Sécurité des réseaux. 1. Introduction Tendances. Stéphane Lohier

Dimension: px
Commencer à balayer dès la page:

Download "Sécurité des réseaux. 1. Introduction Tendances. Stéphane Lohier lohier@univ-mlv.fr"

Transcription

1 Sécurité des réseaux 1. Introduction Tendances 1. Introduction Ø Tendances et chiffres Ø Pourquoi sécuriser? 2. Les attaques Ø Techniques d intrusion Phishing Crackage Sniffing Spoofing Malwares Ø Déni de service Smurfing TCP-SYN Flooding DDOS 3. Les défenses matérielles Ø Concepts Ø NAT et PAT Ø Les firewalls Ø DMZ Ø Proxy Ø IDS Ø VPN 4. Les défenses logicielles Ø Antivirus Ø Cryptographie Ø Hash Ø Signature Ø Authentification Ø Certificats Quelques statistiques : Ø 160 disparitions de matériel informatique par jour en France Ø + de 80% du trafic mondial est du spam (très souvent vérolé) Ø + de sites de phishing sont actifs (durée de vie moyenne 4 jours) Ø le coût moyen d'un incident de sécurité est de * Ø dans 20% des attaques, les entreprises mettent plus d'une semaine pour revenir à une situation de fonctionnement normal Ø 2/3 des entreprises françaises estiment avoir une dépendance forte vis à vis de leur système d'information, 1/4 d'entres elles seulement a mis en place une politique de sécurité (sources : Gartner, Radicati Group, APWG, Canalys, Clusif) Stéphane Lohier 1 * L hameçonnage, phishing ou filoutage est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité (wikipedia) Introduction Tendances 1. Introduction Tendances * * Un logiciel malveillant ou maliciel (en anglais : malware) est un programme développé dans le but de nuire à un système informatique, sans le consentement de l'utilisateur infecté (wikipedia)

2 1. Introduction Tendances 1. Introduction Tendances * * Un exploit est un élément de programme permettant à un individu ou un logiciel malveillant d'exploiter une faille de sécurité informatique dans un système d'exploitation ou dans un logiciel. (wikipedia) Introduction Tendances 1. Introduction Quelques chiffres 7 8 2

3 1. Introduction Quelques chiffres 1. Introduction Quelques chiffres Introduction Pourquoi sécuriser 1. Introduction Pourquoi sécuriser? Pourquoi les systèmes sont-ils vulnérables? Ø Émergence en permanence de nouveaux usages et de nouvelles technologies et donc de nouvelles vulnérabilités (réseaux sociaux, peer to peer, messagerie instantanée, réseaux sans fil, smartphone connectés en WiFi ou en 4G, téléphonie sur IP, stockage sur cloud ) ; Ø Politiques de sécurité complexes (où placer un ou des firewalls, quels fichiers crypter, quelle type de VPN, quels droits pour les administrateurs? ) ; Ø Politiques de sécurité basées sur des jugements humains ; Ø La sécurisation est coûteuse en moyens, en temps et surtout en ressources humaines. Quatre principaux objectifs de la sécurité : Ø L'intégrité : garantir que les données sont bien celles qu'on croit être ; Ø La confidentialité : assurer que seules les personnes autorisées ont accès aux ressources ; Ø La disponibilité : garantir l accès aux données de tout type ; Ø La non répudiation : garantir qu'une transaction ne peut être niée par l un des participants. Écoute Espionnage Usurpation Phishing Détournement Antispy DMZ Authentification Spoofing Certificats VPN Filtrage Cryptage Confidentialité Virus Antivirus Vers Information Filtrage Déni de service Filtrage Intégrité Disponibilité Altération Redondance Cryptage Erreurs Sauvegardes Intrusion Authentification Pannes Antispam Spam

4 2. Les attaques Types d attaque 1. Techniques d intrusion Ø Les accès physiques vont du vol de disque dur ou de portable à l écoute du trafic sur le réseau (sniffing) ; Ø L ingénierie sociale (social engineering) permet de retrouver ou de récupérer directement des couples identifiant/mot de passe en envoyant par exemple des messages falsifiés (phishing) ; Ø L interception de communications permet l usurpation d'identité, le vol de session (session hijacking), le détournement ou l altération de messages (spoofing) ; Ø Les intrusions sur le réseau comprennent le balayage de ports (port scan), l élévation de privilèges (passage du mode utilisateur au mode administrateur) et surtout les malwares (virus, vers et chevaux de Troie). 2. Les attaques Le sniffing Sur la plupart des réseaux, les trames sont diffusées sur tout le support (câble Ethernet, transmission radio WiFi ). En fonctionnement normal, seul le destinataire reconnaît son adresse (adresse MAC destination sur un réseau Ethernet) et lit le message. La carte Ethernet ou Wifi d un PC peut être reprogrammée pour lire tous les messages qui traversent le réseau (promiscious mode). Les hackers utilisent des «sniffers» ou analyseurs réseau tels wireshark pour trouver des identités et des mots de passe dans des dialogues POP3, FTP ou encore des données personnels dans le corps des messages (social engineering). La limite à priori est le dispositif d interconnexion utilisé sur le LAN ou le segment de LAN (switch, AP WiFi, routeur ). Le remote sniffing (daemon rpcap) permett de renvoyer le trafic capturé sur un réseau vers le réseau du hacker. L usurpation d adresse MAC permet de rediriger sur le switch le trafic de la victime vers la machine de l agresseur Les attaques Le «Crackage» de mot de passe 2. Les attaques Le phishing Le hacker utilise un dictionnaire de mots et de noms propres construit à partir d informations personnelles et privées qui ont été collectées (social engineering). Ces chaînes de caractère sont essayées une à une à l aide de programmes spécifiques qui peuvent tester des milliers de mots de passe à la seconde Mot de! Passe! 3! Mot de! Passe! 2! Mot de! Passe! 1! Exemple : «John the ripper» Toutes les variations sur les mots peuvent être testées : mots écrits à l envers, majuscules et minuscules, ajout de chiffres ou de symboles. Ce type d attaque est souvent nommé attaque par force brute car le mot de passe est deviné grâce à des milliers d essais successifs à partir d un dictionnaire, et non pas retrouvé à l aide d un programme capable de décrypter une chaîne de caractères. Néologisme anglais, contraction de " fishing «: pêcher, et de " phreaking " : pirater le réseau téléphonique (hameçonnage en français). Il s agit de conduire des internautes à divulguer des informations confidentielles, et notamment bancaires, en usant d un hameçon, fait de mensonge et de contrefaçon électronique (identité visuelle d un site connu, en-têtes, logo ). Le cas le plus classique est celui d un mail usurpant l identité de votre banque et contenant un lien vers un faux site où on vous demandera de confirmer votre numéro de carte bleue. Le phishing utilise également des virus qui installent des programmes espions afin d intercepter la frappe des données confidentielles sur le clavier (keyloggers) pour les transmettre ensuite sur un site où le «phisher» pourra les récupérer

