443 (par défaut)
Protocol Secure) le chiffrement SSL/TLS

RDP (Remote Desktop Protocole pour le contrôle à 3389 (par défaut)

Protocol) distance d'un ordinateur
Filtrage de paquets: principe
Protocole Description Port(s)

FTP (File Transfer Protocol) Protocole pour le transfert de fichiers entre un client et 21 (par défaut)
un serveur

SMTP (Simple Mail Transfer Protocole pour le transfert de courriers électroniques 25 (par défaut)
Protocol)

POP3 (Post Office Protocol, Protocole pour récupérer des e-mails depuis un serveur 110 (par défaut)
version 3) de messagerie

IMAP (Internet Message Protocole de récupération de courriers électroniques 143 (par défaut)
Access Protocol)

DNS (Domain Name System) Protocole de résolution de noms de domaine en 53 (par défaut)
adresses IP

SSH (Secure Shell) Protocole de sécurité pour des connexions distantes 22 (par défaut)
sécurisées

Telnet Protocole de communication non sécurisé pour l'accès 23 (par défaut)

distant à un ordinateur
Filtrage de paquets: principe
Les ports numérotés de 0 à 1023 sont souvent réservés pour les services bien
connus et utilisés (par exemple, le port 80 pour HTTP, le port 22 pour SSH, etc.).
Les ports numérotés de 1023 à 65535 sont généralement utilisés pour des
connexions sortantes temporaires. Limiter le trafic aux ports source supérieurs à
1023 permet de minimiser les risques potentiels en restreignant l'accès aux ports
réservés pour les services système.
Exemple de règles de filtrage
Politique: Autoriser l’extérieur à accéder au service web sur le réseau périphérique
Pare-feu matériel

Cisco Cisco est l'un des principaux fabricants de pare-feu matériels et propose
une gamme de produits de sécurité réseau, notamment la série Cisco ASA
(Adaptive Security Appliance) pour les entreprises.

Fortinet Fortinet est réputé pour ses pare-feu matériel et ses appliances de sécurité
réseau, notamment la gamme FortiGate, qui offre des fonctionnalités de
sécurité avancées.

Check Point Check Point est une entreprise spécialisée dans les solutions de sécurité
réseau, notamment les pare-feu matériels de la gamme Check Point
Security Gateway.

SonicWall SonicWall offre des pare-feu matériels pour les petites et moyennes
entreprises, avec des produits tels que la série SonicWall TZ et NSA.

Exemple : FortiGate-600F Hardware plus 5 Year FortiCare Premium and FortiGuard

Enterprise Protection. $9672075
Pare-feu logiciel
Solution Description Open Source

pfSense Pare-feu open source basé sur FreeBSD, offrant un large éventail de oui
fonctionnalités de sécurité et une grande flexibilité de configuration.

IPFire Pare-feu open source basé sur Linux, conçu pour être convivial et oui
offrant des fonctionnalités telles que le filtrage de contenu et la gestion
des VPN.

Windows Pare-feu intégré à Microsoft Windows, offrant une protection de base non
Firewall en contrôlant le trafic entrant et sortant.

Cisco ASA Pare-feu matériel et logiciel de Cisco offrant des fonctionnalités de non
sécurité avancées, souvent utilisé dans les entreprises.

Fortinet Solutions de pare-feu et de sécurité de Fortinet, souvent utilisées dans non

FortiGate les entreprises, offrant une gamme de fonctionnalités de sécurité.

Norton Internet Suite de sécurité de Norton incluant un pare-feu personnel et d'autres non
Security fonctionnalités de sécurité pour les utilisateurs individuels.
Système de détection/prévention d'intrusion (IDS/IPS)
IDS (système de détection d’intrusion) - Intrusion Detection System

Un système de détection d’intrusion (IDS) est un dispositif ou une application

logicielle qui surveille un réseau ou des systèmes pour déceler toute activité
malveillante ou toute violation de politique de sécurité.

• C’est un dispositif passif

→ Il n’arrête pas les attaques il n’est pas réactif

Architecture IDS
Capteurs (Sensors) :

Les capteurs sont déployés à différents endroits du réseau pour collecter des données liées au trafic, aux journaux d'événements, aux
fichiers système, etc. Ces données sont essentielles pour l'analyse et la détection d'intrusion.

Moteur d'Analyse :

Le moteur d'analyse est le cœur de l'IDS. Il utilise différentes méthodes pour détecter les activités suspectes, que ce soit en comparant
avec des signatures d'attaques connues, en analysant le comportement normal du système, ou en utilisant d'autres techniques avancées.

Gestion des Alertes :

Les alertes générées par l'IDS sont gérées par un système qui peut les classer en fonction de la gravité et les transmettre aux
administrateurs pour une action appropriée.
IPS (systèmes de prévention des intrusions)

Les systèmes de prévention des intrusions (IPS), sont des dispositifs de sécurité réseau
qui surveillent les activités du réseau ou du système pour détecter toute activité
malveillante.

