1.introduction Securite Info

Audit des Systèmes d’Information
Dr Chérif DIALLO
PhD, CISSP
Université Cheikh Anta Diop de Dakar (UCAD)

Faculté des Sciences
Département Mathématiques-Informatique
Master 2 RST – Réseaux et Services de Télécommunications

1ère partie
Introduction à la sécurité
Sommaire
1. Sécurité des 7. Moyens de protection
Systèmes 8. Politique de sécurité
d’Information 9. Exemple de menaces :
2. Critères de sécurité Les Virus informatiques
10. Moyens de Protection
3. Menaces des flux : Firewalls,
4. Menaces : Attaques IDS/IPS
11. Etude d’un cas de
5. Menaces : Fraudes protection de flux
6. Risques
21/11/2013 Dr Chérif DIALLO, UCAD, FST, 3

Master 2 - RST, Cours Audit SI
Art.323-2. DU CODE PENAL Français
Le fait d'entraver ou de fausser le fonctionnement d'un
système de traitement automatisé de données est puni de
cinq ans d'emprisonnement et de 75000 € d'amende.

Art. 226-16. DU CODE PENAL Français
Le fait, y compris par négligence, de procéder ou de faire procéder à des
traitements de données à caractère personnel sans qu'aient été respectées
les formalités préalables à leur mise en œuvre prévues par la loi est puni de
cinq ans d'emprisonnement et de 300 000 € d'amende.

Problématique
L’entreprise évolue dans un milieu « hostile » :
concurrence économique – espionnage économique
gestion de ressources humaines (« traîtres » internes – ingénierie sociale)
vandalisme (« pirates »)
catastrophes climatiques : inondations, feux, tempêtes, tremblements de
Terre…
environnement politique : actes de guerre, actes terroristes
non-fiabilité des systèmes et logiciels informatiques
…
Mise en place indispensable d’une politique de prise en compte des

risques et de sécurisation du SI

Conséquences des risques
Panne/Arrêt
Diminution de la qualité de service
Perturbation interne de l’entreprise
Perte d’image
Retard de la mise sur le marché d’un produit
Fuite de technologie
Pertes financières
...

Prise en compte des risques
Evaluation des risques et de leur impact

Evaluation des coûts de prise en charge
3 approches :
ne rien faire : protection trop chère pour le risque
encouru
s’assurer (prendre une police d’assurance)
se protéger (attacher sa ceinture)

Constat : évolution du hacking

Les hackers
Black Hat
nommé aussi crackers et ayant un but destructif et malveillant,
White Hat
utilise le hacking comme métier pour des objectifs de défense,
Gray Hat
travaille pour des objectifs défensifs et offensifs,
Suicide Hack
attaque des infrastructures critiques sans se soucier des peines
Hacktivist
utiliser le hacking pour des agendas politiques.

Quelques statistiques (en 2010)
Après un test de 12 000 hôtes du département de la défense
américaine, on retient que 1 à 3% des hôtes ont des ouvertures
exploitables et que 88% peuvent être pénétrés par les relations
de confiance.
Aussi, le nombre de voleurs d’informations a augmenté de 250%
en 5 ans,
99% des grandes entreprises rapportent au moins un incident
majeur
Aux USA, en 2009, le coût des fraudes informatiques et de
télécommunication sont estimés à 10 milliards de dollars.
1290 des plus grandes entreprises rapportent une intrusion dans
leur réseau interne et 2/3 d’entre elles à cause de virus.
Sécurité des SI

Sécurité : définition selon larousse
Sécurité, nom féminin, provenant du latin securitas :
Situation dans laquelle quelqu'un, quelque chose n'est exposé à aucun
danger, à aucun risque, en particulier d'agression physique,
d'accidents, de vol, de détérioration : « Cette installation présente une
sécurité totale ».
Situation de quelqu'un qui se sent à l'abri du danger, qui est rassuré.
Absence ou limitation des risques dans un domaine précis : « Ils
recherchaient la sécurité matérielle ».
Armement : Dispositif du mécanisme d'une arme à feu, interdisant tout
départ intempestif du coup.
Matériaux : Propriété qu'a une structure de résister aux sollicitations
auxquelles le concepteur a prévu qu'elle pourra être soumise.