5 2. Les attaques Les keyloggers 2. Les attaques Le Spoofing Programmes installés à votre insu sur votre PC et capables d enregistrer toutes les séquences de touches frappées sur un clavier : login, mot de passe, numéro de compte, numéro de carte bancaire... Le keylogger crée un fichier caché (.log) sur votre système susceptible d être ensuite transmis via Internet. Le fichier log peut ainsi contenir ainsi toutes les séquences de touches pour chaque fenêtre ouverte sur votre système La plupart des banques proposent une saisie du code personnel à la souris. L IP spoofing (to spoof : «faire passer pour, usurper») Ø L agresseur prétend provenir d une machine interne pour pénétrer sur le réseau privé. Ø Cette attaque basique peut être simplement bloquée avec un pare-feu (firewall) au niveau du routeur d accès qui éliminera les paquets entrants avec une adresse IP source source usurpée : Pirate LAN Privé Routeur d accès Internet Réseau Les attaques Le Spoofing (2) 2. Les attaques Le Spoofing (3) L ARP spoofing ou ARP poisoning Ø L'attaquant émet une requête ARP en unicast vers la victime A en spécifiant comme adresse IP émettrice celle de B et en indiquant sa propre adresse MAC comme l'adresse MAC de l'émetteur; idem vers la victime B (souvent un routeur). Ø Une fois les tables ARP de A et B falsifiées, tout le trafic est routé par l attaquant. Ø La même attaque peut être réalisée avec un ARP Reply mais la plupart des systèmes se protègent de cette attaque en n'acceptant que les réponses à des requêtes préalablement envoyées. Le mail Spoofing Ø Les courriers électroniques sur Internet sont également sujet au spoofing : une adresse d expéditeur peut être falsifiée simplement dans la mesure où elle ne comporte pas de pas de signature numérique. Ø Le protocole d envoi de messages SMTP n est pas sécurisé. Le DNS spoofing Ø Le pirate utilise les faiblesses du protocole DNS et de son implémentation sur les serveurs de noms de domaine pour rediriger des internautes vers des sites falsifiés. Ø Le but du pirate est donc de faire correspondre l'adresse IP d'une machine qu'il contrôle à l URL réel d'une machine publique. Ø Deux attaques de type DNS Spoofing : Le DNS ID Spoofing basé sur la récupération et l exploitation dans une fausse réponse du numéro d'identification contenu dans une requête DNS ; Le DNS Cache Poisoning qui corromps (empoisonne) avec de fausses adresses le cache des serveurs DNS

6 2. Les attaques Le Spoofing (4) 2. Les attaques Les virus Le web spoofing Ø Version élaborée de l IP spoofing. Ø Il s'agit de remplacer un site par une version pirate du même site. Ø Technique notamment utilisée dans la dernière étape du phishing. Ø La falsification se déroule en plusieurs temps : Amener la victime à entrer dans le faux site web (grâce à l utilisation du DNS spoofing par exemple) Intercepter les requêtes HTTP ; Récupérer les vraies pages web et modifier ces pages ; Envoyer de fausses pages à la victime. Nom souvent utilisé pour désigner sans distinction tout type d attaque. En vérité, programme qui se propage à l aide d autres programmes ou de fichiers. Souvent simples et faciles à détecter à partir de leur code (signature). Efficaces, car ils se propagent plus vite que les anti-virus peuvent être mis à jour. Passent le plus souvent par la messagerie Conséquences de l exécution d un virus : Ø simple modification des paramètres d une application (page par défaut du navigateur). Ø Modification de la base de registre du système (exécution automatique d un programme commercial à chaque démarrage). Ø Effacement de données ou de fichiers essentiels au système d exploitation Les attaques Les rootkits 2. Les attaques Les vers Un rootkit est un malware qui installe une série d outils permettant à un pirate d accéder à distance à un ordinateur. Deux types de rootkit : Ø Les rootkits en mode utilisateur (les plus courants) fonctionnent au sein de l OS comme une application. Ils exécutent leur comportement malicieux en piratant les applications en fonctionnement sur le PC ou en remplaçant la mémoire utilisée par une application ; Ø Les rootkits en mode noyau fonctionnent au niveau le plus profond du système d exploitation du PC et donnent au pirate une série de privilèges plus puissants. Un ver (worm) est un programme capable de se propager et de s'auto-reproduire sans l'utilisation d'un programme quelconque (d un vecteur) ni d'une action par une personne. La particularité des vers ne réside pas forcément dans leur capacité immédiate de nuire mais dans leur facilité pour se propager grâce par exemple aux listes de contacts présentes sur les PC ou les smartphones. L exemple de Blaster (LovSan) : Ø Apparu en 2003, Blaster a infecté des centaines de milliers de PC Ø Blaster est programmé pour scanner une plage d'adresses IP aléatoire à la recherche de systèmes vulnérables à la faille RPC sur le port 135 (windows XP). Ø Lorsqu'une machine vulnérable est trouvée, le ver ouvre un shell distant sur le port TCP 4444, et force la machine distante à télécharger une copie du ver dans le répertoire %WinDir% \system32 en lançant une commande TFTP (port 69 UDP) pour transférer le fichier à partir de la machine infectée. Ø Une fois le fichier téléchargé, il est exécuté, puis il crée des entrées dans la base de registre afin de se relancer automatiquement à chaque redémarrage : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

7 2. Les attaques Les chevaux de Troie (troyans) 2. Les attaques Le troyan Ginmaster Un cheval de Troie (troyan) est programme caché dans un autre programme qui s exécute au démarrage du programme «hôte». Le nom provient d'une légende narrée dans l'iliade (Homère) à propos du siège de la ville de Troie par les Grecs. Il permet donc de s'introduire sur le système à l insu de la victime : ouverture d une «porte dérobée» ou backdoor, généralement un port. Le cheval de Troie devient alors autonome et peut agir comme un virus en infectant des données ou des programmes Les attaques Le scan de ports 2. Les attaques Le Déni de service Le scan de port permet de connaitre les ports ouverts ou fermés sur une machine distante mais aussi potentiellement : Ø les versions des services qui tournent ; Ø les types de systèmes d'exploitation et leurs versions ; Ø la présence d'un firewall ; Ø les ports ouverts sur le firewall; Ø la politique de filtrage en fonction d'adresses IP spécifiques ; Ø etc. Ce type d attaque nommé en anglais Denial Of Service ou DOS empêche par saturation un service de fonctionner correctement sur une machine. Par exemple le «Ping of the death» est la plus ancienne des attaques de type DOS : un ping continu avec une taille de paquet maximum est lancé vers la machine cible. Tous les OS récents empêchent ce type d attaque. Une variante connue sous le nom de smurfing est basée sur l envoi d un «echo request» ICMP avec comme adresse source celle de la victime et une adresse destination de diffusion. Les réponses «echo reply» provenant de toutes les machines du réseau vers la machine de la victime saturent celle-ci. Cette vulnérabilité a également été supprimée sur tous les OS récents

8 2. Les attaques TCP-SYN Flooding 2. Les attaques TCP-SYN Flooding Cette attaque consiste à inonder (flooding) la cible à l aide de demandes successives d ouverture de connexion TCP. Lors d une ouverture normale : Ø le premier segment TCP est transmis par le client avec le bit SYN à 1 pour demander l ouverture ; Ø le serveur répond avec dans son segment TCP les bits SYN et ACK à 1 ; Ø le client demandeur conclut la phase avec le bit ACK à 1. Les abus interviennent au moment où le serveur a renvoyé un accusé de réception (SYN ACK) au client mais n a pas reçu le «ACK» du client. C est alors une connexion à semi-ouverte et l agresseur peut saturer la structure de données du serveur victime en créant un maximum de connexions partiellement ouvertes. Le client autorisé ne pourra alors plus ouvrir de connexion. Il existe plusieurs méthodes simples pour parer cette attaque : Ø la limitation du nombre de connexions depuis la même source ou la même plage d'adresses IP ; Ø la libération des connexions semi-ouvertes selon un choix de client et un délai aléatoires ; Ø la réorganisation de la gestion des ressources allouées aux clients en évitant d'allouer des ressources tant que la connexion n'est pas complètement établie Les attaques Le DDOS 2. Les attaques Le DDOS Le Distributed denial-of-service ou déni de service distribué à les mêmes effets que le DoS traditionnel excepté qu'ici ce n'est plus une seule machine qui attaque les autres mais une multitude de machines «zombies» contrôlées par un maître unique. Maître L attaque se déroule en plusieurs étapes : Ø Recherche sur Internet d'un maximum de machines vulnérables qui deviendront des complices involontaires, des «zombies». Ø Les réseaux de zombies («botnet» en anglais) ainsi formés sont une ressource précieuse pour les hackers ; Daemons Contrôle Daemons Daemons Réseau de zombies Daemons Ø Installation sur ces machines de programmes dormants (daemons) et suppression des traces éventuelles (logs) ; Ø Les daemons sont basés sur les attaques DOS classiques (paquets UDP multiples, SYN Flood, buffer overflow ) ; Ø Activation du dispositif à l'heure et au jour programmé. Attaque distribuée Victime Parmi les attaques DDoS très populaires, on connaît l'attaque sur les sites internet Yahoo, CNN, Amen et EBay qui ont subit une inondation de leur réseau

