Détection d intrusions VoIP avec Sourcefire. et introduction à ExaProtect

Dimension: px
Commencer à balayer dès la page:

Download "Détection d intrusions VoIP avec Sourcefire. et introduction à ExaProtect"

Transcription

1 Pré-projet de diplôme 2007 Détection d intrusions VoIP avec Sourcefire et introduction à ExaProtect Romain Wenger TR2007 Professeur : Stefano Ventura Expert : Sylvain Maret Assistante : Lalaina Kuhn Date : 29 juin 2007

2 Table des matières 1 Synthèse Introduction Objectifs du projet Réseau de test OpenSER Présentation Logs Sourcefire Présentation Composants Policies Rules Preprocessors Portscan Detection Variables Alerting Affichage des évènements Tests Méthode Résultats Problématique VoIP Stateful inspection Autres protocoles VoIP Evaluation Bases de corrélation Problématique Idées et orientation VoIP ExaProtect Présentation Security Management Solution (SMS) Security Management Agent (SMA) Security Management Platform (SMP) Security Management Console (SMC)...25 Romain Wenger

3 9 Suite du travail et projet de diplôme Conclusion Références Sites Web Annexe A : Configuration de Sourcefire Nouvelle policy Activation des règles Détection des portscans Configuration des variables Annexe B : Attaque VoIP SIP/BYE et détection Portscan Man-in-the-middle (MITM) Description Réalisation Détection Message SIP/BYE DoS Description Réalisation Détection Annexe C : Tableau des caractéristiques de Sourcefire Romain Wenger

4 Table des figures Figure 1 : Schéma du réseau de test... 7 Figure 2 : Plan d adressage du réseau... 8 Figure 3 : Affichage de la liste des policies Figure 4 : Edition d'une policy Figure 5 : Affichage de l état d'activation des règles pour une policy Figure 6 : Schéma de fonctionnement de Sourcefire Figure 7 : Stream4 et Stateful Inspection Figure 8 : Détection des portscans Figure 9 : Liste des variables d'une policy Figure 10 : Configuration des alertes pour une policy Figure 11 : Evaluation de Sourcefire Figure 12 : Architecture adaptée à la corrélation d'alertes Figure 13 : Schéma fonctionnel d'exaprotect Figure 14 : Création d'une policy dans Sourcefire Figure 15 : Configuration des variables dans Sourcefire Figure 16 : Affichage des évènements par adresse de destination Figure 17 : Interface graphique d'ettercap NG Figure 18 : Capture des paquets d'un ARP Spoofing Figure 19 : Capture des paquets de l établissement d'un appel SIP Figure 20 : Interface de l'application SIPNess Messenger Figure 21 : Création d'une règle Sourcefire Figure 22 : Affichage des détails d'un évènement détecté par Sourcefire Romain Wenger

5 1 Synthèse Ce rapport présente le travail effectué lors du pré-projet de diplôme, en préparation au prochain travail de diplôme sur la corrélation d évènements avec ExaProtect. Après avoir mis en place le réseau de test VoIP composé de téléphones, d un serveur SIP OpenSER et d un IDS Sourcefire, les différentes fonctionnalités et composants de celui-ci seront présentés, également dans un point de vue VoIP. Puis, quelques attaques vont être menées afin de déterminer les capacités de détection de l IDS. Ceci conduira à une première évaluation du produit pour ce type d utilisation. Ensuite, quelques bases de corrélation seront introduites, avec un exemple sur l analyse comportementale. Finalement, une description de l architecture 3-tiers d ExaProtect terminera se rapport. 2 Introduction Après plusieurs années de réflexion sur le bien fondé d un passage intégral à la VoIP, dans les entreprises et aussi de manière générale chez les particuliers, il n y a dès à présent plus de doute sur l adoption massive de cette technologie à court ou à moyen terme. Le fait que l on soit sur un réseau informatique apporte les grands avantages de celui-ci, comme le faible coût de l infrastructure (généralement déjà existante) et donc des communications ainsi que la possibilité d échanger voix, vidéo et données sur un unique type de réseau physique. Cependant, on reçoit par la même occasion les inconvénients de ce réseau, et non des moindres : on parle ici de qualité de service, jusqu alors très bonne avec les réseaux téléphoniques conventionnels, mais aussi de sécurité au sens général allant de l écoute des communications aux surcharges et coupures parfois intentionnelles de celles-ci. Ce travail va s intéresser aux solutions que l on peut mettre en œuvre pour détecter différents cas où une intrusion est susceptible d avoir été menée à bien, ceci à partir d un composant réseau de type IDS 1 dont nous évaluerons les capacités. Puis nous introduirons un système de détection situé un niveau au-dessus prenant compte des informations que peuvent fournir d autres composants du réseau, lesquelles pourront être rassemblées pour obtenir des résultats efficaces et fiables. 1 IDS : Intrusion Detection System, système de détection d intrusion. Romain Wenger

6 3 Objectifs du projet L objectif du travail de diplôme est l analyse du fonctionnement puis la mise en place d une solution de sécurité de type SIEM (Security Information and Event Management) dans un environnement VoIP. Le produit concerné sera ExaProtect, solution propriétaire connue dans le domaine de la sécurité de réseaux. Le pré-projet de diplôme visera d abord à étudier le fonctionnement de ce type de système ainsi que les méthodes de sécurisation de réseaux avec un IDS, puis d effectuer quelques tests pratiques avec l IDS Sourcefire afin d en évaluer les possibilités de détection relatives à la VoIP. Après la mise en place d ExaProtect, le travail de diplôme consistera à étudier les différentes fonctionnalités de ce produit, ce qui aboutira à un premier rapport. La grande partie du travail consistera alors, sur la base du pré-projet, d établir une liste des attaques ou de situations potentiellement dangereuses et d implémenter leur détection à partir des informations reçues des différents composants du réseau, cela de manière claire et fiable. Quelques démonstrations pourront être mises en place par la suite. Enfin, une évaluation du produit dans le cadre de la VoIP sera établie. Romain Wenger

7 4 Réseau de test L environnement VoIP sur lequel seront effectuées les différentes manipulations suit une architecture standard dont voici le schéma. Figure 1 : Schéma du réseau de test Autour d un switch Cisco Catalyst, le réseau est séparé en deux VLANs : un pour le contrôle (ports 1 à 16 du switch) et l autre pour la voix (ports 17 à 32). L IPBX fonctionnant avec OpenSER (version 1.1.0) est composé de trois machines séparées offrant les services de localisation, registrar et proxy SIP. Chaque machine dispose de deux adresses, une par type de réseau. Deux téléphones IP Cisco 7960 (firmware version 8.2) sont utilisés pour générer les appels, le PC de l attaquant étant branché sur le même VLAN. Romain Wenger

8 Enfin, l IDS Sourcefire est connecté au port de monitoring du switch, lui permettant de voir passer tout le trafic pour effectuer les différentes détections. Il est aussi connecté au VLAN de contrôle pour son administration. Le tableau suivant détail l adressage utilisé. Elément VLAN VoIP VLAN Contrôle / /23 IPBX Proxy SIP (PC219 OpenSER) IPBX Registrar (PC220 OpenSER) IPBX Service de localisation (PC221 MySQL) Cisco 7960 SIP Hardphone 1 (Bob) Cisco 7960 SIP Hardphone 2 (Alice) PC attaquant Sourcefire IS Figure 2 : Plan d adressage du réseau Pour le travail de diplôme, le réseau sera enrichi de l appliance ExaProtect ainsi que d autres éléments tels qu un accès à Internet (et donc d une DMZ), de softphones permettant de comparer leur comportement avec celui des téléphones Cisco et idéalement d une Gateway PSTN. Romain Wenger

9 5 OpenSER 5.1 Présentation OpenSER est un serveur SIP open source considéré comme très fiable et flexible. Le projet a démarré avec une équipe de trois développeurs de SIP Express Router (SER) qui voulaient améliorer ce dernier en apportant une plus grande ouverture aux contributions publiques. Ainsi, dès la première année, ce sont plus de 60 contributeurs qui ont participé à l ajout de nouvelles fonctionnalités comme le support de TLS 2 et NAPTR 3. Parmi les possibilités offertes actuellement par OpenSER, on peut citer la compatibilité avec IPv4/IPv6, le support de UDP/TCP/TLS, ENUM 4, AAA 5 avec RADIUS 6 et base de données, load balancing, Call-Processing Language 7 et NAT traversal. De plus, selon le site officiel, OpenSER dispose de très bonnes performances à haute charge, lui permettant de fonctionner sur des systèmes aux ressources limitées. Cela, tout en ayant d autre part la capacité de traiter plus de 5000 appels par secondes grâce au load balancing. Ces différentes caractéristiques font que le produit est bien adapté pour les ITSP 8 et les opérateurs téléphoniques en général tout comme dans des environnements d entreprises. 5.2 Logs La corrélation que devra effectuer ExaProtect nécessitera d avoir accès aux informations générées par les composants clés du réseau dont le proxy SIP fait partie. OpenSER est prévu pour générer des logs 9 de debug et d erreurs par le protocole syslog 10. Les messages sont produits uniquement si le niveau d importance (log level allant de 4 à -3 en 2 TLS : Transport Layer Security est un protocole cryptographique permettant l échange d informations de manière sécurisée, il est le successeur de SSL (Secure Sockets Layer). 3 NAPTR : Naming Authority Pointer est un nouveau type de DNS (Domain Name System) supportant les «regualar expressions», qui permettent de décrire des chaines de caractères à partir d une syntaxe définie. 4 ENUM : TElephone NUmber Mapping est une suite de protocoles pour l inclusion des numéros de téléphones conventionnels en tant que clé de recherche dans les DNS NAPTR Internet (par exemple : numéro > adresse SIP). 5 AAA : Authentication Authorization Accounting est un protocole réalisant ces 3 fonctions (authentification, autorisation, traçabilité). 6 RADIUS : Remote Authentication Dial-In User Service est un protocole AAA dont les données d authentification sont stockées de manière centralisée. 7 Call-Processing Language (CPL) est un langage utilisé pour décrire et contrôler les services de téléphonie Internet. 8 ITSP : Internet Telephony Service Provider. 9 Une explication des messages est disponible sur la page 10 Syslog : standard pour l envoi des messages de logs sur un réseau IP, indique aussi le service client qui récupère et génère les messages. Romain Wenger

