Académique Documents
Professionnel Documents
Culture Documents
Oualid CHEMEK
Oualid.chemek@gmail.com
Plan
Introduction à la sécurité réseaux
Sécurisation des communications
◦ Chiffrement (symétrique, asymétrique et hybride)
◦ Signature électronique
◦ Certificat et PKI
Filtrage des paquets et firewall
◦ Introduction au filtrage des paquets
◦ Accees Control Lists (ACL)
◦ Iptables
Architecture de sécurité
◦ VLAN
◦ VPN
Introduction
Sécurité
Attaques
Services Mécanismes
Fonctionnalités requises
pour assurer un Moyens utilisés pour
environnement sécurisé assurer les services de
en faisant appel aux la sécurité en luttant
mécanismes contre les attaques
Services de la sécurité
C'est l'assurance de l'identité d'un objet de
Authentification tout type qui peut être une personne, un
serveur ou une application.
C'est la garantie qu'un objet (document,
Intégrité fichier, message, etc.) ne soit pas modifié
par un tiers que son auteur.
C’est l’assurance qu’une information ne
Confidentialité soit pas comprise par un tiers qui n’en a
pas le droit.
C'est l'assurance que l'émetteur d'un
message ne puisse pas nier l'avoir envoyé
Non répudiation et que son récepteur ne puisse pas nier
l'avoir reçu.
c'est l'assurance que les services ou
l'information soient utilisable et
Disponibilité
accessible par les utilisateurs autorisés
Attaques: classification
Attaques
Internes Externes
Attaques
Passives Actives
……
Par où commencer ?
Pour sécuriser un réseau il faut:
◦ Définir une structure du réseau conforme à
l’organisation de l’entreprise
Séparer les communautés.
Garde barrière entre communautés.
Laisser une porte "ouverte" vers l’extérieur (sans risques).
◦ Définir une politique de sécurité.
La sécurité == 90% de méthodologie et d’organisation +
10% de technique
◦ Mise en place de la politique: sécurisation
◦ Audit de la sécurité
◦ Détection/Correction d’incidents
Politique de sécurité
Objectifs
◦ Sécurisation adaptée aux besoins de l’entreprise
◦ Permet d’analyser un audit de sécurité
Composants d’une politique de sécurité
◦ politique de confidentialité
◦ politique d’accès
◦ politique d’authentification
◦ Politique de responsabilité
◦ Politique de maintenance
◦ politique de rapport de violations
◦ …
Audit de la sécurité
Audit ?
◦ voir si la politique de sécurité est respectée
◦ Découvrir les risques
◦ Effectuer des tests technique de vulnérabilité
◦ Proposer des recommandations
◦ Proposer un plan d’action
Conclusion
La sécurité
◦ tâche difficile
◦ pas de sécurité à 100%
Motivation des attaquants
◦ Attirance de l'interdit
◦ Le désir d'argent (violer un système bancaire)
◦ Le désir de renommée (impressionner des amis)
◦ l'envie de nuire (détruire des données, empêcher un
système de fonctionner)
◦ …
Objectifs des attaquants
Désinformer
Empêcher l'accès à une ressource
Prendre le contrôle d'une ressource
Récupérer de l'information
Utiliser le système compromis pour attaquer
un autre (rebondir)
…
Motivation des attaquants
Vengeance/rancune
Politique/religion
Défis intellectuels
Envie de nuire aux autres
Impressionner les autres
Vol d’informations
Désir d’argent
Falsification d’informations
Classification des attaques
Attaques passives
◦ Écoute et analyse du trafic réseau
Exemple d’outils: wireshark, tcpdump
But: trouver des informations susceptibles d'intéresser
un attaquant
Adresses IP importantes
Architecture du réseau: Découverte du réseau et du
filtrage IP: traceroute, ping
Emplacement des noeuds
Informations d’authentification
Information secrète (en cas de guerre par exemple)
…
Classification des attaques
Attaques actives
◦ Modification des données en transit
◦ Injection de données
Fabrication (mascarade): injecter des données en
spécifiant une adresse source légitime
Rejeu: ré-envoyer d’anciens données
◦ Suppression de données
Les attaques réseaux exploitent les faiblesses
◦ Des protocoles:
Conception simple, légère et non sécurisé
◦ Des mécanismes d’authentification:
Exemple: usurpation d’identité
◦ Des implémentation:
Exemple: mot de passe en clair sur le réseau, bugs
◦ Des configuration :
Exemple: Firewall mal configuré laissant passer un
trafic non autorisé.