9 2. Les attaques Sécurité des smartphones 2. Les attaques Répartition des attaques Les attaques sur les smartphones peuvent être spécifiques : Ø Attaques basées sur les SMS et MMS (pièce jointe infectée, DDOS ) ; Ø Attaques basées sur les réseaux de communication : Craquage des algorithmes de chiffrement GSM ; Craquage du réseau WiFi ; Virus transmis dans un fichier envoyé vers un smartphone en mode découverte Bluetooth. Ø Attaques basées sur les failles du navigateur Web (jailbreak de l Iphone basé sur les vulnérabilité de Safari). Ø Attaques basées sur les failles du système. Ø Malwares spécifiques (RedBrowser, FlexiSpy ) Les attaques Questions sur les attaques 3. Les défenses matérielles Concepts Quels sont les deux grands types d attaque? À quels domaines de sécurité (intégrité, confidentialité, disponibilité) se rapportent ces deux types? Quelle est la différence entre virus et vers? Dans quelle mesure ces derniers sont-ils plus dangereux? Quelles attaques sont considérées comme des dénis de service? Le spoofing Le flooding Les virus Le phishing Le spamming Dans une attaque de type DDOS : Une machine maître contrôle d autres machines qui pourront réaliser une attaque distribuée sur la cible Une machine maître inonde des machines cible à l aide d applications distribuées L objectif est de paralyser la machine cible 35 Défense en profondeur Ø Plusieurs mesures de sécurité valent mieux qu'une. Ø Par exemple Anti-spam sur les serveurs de messagerie ET sur les postes de travail. Interdiction par défaut Ø On ne connaît jamais à l'avance toutes les menaces qu'on va subir. Ø Il est mieux d'interdire tout ce qui n'est pas explicitement permis que de permettre tout ce qui n'est pas explicitement interdit. Participation des utilisateurs Ø Un système de protection n'est efficace que si tous les utilisateurs le supportent. Ø Un système trop restrictif pousse les utilisateurs à devenir créatifs Simplicité Ø La plupart des problèmes de sécurité ont leur origine dans une erreur humaine. Ø Dans un système simple : le risque d'erreur est plus petit ; il est plus facile de vérifier son bon fonctionnement. Principe du moindre privilège Ø Chaque élément d'un système (utilisateur, logiciel) ne doit avoir que le minimum de privilèges nécessaires pour accomplir sa tâche : Utilisateurs, utilisateur avancés, administrateurs ; Un serveur web est lancé avec un compte limité ; Zone RAM ou disque interdite ; 36 9

10 3. Les défenses matérielles Concepts 3. Les défenses matérielles La translation d adresses - NAT La translation d adresses est basée sur l utilisation des adresses privées, non routables sur Internet : Plusieurs modèles de sécurité : Ø La sécurité par l hôte : chaque machine est sécurisée à un certain niveau (serveurs et stations avec authentification au login et protections locales sur l accès aux ressources) ; Ø La sécurité par le réseau : l accès à l ensemble des ressources du réseau est protégé par un firewall, un VPN, un proxy Plusieurs niveaux de sécurité : Ø Sécurité des données : concerne exclusivement les données à l intérieur du système (cryptographie, protection physique ) Ø Sécurité des réseaux : concerne les données qui transitent entre les systèmes (firewall, VPN ). Classe A Classe B à Classe C à Elle permet d isoler le trafic local du trafic public de l internet et nécessite l utilisation d un translateur d adresse (NAT - Network Adress Translator). Quand un paquet sort, l'adresse source est remplacée par une adresse publique. L'adresse source est donc masquée : masquerading. La translation de port est généralement utilisée conjointement (NAPT) pour éviter les collisions lorsque deux connexions ne sont différentes que par l'adresse interne. Deux niveaux interdépendants d étude : Ø Au niveau de l architecture du réseau (firewall, DMZ, VPN ) ; Ø Au niveau des protocoles utilisés dans le réseau (IPSec, PPTP, authentification, SSH, HTTP-S, cryptographie ) Les défenses matérielles Firewall : Principe 3. Les défenses matérielles Filtrage de paquets Le firewall ou pare-feux est chargé de filtrer les accès entre l Internet et le réseau local ou entre deux réseaux locaux. La localisation du firewall (avant ou après le routeur, avant ou après le NAT..) est stratégique. Le firewall, qui est souvent un routeur possédant des fonctionnalités de filtrage, possède autant d interfaces que de réseaux connectés. Suivant la politique de sécurité, le filtrage est appliqué différemment pour chacune des interfaces d entrée et de sortie (blocage des adresses IP privées entrantes, autorisation des accès entrants vers le serveur web institutionnel ) Les machines d extrémité possèdent également un firewall mais celui-ci est logiciel (pare-feu Windows ou iptables sous Linux par exemple) et sert à protéger les machines du trafic entrant si le firewall à l entrée du LAN n a pas été suffisamment sélectif. Pour chaque trame ou chaque paquet entrant ou sortant sur une interface donnée, les en-têtes correspondant aux différentes couches sont analysés et le filtrage sélectif est appliqué suivant la stratégie de sécurité définie par l administrateur du réseau. Le filtrage peut porter sur : Ø les adresses MAC source ou destination ; Ø les adresses IP source ou destination ; Ø les ports TCP ou UDP source ou destination ; Ø les Flags de l en-tête TCP (SYN, ACK ) ; Ø le type de message ICMP ; Ø le type de message ou le contenu HTTP, SMTP, POP (filtrage applicatif). Serveur d accès LAN privé Intranet Firewall Routeur d accès Internet LAN privé Firewall?? HTTP?? SMTP Internet Serveurs accessibles depuis Internet

11 3. Les défenses matérielles Filtrage sur les entrées 3. Les défenses matérielles Règles d un Firewall Le firewall peut également empêcher les connexions entrantes en analysant la valeur du bit ACK de l en-tête TCP. Lors d une demande de connexion, le bit ACK du premier segment TCP est à 0, les bits ACK des segments suivants sont généralement tous à 1. Il suffit donc de bloquer les segments entrants avec le bit ACK à 0, les segments suivants pour cette connexion ne seront pas pris en compte SYN=1, ACK=0 SYN=1, ACK=1 La configuration d un firewall passe par l écriture d une suite de règles qui décrivent les actions à effectuer (accepter ou refuser le trafic) suivant les informations contenues dans les en-têtes des paquets. Les caractéristiques de chaque paquet sont comparées aux règles, les unes après les autres. La première règle rencontrée qui correspond aux caractéristiques du paquet analysé est appliquée : l action décrite dans la règle est effectuée. Pour assurer une sécurité maximum, la seule règle présente par défaut doit être celle qui interdit l accès à tous les paquets entrants et sortants, d autres règles seront ensuite insérées pour ouvrir les accès souhaités. La stratégie appliquée est donc : «tout ce qui n'est pas explicitement autorisé est interdit». LAN privé SYN=0, ACK=1 Firewall Internet Les défenses matérielles Exemple de règles d un firewall 3. Les défenses matérielles Firewall : les ACL Cisco Les règles A et B permettent aux machines locales ( ) d ouvrir une connexion sur un serveur web (port 80) externe. Émission (règle C) ou réception (règle D) de courrier SMTP (port 25) avec un serveur externe. Les paquets entrants depuis des supposés serveurs SMTP ne peuvent passer que si la connexion a été initiée de l intérieur (règle D). Blocage de toute autre connexion (règle E). Sur les routeurs Cisco, les ACL (Access Control Lists) permettent de filtrer les paquets entrants ou sortants en fonction des adresses IP source et destination. Il existe 2 types d'acl : Ø standard : uniquement sur les IP sources ; Ø étendue : sur quasiment tous les champs des en-têtes IP, TCP et UDP. Le filtrage sur les paquets peut intervenir : Ø sur l interface d entrée, avant le processus de routage ; Ø sur l interface de sortie, après le processus de routage. Règle dest. Protocole Src Port Dst Port ACK=1 Action A Out TCP > Permit B In TCP 80 >1023 Permit C Out TCP > Permit D In TCP 25 >1023 Yes Permit E All All All All All All Deny