Sécurité : définition selon Larousse
Sécurité (nf) : Situation Sécurité (nf) : Situation de

dans laquelle quelqu'un, quelqu'un qui se sent à l'abri du
quelque chose n'est exposé danger...
à aucun danger... Synonymes Contraires
Synonymes Contraires Ataraxie Angoisse
Paix Danger Calme Anxiété
Sûreté Insécurité Confiance Appréhension
Tranquillité Précarité Quiétude Crainte
Sérénité Défiance
Inquiétude
Système d’Information (SI)
Un système d'information (SI) est un ensemble organisé de
ressources (matériels, logiciels, personnel, données et
procédures) qui permet de regrouper, de classifier, de traiter et
de diffuser de l'information sur un phénomène donné (source
Wiki).
Le système d'information est le véhicule de la
communication dans l'organisation. Sa structure est constituée
de l'ensemble des ressources (les hommes, le matériel, les
logiciels) organisées pour : collecter, stocker, traiter et
communiquer les informations.
Le système d'information coordonne ainsi grâce à
l'information les activités de l'organisation et lui permet ainsi
d'atteindre ses objectifs (source Wiki).
Sécurité des systèmes d’information
La sécurité des systèmes d’information (SSI) est

l’ensemble des moyens techniques, organisationnels,
juridiques et humains nécessaire et mis en place pour
conserver, rétablir, et garantir la sécurité de l’ensemble des
ressources (matériels, logiciels, personnel, données et
procédures) de l’organisme.
La problématique SSI s'est amplifiée par l'importance

grandissante des communications et des micro-ordinateurs
qui affectent à la hausse le nombre de points d'accès aux
ressources informatiques.
Critères de sécurité
La sécurité SI peut s'évaluer suivant plusieurs critères :
Disponibilité : garantie que les ressources considérées sont accessibles au moment
voulu par les personnes autorisées.
Intégrité : garantie que les éléments considérés sont exacts et complets.
Confidentialité : garantie que seules les personnes autorisées ont accès aux éléments
considérés.
D'autres aspects peuvent éventuellement être considérés comme des critères (bien qu'il
s'agisse en fait de fonctions de sécurité), tels que :
Traçabilité (ou « Preuve ») : garantie que les accès et tentatives d'accès aux éléments
considérés sont tracés et que ces traces sont conservées et exploitables.
La non répudiation, permettant de garantir qu'une transaction ne peut être niée ;
L'authentification, consistant à assurer que seules les personnes autorisées aient accès aux
ressources.
Une fois les éléments sensibles déterminés, les risques sur chacun de ces
éléments peuvent être estimés en fonction des menaces qui pèsent sur les
éléments à protéger. Il faut pour cela estimer :
la gravité des impacts au cas où les risques se réaliseraient,
la vraisemblance des risques (ou leur potentialité, ou encore leur probabilité
d'occurrence)

Disponibilité
Définition « CISSP Prep Guide » :
« Le concept de disponibilité assure un accès fiable aux données ou
aux ressources système lorsqu’elles sont accédées ou sollicitées par
les personnes autorisées. En d’autre terme la disponibilité garanti que
le système est actif et qu’il fonctionne dès que nécessaire »
Définition perso :
S’assurer de la disponibilité de l’information s’est s’assurer que
l’information soit toujours accessible aux utilisateurs habilités dès qu’ils
en ont besoin.

Intégrité
Définition « CISSP Prep Guide » :
Assurer l’intégrité d’une information c’est s’assurer que :
Les modifications ne sont pas apportées aux données par des processus ou
personnes non habilitées.
Des modifications non autorisées ne sont pas apportées aux données par une
personne ou un processus autorisé.
Que l’information est toujours lisible et exploitable.
On parle également d’intégrité d’un système. Assurer l’intégrité d’un
système c’est assurer qu’il est protégé contre les dysfonctionnements,
les agressions et les attaques.
Définition perso :
Assurer l’intégrité de l’information c’est faire en sorte que rien ni
personnes ne soient en mesure de la modifier que se soit de manière
volontaire ou involontaire.

