Détection d intrusions VoIP avec Sourcefire. et introduction à ExaProtect

Dimension: px
Commencer à balayer dès la page:

Download "Détection d intrusions VoIP avec Sourcefire. et introduction à ExaProtect"

Transcription

1 Pré-projet de diplôme 2007 Détection d intrusions VoIP avec Sourcefire et introduction à ExaProtect Romain Wenger TR2007 Professeur : Stefano Ventura Expert : Sylvain Maret Assistante : Lalaina Kuhn Date : 29 juin 2007

2 Table des matières 1 Synthèse Introduction Objectifs du projet Réseau de test OpenSER Présentation Logs Sourcefire Présentation Composants Policies Rules Preprocessors Portscan Detection Variables Alerting Affichage des évènements Tests Méthode Résultats Problématique VoIP Stateful inspection Autres protocoles VoIP Evaluation Bases de corrélation Problématique Idées et orientation VoIP ExaProtect Présentation Security Management Solution (SMS) Security Management Agent (SMA) Security Management Platform (SMP) Security Management Console (SMC)...25 Romain Wenger

3 9 Suite du travail et projet de diplôme Conclusion Références Sites Web Annexe A : Configuration de Sourcefire Nouvelle policy Activation des règles Détection des portscans Configuration des variables Annexe B : Attaque VoIP SIP/BYE et détection Portscan Man-in-the-middle (MITM) Description Réalisation Détection Message SIP/BYE DoS Description Réalisation Détection Annexe C : Tableau des caractéristiques de Sourcefire Romain Wenger

4 Table des figures Figure 1 : Schéma du réseau de test... 7 Figure 2 : Plan d adressage du réseau... 8 Figure 3 : Affichage de la liste des policies Figure 4 : Edition d'une policy Figure 5 : Affichage de l état d'activation des règles pour une policy Figure 6 : Schéma de fonctionnement de Sourcefire Figure 7 : Stream4 et Stateful Inspection Figure 8 : Détection des portscans Figure 9 : Liste des variables d'une policy Figure 10 : Configuration des alertes pour une policy Figure 11 : Evaluation de Sourcefire Figure 12 : Architecture adaptée à la corrélation d'alertes Figure 13 : Schéma fonctionnel d'exaprotect Figure 14 : Création d'une policy dans Sourcefire Figure 15 : Configuration des variables dans Sourcefire Figure 16 : Affichage des évènements par adresse de destination Figure 17 : Interface graphique d'ettercap NG Figure 18 : Capture des paquets d'un ARP Spoofing Figure 19 : Capture des paquets de l établissement d'un appel SIP Figure 20 : Interface de l'application SIPNess Messenger Figure 21 : Création d'une règle Sourcefire Figure 22 : Affichage des détails d'un évènement détecté par Sourcefire Romain Wenger

5 1 Synthèse Ce rapport présente le travail effectué lors du pré-projet de diplôme, en préparation au prochain travail de diplôme sur la corrélation d évènements avec ExaProtect. Après avoir mis en place le réseau de test VoIP composé de téléphones, d un serveur SIP OpenSER et d un IDS Sourcefire, les différentes fonctionnalités et composants de celui-ci seront présentés, également dans un point de vue VoIP. Puis, quelques attaques vont être menées afin de déterminer les capacités de détection de l IDS. Ceci conduira à une première évaluation du produit pour ce type d utilisation. Ensuite, quelques bases de corrélation seront introduites, avec un exemple sur l analyse comportementale. Finalement, une description de l architecture 3-tiers d ExaProtect terminera se rapport. 2 Introduction Après plusieurs années de réflexion sur le bien fondé d un passage intégral à la VoIP, dans les entreprises et aussi de manière générale chez les particuliers, il n y a dès à présent plus de doute sur l adoption massive de cette technologie à court ou à moyen terme. Le fait que l on soit sur un réseau informatique apporte les grands avantages de celui-ci, comme le faible coût de l infrastructure (généralement déjà existante) et donc des communications ainsi que la possibilité d échanger voix, vidéo et données sur un unique type de réseau physique. Cependant, on reçoit par la même occasion les inconvénients de ce réseau, et non des moindres : on parle ici de qualité de service, jusqu alors très bonne avec les réseaux téléphoniques conventionnels, mais aussi de sécurité au sens général allant de l écoute des communications aux surcharges et coupures parfois intentionnelles de celles-ci. Ce travail va s intéresser aux solutions que l on peut mettre en œuvre pour détecter différents cas où une intrusion est susceptible d avoir été menée à bien, ceci à partir d un composant réseau de type IDS 1 dont nous évaluerons les capacités. Puis nous introduirons un système de détection situé un niveau au-dessus prenant compte des informations que peuvent fournir d autres composants du réseau, lesquelles pourront être rassemblées pour obtenir des résultats efficaces et fiables. 1 IDS : Intrusion Detection System, système de détection d intrusion. Romain Wenger

6 3 Objectifs du projet L objectif du travail de diplôme est l analyse du fonctionnement puis la mise en place d une solution de sécurité de type SIEM (Security Information and Event Management) dans un environnement VoIP. Le produit concerné sera ExaProtect, solution propriétaire connue dans le domaine de la sécurité de réseaux. Le pré-projet de diplôme visera d abord à étudier le fonctionnement de ce type de système ainsi que les méthodes de sécurisation de réseaux avec un IDS, puis d effectuer quelques tests pratiques avec l IDS Sourcefire afin d en évaluer les possibilités de détection relatives à la VoIP. Après la mise en place d ExaProtect, le travail de diplôme consistera à étudier les différentes fonctionnalités de ce produit, ce qui aboutira à un premier rapport. La grande partie du travail consistera alors, sur la base du pré-projet, d établir une liste des attaques ou de situations potentiellement dangereuses et d implémenter leur détection à partir des informations reçues des différents composants du réseau, cela de manière claire et fiable. Quelques démonstrations pourront être mises en place par la suite. Enfin, une évaluation du produit dans le cadre de la VoIP sera établie. Romain Wenger

7 4 Réseau de test L environnement VoIP sur lequel seront effectuées les différentes manipulations suit une architecture standard dont voici le schéma. Figure 1 : Schéma du réseau de test Autour d un switch Cisco Catalyst, le réseau est séparé en deux VLANs : un pour le contrôle (ports 1 à 16 du switch) et l autre pour la voix (ports 17 à 32). L IPBX fonctionnant avec OpenSER (version 1.1.0) est composé de trois machines séparées offrant les services de localisation, registrar et proxy SIP. Chaque machine dispose de deux adresses, une par type de réseau. Deux téléphones IP Cisco 7960 (firmware version 8.2) sont utilisés pour générer les appels, le PC de l attaquant étant branché sur le même VLAN. Romain Wenger

8 Enfin, l IDS Sourcefire est connecté au port de monitoring du switch, lui permettant de voir passer tout le trafic pour effectuer les différentes détections. Il est aussi connecté au VLAN de contrôle pour son administration. Le tableau suivant détail l adressage utilisé. Elément VLAN VoIP VLAN Contrôle / /23 IPBX Proxy SIP (PC219 OpenSER) IPBX Registrar (PC220 OpenSER) IPBX Service de localisation (PC221 MySQL) Cisco 7960 SIP Hardphone 1 (Bob) Cisco 7960 SIP Hardphone 2 (Alice) PC attaquant Sourcefire IS Figure 2 : Plan d adressage du réseau Pour le travail de diplôme, le réseau sera enrichi de l appliance ExaProtect ainsi que d autres éléments tels qu un accès à Internet (et donc d une DMZ), de softphones permettant de comparer leur comportement avec celui des téléphones Cisco et idéalement d une Gateway PSTN. Romain Wenger

9 5 OpenSER 5.1 Présentation OpenSER est un serveur SIP open source considéré comme très fiable et flexible. Le projet a démarré avec une équipe de trois développeurs de SIP Express Router (SER) qui voulaient améliorer ce dernier en apportant une plus grande ouverture aux contributions publiques. Ainsi, dès la première année, ce sont plus de 60 contributeurs qui ont participé à l ajout de nouvelles fonctionnalités comme le support de TLS 2 et NAPTR 3. Parmi les possibilités offertes actuellement par OpenSER, on peut citer la compatibilité avec IPv4/IPv6, le support de UDP/TCP/TLS, ENUM 4, AAA 5 avec RADIUS 6 et base de données, load balancing, Call-Processing Language 7 et NAT traversal. De plus, selon le site officiel, OpenSER dispose de très bonnes performances à haute charge, lui permettant de fonctionner sur des systèmes aux ressources limitées. Cela, tout en ayant d autre part la capacité de traiter plus de 5000 appels par secondes grâce au load balancing. Ces différentes caractéristiques font que le produit est bien adapté pour les ITSP 8 et les opérateurs téléphoniques en général tout comme dans des environnements d entreprises. 5.2 Logs La corrélation que devra effectuer ExaProtect nécessitera d avoir accès aux informations générées par les composants clés du réseau dont le proxy SIP fait partie. OpenSER est prévu pour générer des logs 9 de debug et d erreurs par le protocole syslog 10. Les messages sont produits uniquement si le niveau d importance (log level allant de 4 à -3 en 2 TLS : Transport Layer Security est un protocole cryptographique permettant l échange d informations de manière sécurisée, il est le successeur de SSL (Secure Sockets Layer). 3 NAPTR : Naming Authority Pointer est un nouveau type de DNS (Domain Name System) supportant les «regualar expressions», qui permettent de décrire des chaines de caractères à partir d une syntaxe définie. 4 ENUM : TElephone NUmber Mapping est une suite de protocoles pour l inclusion des numéros de téléphones conventionnels en tant que clé de recherche dans les DNS NAPTR Internet (par exemple : numéro > adresse SIP). 5 AAA : Authentication Authorization Accounting est un protocole réalisant ces 3 fonctions (authentification, autorisation, traçabilité). 6 RADIUS : Remote Authentication Dial-In User Service est un protocole AAA dont les données d authentification sont stockées de manière centralisée. 7 Call-Processing Language (CPL) est un langage utilisé pour décrire et contrôler les services de téléphonie Internet. 8 ITSP : Internet Telephony Service Provider. 9 Une explication des messages est disponible sur la page 10 Syslog : standard pour l envoi des messages de logs sur un réseau IP, indique aussi le service client qui récupère et génère les messages. Romain Wenger