12 3. Les défenses matérielles Firewall : logique des ACL Cisco 3. Les défenses matérielles Firewall : exemples d ACL Cisco Le paquet est vérifié par rapport au 1er critère défini sur les informations contenues dans les en-têtes IP, TCP ou UDP : Ø S'il vérifie le critère, l'action définie est appliquée ; Ø Sinon le paquet est comparé successivement aux ACL suivants ; S'il ne satisfait aucun critère, l'action deny est appliquée. Des masques sont utilisés pour pouvoir identifier une ou plusieurs adresses IP en une seule définition. Le masque défini la portion de l'adresse IP qui doit être examinée : Ø signifie que seuls les 2 premiers octets doivent être examinés ; Ø deny avec : refus de toutes les IP commençant par Syntaxe d'une règle standard : access-list number [deny permit] source [source-wildcard] Ø number compris entre 1 et 99 ou entre 1300 et 1999 Ø Source-wildcard : masque pour la source Syntaxe d'une règle étendue : access-list number [deny permit] protocol source source-wildcard destination dest.-wildcard Ø number : compris entre 100 et 199 ou 2000 et 2699 access-list 1 deny (ou deny host ) access-list 1 permit (ou permit any) Ø Refuse les paquets d'ip source Le masque (également appelé wildcard mask) signifie ici que tous les bits de l'adresse IP sont significatifs. Ø La dernière règle autorise toutes les autres adresses (le masque signifie qu aucun n est significatif) access-list 2 permit Ø Autorise tous les paquets d'ip source /24. Ø Différence avec access-list 2 permit ? access-list 101 deny ip any host Ø Refus des paquets IP à destination de la machine et provenant de n'importe quelle source access-list 102 deny tcp any gt 1023 host eq 23 Ø Refus de paquet TCP provenant d'un port > 1023 et à destination du port 23 de la machine d'ip access-list 103 deny tcp any host eq http Ø Refus des paquets TCP à destination du port 80 de la machine d'ip Les défenses matérielles Firewall : quizz ACL Cisco 3. Les défenses matérielles Firewall sous Linux Netfilter est le module qui fournit à Linux les fonctions de pare-feu, de translation d adresse (NAT) et d'historisation du trafic réseau. Netfilter fonctionne en mode noyau. Il intercepte et manipule les paquets IP entrant et sortant de votre machine. iptables est le programme qui permet à un administrateur de configurer Netfilter. iptables est installé par défaut dans toutes les distributions Linux et est utilisable en mode commande. Des interfaces graphiques sont cependant disponibles pour modifier plus aisément les règles de filtrage ou de translation

13 3. Les défenses matérielles Firewall sous Linux : chaînes 3. Les défenses matérielles Firewall sous Linux : chaînes (2) Par défaut, le programme iptables utilise la table «filter» qui contient trois listes de règles ; Ces listes sont appelées chaînes de firewall ou juste chaînes. Les trois chaînes sont nommées INPUT, OUTPUT et FORWARD : Ø La chaîne INPUT permet de décider ce que l on fait d un paquet entrant. Il peut être accepté (ACCEPT) ou rejeté (DROP) ; Ø La chaîne OUTPUT permet de la même façon de fixer le sort des paquets sortants (ceux qui sont générés localement) ; Ø La chaîne FORWARD permet de transférer sur une autre carte réseau le paquet arrivé sur votre machine. Entrée Décision de routage INPUT FORWARD DROP OUTPUT ACCEPT Une autre table est utilisée pour les translations d adresses : la table «nat». Elle utilise 3 chaînes : Ø PREROUTING, c'est la chaîne qui va être utilisée pour faire du DNAT (Destination NAT) : translation sur adresse destination avant le processus de routage. Ex : pour un paquet entrant vers un serveur web interne et masqué, le routeur va remplacer sa propre IP par l IP du serveur web. Ø POSTROUTING, à la sortie du routeur et utilisée pour faire du SNAT (Source NAT) : masquage d'adresse source après le processus de routage. Ex : un ordinateur local veut sortir sur le WAN, le routeur va remplacer l'ip du paquet émis en local par sa propre IP. Ø OUTPUT, cette chaîne va traiter les réponses émises en local si le paquet avait pour destination le routeur, comme dans le cas de la table filter. Entrée PREROUTING DROP ACCEPT Décision de routage OUTPUT POSTROUTING DROP ACCEPT Sortie DROP ACCEPT Processus local DROP ACCEPT Sortie Processus local DROP ACCEPT Les défenses matérielles Firewall sous Linux : règles 3. Les défenses matérielles Firewall sous Linux : exemple Chaque chaîne est composée d'un ensemble de règles. Quand un paquet atteint une chaîne celle ci va examiner cet ensemble règle par règle pour trouver celle qui lui correspond. Si c'est le cas alors cette règle lui sera appliquée. Finalement s'il n'y a pas de règle qui corresponde à ce paquet, une politique par défaut sera appliquée. Soit le réseau représenté ci-dessous, quel est le rôle des commandes suivantes? La commande iptables permet de spécifier des règles de sélection des paquets IP dans les trois chaînes (INPUT, OUTPUT et FORWARD). Les paquets sont sélectionnées suivant la combinaison : Ø adresse source, adresse destination ; Ø protocole (tcp, udp, icmp, all) ; Ø numéro de port. Pour chaque règle de sélection, on définit une politique : accepter (ACCEPT) ou rejeter (DROP) le paquet. Exemple : on rejette les pings entrants : # iptables -A INPUT -i eth0 -p icmp -j DROP iptables -A INPUT -i eth0 -j ACCEPT iptables -A OUTPUT -o eth0 -j ACCEPT iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE iptables -t nat -A POSTROUTING -s /24 -o ppp0 -j MASQUERADE

14 3. Les défenses matérielles Firewall/Routage/NAT - Exemple 3. Les défenses matérielles Firewall/Routage/NAT - Exemple Pourquoi pour un paquet entrant, la translation est-elle effectuée sur l adresse destination (Destination NAT) avant le routage et le filtrage? Les défenses matérielles Firewall/Routage/NAT - Exemple Pourquoi pour un paquet sortant, la translation est-elle effectuée sur l adresse source (Source NAT) après le filtrage et le routage? 3. Les défenses matérielles DMZ : principe Une zone démilitarisée (ou DMZ de l anglais DeMilitarized Zone) est une zone de réseau privée ne faisant partie ni du réseau local privé ni de l Internet À la manière d'une zone franche au delà de la frontière, la DMZ permet de regrouper des ressources nécessitant un niveau de protection intermédiaire. Comme un réseau privé, elle est isolée par un firewall mais avec des règles de filtrage moins contraignantes, généralement : Ø Traffic Externe -> DMZ autorisé ; Ø Traffic Externe -> Interne interdit ; Ø Traffic Interne -> DMZ autorisé ; Ø Traffic Interne -> Externe autorisé ; Ø Traffic DMZ -> Interne interdit ; Ø Traffic DMZ -> Externe interdit. LAN privé Zone de protection forte Zone de protection intermédiaire Firewall DMZ Routeur d accès Internet

15 3. Les défenses matérielles DMZ : 2 niveaux de Firewall Un niveau supplémentaire de sécurité peut être introduit avec un deuxième firewall. Les règles d accès sur le firewall du réseau local privé sont plus restrictives. La DMZ est située entre les deux firewalls (DMZ «en sandwich») avec des règles moins restrictives introduites par le premier firewall 3. Les défenses matérielles Firewall et DMZ : exemple (1) La règle A du firewall permet aux machines du LAN privé d'accéder à DMZ 2, alors que la règle C est censée l'interdire. Comment remédier à cela? LAN privé Mail DMZ 1 Firewall Internet DMZ 2 LAN privé Firewall 2 Firewall 1 DMZ Routeur d accès web Internet Zone de protection forte Zone de protection intermédiaire Les défenses matérielles Firewall et DMZ : exemple (2) 3. Les défenses matérielles Proxy : principe Un serveur mandataire (Proxy) a pour fonction de relayer des requêtes entre un poste client et un serveur ou un réseau externe. Les serveurs mandataires sont notamment utilisés pour assurer les fonctions suivantes : Ø sécurité du réseau local ; Ø filtrage et anonymat ; Ø accélération de la navigation : mémoire cache, compression des données ; Ø filtrage des publicités ou des contenus lourds (java, flash) ; Ø journalisation des requêtes (logging). Pour certaines fonctionnalités, un Proxy est très proche d un Firewall applicatif. Exemple : proxy http dans un établissement scolaire pour filtrer les accès Internet. Connexion directe virtuelle Requête au serveur Internet Réponse relayée Cache Requête relayée Réponse du serveur Proxy (Serveur mandaté) Internet LAN privé