Confidentialité
Définition ISO :
« le fait de s'assurer que l'information n'est seulement accessible qu'à
ceux dont l'accès est autorisé ».
Définition CISSP Prep Guide :

« Le concept de confidentialité tente de prévenir la divulgation non
autorisée intentionnelle ou non intentionnelle du contenu d’un
message ».
Définition perso :
S’assurer de la confidentialité de l’information c’est s’assurer que
seules les personnes habilitées sont en mesure de la consulter.

Menaces / Attaques

Menaces
Les principales menaces effectives auxquelles un système d’information
peut être confronté sont :
Un utilisateur du système : l'énorme majorité des problèmes liés à la sécurité
d'un système d'information est l'utilisateur, généralement insouciant ;
Une personne malveillante : une personne parvient à s'introduire sur le
système, légitimement ou non, et à accéder ensuite à des données ou à des
programmes auxquels elle n'est pas censée avoir accès en utilisant par
exemple des failles connues et non corrigées dans les logiciels ;
Un programme malveillant : un logiciel destiné à nuire ou à abuser des
ressources du système est installé (par mégarde ou par malveillance) sur le
système, ouvrant la porte à des intrusions ou modifiant les données ; des
données personnelles peuvent être collectées à l'insu de l'utilisateur et être
réutilisées à des fins malveillantes ou commerciales ;
Un sinistre (vol, incendie, dégât des eaux) : une mauvaise manipulation ou
une malveillance entraînant une perte de matériel et/ou de données.
Menaces : Les attaques informatiques
Téléphonie (phreaking…)
Informatique (virus, cracking, hacking, wardriving…)
Virus
Social Engineering
Collecte d’informations (Veille Stratégique…)
Man in the Middle
Attaque par détournement
Déni de services
Spoofing
Arp-poisoning
Rejouer
Qu’est ce qu’une attaque informatique?
Une attaque informatique exploite :
Vulnérabilités
Défauts de configuration
Faiblesses technologiques
Impact d’une attaque informatique

Indisponibilité du réseau et des systèmes
Perte de confidentialité et d’intégrité
Dommages matériels et financiers
Fuite d ’information
Perte de contrôle

Méthodologies des attaques
informatiques
Phase de reconnaissance
Phase d’analyse et de cartographie des cibles
Phase d’attaque proprement dite
Phase de consolidation

Phase de reconnaissance
Reconnaissance sur internet

Sites web, forums, réseaux sociaux
Whois
Nslookup, host
Traceroute
Ingénierie sociale

Phase d ’analyse et de cartographie
des cibles
Balayage d ’hôtes
Balayage de ports
Enumération des services
Détection d ’OS
Détection des vulnérabilités

Phase d ’attaque proprement dite
Attaques sur les mots de passe

Tentative multiple de connexion
Crack du hash
Attaques sur les failles applicatives

Buffer overflow
Scripts intersites
Injection SQL
Traversée de répertoire
Etc..

Phase d ’attaque proprement dite
Spoofing
Sniffing
Dénis de service (DoS)
SYN flood
UDP flood
Packet fragment
Smurfing
Dénis de service distribué (DDoS)

Phase de consolidation
Elevation de privilèges
Désactivation des dispositifs de protection
Backdoor, Rootkit
Keylogger
Suppression des traces

Menaces : La fraude informatique
Fraude financière
Vol de services
Piratage de logiciels
Vol ou modification de données
Virus
Accès malveillant
Infractions aux lois
Risk management

Gestion des Risques
Une menace est + ou – grave en fonction des risques encourus
Classification des risques
Stratégiques
Critiques
Internes
Publiques
Une fois les risques identifiés, il faut définir les actions visant à gérer le
risque afin de réduire les éventuelles conséquences :
Contenir le risque : réduire ou éliminer le risque par des actions correctives
Transférer le risque : transférer la responsabilité à un tiers (assurance)
Accepter le risque

Echelle de risque dans les SI
Source : DCSSI
Concepts clés de la gestion des
Risques
Facteur d’exposition -- Exposure Factor (EF) :
Le facteur d’exposition représente le pourcentage de perte
que la réalisation d’une menace pourrait avoir sur un actif
spécifique.
Le facteur d’exposition peut être un petit pourcentage,
comme l’effet de la perte d’un matériel,
ou un important pourcentage comme une perte
catastrophique de l’ensemble des ressources
informatiques.