10 fonction de la gravité) dépasse le seuil défini. Le choix du seuil est paramétrable dans les fichiers de configuration. Les logs se présentent par défaut ainsi : log([level,] message) Si le level n est pas indiqué, le message est d importance minimale. La mise en place effective de ceci sera effectuée suite à l installation d ExaProtect. 6 Sourcefire 6.1 Présentation Sourcefire est avant tout le nom de l entreprise fondée en 2001 par Martin Roesch, le créateur de Snort. Snort est un IDS/IPS 11 réseau open source, il utilise des règles de détection permettant de combiner signatures et analyses de protocoles. Comptant plus de 3 millions de téléchargements à ce jour, Snort est l IDS/IPS le plus répandu dans le monde et dispose d une importante communauté d utilisateurs et développeurs. Sourcefire propose ainsi plusieurs produits commerciaux basés sur Snort, intégrant du matériel et des services de supports. Le produit utilisé pour ce projet se nomme Sourcefire 3D Sensor Il se présente sous la forme d une appliance 12 remplissant les fonctions d IDS ou IPS, le tout administrable aisément via une interface Web. Le nom Sourcefire régulièrement utilisé dans ce document se réfère bien entendu à l appliance. 6.2 Composants Cette partie s intéresse aux différents composants de base à connaître pour la mise en route d une stratégie de sécurité avec Sourcefire, ainsi que les possibilités offertes par celui-ci en rapport avec la VoIP. 11 IPS : Intrusion Prevention System, système de prévention d intrusions. 12 Appliance : en informatique, élément matériel effectuant une fonction spécifique et dont la configuration est plus ou moins restreinte. Romain Wenger

11 6.2.1 Policies Chaque stratégie de sécurité avec SourceFire passe d abord par la création d une policy. Celleci se base sur un detection engine 13 et peut être en mode IDS ou IPS. Figure 3 : Affichage de la liste des policies La policy contient les différents composants de sécurité tels que les règles de détection, les préprocesseurs, la détection de portscans 14, les modes d alerte, les variables et quelques composants spécifiques à des protocoles d application (HTTP, FTP, SMTP ) comme le montre la figure suivante. Figure 4 : Edition d'une policy 13 Detection engine : analyseur du réseau intégré à SourceFire et incluant l interface réseau. 14 Portscan : envoi de multiples messages pour trouver les ports ouverts sur la cible. Romain Wenger

12 6.2.2 Rules Les règles sont l un des principaux éléments de filtrage, en effet chaque règle contient la description de différents paramètres d un paquet IP permettant une détection de celui-ci en cas de correspondance. La configuration par défaut comporte un grand nombre de règles préinstallées et activées. Celles-ci sont classées par types d attaques ou par protocoles. Il n y a cependant que peu de règles directement en rapport avec la VoIP. Mis appart la détection possible de connexions Skype, on trouve deux règles concernant des vulnérabilités des téléphones Cisco 7900 series : 1:1814 WEB-MISC CISCO VoIP DOS ATTEMPT 1:3467 WEB-MISC CISCO VoIP Portinformation access La première, comme son nom l indique, concerne un risque de deni de service (ici un redémarrage du téléphone suite à une mauvaise requête http) avec les versions 3.0 à 3.2 du firmware. Les téléphones utilisés étant en version 8.2 cette règle n est donc pas utile dans notre cas. La seconde protège le téléphone contre un script ayant pour effet de révéler le contenu de sa mémoire. Il n y a pas plus d informations concernant les systèmes vulnérables, cette règle pourra donc être activée mais reste relativement peu pertinentes pour ce projet. Aucune règle directement liée à la détection d attaques ou le suivi des messages SIP n existe. Romain Wenger

13 Figure 5 : Affichage de l état d'activation des règles pour une policy A noter que la création de nouvelles règles est relativement aisée et entièrement graphique comme présenté dans l annexe B. Les règles ajoutées apparaissent sous la catégorie «Local» Preprocessors Sourcefire dispose de préprocesseurs dont l utilité est d effectuer un prétraitement rapide des paquets tel que le réassemblage de ceux-ci suite à la fragmentation, le décodage des protocoles grâce à une analyse stateful 15 et d autres détections difficilement implémentables par des règles comme les portscans par exemple. Les préprocesseurs permettent à l IDS de conserver de bonnes performances pour le traitement des paquets. 15 Stateful : suivi de l état d une connexion. Romain Wenger

14 La figure suivante montre le principe de fonctionnement de Sourcefire et l emplacement des préprocesseurs dans les étapes de détection. Figure 6 : Schéma de fonctionnement de Sourcefire L un des principaux préprocesseurs pour Snort se nomme Stream4, il permet une analyse stateful des connexions TCP. Il est aussi disponible dans Sourcefire, où il est possible de configurer certaines options comme le montre la figure suivante. Figure 7 : Stream4 et Stateful Inspection Ce qui nous intéresse ici est avant tout le protocole SIP qui lui est basé sur UDP. Cependant, les options disponibles dans l interface ne permettent pas d activer une inspection stateful sur des flux UDP. Le User Guide de Sourcefire confirme que ce n est valable que pour des session TCP. Romain Wenger

15 6.2.4 Portscan Detection Sourcefire dispose d une page pour la configuration de la détection des portscans. C est une fonctionnalité intéressante sachant que beaucoup d attaques commencent par ce type d opération. Différents paramètres sont configurables comme le choix des protocoles à surveiller, le type de scan (en fonction du nombre de «scanneurs», de scannés et du nombre de ports), le taux de sensibilité ainsi que les adresses IP à contrôler. A noter que le choix de la sensibilité modifie la méthode de détection : En mode Low, la surveillance se base uniquement sur les réponses négatives des hosts, En mode Medium, les alertes seront basées sur le nombre de connexions à un host, En mode High, c est une plus grande fenêtre temporelle qui est utilisées permettant de détecter tout type de scan. Figure 8 : Détection des portscans Romain Wenger

16 6.2.5 Variables L utilisation de variables permet l identification précise de parties du réseau. Il est possible d affecter un sous-réseau complet, une liste d adresses IP ou des ports spécifiques. Ainsi, dans les différentes pages de configuration ce sont ces variables qui seront utilisées plutôt que des éléments statiques. On trouve par exemple dans les règles à plusieurs reprises des variables telles que $EXTERNAL_NET ou $HOME_NET définissant explicitement les réseaux concernés. Les variable peuvent être définies à deux endroits différents : dans la configuration de la policy ou directement au niveau du detection engine (Opérations > Configuration > Detection Engines). Sauf cas précis, il est généralement préférable de définir les variables au niveau de la policy afin de conserver la flexibilité nécessaire lorsque plusieurs policies sont actives. Figure 9 : Liste des variables d'une policy Romain Wenger

17 6.2.6 Alerting Le menu «Alerting» permet de configurer plusieurs méthodes pour envoyer des alertes sur le réseau lorsqu un évènement est détecté. Figure 10 : Configuration des alertes pour une policy Il y a tout d abord la possibilité d informer un serveur syslog, simplement en indiquant son adresse IP. La seconde méthode consiste à passer par SNMP. Les versions 2 et 3 du protocole sont proposées, sachant que SNMPv3 offre en plus une authentification sécurisée par mot de passe. Enfin, il est également possible d envoyer les alertes par . Romain Wenger

18 6.2.7 Affichage des évènements L affichage des évènements est l un des points forts de Sourcefire. Le menu «Analysis & Reporting» propose plusieurs types d affichages, comme des pages «summary» permettant d afficher les statistiques générales des évènements de manière textuelle et graphique, ou un affichage restreint à un intervalle de temps donné. Il est aussi possible de générer automatiquement des rapports personnalisés avec exportations aux formats PDF ou HTML. L annexe B présente plusieurs affichages d évènements. 6.3 Tests Méthode Les tests ont été effectués dans une situation d intrusion d une communication VoIP et sont donc orientés sur ce domaine. Le but étant d avoir une première idée des capacités de Sourcefire pour la détection d attaques de ce type. Il existe un certain nombre d attaques répertoriées 16, plus ou moins aisées à réaliser. L une de celles-ci est présentée dans l annexe B : «Attaque VoIP SIP/BYE et détection» de manière détaillée. C est une attaque de type DoS 17 relativement facile à réaliser mais qui peut causer de sérieux soucis si elle est appliquée en situation réelle. La configuration de l IDS utilisée lors des tests est décrite dans l annexe A : «Configuration de Sourcefire» Résultats Au terme de ces tests, bien que les possibilités de configuration initiales de Sourcefire ne permettent pas de détecter ce type d attaque SIP, comme nous l avons vu, il est relativement facile de mettre en place de nouvelles règles à mêmes de lever des évènements lorsque cela est nécessaire. Cependant, un point surprenant est l impossibilité de détecter des attaques de la couche 18 2 comme un ARP Spoofing. Snort dispose pourtant d une solution qui consiste en l activation du préprocesseur «ARPspoof 19», encore au stade expérimental. 16 Le document «Best Practices Sécurité VoIP-SIP» édité dans le cadre du projet VaDeSe (http://www.vadese.org) décrit un nombre important d attaques connues. 17 DoS : Denial of Service (déni de service) est un terme générique pour indiquer le fait de rendre une application incapable de répondre aux requêtes des utilisateurs. 18 Couche «liaison de données» du modèle OSI. 19 Des informations sur les préprocesseurs de Snort dont ARPspoof sont disponibles sur la page Romain Wenger