10 fonction de la gravité) dépasse le seuil défini. Le choix du seuil est paramétrable dans les fichiers de configuration. Les logs se présentent par défaut ainsi : log([level,] message) Si le level n est pas indiqué, le message est d importance minimale. La mise en place effective de ceci sera effectuée suite à l installation d ExaProtect. 6 Sourcefire 6.1 Présentation Sourcefire est avant tout le nom de l entreprise fondée en 2001 par Martin Roesch, le créateur de Snort. Snort est un IDS/IPS 11 réseau open source, il utilise des règles de détection permettant de combiner signatures et analyses de protocoles. Comptant plus de 3 millions de téléchargements à ce jour, Snort est l IDS/IPS le plus répandu dans le monde et dispose d une importante communauté d utilisateurs et développeurs. Sourcefire propose ainsi plusieurs produits commerciaux basés sur Snort, intégrant du matériel et des services de supports. Le produit utilisé pour ce projet se nomme Sourcefire 3D Sensor Il se présente sous la forme d une appliance 12 remplissant les fonctions d IDS ou IPS, le tout administrable aisément via une interface Web. Le nom Sourcefire régulièrement utilisé dans ce document se réfère bien entendu à l appliance. 6.2 Composants Cette partie s intéresse aux différents composants de base à connaître pour la mise en route d une stratégie de sécurité avec Sourcefire, ainsi que les possibilités offertes par celui-ci en rapport avec la VoIP. 11 IPS : Intrusion Prevention System, système de prévention d intrusions. 12 Appliance : en informatique, élément matériel effectuant une fonction spécifique et dont la configuration est plus ou moins restreinte. Romain Wenger

11 6.2.1 Policies Chaque stratégie de sécurité avec SourceFire passe d abord par la création d une policy. Celleci se base sur un detection engine 13 et peut être en mode IDS ou IPS. Figure 3 : Affichage de la liste des policies La policy contient les différents composants de sécurité tels que les règles de détection, les préprocesseurs, la détection de portscans 14, les modes d alerte, les variables et quelques composants spécifiques à des protocoles d application (HTTP, FTP, SMTP ) comme le montre la figure suivante. Figure 4 : Edition d'une policy 13 Detection engine : analyseur du réseau intégré à SourceFire et incluant l interface réseau. 14 Portscan : envoi de multiples messages pour trouver les ports ouverts sur la cible. Romain Wenger

12 6.2.2 Rules Les règles sont l un des principaux éléments de filtrage, en effet chaque règle contient la description de différents paramètres d un paquet IP permettant une détection de celui-ci en cas de correspondance. La configuration par défaut comporte un grand nombre de règles préinstallées et activées. Celles-ci sont classées par types d attaques ou par protocoles. Il n y a cependant que peu de règles directement en rapport avec la VoIP. Mis appart la détection possible de connexions Skype, on trouve deux règles concernant des vulnérabilités des téléphones Cisco 7900 series : 1:1814 WEB-MISC CISCO VoIP DOS ATTEMPT 1:3467 WEB-MISC CISCO VoIP Portinformation access La première, comme son nom l indique, concerne un risque de deni de service (ici un redémarrage du téléphone suite à une mauvaise requête http) avec les versions 3.0 à 3.2 du firmware. Les téléphones utilisés étant en version 8.2 cette règle n est donc pas utile dans notre cas. La seconde protège le téléphone contre un script ayant pour effet de révéler le contenu de sa mémoire. Il n y a pas plus d informations concernant les systèmes vulnérables, cette règle pourra donc être activée mais reste relativement peu pertinentes pour ce projet. Aucune règle directement liée à la détection d attaques ou le suivi des messages SIP n existe. Romain Wenger

13 Figure 5 : Affichage de l état d'activation des règles pour une policy A noter que la création de nouvelles règles est relativement aisée et entièrement graphique comme présenté dans l annexe B. Les règles ajoutées apparaissent sous la catégorie «Local» Preprocessors Sourcefire dispose de préprocesseurs dont l utilité est d effectuer un prétraitement rapide des paquets tel que le réassemblage de ceux-ci suite à la fragmentation, le décodage des protocoles grâce à une analyse stateful 15 et d autres détections difficilement implémentables par des règles comme les portscans par exemple. Les préprocesseurs permettent à l IDS de conserver de bonnes performances pour le traitement des paquets. 15 Stateful : suivi de l état d une connexion. Romain Wenger

14 La figure suivante montre le principe de fonctionnement de Sourcefire et l emplacement des préprocesseurs dans les étapes de détection. Figure 6 : Schéma de fonctionnement de Sourcefire L un des principaux préprocesseurs pour Snort se nomme Stream4, il permet une analyse stateful des connexions TCP. Il est aussi disponible dans Sourcefire, où il est possible de configurer certaines options comme le montre la figure suivante. Figure 7 : Stream4 et Stateful Inspection Ce qui nous intéresse ici est avant tout le protocole SIP qui lui est basé sur UDP. Cependant, les options disponibles dans l interface ne permettent pas d activer une inspection stateful sur des flux UDP. Le User Guide de Sourcefire confirme que ce n est valable que pour des session TCP. Romain Wenger

15 6.2.4 Portscan Detection Sourcefire dispose d une page pour la configuration de la détection des portscans. C est une fonctionnalité intéressante sachant que beaucoup d attaques commencent par ce type d opération. Différents paramètres sont configurables comme le choix des protocoles à surveiller, le type de scan (en fonction du nombre de «scanneurs», de scannés et du nombre de ports), le taux de sensibilité ainsi que les adresses IP à contrôler. A noter que le choix de la sensibilité modifie la méthode de détection : En mode Low, la surveillance se base uniquement sur les réponses négatives des hosts, En mode Medium, les alertes seront basées sur le nombre de connexions à un host, En mode High, c est une plus grande fenêtre temporelle qui est utilisées permettant de détecter tout type de scan. Figure 8 : Détection des portscans Romain Wenger

16 6.2.5 Variables L utilisation de variables permet l identification précise de parties du réseau. Il est possible d affecter un sous-réseau complet, une liste d adresses IP ou des ports spécifiques. Ainsi, dans les différentes pages de configuration ce sont ces variables qui seront utilisées plutôt que des éléments statiques. On trouve par exemple dans les règles à plusieurs reprises des variables telles que $EXTERNAL_NET ou $HOME_NET définissant explicitement les réseaux concernés. Les variable peuvent être définies à deux endroits différents : dans la configuration de la policy ou directement au niveau du detection engine (Opérations > Configuration > Detection Engines). Sauf cas précis, il est généralement préférable de définir les variables au niveau de la policy afin de conserver la flexibilité nécessaire lorsque plusieurs policies sont actives. Figure 9 : Liste des variables d'une policy Romain Wenger

17 6.2.6 Alerting Le menu «Alerting» permet de configurer plusieurs méthodes pour envoyer des alertes sur le réseau lorsqu un évènement est détecté. Figure 10 : Configuration des alertes pour une policy Il y a tout d abord la possibilité d informer un serveur syslog, simplement en indiquant son adresse IP. La seconde méthode consiste à passer par SNMP. Les versions 2 et 3 du protocole sont proposées, sachant que SNMPv3 offre en plus une authentification sécurisée par mot de passe. Enfin, il est également possible d envoyer les alertes par . Romain Wenger

18 6.2.7 Affichage des évènements L affichage des évènements est l un des points forts de Sourcefire. Le menu «Analysis & Reporting» propose plusieurs types d affichages, comme des pages «summary» permettant d afficher les statistiques générales des évènements de manière textuelle et graphique, ou un affichage restreint à un intervalle de temps donné. Il est aussi possible de générer automatiquement des rapports personnalisés avec exportations aux formats PDF ou HTML. L annexe B présente plusieurs affichages d évènements. 6.3 Tests Méthode Les tests ont été effectués dans une situation d intrusion d une communication VoIP et sont donc orientés sur ce domaine. Le but étant d avoir une première idée des capacités de Sourcefire pour la détection d attaques de ce type. Il existe un certain nombre d attaques répertoriées 16, plus ou moins aisées à réaliser. L une de celles-ci est présentée dans l annexe B : «Attaque VoIP SIP/BYE et détection» de manière détaillée. C est une attaque de type DoS 17 relativement facile à réaliser mais qui peut causer de sérieux soucis si elle est appliquée en situation réelle. La configuration de l IDS utilisée lors des tests est décrite dans l annexe A : «Configuration de Sourcefire» Résultats Au terme de ces tests, bien que les possibilités de configuration initiales de Sourcefire ne permettent pas de détecter ce type d attaque SIP, comme nous l avons vu, il est relativement facile de mettre en place de nouvelles règles à mêmes de lever des évènements lorsque cela est nécessaire. Cependant, un point surprenant est l impossibilité de détecter des attaques de la couche 18 2 comme un ARP Spoofing. Snort dispose pourtant d une solution qui consiste en l activation du préprocesseur «ARPspoof 19», encore au stade expérimental. 16 Le document «Best Practices Sécurité VoIP-SIP» édité dans le cadre du projet VaDeSe (http://www.vadese.org) décrit un nombre important d attaques connues. 17 DoS : Denial of Service (déni de service) est un terme générique pour indiquer le fait de rendre une application incapable de répondre aux requêtes des utilisateurs. 18 Couche «liaison de données» du modèle OSI. 19 Des informations sur les préprocesseurs de Snort dont ARPspoof sont disponibles sur la page Romain Wenger