Risques
Prévision de perte simple – Single Loss Expectancy
(SLE) :
Une prévision de perte simple représente la valeur
financière perdue par une organisation lors de la réalisation
d’une menace, et est dérivée de la formule :
SLE = Valeur de l’actif * Facteur d’Exposition
Par exemple, un actif estimé à 10000 Euros sujet à un
facteur d’exposition de 20 % aura une prévision de perte
simple de 2000 Euros. Cette valeur est en réalité peu
utilisée et sert à calculer la prévision de perte annuelle.
Risques
Taux annuel d’occurrence – Annualized Rate of
Occurrence (ARO) :
Le ARO est un nombre représentant la fréquence estimée
de la réalisation d’une menace.
Cette valeur peut aller de 0.0 à un nombre important.
La façon de déterminer cette valeur peut être extrêmement
complexe. Elle est en général basée sur la probabilité
d’occurrence d’un évènement et le nombre d’employé
pouvant réaliser cette erreur. L’ARO ne s’intéresse pas au
coût de l’évènement, mais seulement la fréquence avec
laquelle elle se produit.
Risques
Taux annuel d’occurrence – Annualized Rate of
Occurrence (ARO) :
On peut par exemple estimer qu’une crue importante
inonde les datacenters de la défense situés en sous sol
tous les 100 ans et donc que le taux annuel d’occurrence
de cet évènement de sécurité est de 0.01.
En revanche un employé peut en moyenne tenter d’accéder
à un dossier non autorisé 3 fois par an dans une entreprise
de 100 employés. L’ARO sera donc égale à 300.

Risques
Prévision de perte annuelle - Annualized Loss

Expectancy (ALE) :
La prévision de perte annuelle est une valeur financière

donnée par la formule suivante :
ALE = SLE * ARO.
En d’autres mots, un ALE est la perte annuelle financière

attendue par une organisation pour une menace
particulière.

Menaces, Risques, Moyens de protection
Menace Risque Moyens de protection

Virus Perte de données Antivirus,
Perte de performance Firewalls,
Indisponibilité du système IDS/IPS
Spam Perte de performance Antispam,
Propagation de codes Firewalls,
malveillants IDS/IPS
Flux suspects Perte de confidentialité Firewalls,
Intrusion Problème d’intégrité IDS/IPS
Sécurité surf web Perte de confidentialité Proxy
Problème d’intégrité Filtrage de contenu
Indisponibilité bande Pare-feu applicatif
passante

Menaces, Risques, Moyens de protection
Menace Risque Moyens de protection

Confidentialité Perte de confidentialité Moyens cryptographiques
Intégrité Problème d’intégrité Réseaux VPN
Pertes financières
Image de marque
Procédures judiciaires
Disponibilité Pertes financières Redondance
Image de marque Sauvegarde
Procédures judiciaires Sécurité physique
PRA / PCA
Perte de performance Baisse de la clientèle Répartition de charge,
Baisse de la productivité Dimensionnement
Pertes financières
Image de marque
Politique de sécurité
La mise en œuvre des moyens de protection exige la définition préalable
d’une politique de sécurité élaborée au niveau de la direction générale et
qui concerne tous les acteurs de l’entreprise.
Il est nécessaire de définir dans un premier temps une politique de
sécurité, dont la mise en œuvre se fait selon les quatre étapes suivantes :
Identifier les besoins en terme de sécurité, les risques informatiques pesant
sur l'entreprise et leurs éventuelles conséquences ;
Elaborer des règles et des procédures à mettre en œuvre dans les différents
services de l'organisation pour les risques identifiés ;
Surveiller et détecter les vulnérabilités du système d'information et se tenir
informé des failles sur les applications et matériels utilisés ;
Définir les actions à entreprendre et les personnes à contacter en cas de
détection d'une menace ;
La politique de sécurité est donc l'ensemble des orientations suivies par
une organisation (à prendre au sens large) en terme de sécurité.