19 Malheureusement, pour une raison semblable au problème rencontré plus bas dans la partie «Stateful inspection», Sourcefire ne permet pas l ajout de préprocesseurs. En outre, les préprocesseurs installés n ont pas d option permettant d effectuer ce type de détection. 6.4 Problématique VoIP Cette partie s intéresse à d autres points concernant la VoIP et Sourcefire Stateful inspection Par défaut, Sourcefire (par l intermédiaire de Snort) n est pas «stateful». Aucune analyse orientée connexion n est faite, ce qui est souvent nécessaire. En effet, de la même manière que pour un firewall, l IDS ne lèvera pas d alerte pour tout paquet qui peut être légitime lorsqu il est à l intérieur d une connexion TCP mais qui doit être détecté lorsqu il est unique, car dans ce cas il aura de grandes chances d être potentiellement dangereux. Comme vu plus haut, une analyse stateful des connexions TCP peut être activée par l intermédiaire du préprocesseur Stream4. Cependant, dans notre cas nous utilisons SIP qui est basé sur UDP. De plus, ce dernier n étant pas orienté connexion, il serait d autant plus nécessaire de pouvoir suivre un appel SIP. Selon la documentation de Stream4 sur le site de Snort, il existe pourtant la possibilité d activer l option «enable_udp_sessions» qui comme son nom l indique suit l état de sessions UDP. Mais cela ne semble possible qu avec une version «non-intégrée» de Snort. Le manuel de Sourcefire ne spécifiant rien concernant l ajout d une telle option Autres protocoles VoIP Bien que le projet se focalise principalement sur le protocole SIP, il faut savoir que d autres protocoles 20 sont souvent utilisés, principalement en entreprise. SCCP (Skinny Client Control Protocol) Skinny est un protocol propriétaire appartenant à Cisco, utilisé entre un client et un serveur Cisco CallManager. Les téléphones de la série 7900 de Cisco implémentent ce protocole qui a la particularité d être bien plus léger et moins gourmand en bande passante que H.323. Skinny est basé sur TCP (port 2000) pour la communication avec le CallManager, lorsque l appel est établi avec le destinataire, la transmission audio utilise UDP. 20 Une description des principaux protocoles VoIP est disponible sur cette page : Romain Wenger

20 L utilisation de TCP permet donc une analyse stateful avec Sourcefire. H.323 H.323 est un ensemble de protocoles recommandés par l ITU-T pour les communications audio-visuelles par paquets IP. C est un dérivé du protocole H.320 utilisé dans ISDN. Il permet dès lors un grand nombre de fonctionnalités et de configurations possibles. Pour la signalisation des appels, c est le protocole H.225.0/RAS qui est utilisé (H.245 pour les communications multimédia), composé des messages suivants : Call Signaling, établissement et contrôle d un appel H.323. La signalisation est basée sur les procédures d appel ISDN (voir Q.931) et utilise TCP. RAS Signaling Function, utilisé pour l enregistrement, l admission, le statut (Registration, Admission and Status) et les modifications de bande passante entre les clients. Le canal RAS est basé sur UDP. Le fonctionnement n étant pas simple, il est difficile de prévoir si Sourcefire serait capable d analyser une session de ce protocole. MGCP Media Gateway Control Protocol est un protocole spécialisé pour la VoIP orienté client-serveur. Il est généralement basé sur UDP port 2427 dont chaque paquet est une commande ou une réponse. Il est souvent utilisé par le providers fournissant un service triple-play (dont la VoIP). Comme il est basé sur UDP, le problème devrait être semblable que pour SIP concernant l analyse stateful. 6.5 Evaluation Sans avoir pu réellement comparer Sourcefire avec d autres IDS, nous pouvons tout de même affirmer que les possibilités offertes par ce produit sont nombreuses et relativement faciles à utiliser grâce à l interface entièrement graphique, également pour la création des règles. Le nombre de règles initialement installées est impressionnant (plus de !), cela permet de disposer de solutions pour de nombreux protocoles. Néanmoins, nous avons pu voir que la VoIP n est pas un point fort et que peu de solutions existent autant au niveau des règles que des préprocesseurs. De plus, on peut s étonner du fait que les développeurs se soient d abord penchés sur les risques liés à l utilisation des téléphones VoIP de Cisco en créant des règles détectant des Romain Wenger

21 attaques sur des vulnérabilités des ces derniers plutôt que de prendre en compte des aspects plus généraux tels que la sécurité de SIP. Un autre point surprenant est l impossibilité de voir des attaques ARP telles que les ARP Spoofing. Nous avons pu contacter la société par 21 à ce sujet, qui a répondu clairement à notre demande : Our IDSs are layer-3 and above, so adding ARP detection would be way down the road map if it were to be implemented. Il n est donc visiblement pas dans leurs projets d ajouter cette fonctionnalité au produit. Mis appart le problème d ARP, Sourcefire est à même de pouvoir détecter les attaques de couche 3 basées sur l envoi de mauvais paquets SIP (ou autres protocoles comme RTP) provenant d adresses différentes que celles définies de manière statique dans la configuration (grâce aux variables). Toutefois le problème peut devenir compliquer dans le cas où l attaquant prend directement la place d un téléphone existant. On peut également affirmer que toutes les attaques venant d un autre réseau VLAN pourront être détectées grâce à l analyse de l IP source. Voici un tableau récapitulatif des principaux points relevés : Avantages et inconvénients + Grand nombre de règles - Peu de règles pour SIP et la VoIP préinstallées en général + Accessibilité et création aisée de - Pas d analyse stateful des nouvelles règles sessions SIP + Gestion intégrale par l interface - Pas de détection des ARP Web Spoofing Figure 11 : Evaluation de Sourcefire Pour plus de détail sur les caractéristiques complètes de Sourcefire, se reporter à l annexe C. 21 Merci à Lalaina pour cette demande. Romain Wenger

22 7 Bases de corrélation 7.1 Problématique Les reproches que l on voit régulièrement concernant les IDS sont que ces derniers créent bien trop d alertes, trop souvent secondaires ou superflues, noyant ainsi les quelques évènements importants dans la masse. Les études 22 réalisées sur ce sujet ont mené vers de nouvelles architectures de détection avec des composants dédiés spécialement à la corrélation d évènement (concentrateur d alerte dans le schéma ci-dessous). Celle-ci consiste à établir des liens entre des données venant de plusieurs sources (sondes représentant des IDS ou autres générateurs d évènements) pour en ressortir les informations essentielles. Cette méthode permet de réduire le nombre d alertes et d améliorer la qualité et la fiabilité des alertes. Figure 12 : Architecture adaptée à la corrélation d'alertes 23 C est ce type d architecture que nous retrouverons avec ExaProtect par exemple. A noter que les sondes peuvent aussi, dans une moindre mesure, faire de la corrélation. Mais la principale différence par rapport aux concentrateurs concerne le nombre de sources d informations. En effet, les sondes ne disposent que d une unique source alors que celles des concentrateurs sont multiples, ils assurent donc une meilleure analyse globale. Une sonde pourra par exemple faire de l agrégation, en groupant certaines alertes en relation directe. 22 Détection d intrusions : corrélation d alertes - Michael Rusinowitch Illustration tirée du document ci-dessus. Romain Wenger

23 7.2 Idées et orientation VoIP Le projet final devra être capable de détecter d une part des attaques répertoriées mais aussi prévenir de nouveaux types d intrusions non basées sur des signatures connues ainsi que des attaques de plus haut niveau comme le SPIT 24 par exemple. C est là qu intervient l analyse comportementale qui permet de disposer d un éventail bien plus large de détections possibles. Nous pouvons également définir cela par la corrélation explicite et implicite. La première est plus «standard», elle est basée avant tout sur des scénarios prédéfinis et généralement connus à l avance. C est une suite d évènements qui va mener à une alerte, ceux-ci pouvant provenir bien entendu de sources différentes. Les attaques VoIP répertoriées sont souvent détectables par cette méthode. La seconde est moins précise et consiste à établir des liens entre des événements qui ne sont à priori pas liés par un schéma prédéfini. Pris dans leur ensemble, ils peuvent cependant avoir une relation de type statistique, comme par exemple une fréquence inhabituelle. Cela peut donner lieu à des attaques plus ou moins rusées et faire intervenir des aspects mathématiques au problème. Le suivi et la comptabilisation des appels seront des points essentiels à traiter. Par exemple, avec le schéma classique d un appel, nous auront un message INVITE suivit de la conversation (visible peut-être uniquement par un autre IDS) et qui se termine par un message BYE. Les messages de signalisation et de données étant séparés et n empruntant pas forcément le même chemin, il est donc possible qu un seul IDS ne voit pas toutes les informations. Tout ceci pourra être définit au final comme un seul évènement qui représente «un appel». L agrégation correspond ici à l une des méthodes envisageables pour y parvenir. Ainsi, nous disposerons d informations pertinentes sur les appels tels que leur nombre, leur durée, la répartition dans la journée ou les principaux émetteurs et récepteurs réguliers. Ces données devront être mémorisées dans une base de connaissances. Il sera ensuite possible d analyser certains comportements comme des changements soudains de fréquence ou une brusque modification des destinataires appelés depuis un téléphone. Par exemple, grâce à la prise en compte des attributs temporels, dix appels effectués depuis un téléphone entre 10h et 11h n auront rien d anormal puisqu ils correspondent à l heure de la journée la plus chargée en nombre d appels. Cela n aura pas la même importance s ils sont passés entre 2h et 3h du matin lorsque le trafic téléphonique est presque nul, où une alerte pourrait alors être levée. Dans cette optique, il pourra être nécessaire de faire appel à des personnes pouvant fournir des informations générales sur les habitudes et statistiques téléphoniques des abonnés. Enfin, suivant le niveau d analyse, il pourrait y avoir des risques de confidentialité qu il ne faudrait pas négliger. 24 SPIT : SPam over Internet Telephony, les coûts d un appel étant presque nul les communications indésirables risquent d exploser. Romain Wenger

