Security for

mobile edge
cloud
 Table of Contents

01 Introduction 03 Network isolation

Network Secure network

02 segmentation 04 tunnels
 Introduction
En raison de multitude d’attaquants différents , il est nécessaire
de les classer en fonction des aspects qui les définissent ;
intention , zone de contrôle , leurs capacités et leur
comportement. l’intention décrit ce que les attaquants veulent
réaliser, comme le vol d’informations spécifiques . les capacités
font référence aux ressources , notamment la puissance de
calcul , le temps et l’argent , que l’attaquant peut utiliser , la
zone de contrôle décrit enfin les parties du système auxquelles
l’attaquant peut accéder
 Malicious Endpoint
dispositif/application connectée au
réseau qui peuvent voler des données,
de prendre le contrôle des systèmes
ou de lancer des attaques sur d'autres
périphériques du réseau.
IP-Spoofing
falsifier l'adresse IP d'un
appareil afin de tromper le
destinataire en faisant croire
que les paquets de données
proviennent d'une source
différente.
 Man-in-the-Middle (MitM)
Adversaire Dolev-Yao classique
qui a un contrôle direct sur le
réseau ; voir,supprimer et modifier
le trafic mais il est limité en temps
de façon polynomiale
Dolev-Yao
Dolev-Yao est un modèle
symbolique de sécurité
utilisé pour raisonner sur
la sécurité des protocoles
cryptographiques. Le
modèle doit son nom aux
informaticiens Danny
Dolev et Andrew Yao, qui
l'ont introduit dans leur
article de 1983 intitulé "On
the Security of Public Key
Protocols".
 01
Network segmentation
 Network Segmentation
● Il consiste à séparer les locataires et les
groupes de points d'extrémité les uns des
autres
● Il est réalisé en plaçant un filtre de paquets sur
un peripherique reseau entre les deux groupes
es de paquets sont généralement mis en oeuvre dans le
noyau du système d’exploitation en raison de leur
e avec le pile réseau
passé les modules du noyau des filtres de paquets
rincipalement adaptés à une suite fixe de protocoles ce
ait nécessaire l’utilisation de plusieurs outils et
ns pour filtrer tous les protocoles . l’approche moderne
à utiliser une machine virtuelle dans le noyau qui peut
gée avec un bytecode arbitraire .
 Nftables
● Le module kernel nftables
est une machine virtuelle
générique et peut donc
filtrer des protocoles
arbitraires
● Il organize son ensemble
de règles sous forme de
tables qui sont liées à une
famille d’adresses
spécifique

To modify this graph, click on it, follow the link, change the data
and paste the new graph here, replacing this one
02 Network isolation
Comment peut-on utiliser le nftables pour
mettre en œuvre l’isolement du réseau ?

Blacklisting and
whitelisting

Stateful filtering Chains and jumps

 1. Blacklisting and whitelisting

❖ L’utilisation de nftables pour créer des règles de filtre de

blacklist et whitelist :
● Créer une nouvelle table pour filtrer le trafic ip .
● Créer une chaîne de base connectée au crochet de filtre
d’entrée .
● Définir une stratégie par défaut pour accepter le trafic si
aucune règle ne correspond.
 2. Stateful filtering

● Cet exercice concerne des techniques de filtrage avancées ,

qui permettent au serveur d'initier une connexion à l'internet
et de recevoir des réponses , même si l'accès à internet est
bloqué pour les clients .
● Le serveur peut envoyer des requêtes à un point de
terminaison mais ils ne peuvent pas recevoir de réponses (car
seul les clients sont dans la whitelist ) ,alors la règle stateful
filtering est utilisée. Cette règle permet aux terminaux de
répondre s'ils ont d'abord été contactés par le serveur, en
faisant correspondre l'état de suivi de connexion d'un paquet
au lieu de faire correspondre son adresse IP.
 3. Chains and jumps

La chaîne de base

Une chaîne de base est une chaîne dans une table de filtrage de
paquets qui est associée à un crochet ou un hook spécifique , en
général une chaîne de base est utilisée pour effectuer des filtrages
généraux pour rediriger le trafic .
 3. Chains and jumps

● Nous utilisons nftables sur un routeur connectant des réseaux et

cela par la création d’une table et d’une chaîne de base pour filtrer
le trafic réseau qui passe par le routeur
● On crée également une chaîne pour chaque interface réseau du
routeur , puis on redirige le trafic des interfaces réseau à leurs
chaînes respectives , cela par l’utilisation de l’instruction jump.
● Enfin on ajoute des règles pour bloquer le trafic dirigé vers des
port spécifiques et créé une chaîne de base pour refuser tout trafic
entrant vers le routeur pour une sécurité accrue
 Secure network
03 tunnels
 Secure network tunnels
Concept:
● C'est une solution pour sécuriser le trafic réseau en transit, en cryptant, en
encapsulant les paquets avec un protocole de tunnel, et en ajoutant le
code de message d'authentification.