Exemples d’attaques
sur les faiblesses des protocoles
Attaques sur la fragmentation des paquets IP
◦ Ping of death
Données:
Taille maximum d ’un paquet IP = 65535 octets
ICMP (Internet Control Message Protocol) est encapsulé par IP
Attaquant:
Générer des fragments appartenant à des paquets ICMP de taille > 65535
Victime
Certains systèmes ne gèrent pas cette fragmentation. Le réassemblage des
fragments provoque le crash du buffer ou le reboot du système
Parade:
Patches (déjà existants dans les nouveaux OS)
Chiffrement Confidentialité
Intégrité +
Mécanismes Signature électronique Non répudiation +
authentification
utilisées pour:
◦ la génération,
◦ la publication,
◦ l’archivage,
◦ la révocation des certificats.
PKI: Public Key Infrastructure
Traitement des
demande de: Publication des
- Création Autorité certificats émis ou
- Révocation d’Enregistrement révoqués
- Renouvellement
de certificats
Annuaire
- Création Opérateur de
- Révocation Certification
- Renouvellement
de certificats Validation
Archiver les clés Service de
privées/publiques séquestre
Vérifier la validité
des certificats
PKI: Public Key Infrastructure
Demande de certificat:
1. l'utilisateur fait sa demande à
l'AE
2. l'AE vérifie les données
d'identification et vérifie la
possession de la clé privée. Si
tout est vérifié, l'AE valide la
requête qui est transférée à l'OC
3. l'OC vérifie la validité de la
requête et
génère le certificat. Le certificat
est publié dans l'annuaire et
transmis à l'AE
4. l'AE avertit l'utilisateur que son
certificat est disponible
5. l'utilisateur récupère le
certificat dans l'annuaire.
PKI: Public Key Infrastructure
Demande d’accès à une ressource
1. demande d'accès à l'application
2. demande par l'application du
certificat de l'utilisateur
3. présentation du certificat par
l'utilisateur
4. si le certificat est valide, l'application
vérifie auprès du service de validation de
PKI s'il n'est pas révoqué
5. réponse du service de validation
6. ouverture ou non de l'accès suivant le
résultat de la vérification
Plan
Introduction à la sécurité réseaux
Sécurisation des communications
◦ Chiffrement (symétrique, asymétrique et hybride)
◦ Signature électronique
◦ Certificat et PKI
Filtrage des paquets et firewall
◦ Introduction au filtrage des paquets
◦ Accees Control Lists (ACL)
◦ Iptables
Architecture de sécurité
◦ VLAN
◦ VPN
Filtrage de paquets: principe
Filtrage du trafic entrant et du trafic sortant
◦ Le firewall laisse passer certains paquets et rejette
d’autres paquets selon sa politique de sécurité
Filtrage de paquets: principe
Le filtrage se fait en analysant les en-têtes des
protocoles, en priorité IP, UDP et TCP.