Un Exemple de menace :
Les Virus Informatiques

Menace : Les virus informatiques
Définition
Ce sont des programmes malveillants qui, à l’insu de l’utilisateur,
sont destinés à perturber, à modifier ou à détruire tout ou partie des
éléments indispensables au fonctionnement normal de l’ordinateur et
des systèmes informatiques.
Comme les virus biologiques, ils se reproduisent et s'étendent
Cycles :
Recherche, contamination, exécution, activation
Types :
Parasites (fichier résident ou à action directe),
boot (système),
multimode (fichier et système), macrovirus, polymorphe, furtif,
compagnon, code source, HTML,
cheval de Troie, worms, bombe logique, défensif, mailers (Spice
Pototoe and Meat), apparentés (hoaxe, cookie)…
Menace : Les types de virus
Vers
Ce sont des virus capables de se propager à travers un réseau.
Se reproduisent, utilisent ses propres mécanismes sans avoir
réellement besoin de support pour se propager,
Troyens (chevaux de troie) :
Virus permettant de créer une faille (backdoor) dans un système (afin
de permettre l’intrusion dans le système infecté)
Vol de mots de passe, copie de données, actions nuisibles
Ne sont souvent pas considérés comme des virus car n’ont pas la
capacité de se reproduire
Bombes logiques :
Virus capables de se déclencher suite à un événement particulier
(date système, appel système, commande, activation à distance),
La bombe logique tchernobyl, activée 26/04/99 = jour du 13ème
anniversaire de la catastrophe nucléraire,
Menace : Les types de virus
Virus mutants
Variante d’un virus modifiant son comportement et/ou sa signature.
Nécessité de rajouter ces nouvelles signatures dans la base de
donnée des antivirus,
Virus polymorphes
Virus pouvant prendre plusieurs formes, en modifiant
automatiquement leur apparence, tel un caméléon
Fonction de chiffrement de déchiffrement de leur signature
Seuls capables de reconnaitre leur propre signature
Rétrovirus
Virus ayant la capacité de modifier les signatures des antivirus afin
de les rendre inopérants : virus flibustier (ou bounty hunter),
Virus de boot
Infecte le secteur de démarrage (MBR),

Risques : conséquences des Virus
Problèmes engendrés par les virus :
Baisse de productivité
Messages dérangeants à l'écran ou arrêt du
système
Fichiers corrompus
Données perdues
Fiabilité réduite des applications
Pannes de système
Diminution de la confiance des utilisateurs
Les virus : précautions protectrices
Soumettre logiciels du domaine publique à détection de virus
Préserver copies originales des logiciels du contact avec
virus
Faire des copies de sauvegarde fréquentes des fichiers
importants
Pas d'échange de médias amovibles contenant des fichiers
exécutables
Protéger les médias amovibles contre l'écriture
Ne pas faire démarrer l'ordinateur avec autre chose que les
médias originaux protégés
Inclure protection contre virus dans les mesures de sécurité
Protection contre Les virus: antivirus
Principale cause de désagrément en entreprise, les virus
peuvent être combattus à plusieurs niveaux.
La plupart des antivirus sont basés sur l’analyse de signature

des fichiers, la base des signatures doit donc être très
régulièrement mise à jour sur le site de l’éditeur (des
procédures automatiques sont généralement possibles).
Deux modes de protection :

Généralisation de l’antivirus sur toutes les machines, il faut absolument
prévoir une mise à jour automatique de tous les postes via le réseau.
Mise en place d’un antivirus sur les points d’entrée/sortie de données

du réseau après avoir parfaitement identifiés tous ces points.