19 Malheureusement, pour une raison semblable au problème rencontré plus bas dans la partie «Stateful inspection», Sourcefire ne permet pas l ajout de préprocesseurs. En outre, les préprocesseurs installés n ont pas d option permettant d effectuer ce type de détection. 6.4 Problématique VoIP Cette partie s intéresse à d autres points concernant la VoIP et Sourcefire Stateful inspection Par défaut, Sourcefire (par l intermédiaire de Snort) n est pas «stateful». Aucune analyse orientée connexion n est faite, ce qui est souvent nécessaire. En effet, de la même manière que pour un firewall, l IDS ne lèvera pas d alerte pour tout paquet qui peut être légitime lorsqu il est à l intérieur d une connexion TCP mais qui doit être détecté lorsqu il est unique, car dans ce cas il aura de grandes chances d être potentiellement dangereux. Comme vu plus haut, une analyse stateful des connexions TCP peut être activée par l intermédiaire du préprocesseur Stream4. Cependant, dans notre cas nous utilisons SIP qui est basé sur UDP. De plus, ce dernier n étant pas orienté connexion, il serait d autant plus nécessaire de pouvoir suivre un appel SIP. Selon la documentation de Stream4 sur le site de Snort, il existe pourtant la possibilité d activer l option «enable_udp_sessions» qui comme son nom l indique suit l état de sessions UDP. Mais cela ne semble possible qu avec une version «non-intégrée» de Snort. Le manuel de Sourcefire ne spécifiant rien concernant l ajout d une telle option Autres protocoles VoIP Bien que le projet se focalise principalement sur le protocole SIP, il faut savoir que d autres protocoles 20 sont souvent utilisés, principalement en entreprise. SCCP (Skinny Client Control Protocol) Skinny est un protocol propriétaire appartenant à Cisco, utilisé entre un client et un serveur Cisco CallManager. Les téléphones de la série 7900 de Cisco implémentent ce protocole qui a la particularité d être bien plus léger et moins gourmand en bande passante que H.323. Skinny est basé sur TCP (port 2000) pour la communication avec le CallManager, lorsque l appel est établi avec le destinataire, la transmission audio utilise UDP. 20 Une description des principaux protocoles VoIP est disponible sur cette page : Romain Wenger

20 L utilisation de TCP permet donc une analyse stateful avec Sourcefire. H.323 H.323 est un ensemble de protocoles recommandés par l ITU-T pour les communications audio-visuelles par paquets IP. C est un dérivé du protocole H.320 utilisé dans ISDN. Il permet dès lors un grand nombre de fonctionnalités et de configurations possibles. Pour la signalisation des appels, c est le protocole H.225.0/RAS qui est utilisé (H.245 pour les communications multimédia), composé des messages suivants : Call Signaling, établissement et contrôle d un appel H.323. La signalisation est basée sur les procédures d appel ISDN (voir Q.931) et utilise TCP. RAS Signaling Function, utilisé pour l enregistrement, l admission, le statut (Registration, Admission and Status) et les modifications de bande passante entre les clients. Le canal RAS est basé sur UDP. Le fonctionnement n étant pas simple, il est difficile de prévoir si Sourcefire serait capable d analyser une session de ce protocole. MGCP Media Gateway Control Protocol est un protocole spécialisé pour la VoIP orienté client-serveur. Il est généralement basé sur UDP port 2427 dont chaque paquet est une commande ou une réponse. Il est souvent utilisé par le providers fournissant un service triple-play (dont la VoIP). Comme il est basé sur UDP, le problème devrait être semblable que pour SIP concernant l analyse stateful. 6.5 Evaluation Sans avoir pu réellement comparer Sourcefire avec d autres IDS, nous pouvons tout de même affirmer que les possibilités offertes par ce produit sont nombreuses et relativement faciles à utiliser grâce à l interface entièrement graphique, également pour la création des règles. Le nombre de règles initialement installées est impressionnant (plus de !), cela permet de disposer de solutions pour de nombreux protocoles. Néanmoins, nous avons pu voir que la VoIP n est pas un point fort et que peu de solutions existent autant au niveau des règles que des préprocesseurs. De plus, on peut s étonner du fait que les développeurs se soient d abord penchés sur les risques liés à l utilisation des téléphones VoIP de Cisco en créant des règles détectant des Romain Wenger

21 attaques sur des vulnérabilités des ces derniers plutôt que de prendre en compte des aspects plus généraux tels que la sécurité de SIP. Un autre point surprenant est l impossibilité de voir des attaques ARP telles que les ARP Spoofing. Nous avons pu contacter la société par 21 à ce sujet, qui a répondu clairement à notre demande : Our IDSs are layer-3 and above, so adding ARP detection would be way down the road map if it were to be implemented. Il n est donc visiblement pas dans leurs projets d ajouter cette fonctionnalité au produit. Mis appart le problème d ARP, Sourcefire est à même de pouvoir détecter les attaques de couche 3 basées sur l envoi de mauvais paquets SIP (ou autres protocoles comme RTP) provenant d adresses différentes que celles définies de manière statique dans la configuration (grâce aux variables). Toutefois le problème peut devenir compliquer dans le cas où l attaquant prend directement la place d un téléphone existant. On peut également affirmer que toutes les attaques venant d un autre réseau VLAN pourront être détectées grâce à l analyse de l IP source. Voici un tableau récapitulatif des principaux points relevés : Avantages et inconvénients + Grand nombre de règles - Peu de règles pour SIP et la VoIP préinstallées en général + Accessibilité et création aisée de - Pas d analyse stateful des nouvelles règles sessions SIP + Gestion intégrale par l interface - Pas de détection des ARP Web Spoofing Figure 11 : Evaluation de Sourcefire Pour plus de détail sur les caractéristiques complètes de Sourcefire, se reporter à l annexe C. 21 Merci à Lalaina pour cette demande. Romain Wenger

22 7 Bases de corrélation 7.1 Problématique Les reproches que l on voit régulièrement concernant les IDS sont que ces derniers créent bien trop d alertes, trop souvent secondaires ou superflues, noyant ainsi les quelques évènements importants dans la masse. Les études 22 réalisées sur ce sujet ont mené vers de nouvelles architectures de détection avec des composants dédiés spécialement à la corrélation d évènement (concentrateur d alerte dans le schéma ci-dessous). Celle-ci consiste à établir des liens entre des données venant de plusieurs sources (sondes représentant des IDS ou autres générateurs d évènements) pour en ressortir les informations essentielles. Cette méthode permet de réduire le nombre d alertes et d améliorer la qualité et la fiabilité des alertes. Figure 12 : Architecture adaptée à la corrélation d'alertes 23 C est ce type d architecture que nous retrouverons avec ExaProtect par exemple. A noter que les sondes peuvent aussi, dans une moindre mesure, faire de la corrélation. Mais la principale différence par rapport aux concentrateurs concerne le nombre de sources d informations. En effet, les sondes ne disposent que d une unique source alors que celles des concentrateurs sont multiples, ils assurent donc une meilleure analyse globale. Une sonde pourra par exemple faire de l agrégation, en groupant certaines alertes en relation directe. 22 Détection d intrusions : corrélation d alertes - Michael Rusinowitch Illustration tirée du document ci-dessus. Romain Wenger

23 7.2 Idées et orientation VoIP Le projet final devra être capable de détecter d une part des attaques répertoriées mais aussi prévenir de nouveaux types d intrusions non basées sur des signatures connues ainsi que des attaques de plus haut niveau comme le SPIT 24 par exemple. C est là qu intervient l analyse comportementale qui permet de disposer d un éventail bien plus large de détections possibles. Nous pouvons également définir cela par la corrélation explicite et implicite. La première est plus «standard», elle est basée avant tout sur des scénarios prédéfinis et généralement connus à l avance. C est une suite d évènements qui va mener à une alerte, ceux-ci pouvant provenir bien entendu de sources différentes. Les attaques VoIP répertoriées sont souvent détectables par cette méthode. La seconde est moins précise et consiste à établir des liens entre des événements qui ne sont à priori pas liés par un schéma prédéfini. Pris dans leur ensemble, ils peuvent cependant avoir une relation de type statistique, comme par exemple une fréquence inhabituelle. Cela peut donner lieu à des attaques plus ou moins rusées et faire intervenir des aspects mathématiques au problème. Le suivi et la comptabilisation des appels seront des points essentiels à traiter. Par exemple, avec le schéma classique d un appel, nous auront un message INVITE suivit de la conversation (visible peut-être uniquement par un autre IDS) et qui se termine par un message BYE. Les messages de signalisation et de données étant séparés et n empruntant pas forcément le même chemin, il est donc possible qu un seul IDS ne voit pas toutes les informations. Tout ceci pourra être définit au final comme un seul évènement qui représente «un appel». L agrégation correspond ici à l une des méthodes envisageables pour y parvenir. Ainsi, nous disposerons d informations pertinentes sur les appels tels que leur nombre, leur durée, la répartition dans la journée ou les principaux émetteurs et récepteurs réguliers. Ces données devront être mémorisées dans une base de connaissances. Il sera ensuite possible d analyser certains comportements comme des changements soudains de fréquence ou une brusque modification des destinataires appelés depuis un téléphone. Par exemple, grâce à la prise en compte des attributs temporels, dix appels effectués depuis un téléphone entre 10h et 11h n auront rien d anormal puisqu ils correspondent à l heure de la journée la plus chargée en nombre d appels. Cela n aura pas la même importance s ils sont passés entre 2h et 3h du matin lorsque le trafic téléphonique est presque nul, où une alerte pourrait alors être levée. Dans cette optique, il pourra être nécessaire de faire appel à des personnes pouvant fournir des informations générales sur les habitudes et statistiques téléphoniques des abonnés. Enfin, suivant le niveau d analyse, il pourrait y avoir des risques de confidentialité qu il ne faudrait pas négliger. 24 SPIT : SPam over Internet Telephony, les coûts d un appel étant presque nul les communications indésirables risquent d exploser. Romain Wenger