16 3. Les défenses matérielles Les IDS 3. Les défenses matérielles Architecture d un IDS Un IDS (Intrusion Detection System ) est un surveillant d un système informatique et de ses utilisateurs. L idée de base est de «prévenir plutôt que de guérir». Différentes tâches d un IDS : Ø Monitoring des événements réseau ou système (connexion sur le port 23, 3 tentatives de saisie du mot de passe, tentative d écriture dans une zone mémoire protégée ) ; Ø Audit des événements interne et externe ; Ø Analyse des risques à partir des informations d audit, en temps réel ou à partir des logs ; Ø Alerte de l administrateur en cas d attaque (message sur console, mail, SMS ) ; Ø Éventuellement : reconfiguration dynamique du firewall (filtrage de l'attaquant) ou des serveurs. HIDS HIDS HIDS HIDS Les IDS peuvent intervenir à deux niveaux : Ø détection et analyse du trafic sur le réseau : NIDS (Network IDS), typiquement devant le firewall ; Ø détection et analyse des évènements (logs) sur les serveurs : HIDS (Host IDS). Les IDS sont le plus souvent hybrides : NIDS + HIDS Les défenses matérielles Où placer un NIDS? 3. Les défenses matérielles Classification des IDS Position (1) : Ø détection de toutes les attaques mais log trop complet et analyse trop complexe ; Ø intéressant pour un Honeypot (pot de miel). Position (2): Ø dans la DMZ ; Ø insuffisant contre les attaques vers le LAN. Position (3) : Ø traite les attaques internes ; Ø efficace car 80% des attaques sont depuis ou vers le LAN (virus, DOS ). IDS Méthode de détection Comportement après détection Source des données Fréquence d utililisation Approche comportementale Approche par scénario Passif Actif Audit système Audit applicatif Paquets réseaux Surveillance continue Analyse périodique

17 3. Les défenses matérielles Approche comportementale 3. Les défenses matérielles Approche par scénario IDS Behaviour-based Une attaque est considérée comme un comportement anormal par rapport au comportement de référence. Nécessité de modéliser le profil de l utilisateur à partir : Ø de méthodes statistiques: construction du modèle statistique (moyenne, variance, écart type, ) du comportement normal (temps CPU utilisé, durée d une connexion, ) ; Ø des réseaux de neurones : apprendre à un réseau de neurones le comportement normal d un utilisateur ; il décidera ensuite de la normalité de comportement par rapport à ce qu il a appris (méthode encore dans le domaine de la recherche). Modèle statistique IDS Knowledge-based Basée sur une connaissance à priori des signatures d attaques. Techniques utilisés pour cette approche : Ø Les systèmes experts : une base de connaissance des attaques, et un moteur d inférence du système expert qui décide si une attaque est répertoriée et s est produite ou pas. Ø Le pattern matching : s appuie sur une base de données de signature d attaque et un algorithme chargé de localiser les signatures dans les traces d audit, cette technique est la plus utilisé dans les outils commerciaux. Signatures Capture Analyse Alertes Capture Analyse Alertes Avantage de l approche comportementale : Ø ne nécessite pas une base de scénarios d attaque ; Ø permet la détection de nouvelles attaques. Inconvénient : Ø risque important de «faux positifs», car le comportement peut changer avec le temps. Avantage : Ø Nombre de fausse alarme faible. Inconvénients : Ø Les nouvelles attaques ne sont pas détectés ; Ø Entretien régulier de la base de connaissance ; Ø Les attaque de type abus de privilège ne sont pas détectés Les défenses matérielles Exemples d actions d un IDS 3. Les défenses matérielles Exemple d IDS : SNORT + BASE Ordre envoyé par le NIDS à un équipement tierce (firewall, ACL sur routeurs) pour une reconfiguration immédiate dans le but de bloquer une intrusion (possible par passage des informations détaillant l alerte dans l en tête(s) de paquet(s)). Envoi d une trap SNMP (et le détail des informations le constituant) à une console hyperviseur tierce comme HP OpenView, Tivoli, Cabletron Spectrum, etc. Envoi d un à un ou plusieurs utilisateurs pour notifier d une intrusion sérieuse. Journalisation (log) de l attaque : sauvegarde des détails de l alerte dans une base de données centrale (exemple : de l de la cible, protocole utilisé, payload). Sauvegarde de l ensemble des paquets réseaux (raw packets) capturés et/ou seul(s) les paquets qui ont déclenchés une alerte. Lancement d'un programme extérieur pour exécuter une action spécifique (envoi d un message sms, émission d une alerte auditive ). Envoi d un "ResetKill" : construction d'un paquet TCP FIN pour forcer la fin d une connexion (uniquement valable sur des techniques d intrusions utilisant TCP). Notification visuelle de l alerte : affichage de l alerte dans une ou plusieurs console(s) de management. SNORT est un NDIS open source très utilisé dans le monde LINUX fonctionnant également sous Windows. BASE est une interface graphique écrite en PHP utilisée pour afficher les logs générés par l'ids SNORT

18 3. Les défenses matérielles Les VPN Un VPN (Virtual Private Network) est constitué d un ensemble de LAN privés reliés à travers Internet par un «tunnel» sécurisé dans lequel les données sont cryptées. Les postes distants faisant partie du même VPN communiquent de manière sécurisée comme s ils étaient dans le même espace privé, mais celui-ci est virtuel car il ne correspond pas à une réalité physique. Cette solution permet d utiliser les ressources de connexion de l Internet plutôt que de mettre en place, comme par le passé, une liaison spécialisée privée entre deux sites qui peut être très coûteuse si les sites sont fortement éloignés. Une passerelle matérielle ou logicielle est chargée de gérer le cryptage, l authentification et le contrôle d intégrité. Un VPN repose sur un protocole de «tunnelisation» qui peut intervenir à différents niveaux OSI et dans lequel est définit notamment l algorithme de cryptage. LAN 1 PC nomade Passerelle VPN logicielle Internet LAN 2 3. Les défenses matérielles Exemple de VPN 1. Le PC1 ( ) envoie un paquet vers le serveur web ( ) comme il le ferait si ce dernier était sur le même LAN. 2. Le routeur qui joue le rôle de passerelle VPN encrypte le paquet, ajoute l en-tête VPN et un nouvel en-tête IP avec les adresses publiques et relaie le paquet. 3. A l autre extrémité, le routeur/firewall reçoit le paquet, confirme l identité de l émetteur, confirme que le paquet n a pas été modifié, décapsule et décrypte le paquet original. 4. Le serveur web reçoit le paquet décrypté. LAN 1 PC1 : Routeur VPN Internet Routeur VPN/ Firewall En-tête VPN Paquet IP Nouvel en-tête IP Paquet IP crypté LAN 2 web : Passerelle VPN Paquets cryptés Tunnel sécurisé Passerelle privées Src= publiques Src= privées Src= Dst= Les défenses matérielles Questions sur les VPN (1) 3. Les défenses matérielles Questions sur les VPN (2) La figure suivante illustre une communication entre deux machines à travers un VPN. Le paquet IP issu du PC1 est transporté vers le serveur web distant. 1) Complétez la figure en spécifiant les différents en-têtes et en écrivant les adresses IP privées et publiques sur le paquet à ses différents stades de transmission. 2) Comment sont masquées les adresses IP privées? LAN 1 PC1 : Routeur VPN Internet Routeur VPN/ Firewall LAN 2 web : ) Pourquoi un double en-tête IP est-il nécessaire? IP data IP data IP data 4) Quel est le rôle de l en-tête VPN? Par quel dispositif est-il géré?