Les virus : sensibilisation des usagers
Rappelez-vous que les problèmes informatiques ne sont pas
nécessairement dus à des virus, ils sont souvent le fruit
d'erreurs humaines
Faites comprendre aux gestionnaires et aux usagers
l'importance de détecter et de se protéger des virus
Sensibiliser les utilisateurs à adopter de meilleures attitudes :
Ne pas ouvrir un mail contenant une pièce jointe d’origine suspecte ou
inconnue
Éviter de prêter ses médias amovibles non protégés en écriture
N’utiliser que des PC avec logiciels anti-virus à jour
Vérifier que les mises à jour du logiciel d’antivirus s’effectuent
régulièrement et conformément à la procédure planifiée

Exemples de Moyens de
Protection des flux :
Les firewalls, IDS, IPS

Les Firewalls, IDS et IPS
Firewall, Pare-feu ou garde barrière : C'est une machine dédiée au
routage entre LAN et Internet. Consulter la RFC2196. Le trafic est analysé
au niveau des datagrammes IP (adresse, utilisateur, contenu...). Un
datagramme non autorisé sera simplement détruit, IP sachant gérer la
perte d'information. Une translation d’adresse pourra éventuellement être
effectuée pour plus de sécurité (protocole NAT Network Address
Translation RFC 1631+2663).
Attention : un firewall est inefficace contre les attaques ou les bévues
situées du coté intérieur et qui représentent 70% des problèmes de
sécurité !
IDS/IPS : Même si l’intrus parvient à franchir les barrières de protection
(coupe-feu, système d'authentification, etc.), il est encore possible de
l’arrêter avant qu'il n’attaque. Placés sur le réseau de l’entreprise, les outils
de détection (IDS) et de prévention (IPS) d'intrusion décèlent tout
comportement anormal ou trafic suspect.
Firewalls : usage
Data encryption
Access control : usage restriction on some protocols/ports/services
Authentication : only authorized users and hosts (machines)
Monitoring for further auditing
Packet filtering
Compliance with the specified protocols
Virus detection
Isolation of the internal network from the Internet
Connection proxies (masking of the internal network)
Application proxies (masking of the « real » software)

Firewalls : basics
All packets exchanged between the internal and the external

domains go through the FW that acts as a gatekeeper
external hosts « see » the FW only
internal and external hosts do not communicate directly
the FW can take very sophisticated decisions based on the protocol

implemented by the messages
the FW is the single access point => authentication + monitoring site
a set of “flow rules” allows decision taking

Firewalls : architecture (I)
Exterior Interior
router router
Internal network
Outside world Firewall
servers
DMZ
(DeMilitarized Zone)
Firewalls : architecture (I-bis)
Exterior Interior
screening Screening
router router Internal network
Outside world
servers
DMZ
Screening router router which includes a FW
Firewalls : architecture (II) : merging
exterior and interior FW
servers
DMZ
Exterior/Interior
Outside world Internal network
Firewall

Firewalls : architecture (III) : merging
exterior FW and servers
External Firewall Internal Firewall

Outside world + Internal network
servers
DMZ

Firewalls : architecture (IV) : managing
multiple subnetworks
servers
Firewall
Internal
subnetwork A
Exterior Interior
Outside world
Firewall Firewall
Firewall
Backbone
Internal
DMZ subnetwork B

Firewalls : architecture (IV-bis) :
managing multiple subnetworks
servers
DMZ
Firewall
Internal
subnetwork A
Exterior/Interior
Outside world
Firewall
Firewall
Backbone
Internal
subnetwork B

Firewalls : architecture (V) :
managing multiple exterior FW
E.g. supplier
network Exterior
Firewall A
Exterior
Firewall B
Interior Firewall
Internal network
Internet servers
DMZ