24 8 ExaProtect 8.1 Présentation ExaProtect est une entreprise française démarrée en 2001 spécialisée dans la sécurité des réseaux informatiques. Disposant de bureaux dans 7 pays dont le siège est en France à Paris et notamment aux Etats-Unis à Moutain View (Californie), la société est donc internationale. Elle annonce plus de 300 clients, dont plusieurs sociétés du «Fortune », des opérateurs de télécommunications internationaux et des organisations gouvernementales. Son produit phare qui sera utilisé dans ce projet est une application de type SIEM (Security Information and Event Management), qui permet une corrélation des informations et évènements fournis par différents composants du réseau. 8.2 Security Management Solution (SMS) Le produit, commercialisé avec une appliance, est composé d une architecture 3-tiers sous l appellation ExaProtect Security Management Solution. Voici quelques points théoriques sur ces composants suivis d un schéma résumant le fonctionnement de l application Security Management Agent (SMA) Il existe une multitude de produits, de types et de fabricants divers, pouvant faire partie d un réseau et qui participent de manière plus ou moins active à sa sécurisation tels que les firewalls, proxies, IDS Ceux-ci fournissent généralement des journaux d évènements (logs) qui disposent souvent de leur propre syntaxe voir parfois de leurs propres protocoles. Il peut être nécessaire de rassembler ces informations afin de disposer d une vue globale de la sécurité et de pouvoir lever des alertes efficaces. L agent SMA est une application permettant de récupérer les logs pour les convertir au format standard IDMEF et les envoyer de manière sécurisée par SSL au SMP. Cette application peut tourner sur plusieurs types de plateformes (Windows, Linux, Solaris...) à de multiples endroits du réseau. A noter que l IDS Sourcefire n est pas dans la liste des systèmes pris en charge, contrairement à Snort. Ce dernier étant la base de Sourcefire, la compatibilité de devrait pas être un problème. 25 Classement des 500 entreprises américaines qui réalisent le plus important chiffre d'affaires publié par le magazine «Fortune». Romain Wenger

25 8.2.2 Security Management Platform (SMP) C est le cœur du système, installé sur l appliance. Les informations collectées par les agents sont regroupées et corrélées, au besoin avec une base de connaissances, pour créer une vision en temps réel de la sécurité du réseau. Ainsi, les évènements significatifs ne sont plus perdus dans la masse d informations mais enrichis et mis en évidence pour les personnes s occupant de la sécurité. Le monitoring s effectue par interface Web avec une authentification par certificat (voir SMC). Les possibilités offertes sont intéressantes, on peut noter la présence d un module «Forensic Replay» permettant de définir des scénarios d évènements à corréler afin d améliorer la détection en temps réel ainsi qu une configuration des profiles de sécurité en fonction de l heure (jour, nuit, weekend...). Ce dernier point pourra être utile pour l analyse comportementale des appels VoIP Security Management Console (SMC) C est l interface utilisateur qui permet d une part d administrer le SMP mais surtout de pouvoir visualiser «l état» du réseau. Ainsi, il est possible rechercher, trier et filtrer des alertes, effectuer un suivi des agents ou générer des rapports personnalisés. Ces éléments seront détaillés lors du travail de diplôme. Romain Wenger

26 Figure 13 : Schéma fonctionnel d'exaprotect Illustration tirée du site Internet de la société (http://www.exaprotect.com). Romain Wenger

27 9 Suite du travail et projet de diplôme Voici enfin quelques points sur les prochaines étapes importantes qui feront suite à ce rapport lors du travail de diplôme : Après l installation du système ExaProtect, la première semaine consistera principalement à la découverte du fonctionnement du produit. Il s agira ensuite d évaluer les possibilités offertes de manière générale par celui-ci, puis établir des liens avec la VoIP. Le réseau de test sera agrandi, comprenant à priori un accès à Internet, et donc par la même occasion un firewall, ainsi qu une Gateway PSTN. Il deviendra alors nécessaire de proposer de nouvelles attaques VoIP non répertoriées qui pourraient être qualifiées de «exotiques». Cela pourra être fait en collaboration avec Marie-Thérèse Gomez-Sanchez qui s occupe plus particulièrement de la partie IDS. Ces informations restent indicatives, la planification effective du travail de diplôme se fera sur la base du futur cahier des charges. 10 Conclusion Au terme de cette première «intrusion» dans le domaine des IDS et de la sécurité VoIP, on voit que ce monde est vaste et que les méthodes de sécurisation ne sont pas évidentes, déjà dans un petit réseau avec quelques éléments. L étude de l IDS Sourcefire a montré la bonne qualité du produit, pouvant s adapter facilement à l environnement dans lequel il est placé pour détecter rapidement une foule d attaques très diverses. Il lui manque néanmoins certaines fonctions bas-niveau et surtout une intégration difficile dans un réseau VoIP qui ne va pas sans l ajout de nombreuses règles. C est pourquoi, au regard des fonctionnalités proposées et des caractéristiques communes à tout IDS, la détection d attaques VoIP de type comportementales ou basées sur différents flux (signalisation et données) ainsi que la réduction des alertes peu significatives nécessitera la prise en compte d informations provenant de divers endroits du réseau. Ces observations demanderont alors une stratégie de corrélation que pourra fournir ExaProtect. La suite de ce projet s annonce donc captivante! Romain Wenger

28 11 Références Hacking Exposed VoIP: Voice Over IP Security Secrets & Solutions - David Endler, Mark Collier - Novembre 2006 Practical VoIP Security - Thomas Porter, Andy Zmolek, Jan Kanclirz - Mars 2006 Best Practices - Sécurité VoIP-SIP - Alistair Doswald, Prof. Juergen Ehrensberger, Xavier Hahn, Prof. Stefano Ventura (HEIG-VD) Novembre 2006 Snort 2.1 Intrusion Detection, Second Edition - Stephen Northcutt Syngress Publishing, Inc Intrusion Sensor User Guide - Sourcefire, Inc SMA Installation Guide, version ExaProtect Janvier 2007 SMP Installation Guide, version ExaProtect Janvier 2007 SMC User Guide, version ExaProtect Janvier Sites Web Snort Sourcefire OpenSER Wikipedia Romain Wenger

29 12 Annexe A : Configuration de Sourcefire Cette annexe contient les opérations de configuration effectuées pour l utilisation de Sourcefire telle que décrite dans ce rapport Nouvelle policy Une nouvelle policy doit être créée dans «Policy & Response > Intrusion Sensor > Detection & Prevention». Elle est basée sur la configuration par défaut de «Intrusion Detection Sensor - Default Policy». Nous la nommerons «Vadese IDS Policy». Figure 14 : Création d'une policy dans Sourcefire A noter qu une policy ne sera active qu après avoir cliqué sur «Apply» dans la liste des policy. L opération prend environ une minute pour qu elle soit en fonction. Les points suivants s appliquent tous à cette policy en allant dans «Edit» Activation des règles Comme indiqué dans la présentation des composants de Sourcefire, la règle suivante peut être activée : 1:3467 WEB-MISC CISCO VoIP Portinformation access Elle est utile pour combler une faille de sécurité des téléphones mais reste de faible importance pour ce projet. Romain Wenger

30 12.3 Détection des portscans La détection des portscans (menu «Portscan Detection») peut se limiter dans notre cas au réseau VoIP qui est le plus sensible. Il faut donc ajouter les adresses suivantes dans le champ «Watch IP» : , , , , Configuration des variables Une bonne configuration des variables est primordiale pour l analyse correcte des évènements. Elle doit être la plus restrictive possible pour les parties du réseau dites sensibles et le plus large possible pour le reste. Nous configurons ici les variables au niveau de la policy. La variable HOME_NET correspond précisément aux adresses des éléments du VLAN VoIP (téléphones et OpenSER) et EXTERNAL_NET à tout ce qui ne fait pas partie de HOME_NET. Deux autres variables SIP_PRIXY_IP et SIP_PROXY_PORT permettent de distinguer le serveur proxy OpenSER, elles peuvent être ajoutées grâce à «Add Variable» en haut à droite de la liste des variables. Variable Valeur HOME_NET [ , , , , ] EXTERNAL_NET!$HOME_NET SIP_PROXY_IP SIP_PROXY_PORT 5060 Figure 15 : Configuration des variables dans Sourcefire Romain Wenger

31 13 Annexe B : Attaque VoIP SIP/BYE et détection Cette annexe présente, à la manière d une marche à suivre, quelques attaques dont notamment un DoS sur un appel VoIP en cours grâce à un message SIP forgé, puis une méthode de détection avec Sourcefire. Toutes les attaques sont effectuées à partir d un PC connecté au VLAN VoIP avec l adresse comme indiqué sur le schéma du réseau Portscan Cette manipulation ne fait pas partie de l attaque à proprement dite mais permet de contrôler le fonctionnement de l IDS et la levée d évènement. L idée est simplement d envoyer des messages TCP/SYN sur tous les ports d un des téléphones en utilisant Nmap 27. Si des réponses SYN/ACK viennent en retour cela indique qu il y a un service en écoute. > nmap Starting Nmap 4.20 ( ) Interesting ports on : Not shown: 1696 filtered ports PORT STATE SERVICE 23/tcp open telnet MAC Address: 00:06:28:D8:A7:0E (Cisco Systems) Nmap finished: 1 IP address (1 host up) scanned in seconds On voit que le téléphone dispose du service telnet, ce qui est normal car il permet une administration à distance. Suite à cette commande, il est alors possible de visionner la détection sur l IDS dans le menu «Analysis & Reporting > Intrusion Sensor». Après avoir mis à jour l intervalle de temps pour la visualisation, l évènement «portscan : TCP Portscan» est levé avec l adresse du téléphone attaqué. 27 Nmap est un scanner de ports open source sous licence GNU GPL distribué officiellement sur le site la version utilisée est la Romain Wenger