24 8 ExaProtect 8.1 Présentation ExaProtect est une entreprise française démarrée en 2001 spécialisée dans la sécurité des réseaux informatiques. Disposant de bureaux dans 7 pays dont le siège est en France à Paris et notamment aux Etats-Unis à Moutain View (Californie), la société est donc internationale. Elle annonce plus de 300 clients, dont plusieurs sociétés du «Fortune », des opérateurs de télécommunications internationaux et des organisations gouvernementales. Son produit phare qui sera utilisé dans ce projet est une application de type SIEM (Security Information and Event Management), qui permet une corrélation des informations et évènements fournis par différents composants du réseau. 8.2 Security Management Solution (SMS) Le produit, commercialisé avec une appliance, est composé d une architecture 3-tiers sous l appellation ExaProtect Security Management Solution. Voici quelques points théoriques sur ces composants suivis d un schéma résumant le fonctionnement de l application Security Management Agent (SMA) Il existe une multitude de produits, de types et de fabricants divers, pouvant faire partie d un réseau et qui participent de manière plus ou moins active à sa sécurisation tels que les firewalls, proxies, IDS Ceux-ci fournissent généralement des journaux d évènements (logs) qui disposent souvent de leur propre syntaxe voir parfois de leurs propres protocoles. Il peut être nécessaire de rassembler ces informations afin de disposer d une vue globale de la sécurité et de pouvoir lever des alertes efficaces. L agent SMA est une application permettant de récupérer les logs pour les convertir au format standard IDMEF et les envoyer de manière sécurisée par SSL au SMP. Cette application peut tourner sur plusieurs types de plateformes (Windows, Linux, Solaris...) à de multiples endroits du réseau. A noter que l IDS Sourcefire n est pas dans la liste des systèmes pris en charge, contrairement à Snort. Ce dernier étant la base de Sourcefire, la compatibilité de devrait pas être un problème. 25 Classement des 500 entreprises américaines qui réalisent le plus important chiffre d'affaires publié par le magazine «Fortune». Romain Wenger

25 8.2.2 Security Management Platform (SMP) C est le cœur du système, installé sur l appliance. Les informations collectées par les agents sont regroupées et corrélées, au besoin avec une base de connaissances, pour créer une vision en temps réel de la sécurité du réseau. Ainsi, les évènements significatifs ne sont plus perdus dans la masse d informations mais enrichis et mis en évidence pour les personnes s occupant de la sécurité. Le monitoring s effectue par interface Web avec une authentification par certificat (voir SMC). Les possibilités offertes sont intéressantes, on peut noter la présence d un module «Forensic Replay» permettant de définir des scénarios d évènements à corréler afin d améliorer la détection en temps réel ainsi qu une configuration des profiles de sécurité en fonction de l heure (jour, nuit, weekend...). Ce dernier point pourra être utile pour l analyse comportementale des appels VoIP Security Management Console (SMC) C est l interface utilisateur qui permet d une part d administrer le SMP mais surtout de pouvoir visualiser «l état» du réseau. Ainsi, il est possible rechercher, trier et filtrer des alertes, effectuer un suivi des agents ou générer des rapports personnalisés. Ces éléments seront détaillés lors du travail de diplôme. Romain Wenger

26 Figure 13 : Schéma fonctionnel d'exaprotect Illustration tirée du site Internet de la société (http://www.exaprotect.com). Romain Wenger

27 9 Suite du travail et projet de diplôme Voici enfin quelques points sur les prochaines étapes importantes qui feront suite à ce rapport lors du travail de diplôme : Après l installation du système ExaProtect, la première semaine consistera principalement à la découverte du fonctionnement du produit. Il s agira ensuite d évaluer les possibilités offertes de manière générale par celui-ci, puis établir des liens avec la VoIP. Le réseau de test sera agrandi, comprenant à priori un accès à Internet, et donc par la même occasion un firewall, ainsi qu une Gateway PSTN. Il deviendra alors nécessaire de proposer de nouvelles attaques VoIP non répertoriées qui pourraient être qualifiées de «exotiques». Cela pourra être fait en collaboration avec Marie-Thérèse Gomez-Sanchez qui s occupe plus particulièrement de la partie IDS. Ces informations restent indicatives, la planification effective du travail de diplôme se fera sur la base du futur cahier des charges. 10 Conclusion Au terme de cette première «intrusion» dans le domaine des IDS et de la sécurité VoIP, on voit que ce monde est vaste et que les méthodes de sécurisation ne sont pas évidentes, déjà dans un petit réseau avec quelques éléments. L étude de l IDS Sourcefire a montré la bonne qualité du produit, pouvant s adapter facilement à l environnement dans lequel il est placé pour détecter rapidement une foule d attaques très diverses. Il lui manque néanmoins certaines fonctions bas-niveau et surtout une intégration difficile dans un réseau VoIP qui ne va pas sans l ajout de nombreuses règles. C est pourquoi, au regard des fonctionnalités proposées et des caractéristiques communes à tout IDS, la détection d attaques VoIP de type comportementales ou basées sur différents flux (signalisation et données) ainsi que la réduction des alertes peu significatives nécessitera la prise en compte d informations provenant de divers endroits du réseau. Ces observations demanderont alors une stratégie de corrélation que pourra fournir ExaProtect. La suite de ce projet s annonce donc captivante! Romain Wenger

28 11 Références Hacking Exposed VoIP: Voice Over IP Security Secrets & Solutions - David Endler, Mark Collier - Novembre 2006 Practical VoIP Security - Thomas Porter, Andy Zmolek, Jan Kanclirz - Mars 2006 Best Practices - Sécurité VoIP-SIP - Alistair Doswald, Prof. Juergen Ehrensberger, Xavier Hahn, Prof. Stefano Ventura (HEIG-VD) Novembre 2006 Snort 2.1 Intrusion Detection, Second Edition - Stephen Northcutt Syngress Publishing, Inc Intrusion Sensor User Guide - Sourcefire, Inc SMA Installation Guide, version ExaProtect Janvier 2007 SMP Installation Guide, version ExaProtect Janvier 2007 SMC User Guide, version ExaProtect Janvier Sites Web Snort Sourcefire OpenSER Wikipedia Romain Wenger

29 12 Annexe A : Configuration de Sourcefire Cette annexe contient les opérations de configuration effectuées pour l utilisation de Sourcefire telle que décrite dans ce rapport Nouvelle policy Une nouvelle policy doit être créée dans «Policy & Response > Intrusion Sensor > Detection & Prevention». Elle est basée sur la configuration par défaut de «Intrusion Detection Sensor - Default Policy». Nous la nommerons «Vadese IDS Policy». Figure 14 : Création d'une policy dans Sourcefire A noter qu une policy ne sera active qu après avoir cliqué sur «Apply» dans la liste des policy. L opération prend environ une minute pour qu elle soit en fonction. Les points suivants s appliquent tous à cette policy en allant dans «Edit» Activation des règles Comme indiqué dans la présentation des composants de Sourcefire, la règle suivante peut être activée : 1:3467 WEB-MISC CISCO VoIP Portinformation access Elle est utile pour combler une faille de sécurité des téléphones mais reste de faible importance pour ce projet. Romain Wenger

30 12.3 Détection des portscans La détection des portscans (menu «Portscan Detection») peut se limiter dans notre cas au réseau VoIP qui est le plus sensible. Il faut donc ajouter les adresses suivantes dans le champ «Watch IP» : , , , , Configuration des variables Une bonne configuration des variables est primordiale pour l analyse correcte des évènements. Elle doit être la plus restrictive possible pour les parties du réseau dites sensibles et le plus large possible pour le reste. Nous configurons ici les variables au niveau de la policy. La variable HOME_NET correspond précisément aux adresses des éléments du VLAN VoIP (téléphones et OpenSER) et EXTERNAL_NET à tout ce qui ne fait pas partie de HOME_NET. Deux autres variables SIP_PRIXY_IP et SIP_PROXY_PORT permettent de distinguer le serveur proxy OpenSER, elles peuvent être ajoutées grâce à «Add Variable» en haut à droite de la liste des variables. Variable Valeur HOME_NET [ , , , , ] EXTERNAL_NET!$HOME_NET SIP_PROXY_IP SIP_PROXY_PORT 5060 Figure 15 : Configuration des variables dans Sourcefire Romain Wenger

31 13 Annexe B : Attaque VoIP SIP/BYE et détection Cette annexe présente, à la manière d une marche à suivre, quelques attaques dont notamment un DoS sur un appel VoIP en cours grâce à un message SIP forgé, puis une méthode de détection avec Sourcefire. Toutes les attaques sont effectuées à partir d un PC connecté au VLAN VoIP avec l adresse comme indiqué sur le schéma du réseau Portscan Cette manipulation ne fait pas partie de l attaque à proprement dite mais permet de contrôler le fonctionnement de l IDS et la levée d évènement. L idée est simplement d envoyer des messages TCP/SYN sur tous les ports d un des téléphones en utilisant Nmap 27. Si des réponses SYN/ACK viennent en retour cela indique qu il y a un service en écoute. > nmap Starting Nmap 4.20 ( ) Interesting ports on : Not shown: 1696 filtered ports PORT STATE SERVICE 23/tcp open telnet MAC Address: 00:06:28:D8:A7:0E (Cisco Systems) Nmap finished: 1 IP address (1 host up) scanned in seconds On voit que le téléphone dispose du service telnet, ce qui est normal car il permet une administration à distance. Suite à cette commande, il est alors possible de visionner la détection sur l IDS dans le menu «Analysis & Reporting > Intrusion Sensor». Après avoir mis à jour l intervalle de temps pour la visualisation, l évènement «portscan : TCP Portscan» est levé avec l adresse du téléphone attaqué. 27 Nmap est un scanner de ports open source sous licence GNU GPL distribué officiellement sur le site la version utilisée est la Romain Wenger