Firewalls : architecture (VI) :
managing multiple DMZ
E.g. supplier
network DMZ A
Exterior Interior
Firewall A Firewall A
Servers A
DMZ B
Internal
network
Interior
Exterior Firewall B
Servers B
Internet Firewall B
Firewalls : architecture (VI-bis) :
managing multiple DMZ
E.g. supplier Servers A
network
DMZ A
Exterior/Interior
Firewall A
Servers B
DMZ B Internal
network
Exterior/Interior
Internet Firewall B

Firewalls : architecture (VII) : internal
FW
servers
Internal network
Exterior Interior
Outside world Firewall Firewall Sensitive
area
Firewall
DMZ
Sensitive
area

Firewalls : architecture (VII-bis) :
internal FW
servers
DMZ Internal network
Exterior/Interior
Outside world Firewall Sensitive
area
Firewall
Sensitive
area
Firewalls : some recommendations
Bastion hosts
better to put the bastions in a DMZ than in an internal network
disable non-required services
do not allow user accounts
fix all OS bugs
safeguard the logs
run a security audit
do secure backups
Avoid to put in the same area entities which have very

different security requirements
Using proxies (I)
Proxies can be used to « hide » the real servers
Interior => Exterior traffic
Give the internal user the illusion that she/he accesses to the exterior
server
But intercept the traffic to/from the server, analyze the packets (check
the compliance with the protocol, search for keywords, etc.), log the
requests
Exterior => Interior traffic
Give the external user the illusion that she/he accesses to the interior
server
But intercept the traffic to the server, analyze the packets (check the
compliance with the protocol, search for keywords, etc.), log the
requests
Using proxies (II)
Advantage
knowledge of the service/protocol => efficiency and
« intelligent » filtering
Ex : session tracking, stateful connection
Disadvantages
one proxy per service !
may require modifications of the client
do not exist for all services

Static Network Address Translation
(NAT) (I)
xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
yyy.yyy.yyy.yyy
xxx.xxx.xxx.xxx
Internal network

Static Network Address Translation
(NAT) (II)
The FW maintains an address translation table
The FW transforms address xxx.xxx.xxx.xxx into

yyy.yyy.yyy.yyy in the field « source address »
xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
The FW transforms address yyy.yyy.yyy.yyy into

address xxx.xxx.xxx.xxx in the field « destination
xxx.xxx.xxx.xxx
address »
Internal network
yyy.yyy.yyy.yyy
This operation is transparent for both
yyy.yyy.yyy.yyy the exterior
Internal network
and the interior hosts
Applications
Non TCP/UDP based protocols

Pre-defined partnership addresses
Web server, mail….(traffic to Internet)
Application server (hidden behind a FW)
Host known/authenticated outside with a specific
address
…

PAT : Port Address Translation (I)
Internal network

PAT : Port Address Translation (II)
Connections are open from an exterior host
Translation table
Use of lesser public addresses
Flexible management of server ports

PAT : Port Address Translation (III)
FW, @IP 'P'

U→P:80
U → IP1:80
P:80 → U
IP1:80 → U
Web
Webserver
server U → P:81
@IP1, port 80
U → IP2:80
user, @IP'U'
P:80 → U
IP2:80 → U
Web server Translation Table @IP « P »

@IP2, port 80 port 80 → @IP1 : port 80
Internal network port 81 → @IP2 : port 80
Masking (I)
Internal network

Masking (II)
Connections are open by internal hosts
Dynamic connection table (IP address + source port

number)
One single address is known outside (the FW address)
Spare IP addresses

Masking (III)
FW, @IP 'M'
Arkoon, @IP 'M'

1:1025->W M:10000->W
W->M:10000
W->1:1025
M:10001->W
user
2:1025->W
@IP1 W->M:10001
Web server
W->2:1025 @IP'W'
M:10000->W2
2:1026->W2
W2->2:1026 W2->M:10000
user
@IP2
Internal network
Translation table @IP « M » Web server
@IP 'W2'
1:1025(10000)->W
2:1025(10001)->W
21/11/2013 2:1026(10000)->W2
Dr Chérif DIALLO, UCAD, FST, 78
Hacking… and security tools (I)
Network auditing (probing)
Checks if the network presents security weaknesses (accessible
ports, badly configured services, etc.)
Network/Host Intrusion Detection Systems (NIDS/HIDS)