32 Figure 16 : Affichage des évènements par adresse de destination On remarque donc que la détection d un portscan TCP/SYN fonctionne, on trouve en plus des alertes SNMP port 705, 161 et 162. En fait, un simple SYN sur l un de ces 3 ports lève une alerte. Un autre élément important est à relever concernant les téléphones Cisco qui acceptent des demandes de connexion sur le port 23 (telnet). C est la réaction suite à cela qui est surprenante : si la connexion n abouti pas, c est-à-dire qu il n y a pas de réponse au SYN-ACK envoyé par le téléphone, celui-ci va envoyer infiniment des paquets SYN-ACK (environ un par seconde) au PC qui a initié la connexion. Il est alors nécessaire de redémarrer le téléphone pour stopper cela. Ce comportement inattendu montre un choix étonnant d implémentation du protocole 13.2 Man-in-the-middle (MITM) Description Le réseau étant organisé autour d un switch, l écoute de paquets n est pas directement possible. Il est donc nécessaire, pour mener à bien certaines attaques, d utiliser une méthode pour remédier à ceci. Une des plus connues est l attaque «Man-in-the-middle» qui permet grâce à un ARP Spoofing de faire passer tout le trafic entre deux points par la machine de l attaquant. Romain Wenger

33 Réalisation Il existe des programmes permettant de réaliser facilement cette attaque. Ettercap 28 est un bon exemple et propose de le faire à travers une interface graphique comme le montre la capture suivante de la version Windows. Figure 17 : Interface graphique d'ettercap NG Après l ouverture du programme, il faut démarrer l écoute du réseau en allant sur «Sniff > Unified sniffing» et choisir la carte réseau connectée. L étape suivante consiste à récupérer la liste des hosts du réseau à partir du menu «Hosts > Scan for hosts». On affiche la liste en allant sur «Hosts list» dans le même menu. La sélection des «Targets» peut alors être faite : comme nous voulons voir les messages entre un téléphone ( ) et le proxy SIP ( ), chacun correspondra à un target. L ajout se fait grâce aux boutons «Add to Target» au bas de la fenêtre. Finalement, après avoir contrôlé les sélections dans le menu «Targets > Current Targets», l attaque MITM peut être lancé par le menu «Mitm > Arp poisoning». Ci-dessous, une capture montre les messages ARP envoyés par le PC attaquant. 28 Ettercap est un analyseur réseau, intercepteur de trafic offrant une fonction d attaque MITM. Il est disponible sur (version 0.7.3) en licence GNU GPL. Romain Wenger

34 Figure 18 : Capture des paquets d'un ARP Spoofing L adresse MAC de l attaquant est alors envoyée successivement aux deux interlocuteurs comme étant celle correspondant à leur adresse IP respective. Cela toutes les 10 secondes environ, afin de maintenir «l effet» MITM. Ainsi, le switch sera trompé et redirigera tous les paquets à destination de l une ou l autre de ces adresses sur le PC attaquant. Ce dernier se chargera bien entendu de les rediriger ensuite aux véritables destinataires en plaçant la bonne adresse MAC de destination. Afin d éviter tout problème par la suite, il est important de désactiver l attaque lorsque celle-ci n est plus nécessaire en allant dans «Mitm > Stop mitm attack(s)». Ettercap enverra alors des messages ARP avec les adresses MAC correctes Détection Cette attaque n est pas détectée par l IDS, ce dernier ne travaillant pas au-dessous de la couche IP. Romain Wenger

35 13.3 Message SIP/BYE DoS Description Un déni de service par l envoi d un message SIP/BYE est une attaque VoIP aisément réalisable qui a pour effet de couper un appel en cours. L attaquant doit pour cela avoir accès aux messages échangés par les deux interlocuteurs Réalisation L utilisation d un analyseur de paquets tel que Wireshark 29 est nécessaire afin de détecter l établissement d un appel et ainsi récupérer ses différents paramètres. Après un MITM appliqué entre un des téléphones (ici Bob, ) et le proxy SIP ( ) il est possible de voir l appel. C est Alice qui va l initier. Figure 19 : Capture des paquets de l établissement d'un appel SIP 29 Wireshark (anciennement Ethereal) est un sniffer et analyseur de protocole sous licence GNU GPL disponible sur (version ). Romain Wenger

36 C est dès cet instant que peut être généré le message SIP/BYE. Le programme utilisé est SIPNess Messenger 30, lequel se compose d une simple interface comportant les champs à remplir. Figure 20 : Interface de l'application SIPNess Messenger Les différents champs à remplir sont les suivants : Champ Message Type UserName Description Type de message SIP, ici ce sera BYE Utilisateur enregistré sur le proxy SIP à qui est destiné le message, c est un message pour Bob 30 SIPNess Messenger est un générateur de messages SIP, freeware distribué par Ortena Networks Ltd. (http://www.ortena.com, version 1.06). Romain Wenger

37 Domain Adresse du proxy SIP, To From Via Call-ID Le destinataire avec le paramètre «tag», c est une copie du champ du message capturé L émetteur avec le paramètre «tag», c est une copie du champ du message capturé Chemin de la requête (pour éviter les boucles), ce champ est rempli automatiquement L identification de l appel, à copier du message capturé Cseq Numéro de séquence, celui-ci doit être incrémenté de 1 par rapport à celui du message capturé Enfin, si tout est correct, un simple clic sur envoyer coupe instantanément l appel Détection Dans sa configuration de base, l IDS ne lève pas d alerte. Il est cependant possible de créer une règle permettant de détecter cette attaque. Une méthode réalisable serait de filtrer les messages SIP ne provenant pas du HOME_NET 31 et dont le destinataire est le proxy SIP (adresse VoIP). Pour plus de précision, la règle contrôle aussi que le mot BYE se trouve dans le paquet. Pour éditer une nouvelle règle, il faut passer par le menu «Policy & Response > Rules > Create Rule». 31 Variable configurée pour la policy contenant uniquement les adresses des téléphones, du proxy SIP, du Registrar et du Service de localisation. Soit , , , et Romain Wenger

38 Figure 21 : Création d'une règle Sourcefire Les champs suivants doivent être remplis ainsi : Champ Message Classification Source IPs Source Port Destination IPs Destination Port SIP BYE DoS Denial of Service $EXTERNAL_NET any $SIP_PROXY_IP $SIP_PROXY_PORT Valeur Sous «Detection Options» on ajoute l option «content» où l on indique que le message doit contenir le mot «BYE». Enfin, il reste à activer cette règle au niveau de la policy en la cochant sous la catégorie «Local». Sans oublier d effectuer ensuite un «Apply» de la policy afin de prendre en compte la modification. Cela peut prendre 1 à 2 minutes pour s exécuter. Romain Wenger

39 Lorsque l attaque est réitérée, une alerte est maintenant levée par l IDS. La figure suivante montre le détail de l évènement. Figure 22 : Affichage des détails d'un évènement détecté par Sourcefire Les informations données sont complètes et précises, ainsi on peut voir le payload 32 du message avec lequel on remarque que ce message venant de cette adresse IP n était pas légitime. Nous terminerons par cette remarque : quelques secondes après cette attaque, lorsque le deuxième téléphone raccroche, une nouvelle alerte est levée concernant un portscan UDP venant de ce téléphone sur celui qui a reçu le BYE. Ce dernier ne répondant bien entendu pas aux messages BYE légitimement émis, ceux-ci sont répétés plusieurs fois jusqu à dépasser la limite définie pour le portscan. Cette observation est un bon exemple d une alerte levée qui n a que peu d importance et qui pourrait être mal interprétée. L amélioration de ceci sera l une des tâches du futur corrélateur d évènement. 32 Payload : charge utile, ici le contenu du paquet. Romain Wenger

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

http://manageengine.adventnet.com/products/opmanager/download.html?free

http://manageengine.adventnet.com/products/opmanager/download.html?free Introduction Opmanager est un outil de supervision des équipements réseau. Il supporte SNMP, WMI et des scripts ssh ou Telnet pour récupérer des informations sur les machines. Toutefois les machines doivent

Plus en détail

* Un flux TCP/UDP est une communication (plusieurs sessions TCP ou UDP) entre deux machines IP pendant un intervalle de

* Un flux TCP/UDP est une communication (plusieurs sessions TCP ou UDP) entre deux machines IP pendant un intervalle de Plateforme de Surveillance réseau et sécurité Solution SecurActive NSS SecurActive NSS est une plateforme de surveillance réseau et sécurité basée sur un moteur d analyse innovant. SecurActive NSS capture

Plus en détail

INTRUSION SUR INTERNET

INTRUSION SUR INTERNET INTRUSION SUR INTERNET Filière Télécommunication Laboratoire de Transmission de Données Diplômant : Marfil Miguel Professeur : Gérald Litzistorf En collaboration : Banque Pictet, Lanrent Dutheil e-xpert

Plus en détail

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1 Formation A2IMP Acquisition d information sur les autres Frédéric Bongat IPSL Formation A2IMP 1 Idée : corréler des informations via d autres Informations de base Connaître l horodatage (date, heure) des

Plus en détail

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ)

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Objectifs Se connecter au périphérique multi-fonction et afficher les paramètres de sécurité

Plus en détail

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual RESEAUX TCP/IP: NOTIONS AVANCEES Preparé par Alberto EscuderoPascual Objectifs... Répondre aux questions: Quelles aspects des réseaux IP peut affecter les performances d un réseau Wi Fi? Quelles sont les

Plus en détail

SecurActive NSS-500. Plateforme de Surveillance réseau et sécurité

SecurActive NSS-500. Plateforme de Surveillance réseau et sécurité Plateforme de Surveillance réseau et sécurité Solution SecurActive NSS SecurActive NSS est une plateforme de surveillance réseau et sécurité basée sur un moteur d analyse innovant. SecurActive NSS capture

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

Configuration firewall. Cette fiche explique la configuration du firewall intégré à NetXServ. Version 2.0. Date 28/12/2011 Validation

Configuration firewall. Cette fiche explique la configuration du firewall intégré à NetXServ. Version 2.0. Date 28/12/2011 Validation Diffusion : Libre Restreinte Interne Configuration firewall Cette fiche explique la configuration du firewall intégré à NetXServ Version 2.0 Auteur JP MAJ DD Date 28/12/2011 Validation RESIX - 10, rue

Plus en détail

Comment optimiser ses moyens de métrologie?