19 4. Les défenses logicielles Antivirus La seule méthode pour détecter et éliminer les virus est l'utilisation d'un anti-virus. C est un logiciel installé sur chaque PC (station et serveur) qui scanne (analyse) au fur et à mesure les fichiers transférés. Le logiciel lit les codes et tente de reconnaître la signature des virus qu'il connaît. Quelques remarques : Ø La signature : c est le code (la programmation) du virus. Ø Comme le nombre de virus devient de plus en plus important et qu'éliminer de la liste les "anciens virus" serait dangereux, le travail de comparaison entre sa liste de virus et le fichier analysé devient de plus en plus lourd. C'est néanmoins la seule solution. Ø Pour détecter les nouveau virus, les logiciels anti-virus mettent à jour leur base de donnée régulièrement. Sans cette mise à jour, l'utilisation de ces programmes est pratiquement inutile. Ø Les virus deviennent "mutants". Pour évitez cette détection, les virus changent de signature en modifiant leur code de programmation en même temps que l'infection. Ø Certains virus actuels se coupent en plusieurs morceaux pour se reconstruire à la moindre occasion (virus polymorphes) 4. Les défenses logicielles Notions de cryptographie Le but de la cryptographie est de garantir la confidentialité, l'authenticité et l'intégrité des données échangées. Il existe à l heure actuelle deux grands principes de chiffrement ou cryptage : le cryptage symétrique qui utilise une même clé partagée et le cryptage asymétrique qui utilise deux clés distinctes. Cryptage symétrique Il basé sur l utilisation d une clé privée (ou algorithme) partagée entre les deux parties communicantes. La même clé sert à crypter et décrypter les messages. Bonjour Cryptage Données cryptées bnra&z Décryptage Bonjour Clé privée Réseau non sécurisé Clé privée Les défenses logicielles Cryptage symétrique Ce type de chiffrement est efficace (des longueurs de clés de 64 ou 128 bits sont suffisantes), rapide et peu gourmand en puissance de calcul. La principale difficulté est de trouver un moyen sécurisé pour communiquer la clé aux deux entités. Bonjour Clé privée Cryptage Données cryptées bnra&z Réseau non sécurisé Décryptage Clé privée Bonjour 4. Les défenses logicielles Cryptage asymétrique Le cryptage asymétrique utilise deux clés différentes pour chaque utilisateur : Ø la première est privée et n est connue que de l utilisateur qui a généré les clés ; Ø la deuxième est publique et peut être transmise sur Internet. Les clés publique et privée sont mathématiquement liées par l algorithme de cryptage de telle manière qu un message crypté avec une clé publique ne puisse être décrypté qu avec la clé privée correspondante et qu il est impossible de déduire la clé privée à partir de la clé publique. Une clé est donc utilisée pour le cryptage et l autre pour le décryptage. Son principal avantage est qu il résout le problème du transfert de la clé mais en revanche, il est plus coûteux en termes de temps de calcul et nécessite des tailles de clé plus importantes (couramment 1024 ou 2048 bits). Les algorithmes de chiffrement symétrique les plus utilisés sont : Ø DES (Digital encryption Standard) : avec des clés de 64 bits seulement et la puissance de calcul actuelle, sa robustesses est mise en cause ; Ø AES (Advanced Encryption Standard) : utilise des clés de 128 bits, le plus efficace aujourd hui compte-tenu des faibles ressources de calcul nécessaires. Bonjour Cryptage Données cryptées Zv*yic Décryptage Bonjour Clé publique Réseau non sécurisé Clé privée

20 4. Les défenses logicielles Exemples de cryptage asymétrique 4. Les défenses logicielles Symétrique ou asymétrique? Le plus connu est l algorithme de chiffrement RSA (Rivest, Shamir et Adelman MIT). Concu en 1977, il reste très utilisé pour l authentification. Des clés de 2048 bits sont aujourd hui fortement recommandées. L'algorithme ElGamal, du nom de son créateur Taher Elgamal, est un algorithme asymétrique basé sur les logarithmes discrets. Il est également très utilisé pour le chiffrement et la signature. Un groupe de n personnes souhaite utiliser un système cryptographique pour s'échanger deux a deux des informations confidentielles. Les informations échangées entre deux membres du groupe ne devront pas pouvoir être lues par un autre membre. Le groupe décide d'utiliser un système symétrique de chiffrement. 1) Quel est le nombre minimal de clés symétriques nécessaires? 2) Donnez le nom d'un algorithme de chiffrement symétrique reconnu. Le programme complet de cryptographie à clé publique le plus connu est PGP (Pretty Good Privacy). Le format OpenPGP est le standard ouvert de cryptographie issu de PGP. Sous Linux, la distribution la plus répandue est GnuPG. Sous Windows, il s agit de WinPT (Windows Privacy Tools). Le groupe décide maintenant de remplacer ce système par un système asymétrique. 3) Quel est le nombre minimal de couples de clés asymétriques nécessaires pour que chaque membre puisse envoyer et recevoir des informations chiffrées et/ou signées? Les défenses logicielles Symétrique ou asymétrique? 4) Bob souhaite envoyer des informations chiffrées et signées a Alice (Bob et Alice appartiennent tous les deux au groupe). Quelle(s) clé(s) Bob doit-il utiliser? 5) Donnez le nom d'un algorithme de chiffrement asymétrique reconnu. 4. Les défenses logicielles Cryptage symétrique et asymétrique Pour profiter de l'efficacité du chiffrement symétrique et des avantages de l'asymétrique qui élimine le problème de transfert de la clé, une solution est de combiner les deux chiffrements : Ø on chiffre le message avec une clé symétrique ; Ø on chiffre la clé symétrique avec la clé publique du destinataire ; Ø on joint la clé symétrique chiffrée au message ; Ø le destinataire déchiffre la clé symétrique avec sa clé privée, puis le message avec la clé symétrique qu il peut utiliser à son tour pour envoyer des messages chiffrés. Le groupe décide enfin d'utiliser un système hybride pour le chiffrement (c'est-à-dire qui utilise la cryptographie symétrique et asymétrique). 6) Donnez les raisons qui ont poussées ce groupe à utiliser un tel système? Cryptage Décryptage Thèse qw?x Thèse Clé symétrique Clé symétrique Clé publique Clé symétrique cryptée Clé privée

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

LA SÉCURITÉ DANS LES RÉSEAUX POURQUOI SÉCURISER? Ce cours traitera essentiellement les points suivants :

LA SÉCURITÉ DANS LES RÉSEAUX POURQUOI SÉCURISER? Ce cours traitera essentiellement les points suivants : LA SÉCURITÉ DANS LES RÉSEAUX Page:1/6 Objectifs du COURS : Ce cours traitera essentiellement les points suivants : - les attaques : - les techniques d intrusion : - le sniffing - le «craquage» de mot de

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 54 Audit et Sécurité Informatique Chap 1: Services, Mécanismes et attaques de sécurité Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2

Plus en détail

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Fonctionnement de Iptables. Exercices sécurité. Exercice 1 Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis.