32 Figure 16 : Affichage des évènements par adresse de destination On remarque donc que la détection d un portscan TCP/SYN fonctionne, on trouve en plus des alertes SNMP port 705, 161 et 162. En fait, un simple SYN sur l un de ces 3 ports lève une alerte. Un autre élément important est à relever concernant les téléphones Cisco qui acceptent des demandes de connexion sur le port 23 (telnet). C est la réaction suite à cela qui est surprenante : si la connexion n abouti pas, c est-à-dire qu il n y a pas de réponse au SYN-ACK envoyé par le téléphone, celui-ci va envoyer infiniment des paquets SYN-ACK (environ un par seconde) au PC qui a initié la connexion. Il est alors nécessaire de redémarrer le téléphone pour stopper cela. Ce comportement inattendu montre un choix étonnant d implémentation du protocole 13.2 Man-in-the-middle (MITM) Description Le réseau étant organisé autour d un switch, l écoute de paquets n est pas directement possible. Il est donc nécessaire, pour mener à bien certaines attaques, d utiliser une méthode pour remédier à ceci. Une des plus connues est l attaque «Man-in-the-middle» qui permet grâce à un ARP Spoofing de faire passer tout le trafic entre deux points par la machine de l attaquant. Romain Wenger

33 Réalisation Il existe des programmes permettant de réaliser facilement cette attaque. Ettercap 28 est un bon exemple et propose de le faire à travers une interface graphique comme le montre la capture suivante de la version Windows. Figure 17 : Interface graphique d'ettercap NG Après l ouverture du programme, il faut démarrer l écoute du réseau en allant sur «Sniff > Unified sniffing» et choisir la carte réseau connectée. L étape suivante consiste à récupérer la liste des hosts du réseau à partir du menu «Hosts > Scan for hosts». On affiche la liste en allant sur «Hosts list» dans le même menu. La sélection des «Targets» peut alors être faite : comme nous voulons voir les messages entre un téléphone ( ) et le proxy SIP ( ), chacun correspondra à un target. L ajout se fait grâce aux boutons «Add to Target» au bas de la fenêtre. Finalement, après avoir contrôlé les sélections dans le menu «Targets > Current Targets», l attaque MITM peut être lancé par le menu «Mitm > Arp poisoning». Ci-dessous, une capture montre les messages ARP envoyés par le PC attaquant. 28 Ettercap est un analyseur réseau, intercepteur de trafic offrant une fonction d attaque MITM. Il est disponible sur (version 0.7.3) en licence GNU GPL. Romain Wenger

34 Figure 18 : Capture des paquets d'un ARP Spoofing L adresse MAC de l attaquant est alors envoyée successivement aux deux interlocuteurs comme étant celle correspondant à leur adresse IP respective. Cela toutes les 10 secondes environ, afin de maintenir «l effet» MITM. Ainsi, le switch sera trompé et redirigera tous les paquets à destination de l une ou l autre de ces adresses sur le PC attaquant. Ce dernier se chargera bien entendu de les rediriger ensuite aux véritables destinataires en plaçant la bonne adresse MAC de destination. Afin d éviter tout problème par la suite, il est important de désactiver l attaque lorsque celle-ci n est plus nécessaire en allant dans «Mitm > Stop mitm attack(s)». Ettercap enverra alors des messages ARP avec les adresses MAC correctes Détection Cette attaque n est pas détectée par l IDS, ce dernier ne travaillant pas au-dessous de la couche IP. Romain Wenger

35 13.3 Message SIP/BYE DoS Description Un déni de service par l envoi d un message SIP/BYE est une attaque VoIP aisément réalisable qui a pour effet de couper un appel en cours. L attaquant doit pour cela avoir accès aux messages échangés par les deux interlocuteurs Réalisation L utilisation d un analyseur de paquets tel que Wireshark 29 est nécessaire afin de détecter l établissement d un appel et ainsi récupérer ses différents paramètres. Après un MITM appliqué entre un des téléphones (ici Bob, ) et le proxy SIP ( ) il est possible de voir l appel. C est Alice qui va l initier. Figure 19 : Capture des paquets de l établissement d'un appel SIP 29 Wireshark (anciennement Ethereal) est un sniffer et analyseur de protocole sous licence GNU GPL disponible sur (version ). Romain Wenger

36 C est dès cet instant que peut être généré le message SIP/BYE. Le programme utilisé est SIPNess Messenger 30, lequel se compose d une simple interface comportant les champs à remplir. Figure 20 : Interface de l'application SIPNess Messenger Les différents champs à remplir sont les suivants : Champ Message Type UserName Description Type de message SIP, ici ce sera BYE Utilisateur enregistré sur le proxy SIP à qui est destiné le message, c est un message pour Bob 30 SIPNess Messenger est un générateur de messages SIP, freeware distribué par Ortena Networks Ltd. (http://www.ortena.com, version 1.06). Romain Wenger

37 Domain Adresse du proxy SIP, To From Via Call-ID Le destinataire avec le paramètre «tag», c est une copie du champ du message capturé L émetteur avec le paramètre «tag», c est une copie du champ du message capturé Chemin de la requête (pour éviter les boucles), ce champ est rempli automatiquement L identification de l appel, à copier du message capturé Cseq Numéro de séquence, celui-ci doit être incrémenté de 1 par rapport à celui du message capturé Enfin, si tout est correct, un simple clic sur envoyer coupe instantanément l appel Détection Dans sa configuration de base, l IDS ne lève pas d alerte. Il est cependant possible de créer une règle permettant de détecter cette attaque. Une méthode réalisable serait de filtrer les messages SIP ne provenant pas du HOME_NET 31 et dont le destinataire est le proxy SIP (adresse VoIP). Pour plus de précision, la règle contrôle aussi que le mot BYE se trouve dans le paquet. Pour éditer une nouvelle règle, il faut passer par le menu «Policy & Response > Rules > Create Rule». 31 Variable configurée pour la policy contenant uniquement les adresses des téléphones, du proxy SIP, du Registrar et du Service de localisation. Soit , , , et Romain Wenger

38 Figure 21 : Création d'une règle Sourcefire Les champs suivants doivent être remplis ainsi : Champ Message Classification Source IPs Source Port Destination IPs Destination Port SIP BYE DoS Denial of Service $EXTERNAL_NET any $SIP_PROXY_IP $SIP_PROXY_PORT Valeur Sous «Detection Options» on ajoute l option «content» où l on indique que le message doit contenir le mot «BYE». Enfin, il reste à activer cette règle au niveau de la policy en la cochant sous la catégorie «Local». Sans oublier d effectuer ensuite un «Apply» de la policy afin de prendre en compte la modification. Cela peut prendre 1 à 2 minutes pour s exécuter. Romain Wenger

39 Lorsque l attaque est réitérée, une alerte est maintenant levée par l IDS. La figure suivante montre le détail de l évènement. Figure 22 : Affichage des détails d'un évènement détecté par Sourcefire Les informations données sont complètes et précises, ainsi on peut voir le payload 32 du message avec lequel on remarque que ce message venant de cette adresse IP n était pas légitime. Nous terminerons par cette remarque : quelques secondes après cette attaque, lorsque le deuxième téléphone raccroche, une nouvelle alerte est levée concernant un portscan UDP venant de ce téléphone sur celui qui a reçu le BYE. Ce dernier ne répondant bien entendu pas aux messages BYE légitimement émis, ceux-ci sont répétés plusieurs fois jusqu à dépasser la limite définie pour le portscan. Cette observation est un bon exemple d une alerte levée qui n a que peu d importance et qui pourrait être mal interprétée. L amélioration de ceci sera l une des tâches du futur corrélateur d évènement. 32 Payload : charge utile, ici le contenu du paquet. Romain Wenger

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

INTRUSION SUR INTERNET

INTRUSION SUR INTERNET INTRUSION SUR INTERNET Filière Télécommunication Laboratoire de Transmission de Données Diplômant : Marfil Miguel Professeur : Gérald Litzistorf En collaboration : Banque Pictet, Lanrent Dutheil e-xpert

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Laboratoire de téléinformatique Introduction à l analyseur de réseau Wireshark (Ethereal)

Laboratoire de téléinformatique Introduction à l analyseur de réseau Wireshark (Ethereal) Laboratoire de téléinformatique Introduction à l analyseur de réseau Wireshark (Ethereal) Description Wireshark est un analyseur de protocole gratuit pour Windows, Unix et ses dérivés. Il permet d examiner

Plus en détail

Retour d expérience sur Prelude

Retour d expérience sur Prelude Retour d expérience sur Prelude OSSIR Paris / Mathieu Mauger Consultant Sécurité (Mathieu.Mauger@intrinsec.com) Guillaume Lopes Consultant Sécurité (Guillaume.Lopes@Intrinsec.com) @Intrinsec_Secu 1 Plan

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

TP 1 - Prise de contact avec Snort, scapy

TP 1 - Prise de contact avec Snort, scapy TP 1 - Prise de contact avec Snort, scapy 0. Initialisation du TP Installer les paquets python-scapy, snort, nmap. 1. Présentation de SNORT v2.8.5 La détection d intrusion consiste en un ensemble de techniques

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 54 Audit et Sécurité Informatique Chap 1: Services, Mécanismes et attaques de sécurité Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2

Plus en détail

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ)

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Objectifs Se connecter au périphérique multi-fonction et afficher les paramètres de sécurité

Plus en détail

SECURIDAY 2013 Cyber War

SECURIDAY 2013 Cyber War Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Formateurs: 1. Trabelsi NAJET

Plus en détail

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual RESEAUX TCP/IP: NOTIONS AVANCEES Preparé par Alberto EscuderoPascual Objectifs... Répondre aux questions: Quelles aspects des réseaux IP peut affecter les performances d un réseau Wi Fi? Quelles sont les

Plus en détail

Man In The Middle. (MITM ou TCP hijacking)

Man In The Middle. (MITM ou TCP hijacking) Man In The Middle (MITM ou TCP hijacking) Ce type d attaque, traduit en français par «l homme du milieu» est plus facile à comprendre qu on ne le pense. Cette attaque fait intervenir 3 ordinateurs. Un

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI Chapitre 2 Vulnérabilités protocolaires et attaques réseaux 1 Définitions Vulnérabilité: Défaut ou faiblesse d un système dans sa conception, sa mise en œuvre ou son contrôle interne pouvant mener à une

Plus en détail

Comment optimiser ses moyens de métrologie?