Comment optimiser ses moyens de métrologie? Comment optimiser ses moyens de métrologie? Agenda Les enjeux autour de l optimisation Les méthodes d optimisation pour la métrologie Illustration sur un SPAN agrégateur filtrant NTO ANUE 3 Service Technique

Plus en détail

ManageEngine OpUtils 3. Vue d ensemble du produit

ManageEngine OpUtils 3. Vue d ensemble du produit ManageEngine OpUtils 3 Vue d ensemble du produit Agenda Vision général du produit Fonctions clés Les outils dans OpUtils Q & A Synthèse Vue du produit OpUtils est un outil de diagnostique du système et

Plus en détail

Profil des participants Le cours CCNA Exploration s adresse aux participants du programme Cisco

Profil des participants Le cours CCNA Exploration s adresse aux participants du programme Cisco Présentation et portée du cours : CNA Exploration v4.0 Networking Academy Profil des participants Le cours CCNA Exploration s adresse aux participants du programme Cisco diplômés en ingénierie, mathématiques

Plus en détail

La sécurité des Réseaux Partie 6.1 Les pare-feus

La sécurité des Réseaux Partie 6.1 Les pare-feus La sécurité des Réseaux Partie 6.1 Les pare-feus Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références F. Ia et O. Menager, Optimiser et sécuriser son trafic

Plus en détail

SECURIDAY 2013 Cyber War

SECURIDAY 2013 Cyber War Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Formateurs: 1. Trabelsi NAJET

Plus en détail

Internet. PC / Réseau

Internet. PC / Réseau Internet PC / Réseau Objectif Cette présentation reprend les notions de base : Objectif, environnement de l Internet Connexion, fournisseurs d accès Services Web, consultation, protocoles Modèle en couches,

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 54 Audit et Sécurité Informatique Chap 1: Services, Mécanismes et attaques de sécurité Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2

Plus en détail

Tutoriel sur Retina Network Security Scanner

Tutoriel sur Retina Network Security Scanner Département de Mathématiques Informatique Master 2 RIP filière «Réseaux» Cours «Sécurité des réseaux et des contenus multimédia» Responsable du module : Mr Osman SALEM Tutoriel sur Retina Network Security

Plus en détail

VoIP ( H323,SIP) et sécurits. curité. Kamel HJAIEJ SUP COM

VoIP ( H323,SIP) et sécurits. curité. Kamel HJAIEJ SUP COM VoIP ( H323,SIP) et sécurits curité Kamel HJAIEJ SUP COM Sommaire Introduction Bilan de le voip Principaux risques Technologies et risques Eléments de sécurité Exemples d attaques - solutions Conclusion

Plus en détail

DATASET / NETREPORT, propose une offre complète de solutions dans les domaines suivants:

DATASET / NETREPORT, propose une offre complète de solutions dans les domaines suivants: Présentation Société DATASET / NETREPORT, propose une offre complète de solutions dans les domaines suivants: Outils d aide à la décision Gamme DATASET Solutions de gestion temps réel du système d information

Plus en détail

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir. Mise à jour: Mars 2012 Objectif du module Réseaux Informatiques [Archi/Lycée] http://fr.wikipedia.org/ Nicolas Bredèche Maître de Conférences Université Paris-Sud bredeche@lri.fr Acquérir un... Ressources

Plus en détail

FORMATION CN01b CITRIX NETSCALER - IMPLÉMENTATION POUR LES SOLUTIONS XENDESKTOP OU XENAPP

FORMATION CN01b CITRIX NETSCALER - IMPLÉMENTATION POUR LES SOLUTIONS XENDESKTOP OU XENAPP FORMATION CN01b CITRIX NETSCALER - IMPLÉMENTATION POUR LES SOLUTIONS XENDESKTOP OU XENAPP Contenu de la formation CN01B CITRIX NETSCALER IMPLEMENT. POUR LES SOLUTIONS XENDESKTOP/XENAPP Page 1 sur 7 I.

Plus en détail

Cours CCNA 1. Exercices

Cours CCNA 1. Exercices Cours CCNA 1 TD3 Exercices Exercice 1 Enumérez les sept étapes du processus consistant à convertir les communications de l utilisateur en données. 1. L utilisateur entre les données via une interface matérielle.

Plus en détail

L audit de sécurité des réseaux Windows avec WinReporter

L audit de sécurité des réseaux Windows avec WinReporter White Paper L audit de sécurité des réseaux Windows avec WinReporter Ce document présente comment les administrateurs réseaux et système peuvent tirer le meilleur parti de WinReporter, édité par IS Decisions,

Plus en détail

Travaux Pratiques. Octobre 2015 CESI

Travaux Pratiques. Octobre 2015 CESI Travaux Pratiques Octobre 2015 CESI 1. Adressage dans Internet 1.1 Identification d une machine Une machine (appelée aussi hôte ou host) est identifiée dans l Internet par son adresse. L adresse Internet

Plus en détail

Sécurité informatique : Sécurité dans un monde en réseau. Explosion des connexions à internet 2. ... Mais c est pas tout! 3

Sécurité informatique : Sécurité dans un monde en réseau. Explosion des connexions à internet 2. ... Mais c est pas tout! 3 Sécurité informatique : Matthieu Amiguet 2006 2007 Explosion des réseaux Explosion des connexions à internet 2 En 1990, environ 320 000 hôtes étaient connectées à internet Actuellement, le chiffre a dépassé

Plus en détail

Travaux pratiques 8.5.2 : configuration des listes de contrôle d accès et enregistrement de l activité dans un serveur Syslog

Travaux pratiques 8.5.2 : configuration des listes de contrôle d accès et enregistrement de l activité dans un serveur Syslog Travaux pratiques 8.5.2 : configuration des listes de contrôle d accès et enregistrement de l activité dans un serveur Syslog Nom de l hôte Adresse IP Fast Ethernet 0/0 Adresse IP Serial 0/0/0 Routeur

Plus en détail

Profil de protection d un pare-feu industriel

Profil de protection d un pare-feu industriel Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

Man In The Middle. (MITM ou TCP hijacking)

Man In The Middle. (MITM ou TCP hijacking) Man In The Middle (MITM ou TCP hijacking) Ce type d attaque, traduit en français par «l homme du milieu» est plus facile à comprendre qu on ne le pense. Cette attaque fait intervenir 3 ordinateurs. Un

Plus en détail

Sécurisation du réseau

Sécurisation du réseau Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités

Plus en détail

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique Fiche Technique Cisco Secure Access Control Server Solution Engine Cisco Secure Access Control Server (ACS) est une solution réseau d identification complète qui offre à l utilisateur une expérience sécurisée

Plus en détail

Configuration d'un trunk SIP OpenIP sur un IPBX ShoreTel

Configuration d'un trunk SIP OpenIP sur un IPBX ShoreTel Configuration d'un trunk SIP OpenIP sur un IPBX ShoreTel Note d application Produit : ShoreTel SIP Trunks OpenIP Version système: 14.2 Version système : 14.2 ShoreTel & SIP trunk OpenIP 1 ShoreTel & SIP

Plus en détail

CENTRE DE RESSOURCES INFORMATIQUES IFMA -------

CENTRE DE RESSOURCES INFORMATIQUES IFMA ------- CENTRE DE RESSOURCES INFORMATIQUES IFMA ------- CONSULTATION POUR DEMANDE DE DEVIS CAHIER DES CHARGES RELATIF AU CHANGEMENT DU FIREWALL DE L IFMA --------------- Date limite d envoi de l'offre : 3 septembre

Plus en détail

Les pare-feux : concepts

Les pare-feux : concepts Les pare-feux : concepts Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (2) 15 mai 2005 Diapositive N 1 /19 C'est quoi

Plus en détail

Configuration du driver SIP dans ALERT. V2

Configuration du driver SIP dans ALERT. V2 Micromedia International Etude technique Configuration d Alert pour SIP Auteur : Pierre Chevrier Société : Micromedia International Date : 26/08/2013 Nombre de pages : 19 Configuration du driver SIP dans

Plus en détail

SIEMENS LX / Cloud OpenIP

SIEMENS LX / Cloud OpenIP Sommaire Sommaire... 2 Pré requis / capacités... 3 Techniques... 3 Versions... 3 Mise en place de la solution SIEMENS LX virtualisée...4 Avec l offre Concentrateur MPLS...4 Avec l offre Concentrateur VPN

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

Manuel du Desktop Sharing

Manuel du Desktop Sharing Brad Hards Traduction française : Ludovic Grossard Traduction française : Damien Raude-Morvan Traduction française : Joseph Richard 2 Table des matières 1 Introduction 5 2 Le protocole de mémoire de trame

Plus en détail

Le filtrage de niveau IP

Le filtrage de niveau IP 2ème année 2008-2009 Le filtrage de niveau IP Novembre 2008 Objectifs Filtrage : Le filtrage permet de choisir un comportement à adopter vis à vis des différents paquets émis ou reçus par une station.