NIDS can be put before the FW, on the DMZ, on the internal network
NIDS are based on intrusion signatures and statistics (abnormal

behavior)
HIDS on sensitive hosts e.g. bastions, application servers

Hacking… and security tools (II)
Sniffers : traffic snooping
Packet filtering tools
Proxy service tools
Firewall toolkits
Reference sites : CERT (CMU), COAST (Perdue Univ.),

UREC (French, CNRS), CRU (French, MEN)…

Architecture : Positions d’un IDS, IPS
Position ( 1 ):
Détection de toutes les attaques
Problèmes : Logs trop complets, analyse
trop complexe
Bon pour un Honeypot (pot de miel)
Position ( 2 ):
En amont de la DMZ
Détecte les attaques non filtrées par le
Firewall
Ne détecte pas les tentatives échouant
sur le firewall
. Position ( 3 ):
Devant le LAN Interne
Comme (2) + Attaques depuis le réseau
interne
Judicieux car la plupart des attaques sont
de l’intérieur
Trojans
Virus
Etc.

Etude d’un cas de protection
de flux

Architecture d’un Bastion Internet

Politique de sécurité relative aux flux du
bastion
Les internautes accèdent au reverse proxy sur le port tcp/80, et au SMTP
sur le port tcp/25
Le reverse proxy accède au Serveur Web sur le port tcp/8080
Le LAN d’entreprise accède au proxy interne sur le port tcp/3128
Le LAN d’entreprise accède directement au serveur web sur le port
tcp/8080
Le proxy interne accède au proxy externe sur le port 3129
Le proxy externe accède au web mondial en http (80) et ftp (21, 20)
Le subnet2 administre l’ensemble des éléments du bastion en ssh
(tcp/22), https (tcp/4343) et ftp
Le Subnet1 n’a pas le droit d’administrer les éléments du bastion
Règles à implémenter sur les firewalls
Implémenter sur les firewalls FW1 et FW2, les règles de la politique de
sécurité relative aux flux traversant le bastion internet :
Source Destination Protocole Port Action Trace
FW1
FW2

Pour me joindre par mail : cdiallo@yahoo.fr
Merci de votre attention

☺


1.introduction Securite Info

Transféré par

Droits d'auteur :

Formats disponibles

Vous aimerez peut-être aussi

1.introduction Securite Info

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

1.introduction Securite Info

Transféré par

Droits d'auteur :

Formats disponibles

Audit des Systèmes d’Information

Université Cheikh Anta Diop de Dakar (UCAD)

Master 2 RST – Réseaux et Services de Télécommunications

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 3

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 4

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 5

Mise en place indispensable d’une politique de prise en compte des

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 6

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 7

Evaluation des risques et de leur impact

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 8

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 9

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 10

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 13

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 14

Sécurité (nf) : Situation Sécurité (nf) : Situation de

La sécurité des systèmes d’information (SSI) est

La problématique SSI s'est amplifiée par l'importance

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 18

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 19

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 20

Définition CISSP Prep Guide :

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 21

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 22

Impact d’une attaque informatique

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 25

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 26

Reconnaissance sur internet

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 27

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 28

Attaques sur les mots de passe

Attaques sur les failles applicatives

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 29

Dénis de service distribué (DDoS)

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 30

Désactivation des dispositifs de protection

Suppression des traces

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 31

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 33

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 34

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 36

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 39

Prévision de perte annuelle - Annualized Loss

La prévision de perte annuelle est une valeur financière

ALE = SLE * ARO.

En d’autres mots, un ALE est la perte annuelle financière

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 40

Menace Risque Moyens de protection

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 41

Menace Risque Moyens de protection

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 43

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 44

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 47

La plupart des antivirus sont basés sur l’analyse de signature

Deux modes de protection :

Mise en place d’un antivirus sur les points d’entrée/sortie de données

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 50

21/11/2013 Dr Chérif DIALLO, UCAD, FST, 51