Comment optimiser ses moyens de métrologie? Comment optimiser ses moyens de métrologie? Agenda Les enjeux autour de l optimisation Les méthodes d optimisation pour la métrologie Illustration sur un SPAN agrégateur filtrant NTO ANUE 3 Service Technique

Plus en détail

ManageEngine OpUtils 3. Vue d ensemble du produit

ManageEngine OpUtils 3. Vue d ensemble du produit ManageEngine OpUtils 3 Vue d ensemble du produit Agenda Vision général du produit Fonctions clés Les outils dans OpUtils Q & A Synthèse Vue du produit OpUtils est un outil de diagnostique du système et

Plus en détail

VoIP ( H323,SIP) et sécurits. curité. Kamel HJAIEJ SUP COM

VoIP ( H323,SIP) et sécurits. curité. Kamel HJAIEJ SUP COM VoIP ( H323,SIP) et sécurits curité Kamel HJAIEJ SUP COM Sommaire Introduction Bilan de le voip Principaux risques Technologies et risques Eléments de sécurité Exemples d attaques - solutions Conclusion

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

Configuration d'un trunk SIP OpenIP sur un IPBX ShoreTel

Configuration d'un trunk SIP OpenIP sur un IPBX ShoreTel Configuration d'un trunk SIP OpenIP sur un IPBX ShoreTel Note d application Produit : ShoreTel SIP Trunks OpenIP Version système: 14.2 Version système : 14.2 ShoreTel & SIP trunk OpenIP 1 ShoreTel & SIP

Plus en détail

Services Réseaux - Couche Application. TODARO Cédric

Services Réseaux - Couche Application. TODARO Cédric Services Réseaux - Couche Application TODARO Cédric 1 TABLE DES MATIÈRES Table des matières 1 Protocoles de gestion de réseaux 3 1.1 DHCP (port 67/68)....................................... 3 1.2 DNS (port

Plus en détail

Protection contre les menaces Prévention

Protection contre les menaces Prévention Protection contre les menaces Prévention Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Prévention Routeurs Pare-feu Systèmes de prévention d intrusion Conclusions Jean-Marc

Plus en détail

Appliance FAST360 Technical Overview. Sécurité de la VoIP. Copyright 2008 ARKOON Network Security

Appliance FAST360 Technical Overview. Sécurité de la VoIP. Copyright 2008 ARKOON Network Security Appliance 360 Technical Overview Copyright 2008 ARKOON Network Security 2/13 Sommaire I. Introduction sur la VoIP...3 1. Qu est ce que la VoIP?... 3 2. Les protocoles de VoIP... 3 II. Les vulnérabilités

Plus en détail

Travaux Pratiques n 1 Principes et Normes des réseaux.

Travaux Pratiques n 1 Principes et Normes des réseaux. Travaux Pratiques n 1 Principes et Normes des réseaux. Objectifs Connaitre le matériel de base (switch, hub et routeur) Savoir configurer une machine windows et linux en statique et dynamique. Connaitre

Plus en détail

Tutoriel sur Retina Network Security Scanner

Tutoriel sur Retina Network Security Scanner Département de Mathématiques Informatique Master 2 RIP filière «Réseaux» Cours «Sécurité des réseaux et des contenus multimédia» Responsable du module : Mr Osman SALEM Tutoriel sur Retina Network Security

Plus en détail

La sécurité des Réseaux Partie 6.1 Les pare-feus

La sécurité des Réseaux Partie 6.1 Les pare-feus La sécurité des Réseaux Partie 6.1 Les pare-feus Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références F. Ia et O. Menager, Optimiser et sécuriser son trafic

Plus en détail

PROJET TRIBOX-2012-A

PROJET TRIBOX-2012-A PROJET TRIBOX-2012-A Auteur : Groupe Tutoriel d'installation et de configuration de Trixbox Membres du projet: GUITTON Jordan MORELLE Romain SECK Mbaye Gueye Responsable de la formation: MOTAMED Cina Client:

Plus en détail

Haka : un langage orienté réseaux et sécurité

Haka : un langage orienté réseaux et sécurité Haka : un langage orienté réseaux et sécurité Kevin Denis, Paul Fariello, Pierre Sylvain Desse et Mehdi Talbi kdenis@arkoon.net pfariello@arkoon.net psdesse@arkoon.net mtalbi@arkoon.net Arkoon Network

Plus en détail

Internet. PC / Réseau

Internet. PC / Réseau Internet PC / Réseau Objectif Cette présentation reprend les notions de base : Objectif, environnement de l Internet Connexion, fournisseurs d accès Services Web, consultation, protocoles Modèle en couches,

Plus en détail

Les pare-feux : concepts

Les pare-feux : concepts Les pare-feux : concepts Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (2) 15 mai 2005 Diapositive N 1 /19 C'est quoi

Plus en détail

Sécurité de la ToIP Mercredi 16 Décembre 2009. CONIX Telecom eric.assaraf@conix.fr

Sécurité de la ToIP Mercredi 16 Décembre 2009. CONIX Telecom eric.assaraf@conix.fr Sécurité de la ToIP Mercredi 16 Décembre 2009 CONIX Telecom eric.assaraf@conix.fr Téléphonie sur IP vs téléphonie classique Quel est le niveau de sécurité de la téléphonie classique? 2 La différence c

Plus en détail

Contrôle Réseau Internet et services Documents papier et calculatrice autorisés 2h00

Contrôle Réseau Internet et services Documents papier et calculatrice autorisés 2h00 Contrôle Réseau Internet et services Documents papier et calculatrice autorisés 2h00 NOM : Nombre total de points : 56,5 points. Note finale = nb points acquis*20/ Les parties sont indépendantes. Dans

Plus en détail

(In)sécurité de la Voix sur IP [VoIP]

(In)sécurité de la Voix sur IP [VoIP] (In)sécurité de la Voix sur IP [VoIP] Nicolas FISCHBACH Senior Manager, IP Engineering/Security - COLT Telecom nico@securite.org - http://www.securite.org/nico/ version 0.01 Introduction» Voix et téléphonie

Plus en détail

* Un flux TCP/UDP est une communication (plusieurs sessions TCP ou UDP) entre deux machines IP pendant un intervalle de

* Un flux TCP/UDP est une communication (plusieurs sessions TCP ou UDP) entre deux machines IP pendant un intervalle de Plateforme de Surveillance réseau et sécurité Solution SecurActive NSS SecurActive NSS est une plateforme de surveillance réseau et sécurité basée sur un moteur d analyse innovant. SecurActive NSS capture

Plus en détail

Cisco IDS Network Module pour les routeurs des gammes Cisco 2600, 3600 et 3700

Cisco IDS Network Module pour les routeurs des gammes Cisco 2600, 3600 et 3700 Fiche Technique Cisco IDS Network Module pour les routeurs des gammes Cisco 2600, 3600 et 3700 Cisco IDS Network Module fait partie des solutions intégrées de sécurité de réseau Cisco IDS (système de détection

Plus en détail

Documentation : Réseau

Documentation : Réseau 2015 Documentation : Réseau Enzo Rideau Swiss-Galaxy 24/03/2015 Table des matières Présentation du contexte... 2 Présentation du réseau... 2 Présentation du matériel... 4 Présentation de la configuration

Plus en détail

Cisco CCVP. Configuration de CUCM

Cisco CCVP. Configuration de CUCM Cisco CCVP Configuration de CUCM Contenu Eléments de configuration et ajout de téléphones Auto enregistrement BAT et TAPS Ajout manuel des téléphones Paramètres de configuration des téléphones Cisco CCVP

Plus en détail

Mise en place d un portail captif avec une distribution pfsense

Mise en place d un portail captif avec une distribution pfsense Mise en place d un portail captif avec une distribution pfsense Présentation : pfsense est une distribution routeur/pare-feu OpenSource basée sur FreeBSD, pouvant être installée sur un simple ordinateur

Plus en détail

2010 HEIG-VD, IICT. Auteurs : Joris Blatti. Version 1.0, Septembre 2010

2010 HEIG-VD, IICT. Auteurs : Joris Blatti. Version 1.0, Septembre 2010 Labo 1 - VoIP /CCUM 2010 HEIG-VD, IICT Auteurs : Joris Blatti Version 1.0, Septembre 2010 Objectifs du laboratoire Ce laboratoire est composé de le premier d une suite de manipulations dans laquelle nous