Plus en détail

WIFI sécurisé en entreprise (sur un Active Directory 2008)

WIFI sécurisé en entreprise (sur un Active Directory 2008) Cette œuvre est mise à disposition selon les termes de la Licence Creative Commons Paternité - Pas d'utilisation Commerciale 3.0 non transposé. Le document est librement diffusable dans le contexte de

Plus en détail

SUPERVISION. Centreon 5.9

SUPERVISION. Centreon 5.9 SUPERVISION Centreon 5.9 Steven DELAPRUNE BTS SIO 11/03/2015 Sommaire CAHIER DES CHARGES... 3 INTRODUCTION... 3 PRINCIPES GENERAUX... 3 Définition... 3 Problématique... 3 Description du besoin... 3 Solution...

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Manuel d utilisation v1.0

Manuel d utilisation v1.0 Link Gate SIP (Firmware version 1.20) Manuel d utilisation v1.0 Sommaire Paramètres techniques & fonctionnalités... page 3 1. Choix du mode de fonctionnement (P2P ou SIP Serveur)... page 3 2. Mise en place...

Plus en détail

Labo 1 - CUCME - Appels simples

Labo 1 - CUCME - Appels simples Labo 1 - CUCME - Appels simples 2009 HEIG-VD, IICT Auteurs : Richard Houlmann, Juergen Ehrensberger Version 1.0, Avril 2009 Objectifs du laboratoire Ce laboratoire est le deuxième d une suite de manipulations

Plus en détail

Sécurité Informatique. WIFI sécurisé en entreprise (sur un active directory 2003) 0 - Théories et principes divers sélectionnés.

Sécurité Informatique. WIFI sécurisé en entreprise (sur un active directory 2003) 0 - Théories et principes divers sélectionnés. Avertissements : Le contenu de ce document est sous licence GPL. Le document est librement diffusable dans le contexte de cette licence. Toute modification est encouragée et doit être signalée à olivier

Plus en détail

Documentation télémaintenance

Documentation télémaintenance Documentation télémaintenance Table des matières Introduction... 2 Interface web du technicien... 2 Connexion à l interface... 2 Mon compte... 3 Configuration... 4 1. Jumpoint... 4 2. Jump clients... 4

Plus en détail

Programme formation pfsense Mars 2011 Cript Bretagne

Programme formation pfsense Mars 2011 Cript Bretagne Programme formation pfsense Mars 2011 Cript Bretagne I.Introduction : les réseaux IP...2 1.A.Contenu pédagogique...2 1.B....2 1.C...2 1.D....2 II.Premiers pas avec pfsense...2 2.A.Contenu pédagogique...2

Plus en détail

SIP. Sommaire. Internet Multimédia

SIP. Sommaire. Internet Multimédia Internet Multimédia Le Protocole SIP 2011 André Aoun - Internet Multimédia SIP - 1 Sommaire 1. Présentation 2. Entités SIP 3. Méthodes et réponses 4. User Agent 5. Registrar 6. Proxy 7. Redirect Server

Plus en détail

Introduction de la Voix sur IP

Introduction de la Voix sur IP Voix sur IP (VoIP) Introduction de la Voix sur IP La Voix sur IP, aussi connue sous le nom de téléphonie Internet, est une technologie qui vous permet de téléphoner via un réseau d ordinateurs basé sur

Plus en détail

Administration et sécurité des réseaux M&K ELHDHILI

Administration et sécurité des réseaux M&K ELHDHILI Administration et sécurité des réseaux 1 Plan du cours Chapitre 1: Introduction à l administration des réseaux Domaines d activités Organisation logique (criètères, types de décisions ) Architectures et

Plus en détail

Contrôle Réseau Internet et services Documents papier et calculatrice autorisés 2h00

Contrôle Réseau Internet et services Documents papier et calculatrice autorisés 2h00 Contrôle Réseau Internet et services Documents papier et calculatrice autorisés 2h00 NOM : Nombre total de points : 56,5 points. Note finale = nb points acquis*20/ Les parties sont indépendantes. Dans

Plus en détail

Travaux pratiques 2.6.2 : Utilisation de Wireshark pour afficher des unités de données de protocole

Travaux pratiques 2.6.2 : Utilisation de Wireshark pour afficher des unités de données de protocole pour afficher des unités de données de protocole Objectifs pédagogiques Expliquer l objectif d un analyseur de protocoles (Wireshark) Exécuter une capture de base des unités de données de protocole (PDU)

Plus en détail

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité VoIP : Introduction à la sécurité 1 Sommaire Principes de base de la VoIP Introduction à la sécurité de la VoIP Vulnérabilités et mécanismes de protection Points durs 2 Définitions Concept de convergence

Plus en détail

ECOLE POLYTECHNIQUE DSI. Utilisation des serveurs mandataires («proxy») avec les protocoles d usage courant

ECOLE POLYTECHNIQUE DSI. Utilisation des serveurs mandataires («proxy») avec les protocoles d usage courant ECOLE POLYTECHNIQUE DSI Utilisation des serveurs mandataires («proxy») avec les protocoles d usage courant V2.1 Michel CHABANNE EP/DSI Février 2010 Table des matières A. Navigateurs web, clients HTTP...

Plus en détail

Test d un système de détection d intrusions réseaux (NIDS)

Test d un système de détection d intrusions réseaux (NIDS) Test d un système de détection d intrusions réseaux (NIDS) La solution NETRANGER CISCO SECURE IDS Par l Université de Tours Thierry Henocque Patrice Garnier Environnement du Produit 2 éléments Le produit

Plus en détail

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server Machine virtuelle Machine virtuelle Machine virtuelle VMware ESX 3 Network Shutdown Module Network

Plus en détail

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration Pierre-Alexandre FUHRMANN Vice-President Global R&D 25 Avril

Plus en détail

THE SPEEDTOUCH AND UNIVERSAL PLUG N PLAY De Gert Marynissen - Thomson Multimedia

THE SPEEDTOUCH AND UNIVERSAL PLUG N PLAY De Gert Marynissen - Thomson Multimedia THE SPEEDTOUCH AND UNIVERSAL PLUG N PLAY De Gert Marynissen - Thomson Multimedia La technique en arrière plan : UPnP utilise principalement des techniques éprouvées ainsi que des standards connus : TCP/IP,

Plus en détail

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion Atelier IDS Snort Outil de Détection d intrusion Introduction Les systèmes de détection d intrusion ou IDS pour (Intrusion Detection System) sont indispensables pour la sécurité du réseau, ils permettent

Plus en détail

Cisco Certified Network Associate

Cisco Certified Network Associate Cisco Certified Network Associate Version 4 Notions de base sur les réseaux Chapitre 3 01 Quel protocole de la couche application sert couramment à prendre en charge les transferts de fichiers entre un

Plus en détail

PROJET TRIBOX-2012-A

PROJET TRIBOX-2012-A PROJET TRIBOX-2012-A Auteur : Groupe Tutoriel d'installation et de configuration de Trixbox Membres du projet: GUITTON Jordan MORELLE Romain SECK Mbaye Gueye Responsable de la formation: MOTAMED Cina Client:

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49 Filtrage dynamique Linux noyau >= 2.4 netfilter : Iptables Cisco propose les CBAC (IOS Firewall) *BSD avec IPFilter Packet filter Beaucoup de Pare Feu utilise du filtrage dynamique Principe Fonctionnement

Plus en détail

Cisco CCVP. Configuration de CUCM

Cisco CCVP. Configuration de CUCM Cisco CCVP Configuration de CUCM Contenu Eléments de configuration et ajout de téléphones Auto enregistrement BAT et TAPS Ajout manuel des téléphones Paramètres de configuration des téléphones Cisco CCVP

Plus en détail

Guide de démarrage rapide de WinReporter

Guide de démarrage rapide de WinReporter Guide de démarrage rapide de WinReporter Pour plus d information à propos de WinReporter, vous pouvez contacter IS Decisions à : Tél : +33 (0)5.59.41.42.20 (Heure française : GMT +1) Fax : +33 (0)5.59.41.42.21

Plus en détail

20 92100 : 33 (0) 1 41 22 10 00 : 33 (0) 1 41 22 10 01 : : FR00722063534

20 92100 : 33 (0) 1 41 22 10 00 : 33 (0) 1 41 22 10 01 : : FR00722063534 Présentation du ELEXO 20 Rue de Billancourt 92100 Boulogne-Billancourt Téléphone : 33 (0) 1 41 22 10 00 Télécopie : 33 (0) 1 41 22 10 01 Courriel : info@elexo.fr TVA : FR00722063534 But du Director Améliorer

Plus en détail

Business Central Wireless Manager

Business Central Wireless Manager Business Central Wireless Manager Guide de présentation Sommaire CATÉGORIE DE PRODUIT... 3 PRÉSENTATION... 3 PRÉSENTATION DE BUSINESS CENTRAL... 3 FONCTIONNALITÉS ET ATOUTS... 4 POINTS D ACCÈS WIFI PRIS

Plus en détail

change de peau! Club Utilisateurs Qual IT 10 Octobre 2013

change de peau! Club Utilisateurs Qual IT 10 Octobre 2013 change de peau! Agenda Pourquoi ces évolutions? La logique d évolution Présentation de la version 5.0 Nouvelles fonctionnalités, démonstration Roadmap Les évolutions prévues en 2014 et échange Clients,

Plus en détail

Installation de SharePoint Foundation 2013 sur Windows 2012

Installation de SharePoint Foundation 2013 sur Windows 2012 Installation de SharePoint Foundation 2013 sur Windows 2012 SharePoint 2013 est maintenant disponible et peut de ce fait être installé sur des environnements de production. De plus Windows 2012 est devenu

Plus en détail

Procédure d installation de la solution Central WiFI Manager CWM

Procédure d installation de la solution Central WiFI Manager CWM Procédure d installation de la solution Central WiFI Manager CWM Introduction : Central WiFi Manager est une solution serveur basée sur une interface web permettant la gestion centralisée de points d accès

Plus en détail

GENERALITES. COURS TCP/IP Niveau 1

GENERALITES. COURS TCP/IP Niveau 1 GENERALITES TCP/IP est un protocole inventé par les créateurs d Unix. (Transfer Control Protocol / Internet Protocole). TCP/IP est basé sur le repérage de chaque ordinateur par une adresse appelée adresse

Plus en détail

Tableau de bord Commerçant

Tableau de bord Commerçant Paiement sécurisé sur Internet Paiement sécurisé sur Internet Tableau de bord Commerçant Paiement sécurisé sur Internet Paiement sécurisé sur Internet au de bord Commerçant au de bord Commerçant au de

Plus en détail

Guide Utilisateur Rapide

Guide Utilisateur Rapide Guide Utilisateur Rapide Interface Graphique Opios (Version 1) Auteurs : Hozzy TCHIBINDA 11 Avril 2013 Version 1.0 www.openip.fr Table des matières 1 Présentation 2 1.1 Présentation de l Opios....................................

