Académique Documents
Professionnel Documents
Culture Documents
RÉSEAUX
INFORMATIQUES
SEDDIK ILIAS
SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX
Sécurité réseau
SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX
Principaux concepts d’attaques
Attaque de l’homme du milieu Sniffing
Attaques par force brute
Poisoning Spoofing
SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX
S N IF F IN G
Le mode Promiscous
Les cartes réseau fonctionnent en deux modes, à savoir le mode normal et le mode promiscuous. Par
défaut, les cartes réseau fonctionnent en mode normal. Ce mode permet à une carte de filtrer les paquets
reçus sur l’adresse destination MAC. Ce type de filtrage est appelé filtrage matériel ou filtrage hardware.
Par contre, le mode promiscuous consiste à accepter tous les paquets circulant dans un réseau, même ceux
qui ne sont pas destinés à la carte. Dans ce cas, un sniffer collecte tout le trafic passant par cette carte.
Le remote Sniffing
Ou l’utilisation d’un sniffer à distance, permet d’obtenir les données circulant sur un autre réseau que celui
sur lequel nous sommes. Considérons cet exemple : Un pirate est sur un réseau nommé A, mais voudrait
sniffer le réseau voisin, appelé B. Admettons qu’il a pris possession d’une machine dans ce réseau B. Le
pirate va donc installer un client sniffer sur la machine du réseau B, qui va passivement récupérer et
enregistrer toutes les données allant et venant sur ce réseau. Il enverra le tout à la machine du pirate dans
le réseau A. Le réseau B qui en principe était impossible à sniffer est devenu donc très accessible.
SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX
S N IF FIN G
SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX
P R ÉV E N IR LE S N I F F I N G
L’objectif peut être de dérober des données sensibles, comme des numéros de carte bancaires, ou de
récupérer des informations concernant l’accès à des applications, des systèmes ou des réseaux.
Le spoofing peut avoir différents champs de batail: spoofing d’adresses email, de Cookies, spoofing
DNS, IP, ou ARP en ce qui concerne son utilisation dans des attaques réseau.
SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX
Le spoofing
SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX
Le poisoning
SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX
Le poisoning réseau
Souvent appelé « Cache Poisoning », car il consiste la plupart du temps à modifier des informations
stockées dans un cache.
Ses variantes les plus connues sont:
• L’ARP poisoning: qui consiste à modifier les enregistrement ARP (MAC/IP) pour permettre à la
carte réseau d’un Hacker, d’accéder à un réseau filtré.
• Le DNS poisoning: dont l’objectif sera de changer un cache DNS, afin de rediriger la victime
vers le mauvais serveur lors d’une redirection, la plupart du temps pour lui injecter un malware
ou lui faire envoyer des informations privées.
L’utilisation et la configuration correcte des pare-feu permet de limiter les risques de poisoning,
qui suppose que l’attaquant à déjà une forme d’accès au réseau.
Une bonne architecture d’administration réseau limite aussi les risques (serveurs centralisés
gérant les caches)
Un audit régulier des systèmes et du réseau permettra d’augmenter les chances de détection d’un
poisoning.
SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX
Les dangers réseau
SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX
RISQUES SUR LA SÉCURITÉ PHYSIQUE
• Branchement d’un intrus sur le réseau
• Accès au réseau sans-fil par des personnes non autorisées
• Manipulation du matériel réseau de l’entreprise par des Hackers
Mesures à prendre
• Bien vérifier le câblage après sa mise en place
• Exiger une authentification forte pour se connecter
• Limiter la portée des réseau sans-fil
• Empêcher l’accès physique au matériel réseau (Routeurs,
Switch….)
• Acheter du matériel sécurisé
• Procéder régulièrement au scan du réseau
Sécurité Réseau
Protocole ARP
Normalement, seule la machine dont l'adresse est demandée doit répondre à une requête.
Mais en pratique, n'importe quelle machine peut le faire.
ARP spoofing consiste pour un attaquant à manipuler les tables ARP des machines
présentes sur le réseau et ainsi détourner le trafic ce qui peut donner par exemple une
attaque de l'homme du milieu.
Sécurité Réseau
Attaque MITM
Sécurité Réseau
Attaque MITM
Sécurité Réseau
Problèmes rencontrés lors du routage
• Boucles de routage : les protocoles de routage ont des mécanismes pour assurer le
cheminement sans boucles. Mais les mesures donnent des évidences que ces
boucles existent parfois dans le transfert des paquets inter-domaine. La cause
exacte de cet effet est peu claire. Il croit que le délai de propagation des messages
de routage cause des moments où il y a des contradictions de routage entre les
routeurs.
• Croissance de la table de routage : surcharge dans la table de routage. Cela cause
l’instabilité, rejeter les nouveaux chemins, interrompre les sessions d’échanges de
route, ou redémarrer le routeur.
• Mauvaises configurations : les erreurs de configuration de routage peut perturber
ou interrompre la connectivité d’Internet, ces dernières sont nombreuses. La
mauvaise configuration est effectivement dangereuse car elle permet aux
attaquants de causer à la fois le déni d’accès (blackholing) dans un réseau et le
déni de service (DoS) dans un autre réseau
Sécurité Réseau
Problèmes rencontrés lors du routage
• Listes de contrôle d’accès
• Contrôler le flux de trafic. Les ACL peuvent limiter l’arrivée des mises à jour de routage. Si aucune
mise à jour n’est requise en raison des conditions du réseau, la bande passante est préservée.
• Fournir un niveau de sécurité d’accès réseau de base. Les listes de contrôle d’accès permettent à un
hôte d’accéder à une section du réseau tout en empêchant un autre hôte d’avoir accès à la même
section.
• Déterminer le type de trafic qui sera acheminé ou bloqué au niveau des interfaces de routeur.
• Autoriser un administrateur à contrôler les zones auxquelles un client peut accéder sur un réseau.
• Accorder ou refuser aux utilisateurs la permission d’accéder à certains types de fichiers, tels que FTP
ou HTTP.
Sécurité Réseau
Principales mesures à prendre
ZoneAlarm GlassWire
SYSTÈMES D’EXPLOITATION
Une zone démilitarisée (DMZ) :
Un segment de réseau sur lequel des ressources internes sont publiées pour des
clients externes.
Exemple : Serveur Web hébergeant un site Internet d'une entreprise. Le serveur
Web est alors publié pour le public externe dans la zone démilitarisée.
Un serveur Web hébergeant un site Intranet serait par contre sur un segment du
réseau privé.
RESSOURCES COMPLÉMENTAIRES