• Même rôle qu’un IDS

• Mais, il est capable d’arrêter et bloquer les attaques

• Dispositif Actif → tout le trafic doit le traverser

Architecture IPS

Même composant d'un IDS (capteurs, moteur d'analyse, alertes) avec un moteur de prévention:

Le moteur de prévention est responsable de prendre des mesures proactives pour bloquer ou
atténuer les attaques détectées. Cela peut inclure la modification des règles de pare-feu, la
mise en place de filtres, ou d'autres actions spécifiques.
IDS exemple
Les erreurs d’un IDS
IDS/IPS logiciel
• Il y a des IDS/IPS sous le format d’un filtre logiciel utilisé dans une machine cible

• Capable de surveiller le trafic et détecter les attaques

IDS/IPS Type Caractéristiques principales Open Source

Snort IDS/IPS Détection basée sur des signatures, extensibilité, analyse Oui
de paquets

Suricata IDS/IPS Haute performance, détection basée sur des signatures, Oui
analyse

Bro (Zeek) IDS IDS basé sur l'hôte, analyse des journaux, gestion des Oui
incidents

Cisco IDS/IPS Analyse approfondie du trafic, détection des menaces Non

Firepower avancées, intégration avec d'autres solutions Cisco.

Fortinet IDS/IPS Prévention des intrusions, analyse des paquets, Non

FortiGate IPS intégration avec d'autres solutions de sécurité Fortinet.
IDS/IPS matériel

IDS/IPS Type Caractéristiques principales

Cisco IDS/IPS Analyse du trafic, détection des menaces avancées,

Firepower intégration Cisco
NGIPS

Fortinet IDS/IPS Prévention des intrusions, analyse des paquets,

FortiGate IPS intégration Fortinet

Juniper IDS Détection d'intrusion, prévention des attaques, intégration

Networks IDP Juniper
Placement d’un IDS réseau
Détecteur à l’extérieur par rapport au firewall
Détecteur à l’extérieur par rapport au firewall
Avantage

+ Surveillance du Trafic Entrant : Il peut examiner le trafic entrant et détecter

des activités malveillantes qui pourraient être bloquées avant d'atteindre le
pare-feu.

Inconvénients
- Les attaques de l’intérieur du réseau ne sont pas détectées

- Trop d’alertes parce qu’on analyse un trafic inutile

- Beaucoup de faux-negatifs
Détecteur à l’intérieur par rapport au firewall
Détecteur à l’intérieur par rapport au firewall
Le détecteur est placé en aval du firewall

• Avantages

+ Moins de vulnérabilité pour le détecteur

+ Réduction du volume de trafic à traiter

+ Détection des attaques internes

Détecteur sur les segments critiques
Avantages

• Identification des attaques qui ciblent les

systèmes critiques.
Les outils de scan de vulnérabilité
Les outils de scan de vulnérabilité
- Les outils de scan de vulnérabilité sont des logiciels conçus pour identifier les
faiblesses potentielles dans un système informatique, un réseau, une
application web, ou d'autres éléments de l'infrastructure informatique.

- Ces outils automatisent le processus de détection de vulnérabilités,

permettant aux administrateurs de systèmes et aux professionnels de la
sécurité de prendre des mesures préventives pour renforcer la sécurité.
Les outils de scan de vulnérabilité réseau
Nmap (Network Mapper) :

Nmap est un scanner de ports réseau puissant qui peut être utilisé pour découvrir
des hôtes sur un réseau, identifier les services en cours d'exécution, et détecter
les vulnérabilités.
URL : https://nmap.org/
Open Source : Oui
Avantages : Rapide, puissant, prise en charge de nombreux protocoles.
Inconvénients : Nécessite des compétences techniques pour une utilisation
avancée.
Wireshark

Wireshark est un analyseur de protocole réseau qui permet de capturer et d'inspecter le

trafic réseau en temps réel. Bien qu'il ne soit pas un scanner de vulnérabilités à
proprement parler, il peut aider à identifier des anomalies dans le trafic.
URL : https://www.wireshark.org/
Open Source : Oui
Avantages : Analyse approfondie du trafic réseau, support pour de nombreux
protocoles.
Inconvénients : Peut générer beaucoup de données, nécessite une connaissance
approfondie des protocoles réseau.
Les outils de scan de vulnérabilité réseau et système
Nessus
Nessus :
Un outil de scan de vulnérabilité largement utilisé qui identifie les vulnérabilités,
les erreurs de configuration et les points faibles dans les réseaux et les systèmes.
URL : https://www.tenable.com/products/nessus
Open Source : Existe en version gratuite et payante
Avantages : Très complet, base de données de vulnérabilités étendue.
Inconvénients : La version gratuite a des fonctionnalités limitées.
OpenVAS
OpenVAS : Une solution open source pour la détection automatique de
vulnérabilités qui s'appuie sur une base de données constamment mise à jour de
tests de sécurité.
URL : https://www.openvas.org/
Open Source : Oui
Avantages : Gratuit et open source, bases de données de vulnérabilités
constamment mises à jour.
Inconvénients : Interface utilisateur peut être moins conviviale que certaines
solutions commerciales.
Les outils de scan de vulnérabilité web
Burp Suite
Burp Suite : Principalement utilisé pour tester la sécurité des applications web,
Burp Suite propose des fonctionnalités de scan de vulnérabilités, d'intrusion, et de
manipulation de trafic.

URL : https://portswigger.net/burp

Open Source : Non

Avantages : Puissant pour le test de sécurité des applications web,

fonctionnalités d'intrusion.

Inconvénients : Principalement axé sur les applications web.

OWASP ZAP (Zed Attack Proxy) :
OWASP ZAP (Zed Attack Proxy) : Un outil open source pour tester la sécurité des
applications web qui offre des fonctionnalités de scan de vulnérabilités et d'intrusion.

URL : https://www.zaproxy.org/
Open Source : Oui
Avantages : Gratuit et open source, fonctionnalités d'intrusion, soutien de la
communauté OWASP.
Inconvénients : Peut nécessiter une courbe d'apprentissage.