Plus en détail

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble ASR4 réseaux Barrière de Sécurité Introduction Serveur de proximité, pare-feu IP, filtrage, architecture 1 Objectif des gardes barrières Protéger un environnement (vis à vis de l extérieur et de l intérieur)

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

TR2 : Technologies de l'internet. Chapitre VIII. Liste de Contrôle d Accès (ACL) ACL Standard et étendues Masque générique ACL nommées

TR2 : Technologies de l'internet. Chapitre VIII. Liste de Contrôle d Accès (ACL) ACL Standard et étendues Masque générique ACL nommées TR2 : Technologies de l'internet Chapitre VIII Liste de Contrôle d Accès (ACL) ACL Standard et étendues Masque générique ACL nommées 1 Listes de contrôle d accès (ACL) Importance croissante de la sécurité

Plus en détail

Sécurité des réseaux Firewalls

Sécurité des réseaux Firewalls Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

Chapitre II. Introduction à la cryptographie

Chapitre II. Introduction à la cryptographie Chapitre II Introduction à la cryptographie PLAN 1. Terminologie 2. Chiffrement symétrique 3. Chiffrement asymétrique 4. Fonction de hachage 5. Signature numérique 6. Scellement 7. Echange de clés 8. Principe

Plus en détail

INF4420: Éléments de Sécurité Informatique

INF4420: Éléments de Sécurité Informatique : Éléments de Module III : Sécurité des réseaux informatiques José M. Fernandez M-3109 340-4711 poste 5433 Où sommes-nous? Semaine 1 Intro Semaines 2, 3 et 4 Cryptographie Semaine 6, 7 Sécurité dans les

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

Sécurisation en réseau

Sécurisation en réseau Déni de services Sécurisation en réseau Utilisant des bugs exemple Ping of death (Cf. RFC IP) l exploitation des protocoles TCP SYN flooding Envoi seulement le début du 3-way handshake Saturation de la

Plus en détail

RÉSEAUX ET SÉCURITÉ INFORMATIQUES

RÉSEAUX ET SÉCURITÉ INFORMATIQUES RÉSEAUX ET SÉCURITÉ INFORMATIQUES MICKAËL CHOISNARD UNIVERSITÉ DE BOURGOGNE Cours MIGS 2 novembre 2015 INTRODUCTION La sécurité de ma machine, je m'en fous : y'a rien de précieux sur ma machine... personne

Plus en détail

Devoir Surveillé de Sécurité des Réseaux

Devoir Surveillé de Sécurité des Réseaux Année scolaire 2008-2009 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Autorisés Note : Ce sujet comporte deux parties. La partie A est une étude

Plus en détail

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public.

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. TP 8.1 ÉTUDE D UN FIREWALL OBJECTIFS Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. PRÉ-REQUIS Système d exploitation

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

Devoir Surveillé de Sécurité des Réseaux

Devoir Surveillé de Sécurité des Réseaux Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La

Plus en détail

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required.

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required. Quelles sont les deux affirmations vraies relatives à la sécurité du réseau? (Choisissez deux réponses.) Protéger un réseau contre les attaques internes constitue une priorité moins élevée car les employés

Plus en détail

Sécurité informatique : Sécurité dans un monde en réseau. Explosion des connexions à internet 2. ... Mais c est pas tout! 3

Sécurité informatique : Sécurité dans un monde en réseau. Explosion des connexions à internet 2. ... Mais c est pas tout! 3 Sécurité informatique : Matthieu Amiguet 2006 2007 Explosion des réseaux Explosion des connexions à internet 2 En 1990, environ 320 000 hôtes étaient connectées à internet Actuellement, le chiffre a dépassé

Plus en détail

La sécurité des Réseaux Partie 6.1 Les pare-feus

La sécurité des Réseaux Partie 6.1 Les pare-feus La sécurité des Réseaux Partie 6.1 Les pare-feus Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références F. Ia et O. Menager, Optimiser et sécuriser son trafic

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 69 Audit et Sécurité Informatique Chap 2: Firewall et Règles de Filtrage ACL Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2 / 69 Plan

Plus en détail

TP4 : Firewall IPTABLES

TP4 : Firewall IPTABLES Module Sécurité TP4 : Firewall IPTABLES Ala Rezmerita François Lesueur Le TP donnera lieu à la rédaction d un petit fichier texte contenant votre nom, les réponses aux questions ainsi que d éventuels résultats

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Les Attaques en Réseau sous Linux

Les Attaques en Réseau sous Linux Les Attaques en Réseau sous Linux Plan Introduction Partie 1: ARP Spoofing Partie 2: Outils de simulation. Partie 3: Démonstration de l attaque.. Partie 4: Prévention et détection de l attaque. Partie

Plus en détail

FILTRAGE de PAQUETS NetFilter

FILTRAGE de PAQUETS NetFilter TP RESEAUX MMI Semestre 3 FILTRAGE de PAQUETS NetFilter OBJECTIF : Introduction à Netfilter. Configuration d'un firewall. MATERIELS : (Machines Virtuelles) 1 Serveur Debian avec apache d'installé, 1 Poste

Plus en détail

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1 Formation A2IMP Acquisition d information sur les autres Frédéric Bongat IPSL Formation A2IMP 1 Idée : corréler des informations via d autres Informations de base Connaître l horodatage (date, heure) des

Plus en détail

Le filtrage de niveau IP

Le filtrage de niveau IP 2ème année 2008-2009 Le filtrage de niveau IP Novembre 2008 Objectifs Filtrage : Le filtrage permet de choisir un comportement à adopter vis à vis des différents paquets émis ou reçus par une station.

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

PROJET TRIBOX-2012-A

PROJET TRIBOX-2012-A PROJET TRIBOX-2012-A Auteur : Groupe Tutoriel d'installation et de configuration de Trixbox Membres du projet: GUITTON Jordan MORELLE Romain SECK Mbaye Gueye Responsable de la formation: MOTAMED Cina Client:

Plus en détail

Session Novembre 2004

Session Novembre 2004 OFPPT Office de la Formation Professionnelle et de la Promotion du Travail Direction Recherche et Ingénierie de la Formation Correction EFF Session Juillet 2012 Filière : Techniques des Réseaux Informatiques

Plus en détail

Evaluer les risques liés aux défauts de sécurité

Evaluer les risques liés aux défauts de sécurité C2I Métiers de la Santé SECURITE INFORMATIQUE Evaluer les risques liés aux défauts de sécurité Eric Boissinot Université François Rabelais Tours 13/02/2007 Pourquoi la sécurité? Le bon fonctionnement d

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables Firewall, Virus, Spam Administration Système et Réseaux, Sécurité Firewall, Spam, Virus Philippe Harrand Firewall Généralités Définitions Mise en oeuvre iptables 1 Departement Informatique Pôle Sciences

Plus en détail

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr M1 Informatique Réseaux Filtrage Bureau S3-203 mailto://alexis.lechervy@unicaen.fr Sécurité - introduction Au départ, très peu de sécurité dans les accès réseaux (mots de passe, voyageant en clair) Avec

Plus en détail

Configurer un pare-feu avec NETFILTER

Configurer un pare-feu avec NETFILTER Configurer un pare-feu avec NETFILTER Netfilter est le firewall des distributions linux récentes pris en charge depuis les noyaux 2.4. Il est le remplaçant de ipchains. La configuration se fait en grande

Plus en détail

1 Montage de l architecture

1 Montage de l architecture Étude de cas Sécurité des réseaux Xavier Skapin xavier.skapin@univ-poitiers.fr 28-29 Correction Montage de l architecture L objectif de cette étude est de monter une architecture sécurisée selon divers

Plus en détail

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists).

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists). 1 LINUX FIREWALL Introduction Un firewall ou pare-feu est un des composants essentiel à la sécurité informatique d un réseau. Il va permettre d isoler une ou plusieurs machines ou réorienter les requêtes

Plus en détail

Sécurité des réseaux. 1. Introduction Quelques chiffres. 1. Introduction Tendances. Stéphane Lohier lohier@univ-mlv.fr!

Sécurité des réseaux. 1. Introduction Quelques chiffres. 1. Introduction Tendances. Stéphane Lohier lohier@univ-mlv.fr! Sécurité des réseaux 1. Introduction Tendances et chiffres Pourquoi sécuriser? 2. Les attaques Techniques d intrusion Déni de service 3. Les défenses Concepts 4. Architectures de défense Firewall DMZ NAT

Plus en détail

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI Chapitre 2 Vulnérabilités protocolaires et attaques réseaux 1 Définitions Vulnérabilité: Défaut ou faiblesse d un système dans sa conception, sa mise en œuvre ou son contrôle interne pouvant mener à une

Plus en détail

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux Chapitre 7 Sécurité des réseaux Services, attaques et mécanismes cryptographiques Hdhili M.H Cours Administration et sécurité des réseaux 1 Partie 1: Introduction à la sécurité des réseaux Hdhili M.H Cours

Plus en détail

Sécurité et Firewall

Sécurité et Firewall TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette

Plus en détail

Iptables. Nat : Cette table effectue le masquerading. Elle est constituée de trois chaînes internes : PREROUTING, OUTPUT et POSTROUTING..