Plus en détail

Profil de protection d un pare-feu industriel

Profil de protection d un pare-feu industriel Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

Configuration firewall. Cette fiche explique la configuration du firewall intégré à NetXServ. Version 2.0. Date 28/12/2011 Validation

Configuration firewall. Cette fiche explique la configuration du firewall intégré à NetXServ. Version 2.0. Date 28/12/2011 Validation Diffusion : Libre Restreinte Interne Configuration firewall Cette fiche explique la configuration du firewall intégré à NetXServ Version 2.0 Auteur JP MAJ DD Date 28/12/2011 Validation RESIX - 10, rue

Plus en détail

Profil des participants Le cours CCNA Exploration s adresse aux participants du programme Cisco

Profil des participants Le cours CCNA Exploration s adresse aux participants du programme Cisco Présentation et portée du cours : CNA Exploration v4.0 Networking Academy Profil des participants Le cours CCNA Exploration s adresse aux participants du programme Cisco diplômés en ingénierie, mathématiques

Plus en détail

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark Wireshark est un programme informatique libre de droit, qui permet de capturer et d analyser les trames d information qui transitent

Plus en détail

http://manageengine.adventnet.com/products/opmanager/download.html?free

http://manageengine.adventnet.com/products/opmanager/download.html?free Introduction Opmanager est un outil de supervision des équipements réseau. Il supporte SNMP, WMI et des scripts ssh ou Telnet pour récupérer des informations sur les machines. Toutefois les machines doivent

Plus en détail

La VOIP :Les protocoles H.323 et SIP

La VOIP :Les protocoles H.323 et SIP La VOIP :Les protocoles H.323 et SIP PLAN La VOIP 1 H.323 2 SIP 3 Comparaison SIP/H.323 4 2 La VOIP Qu appelle t on VOIP? VOIP = Voice Over Internet Protocol ou Voix sur IP La voix sur IP : Le transport

Plus en détail

Travaux pratiques 2.6.2 : Utilisation de Wireshark pour afficher des unités de données de protocole

Travaux pratiques 2.6.2 : Utilisation de Wireshark pour afficher des unités de données de protocole pour afficher des unités de données de protocole Objectifs pédagogiques Expliquer l objectif d un analyseur de protocoles (Wireshark) Exécuter une capture de base des unités de données de protocole (PDU)

Plus en détail

La VoIP: Les protocoles SIP, SCCP et H323. Jonathan BRIFFAUT Alexandre MARTIN

La VoIP: Les protocoles SIP, SCCP et H323. Jonathan BRIFFAUT Alexandre MARTIN La VoIP: Les protocoles SIP, SCCP et H323 Jonathan BRIFFAUT Alexandre MARTIN Plan Rappel VOIP SIP H323 SCCP 2 Rappel Bref sur la VOIP Voix sur IP (1996) Le transport sur IP est moins cher que le RTC La

Plus en détail

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir. Mise à jour: Mars 2012 Objectif du module Réseaux Informatiques [Archi/Lycée] http://fr.wikipedia.org/ Nicolas Bredèche Maître de Conférences Université Paris-Sud bredeche@lri.fr Acquérir un... Ressources

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 69 Audit et Sécurité Informatique Chap 2: Firewall et Règles de Filtrage ACL Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2 / 69 Plan

Plus en détail

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet REALSENTRY TM Gestion, Performance et Sécurité des infrastructures Web La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet L authentification

Plus en détail

http://adminrezo.fr Nicolas Dewaele Généralités sur les réseaux informatiques Encapsulation

http://adminrezo.fr Nicolas Dewaele Généralités sur les réseaux informatiques Encapsulation Encapsulation Demande de page par HTTP Client : 9.68.0.99 Serveur :.8.0.86 Get 00 OK L encapsulation Détails de cette requête HTTP : Niveau application, infos lisibles par l utilisateur : HTTP : Get www.google.fr

Plus en détail

Table des matières AVANT-PROPOS... MODULE 1 : ENVIRONNEMENT... 1-1 MODULE 2 : ATTAQUES COURANTES... 2-1

Table des matières AVANT-PROPOS... MODULE 1 : ENVIRONNEMENT... 1-1 MODULE 2 : ATTAQUES COURANTES... 2-1 Table des matières AVANT-PROPOS... MODULE 1 : ENVIRONNEMENT... 1-1 Problématiques de la sécurité... 1-2 Domaines de la sécurité... 1-4 Buts de la sécurité informatique... 1-6 Niveaux de sécurité... 1-7

Plus en détail

FORMATION CN01b CITRIX NETSCALER - IMPLÉMENTATION POUR LES SOLUTIONS XENDESKTOP OU XENAPP

FORMATION CN01b CITRIX NETSCALER - IMPLÉMENTATION POUR LES SOLUTIONS XENDESKTOP OU XENAPP FORMATION CN01b CITRIX NETSCALER - IMPLÉMENTATION POUR LES SOLUTIONS XENDESKTOP OU XENAPP Contenu de la formation CN01B CITRIX NETSCALER IMPLEMENT. POUR LES SOLUTIONS XENDESKTOP/XENAPP Page 1 sur 7 I.

Plus en détail

Topologies et Outils d Alertesd

Topologies et Outils d Alertesd Topologies et Outils d Alertesd IDS / IDP DEFINITIONS IDS : SDI / Système de détection d intrusion IDP : SPI / Système de protection d intrusion IDS / IDP Statfull matriciels ACTIVITE IDP : Coupe circuit

Plus en détail

Cisco Certified Network Associate

Cisco Certified Network Associate Cisco Certified Network Associate Version 4 Notions de base sur les réseaux Chapitre 3 01 Quel protocole de la couche application sert couramment à prendre en charge les transferts de fichiers entre un

Plus en détail

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists).

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists). 1 LINUX FIREWALL Introduction Un firewall ou pare-feu est un des composants essentiel à la sécurité informatique d un réseau. Il va permettre d isoler une ou plusieurs machines ou réorienter les requêtes

Plus en détail

QoS et Multimédia SIR / RTS. Mécanismes et protocoles pour les applications multimédia communicantes

QoS et Multimédia SIR / RTS. Mécanismes et protocoles pour les applications multimédia communicantes QoS et Multimédia SIR / RTS Mécanismes et protocoles pour les applications multimédia communicantes Isabelle Guérin Lassous Isabelle.Guerin-Lassous@ens-lyon.fr http://perso.ens-lyon.fr/isabelle.guerin-lassous

Plus en détail

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité VoIP : Introduction à la sécurité 1 Sommaire Principes de base de la VoIP Introduction à la sécurité de la VoIP Vulnérabilités et mécanismes de protection Points durs 2 Définitions Concept de convergence

Plus en détail

NetCrunch 6. Superviser

NetCrunch 6. Superviser AdRem NetCrunch 6 Serveur de supervision réseau Avec NetCrunch, vous serez toujours informé de ce qui se passe avec vos applications, serveurs et équipements réseaux critiques. Documenter Découvrez la

Plus en détail

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Fonctionnement de Iptables. Exercices sécurité. Exercice 1 Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis.

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique Fiche Technique Cisco Secure Access Control Server Solution Engine Cisco Secure Access Control Server (ACS) est une solution réseau d identification complète qui offre à l utilisateur une expérience sécurisée

Plus en détail

Partagez plus avec Christie Brio

Partagez plus avec Christie Brio Partagez plus avec Christie Brio Plus de productivité. Plus de travail en équipe. Plus de choix Sommaire Christie Brio Enterprise Guide de déploiement Présentation..2 Où installer le boitier sur le réseau..

Plus en détail

Bénéfices de Citrix NetScaler pour les architectures Citrix

Bénéfices de Citrix NetScaler pour les architectures Citrix Bénéfices de Citrix NetScaler pour les architectures Citrix 15 novembre 2007 Auteurs: Mahmoud EL GHOMARI E-mail: mahmoud.elghomari@eu.citrix.com Stéphane CAUNES E-mail: stephane.caunes@eu.citrix.com Riad

Plus en détail

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1 Formation A2IMP Acquisition d information sur les autres Frédéric Bongat IPSL Formation A2IMP 1 Idée : corréler des informations via d autres Informations de base Connaître l horodatage (date, heure) des

Plus en détail

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité 1. Présentation Nmap est un outil open source d'exploration réseau et d'audit de sécurité, utilisé pour scanner de grands

Plus en détail

DATASET / NETREPORT, propose une offre complète de solutions dans les domaines suivants:

DATASET / NETREPORT, propose une offre complète de solutions dans les domaines suivants: Présentation Société DATASET / NETREPORT, propose une offre complète de solutions dans les domaines suivants: Outils d aide à la décision Gamme DATASET Solutions de gestion temps réel du système d information

Plus en détail

SIP. Sommaire. Internet Multimédia

SIP. Sommaire. Internet Multimédia Internet Multimédia Le Protocole SIP 2011 André Aoun - Internet Multimédia SIP - 1 Sommaire 1. Présentation 2. Entités SIP 3. Méthodes et réponses 4. User Agent 5. Registrar 6. Proxy 7. Redirect Server

Plus en détail

Test d un système de détection d intrusions réseaux (NIDS)

Test d un système de détection d intrusions réseaux (NIDS) Test d un système de détection d intrusions réseaux (NIDS) La solution NETRANGER CISCO SECURE IDS Par l Université de Tours Thierry Henocque Patrice Garnier Environnement du Produit 2 éléments Le produit

Plus en détail

Notice du LiveCD Spécialité Réseaux

Notice du LiveCD Spécialité Réseaux Notice du LiveCD Spécialité Réseaux 21 2 Ethereal : Ethereal est un sniffer de réseau, il capture les trames circulant sur le réseau, en permet l'analyse et sépare suivant l'encapsulation les différnetes

Plus en détail

Manuel d utilisation v1.0

Manuel d utilisation v1.0 Link Gate SIP (Firmware version 1.20) Manuel d utilisation v1.0 Sommaire Paramètres techniques & fonctionnalités... page 3 1. Choix du mode de fonctionnement (P2P ou SIP Serveur)... page 3 2. Mise en place...