● Pour protéger le trafic entre un MEC A et B d’un MitM on peut utiliser un

chiffrement de message symétrique ou un chiffrement asymétrique.

● Il faut concevoir pour le chiffrement symétrique un canal pour que A et B

puissent échanger la clé d’une manière secrète.

● MAC(Message Authentication Codes) pour renforcer la sécurité des MEC,

utilisé pour détecter les erreurs durant la transmission des paquets.
 Secure network tunnels
Wireguard:

● C’est un tunnel de réseau sécurisé simple à implémenter, pour des

raisons de flexibilité les constructeurs ont choisi un stream fixé pour
le cryptage c’est ChaCha20 est un MAC spécifique Poly1305.
 Secure network tunnels exercise
Man in the middle
● L’attaquant manipule le protocole ARP qui est utilisé pour trouver l’adresse
MAC correspondante à une adresse IP, si le trafic n’est pas sécurisé.

● Pour le cas MitM on sécurise le trafic en utilisant Wireguard entre un client

et un serveur:

1. Générer une paires de clés pour le client et le serveur par Wireguard avec
la commande: umask 077; wg genkey >privatekey, la clé générée est
stockée dans le fichier privatekey.

2. Configurer les interfaces de Wireguard sur les 2 hosts avec la commande

 Secure network tunnels exercise
Man in the middle
$ ip link add dev wg0 type wireguard
$ ip address add dev wg0 192.168.0.1

3. Configurer les interfaces des 2 endpoints avec la commande:

 Secure network tunnels exercise
Tunnel network
C’est une méthode pour configurer Wireguard avec plusieurs endpoints.

1. Générer une paire de clés pour les clients et le serveur par

Wireguard.

2.Configurer les interfaces de Wireguard sur les hosts, la conf

stocké sur etc/wireguard/nomeinterface.com

3.Spécifier les endpointes d’une interface en spécifiant le AllowedIPs

 Secure network tunnels exercise
Tunnel network

3.Spécifier les endpointes d’une interface en spécifiant le AllowedIPs

Les attaques par déni de service :

➢ Attaques par déni de service (dos)

➢ Attaque DDOS
Attaques par déni de service (dos):
les une des formes d'attaque les plus difficiles à éliminer, Les attaques
DoS peuvent prendre de nombreuses formes. Elles empêchent l'utilisation
d'un service par les personnes autorisées en épuisant les ressources du
système.

L’attaque par déni de service se traduit par de grands nombres de

requêtes qui ont pour but de mettre en défaut le site en lui-même et de le
bloquer. Les sites d’achats en ligne, les entreprises de services en ligne et
les sites de jeux en ligne en sont principalement ciblés.

De façon générale, un serveur Web ne peut gérer un nombre important de

requêtes simultanément. De plus, la liaison entre le serveur et Internet
dispose également d’une bande passante avec une capacité limitée. Dès
lors que la capacité est dépassée, des problèmes apparaissent avec des
réponses aux requêtes plus lentes ou même ignorées.
Le principe :
Attaque DDOS :

Un DDoS est similaire à une attaque DoS, mais il provient de sources

multiples et coordonnées. Par exemple, un acteur de menaces construit
un réseau d'hôtes infectés, appelés zombies. Un réseau de zombies est
appelé un botnet. L'acteur de menace utilise un programme de
commande et de contrôle (CNC) pour demander au botnet de zombies de
mener une attaque DDoS.
Le principe :
 Solution :

voici quelques solution efficaces pour lutter contre une attaque dos :

➢ augmentez la bande passante

➢ utilisez un pare-feu
➢ équilibrez la charge
➢ mettez à jour les systèmes
➢ utilisez des filtres ip
Merci pour
votre
attention