En général, on définit une règle de filtrage en considérant
1. Adresse IP source
2. Adresse IP destination
3. Port source
4. Port destination
5. Protocole encapsulé (ICMP, UDP, TCP…)
6. Flag ACK (de TCP)
7. Type du message ICMP
A chaque règle de filtrage est associé une action:
◦ Laisser passer le paquet ou
◦ Détruire/Rejeter le paquet
Exemple de règles de filtrage
Politique: Autoriser l’extérieur à accéder au
service web sur le réseau périphérique
Processus de développement de
filtres
Définition des règles de filtrage
◦ Utiliser le maximum de critères (@IP, port, ACK…etc)
Permet de mieux lutter contre les attaques
Exemple:
Soit la politique: Accepter HTTP en entrée et en
Limites
◦ Problèmes de performance pour les réseaux à grand
trafic
Firewall matériel / logiciels
Firewalls matériels
◦ Routeurs filtrants
◦ Firewalls sous forme de boîtiers
Firewall logiciels
◦ Firewall professionnels
Firewall libre : Netfilter / iptables
Firewall commercial : CheckPoint Firewall-1
◦ Firewall personnels
Kerio, Zone Alarm…
Firewall matériel: Routeurs filtrants
Un routeur filtrant
◦ Examine chaque paquet afin de déterminer s'il doitl'acheminer ou
l'abandonner
◦ Bien adapté aux PME
◦ Pas de fichiers logs et pas de statistiques
La fonction de filtrage est implémentée dans la plupart des
routeurs du marché
◦ Sous forme de listes d’accès ACL
◦ En utilisant une syntaxe spécifique par routeur
Firewall matériel: Routeurs filtrants
Inconvénients
Accès à des parties limitées des entêtes des
paquets.
Rapidité de traitement
Exemple :
Cisco ASA (Adaptive Security Appliance)
Cisco PIX (Private Internet eXchange)
Access Control Lists (ACL)
ACL dans les routeurs
Permet d’implémenter des règles de filtrage
dans les routeurs Contrôler l’accès entre
différents réseaux.
Une ACL créée doit être associée à une interface
du routeur où le filtrage sera exécuté.
◦ Interface in (incoming: paquets entrant dans le
routeur)
◦ Interface out (outcoming: paquets sortant du routeur)
Access Control Lists (ACL)
Processus de contrôle des paquets
Un paquet est comparé aux
règles de l’ACL.
L’action (permit/deny) de la
règle trouvée est appliquée au
paquet
◦ Le VPN d'accès
◦ L’intranet VPN
◦ L’extranet VPN
Les protocoles de VPN
II. Virtual Local Area Network:VLAN
Qu’est-ce qu’un VLAN ?
Private :
◦ Un VPN est réservé à un groupe d’usagers déterminés par authentification.
◦ Les données sont échangés de manière masquée au yeux des autres par
cryptage => Privé
Virtual :
◦ Un VPN repose essentiellement sur des lignes partagés et non dédiées .
◦ Il n’est pas réellement déterminé. Il est construit par dessus un réseau public
essentiellement.
Principe de fonctionnement: tunnelling
Le VPN est basé sur la technique du tunnelling:
Processus d’encapsulation, de transmission et de désencapsulation.
Assure un accès aisé et peu coûteux aux intranets ou aux extranets d'entreprise.
Les types de VPN: L'intranet VPN
3 Les types de VPN: l'intranet VPN, l'extranet VPN, VPN d'accès
1 . L'intranet VPN:
Gestion d'adresses:
◦ Chaque client sur le réseau doit avoir une adresse privée confidentielle.
◦ Un nouveau client doit pourvoir se connecter facilement au réseau et recevoir une
adresse.
Cryptage des données
Gestion de clés
◦ Les clés de cryptage pour le client et le serveur doivent pouvoir être générées et
régénérées.
◦
Prise en charge multiprotocole:
◦ La solution Vpn doit supporter les protocoles les plus utilisés sur les réseaux publics
en particulier Ip.
Caractéristiques fondamentales d'un Vpn
Les unités ou les utilisateurs d'un VLAN peuvent être regroupés par
fonction, service, application, etc., et ce, quel que soit le segment
physique où ils se trouvent