Plus en détail

La VoIP: Les protocoles SIP, SCCP et H323. Jonathan BRIFFAUT Alexandre MARTIN

La VoIP: Les protocoles SIP, SCCP et H323. Jonathan BRIFFAUT Alexandre MARTIN La VoIP: Les protocoles SIP, SCCP et H323 Jonathan BRIFFAUT Alexandre MARTIN Plan Rappel VOIP SIP H323 SCCP 2 Rappel Bref sur la VOIP Voix sur IP (1996) Le transport sur IP est moins cher que le RTC La

Plus en détail

Avira Professional Security Migrer vers Avira Professional Security version 2013. HowTo

Avira Professional Security Migrer vers Avira Professional Security version 2013. HowTo Avira Professional Security Migrer vers Avira Professional Security version 2013 HowTo Sommaire 1. Introduction...3 2. Migration via la console de gestion Avira (AMC)...3 3. Mise à jour manuelle d Avira

Plus en détail

Topologies et Outils d Alertesd

Topologies et Outils d Alertesd Topologies et Outils d Alertesd IDS / IDP DEFINITIONS IDS : SDI / Système de détection d intrusion IDP : SPI / Système de protection d intrusion IDS / IDP Statfull matriciels ACTIVITE IDP : Coupe circuit

Plus en détail

Travaux pratiques - Utilisation de Wireshark pour voir le trafic réseau

Travaux pratiques - Utilisation de Wireshark pour voir le trafic réseau Travaux pratiques - Utilisation de Wireshark pour voir le trafic réseau Topologie Objectifs 1ère partie : Télécharger et installer Wireshark (facultatif) 2e partie : Capturer et analyser les données ICMP

Plus en détail

Guide d Utilisation Cable Modem DOCSIS

Guide d Utilisation Cable Modem DOCSIS Guide d Utilisation Cable Modem DOCSIS Sommaire 1. L interface du Cable Modem 3 1.1. Onglet Etat 4 Partie Logiciel 4 Partie Connexion 4 Partie Mot de Passe 6 Partie Diagnostics 6 Partie Evènement 7 Partie

Plus en détail

Administration de Citrix NetScaler 10.5 CNS-205-1I

Administration de Citrix NetScaler 10.5 CNS-205-1I Administration de Citrix NScaler 10.5 CNS-205-1I MIEL Centre Agréé : N 11 91 03 54 591 Pour contacter le service formation : 01 60 19 16 27 Pour consulter le planning des formations : www.miel.fr/formation

Plus en détail

Travaux pratiques 9.1.1 Organisation des objectifs CCENT par couche du modèle OSI

Travaux pratiques 9.1.1 Organisation des objectifs CCENT par couche du modèle OSI Travaux pratiques 9.1.1 Organisation des objectifs CCENT par couche du modèle OSI Objectifs Organiser les objectifs CCENT en fonction de la ou des couches auxquelles ils s adressent Contexte / Préparation

Plus en détail

PACK SKeeper. Descriptif du Pack SKeeper : Equipements

PACK SKeeper. Descriptif du Pack SKeeper : Equipements PACK SKeeper Destinée aux entreprises et aux organisations de taille moyenne ( 50 à 500 users ) fortement utilisatrices des technologies de l'information (messagerie, site web, Intranet, Extranet,...)

Plus en détail

IMS INTERNET. Paramétrage de l offre Gateway Nortel Contivity. Edition : Référence : DRS/DTS/DCRT/CID/04 080

IMS INTERNET. Paramétrage de l offre Gateway Nortel Contivity. Edition : Référence : DRS/DTS/DCRT/CID/04 080 IMS INTERNET Paramétrage de l offre Gateway Nortel Contivity Edition : Référence : DRS/DTS/DCRT/CID/04 080 SOMMAIRE 1. Introduction 3 1.1 OBJECTIFS DU DOCUMENT 3 1.2 VERSIONS INSTALLÉES 3 2. Connectique

Plus en détail

Cible de sécurité CSPN

Cible de sécurité CSPN Cible de sécurité CSPN Dropbear 2012.55 Ref 12-06-037-CSPN-cible-dropbear Version 1.0 Date June 01, 2012 Quarkslab SARL 71 73 avenue des Ternes 75017 Paris France Table des matières 1 Identification 3

Plus en détail

Travaux pratiques 8.3.2 Capture d un réseau à l aide de Wireshark

Travaux pratiques 8.3.2 Capture d un réseau à l aide de Wireshark Travaux pratiques 8.3.2 Capture d un réseau à l aide de Wireshark Objectifs Réaliser la capture du trafic d un réseau à l aide de Wireshark pour se familiariser avec l interface et l environnement Wireshark

Plus en détail

Travail de Fin d Etudes

Travail de Fin d Etudes 4ème Informatique 27 juin 2005 Travail de Fin d Etudes Supervision Centralisée d Infrastructures Distantes en Réseaux avec Gestion des Alarmes et Notification des Alertes TFE réalisé au sein de la société

Plus en détail

FORMATION CN01a CITRIX NETSCALER

FORMATION CN01a CITRIX NETSCALER FORMATION CN01a CITRIX NETSCALER Contenu de la formation CN01a CITRIX NETSCALER Page 1 sur 6 I. Généralités 1. Objectifs de cours Installation, configuration et administration des appliances réseaux NetScaler

Plus en détail

Retour d expérience sur Prelude

Retour d expérience sur Prelude Retour d expérience sur Prelude OSSIR Paris / Mathieu Mauger Consultant Sécurité (Mathieu.Mauger@intrinsec.com) Guillaume Lopes Consultant Sécurité (Guillaume.Lopes@Intrinsec.com) @Intrinsec_Secu 1 Plan

Plus en détail

Documentation XiVO Communautaire : Première configuration d une borne Snom M700 + Poste DECT M65. Table des matières

Documentation XiVO Communautaire : Première configuration d une borne Snom M700 + Poste DECT M65. Table des matières Documentation XiVO Communautaire : Première configuration d une borne Snom M700 + Poste DECT M65 Table des matières I. Configuration dans XiVO... 2-3 II. Configuration de la Borne... 4-8 a) Configuration

Plus en détail

UserLock Quoi de neuf dans UserLock? Version 8.5

UserLock Quoi de neuf dans UserLock? Version 8.5 UserLock Quoi de neuf dans UserLock? Version 8.5 Table des Matières 1. UserLock Version 8... 3 1.1. Le Statut utilisateur, un nouvel indicateur de risque... 3 1.2. Des alertes en temps réel contre les

Plus en détail

Devoir Surveillé de Sécurité des Réseaux

Devoir Surveillé de Sécurité des Réseaux Année scolaire 2008-2009 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Autorisés Note : Ce sujet comporte deux parties. La partie A est une étude

Plus en détail

Atelier Sécurité / OSSIR

Atelier Sécurité / OSSIR Atelier Sécurité / OSSIR Présentation Produits eeye SecureIIS Retina elorrain@eeye.com & broussel@eeye.com Sommaire Page 2 Qui sommes nous? SecureIIS Protection Web Retina Scanner de Sécurité Questions

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications Tunnels et VPN 20/02/2008 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement

Plus en détail

MANUEL D INSTALLATION D UN PROXY

MANUEL D INSTALLATION D UN PROXY MANUEL D INSTALLATION D UN PROXY Squid, SquidGuard, Dansguardian Dans ce guide on va détailler l installation et la configuration d une solution proxy antivirale en utilisant les outils ; squid, dansguardian,

Plus en détail

ManageEngine VQManager connaître la qualité de la voix

ManageEngine VQManager connaître la qualité de la voix ManageEngine VQManager connaître la qualité de la voix Le besoin pour la surveillance de la VoIP Qualité réseau retard, perte de paquets, jitter affecte directement la qualité de la voix. VoIP utilise

Plus en détail

switchport access vlan 20

switchport access vlan 20 Chapitre 3 examen Quelles affirmations décrivent les avantages des VLAN? (Choisissez deux réponses.) Les VLAN améliorent les performances du réseau en régulant le contrôle du flux et la taille de la fenêtre.

Plus en détail

ENRICHIR LES DONNEES DE DETAILS ACCEDEES A TRAVERS UN RAPPORT OLAP

ENRICHIR LES DONNEES DE DETAILS ACCEDEES A TRAVERS UN RAPPORT OLAP ENRICHIR LES DONNEES DE DETAILS ACCEDEES A TRAVERS UN RAPPORT OLAP SAS Web Report Studio offre depuis de nombreuses versions la possibilité de visualiser les observations spécifiques à partir des données

Plus en détail