Plus en détail

Sécurisation du réseau

Sécurisation du réseau Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités

Plus en détail

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49 Filtrage dynamique Linux noyau >= 2.4 netfilter : Iptables Cisco propose les CBAC (IOS Firewall) *BSD avec IPFilter Packet filter Beaucoup de Pare Feu utilise du filtrage dynamique Principe Fonctionnement

Plus en détail

IHM OpIOS. Auteur : Hozzy TCHIBINDA. 08 Mars 2014 Version 1.2. Quelques fonctionnalités utiles. www.openip.fr

IHM OpIOS. Auteur : Hozzy TCHIBINDA. 08 Mars 2014 Version 1.2. Quelques fonctionnalités utiles. www.openip.fr IHM OpIOS Quelques fonctionnalités utiles Auteur : Hozzy TCHIBINDA 08 Mars 2014 Version 1.2 www.openip.fr Table des matières 1 Présentation 2 2 Personnalisation de l OpIOS 3 2.1 Configuration des utilisateurs.................................

Plus en détail

VoIP Sniffing IHSEN BEN SALAH (GL 3) MAHMOUD MAHDI (GL 3) MARIEM JBELI (RT 2) SAFA GALLAH (RT 3) SALAH KHEMIRI (RT 3) YOUSSEF BEN DHIAF (GL 3)

VoIP Sniffing IHSEN BEN SALAH (GL 3) MAHMOUD MAHDI (GL 3) MARIEM JBELI (RT 2) SAFA GALLAH (RT 3) SALAH KHEMIRI (RT 3) YOUSSEF BEN DHIAF (GL 3) VoIP Sniffing IHSEN BEN SALAH (GL 3) MAHMOUD MAHDI (GL 3) MARIEM JBELI (RT 2) SAFA GALLAH (RT 3) SALAH KHEMIRI (RT 3) YOUSSEF BEN DHIAF (GL 3) Table des matières: 1. Présentation de l atelier... 2 2. Présentation

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant RÉSEAUX INFORMATIQUES

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant RÉSEAUX INFORMATIQUES RÉSEAUX INFORMATIQUES Page:1/13 Objectifs de l activité pratique : Réseau Ethernet : - câblage point à point, test d écho ; commandes «mii-tool» et «linkloop» Commutation Ethernet : - câblage d un commutateur

Plus en détail

Administration réseau Introduction

Administration réseau Introduction Administration réseau Introduction A. Guermouche A. Guermouche Cours 1 : Introduction 1 Plan 1. Introduction Organisation Contenu 2. Quelques Rappels : Internet et le modèle TCP/ Visage de l Internet Le

Plus en détail

Configuration du driver SIP dans ALERT. V2

Configuration du driver SIP dans ALERT. V2 Micromedia International Etude technique Configuration d Alert pour SIP Auteur : Pierre Chevrier Société : Micromedia International Date : 26/08/2013 Nombre de pages : 19 Configuration du driver SIP dans

Plus en détail

Cisco PACKET TRACER Prise en main du logiciel

Cisco PACKET TRACER Prise en main du logiciel Packet Tracer : Manuel de prise en main 1/8 Présentation de l écran principal Cisco PACKET TRACER Prise en main du logiciel Il dispose d une barre de menu classique D une barre d outil principale comportant

Plus en détail

SecurActive NSS-500. Plateforme de Surveillance réseau et sécurité

SecurActive NSS-500. Plateforme de Surveillance réseau et sécurité Plateforme de Surveillance réseau et sécurité Solution SecurActive NSS SecurActive NSS est une plateforme de surveillance réseau et sécurité basée sur un moteur d analyse innovant. SecurActive NSS capture

Plus en détail

Formations. «Hacking Edition» Certilience formation N 82 69 10164 69 - SIRET 502 380 397 00021 - APE 6202A - N TVA Intracommunautaire FR17502380397

Formations. «Hacking Edition» Certilience formation N 82 69 10164 69 - SIRET 502 380 397 00021 - APE 6202A - N TVA Intracommunautaire FR17502380397 Formations «Hacking Edition» Nos formations Réf. HAC01 35 Heures Les techniques d attaques Réf. HAC02 21 Heures Vulnérabilités réseaux et applicatives Réf. HAC03 21 Heures Sécurité des applications Web

Plus en détail

CENTRE DE RESSOURCES INFORMATIQUES IFMA -------

CENTRE DE RESSOURCES INFORMATIQUES IFMA ------- CENTRE DE RESSOURCES INFORMATIQUES IFMA ------- CONSULTATION POUR DEMANDE DE DEVIS CAHIER DES CHARGES RELATIF AU CHANGEMENT DU FIREWALL DE L IFMA --------------- Date limite d envoi de l'offre : 3 septembre

Plus en détail

change de peau! Club Utilisateurs Qual IT 10 Octobre 2013

change de peau! Club Utilisateurs Qual IT 10 Octobre 2013 change de peau! Agenda Pourquoi ces évolutions? La logique d évolution Présentation de la version 5.0 Nouvelles fonctionnalités, démonstration Roadmap Les évolutions prévues en 2014 et échange Clients,

Plus en détail

Travaux Pratiques. Octobre 2015 CESI

Travaux Pratiques. Octobre 2015 CESI Travaux Pratiques Octobre 2015 CESI 1. Adressage dans Internet 1.1 Identification d une machine Une machine (appelée aussi hôte ou host) est identifiée dans l Internet par son adresse. L adresse Internet

Plus en détail

SIP. Plan. Introduction Architecture SIP Messages SIP Exemples d établissement de session Enregistrement

SIP. Plan. Introduction Architecture SIP Messages SIP Exemples d établissement de session Enregistrement SIP Nguyen Thi Mai Trang LIP6/PHARE Thi-Mai-Trang.Nguyen@lip6.fr UPMC - M2 Réseaux - UE PTEL 1 Plan Introduction Architecture SIP Messages SIP Exemples d établissement de session Enregistrement UPMC -

Plus en détail

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications Tunnels et VPN 20/02/2008 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement

Plus en détail

Sécurité des réseaux Les attaques

Sécurité des réseaux Les attaques Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques

Plus en détail

Serveur Appliance IPAM et Services Réseaux

Serveur Appliance IPAM et Services Réseaux Page 1 Datasheet Serveur Appliance IPAM et Services Réseaux SIMPLIFER LE DEPLOIEMENT DE VOS ARCHITECTURES & DHCP Les services d adressage et de nommage sont au cœur de votre système d information, car

Plus en détail

THE SPEEDTOUCH AND UNIVERSAL PLUG N PLAY De Gert Marynissen - Thomson Multimedia

THE SPEEDTOUCH AND UNIVERSAL PLUG N PLAY De Gert Marynissen - Thomson Multimedia THE SPEEDTOUCH AND UNIVERSAL PLUG N PLAY De Gert Marynissen - Thomson Multimedia La technique en arrière plan : UPnP utilise principalement des techniques éprouvées ainsi que des standards connus : TCP/IP,

Plus en détail

Table des matières. Date : Version : 29/06/2013 1.1. Objet : OpenVas 6.0

Table des matières. Date : Version : 29/06/2013 1.1. Objet : OpenVas 6.0 Cette œuvre est mise à disposition selon les termes de la Licence Creative Commons Paternité - Pas d'utilisation Commerciale 3.0 non transposé. Le document est librement diffusable dans le contexte de

Plus en détail

Programme formation pfsense Mars 2011 Cript Bretagne

Programme formation pfsense Mars 2011 Cript Bretagne Programme formation pfsense Mars 2011 Cript Bretagne I.Introduction : les réseaux IP...2 1.A.Contenu pédagogique...2 1.B....2 1.C...2 1.D....2 II.Premiers pas avec pfsense...2 2.A.Contenu pédagogique...2

Plus en détail

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion Atelier IDS Snort Outil de Détection d intrusion Introduction Les systèmes de détection d intrusion ou IDS pour (Intrusion Detection System) sont indispensables pour la sécurité du réseau, ils permettent

Plus en détail

TP SIMULATION RESEAU Logiciel PACKET TRACER

TP SIMULATION RESEAU Logiciel PACKET TRACER TP SIMULATION RESEAU Logiciel PACKET TRACER Objectif du TP : Choix du matériel pour faire un réseau Comprendre l adressage IP Paramétrer des hôtes sur un même réseau pour qu ils communiquent entre eux

Plus en détail

SIEMENS LX / Cloud OpenIP

SIEMENS LX / Cloud OpenIP Sommaire Sommaire... 2 Pré requis / capacités... 3 Techniques... 3 Versions... 3 Mise en place de la solution SIEMENS LX virtualisée...4 Avec l offre Concentrateur MPLS...4 Avec l offre Concentrateur VPN

Plus en détail

Mettre en place un accès sécurisé à travers Internet

Mettre en place un accès sécurisé à travers Internet Mettre en place un accès sécurisé à travers Internet Dans cette partie vous verrez comment configurer votre serveur en tant que serveur d accès distant. Dans un premier temps, les méthodes pour configurer

Plus en détail

Contrôle d accès Centralisé Multi-sites

Contrôle d accès Centralisé Multi-sites Informations techniques Contrôle d accès Centralisé Multi-sites Investissement et exploitation optimisés La solution de contrôle d accès centralisée de Netinary s adresse à toute structure souhaitant proposer

Plus en détail