Iptables. Nat : Cette table effectue le masquerading. Elle est constituée de trois chaînes internes : PREROUTING, OUTPUT et POSTROUTING.. I) Introduction : Il existe trois tables : Filter : C est la table par défaut qui permet le filtrage des paquets. Elle ne modifie pas le contenu des paquets. Elle est constituée de trois chaînes : INPUT,

Plus en détail

Sécurisation du réseau

Sécurisation du réseau Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités

Plus en détail

Sécurité des réseaux IPSec

Sécurité des réseaux IPSec Sécurité des réseaux IPSec A. Guermouche A. Guermouche Cours 4 : IPSec 1 Plan 1. A. Guermouche Cours 4 : IPSec 2 Plan 1. A. Guermouche Cours 4 : IPSec 3 Pourquoi? Premier constat sur l aspect critique

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

UE31 - M3102 : Services Réseaux

UE31 - M3102 : Services Réseaux UE31 - M3102 : Services Réseaux Enoncé du TP 4 NAT/PAT, Pare-Feu C. Pain-Barre Table des matières 1 Simulateur : Nat/Pat et firewall 2 Exercice 1 (Simulation Nat/Pat et firewall).................................

Plus en détail

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès )

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Sommaire 1. Protection de son matériel et de ses données Création d'un utilisateur avec mot de passe compliqué

Plus en détail

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. Prénom : Nom : Groupe :

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. Prénom : Nom : Groupe : TP3 ASR4 Réseaux Département Informatique, IUT Bordeaux 1 ASR4-R Prénom : Nom : Groupe : 1 Gestion du réseau virtuel Le réseau virtuel utilisé lors de ce TP a été réalisé avec NEmu (Network Emulator),

Plus en détail

Table des matières AVANT-PROPOS... MODULE 1 : ENVIRONNEMENT... 1-1 MODULE 2 : ATTAQUES COURANTES... 2-1

Table des matières AVANT-PROPOS... MODULE 1 : ENVIRONNEMENT... 1-1 MODULE 2 : ATTAQUES COURANTES... 2-1 Table des matières AVANT-PROPOS... MODULE 1 : ENVIRONNEMENT... 1-1 Problématiques de la sécurité... 1-2 Domaines de la sécurité... 1-4 Buts de la sécurité informatique... 1-6 Niveaux de sécurité... 1-7

Plus en détail

Type d'attaques. Stéphane Gill. Stephane.Gill@CollegeAhuntsic.qc.ca. Introduction 2

Type d'attaques. Stéphane Gill. Stephane.Gill@CollegeAhuntsic.qc.ca. Introduction 2 Stéphane Gill Stephane.Gill@CollegeAhuntsic.qc.ca Table des matières Introduction 2 Les attaques d accès 2 Le sniffing 2 Les chevaux de Troie 3 Porte dérobée 3 L ingénierie sociale 3 Le craquage de mots

Plus en détail

Sécurité des Systèmes Informatiques. Sécurité réseau. Fabrice. fabrice.legond-aubry@lip6.fraubry@lip6.fr. Legond-Aubry. Module SSI - 20/11/2005 1

Sécurité des Systèmes Informatiques. Sécurité réseau. Fabrice. fabrice.legond-aubry@lip6.fraubry@lip6.fr. Legond-Aubry. Module SSI - 20/11/2005 1 SSI Sécurité des Systèmes Informatiques Sécurité réseau Legond-Aubry Fabrice fabrice.legond-aubry@lip6.fraubry@lip6.fr Module SSI - 20/11/2005 1 Plan de cours Attaques niveau 2: ethernet Attaques niveau

Plus en détail

Définition Principes de fonctionnement Application à iptables 1/25

Définition Principes de fonctionnement Application à iptables 1/25 Les pare-feux Définition Principes de fonctionnement Application à iptables 1/25 Définition Un pare-feu est un logiciel qui : Analyse les trames qu'il reçoit et prend une décision en fonction des adresses

Plus en détail

Exercice 1 : Routage et adressage

Exercice 1 : Routage et adressage NOM Prénom : Tous les documents manuscrits ou imprimés sont autorisés (polycopiés de cours, notes personnelles, livres, etc.). Il est interdit de prêter ses documents à ses voisins. L'usage de la calculatrice

Plus en détail

SECURIDAY 2013 Cyber War

SECURIDAY 2013 Cyber War Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Atelier : Mail Threats Formateurs:

Plus en détail

Conception des réseaux Contrôle Continu 1

Conception des réseaux Contrôle Continu 1 NOM: PRENOM: Conception des réseaux Contrôle Continu 1 Durée : 2 heures Seuls les documents manuscrits ou distribués en cours sont autorisés. Les réponses doivent tenir dans l encadré prévu à cet effet

Plus en détail

LE RPV DE NIVEAU RÉSEAU AVEC TINC

LE RPV DE NIVEAU RÉSEAU AVEC TINC LE RPV DE NIVEAU RÉSEAU AVEC TINC L entreprise Ilog est une petite entreprise de services informatiques située à La Défense. Les chefs de projet de l entreprise sont souvent en déplacement à travers toute

Plus en détail

Les pare-feux : concepts

Les pare-feux : concepts Les pare-feux : concepts Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (2) 15 mai 2005 Diapositive N 1 /19 C'est quoi

Plus en détail

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne. Sécurité avancée des réseaux Filtrage des paquets IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.fr Outline Pare-feu & Filtre de Confiance Filtrage de paquets Pare-feu

Plus en détail

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1 Les ACL Cisco Master 2 Professionnel STIC-Informatique 1 Les ACL Cisco Présentation Master 2 Professionnel STIC-Informatique 2 Les ACL Cisco? Les ACL (Access Control Lists) permettent de filtrer des packets

Plus en détail

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES SECURITE - IPTABLES Conception d'une zone démilitarisée (DeMilitarized Zone: DMZ) Veuillez indiquer les informations suivantes : Binômes Nom Station ou PC D. Essayed-Messaoudi Page 1 sur 9 TP 4 : Sécurité

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014 École Supérieure d Économie Électronique Chap 9: Composants et systèmes de sécurité 1 Rhouma Rhouma 21 Juillet 2014 2 tagging et port trunk Création des via les commandes sur switch cisco 1 / 48 2 / 48

Plus en détail

UE31 - M3102 : Services Réseaux

UE31 - M3102 : Services Réseaux UE31 - M3102 : Services Réseaux Enoncé du TP 4 NAT/PAT, Pare-Feu C. Pain-Barre Table des matières 1 Simulation PAT et pare-feu sans état 2 Exercice 1 (Lancement d une VM XP pour le simulateur).........................

Plus en détail

PCI (Payment Card Industry) DSS (Data Security Standard )

PCI (Payment Card Industry) DSS (Data Security Standard ) PCI (Payment Card Industry) DSS (Data Security Standard ) Jean-Marc Robert Génie logiciel et des TI PCI-DSS La norme PCI (Payment Card Industry) DSS (Data Security Standard) a été développée dans le but

Plus en détail

TP réseau Les ACL : création d'une DMZ

TP réseau Les ACL : création d'une DMZ 1 But TP réseau Les ACL : création d'une DMZ Le but de se TP est de se familiariser avec l'utilisation des listes de contrôle d'accès étendues. Pour illustrer leur utilisation, vous allez simuler la mise

Plus en détail

Travaux pratiques Utilisation de Wireshark pour examiner une capture DNS UDP

Travaux pratiques Utilisation de Wireshark pour examiner une capture DNS UDP Travaux pratiques Utilisation de Wireshark pour examiner une capture DNS UDP Topologie Objectifs 1re partie : Enregistrer les informations de configuration IP d un ordinateur 2e partie : Utiliser Wireshark

Plus en détail

Internet. PC / Réseau

Internet. PC / Réseau Internet PC / Réseau Objectif Cette présentation reprend les notions de base : Objectif, environnement de l Internet Connexion, fournisseurs d accès Services Web, consultation, protocoles Modèle en couches,

Plus en détail

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader Gestion des Clés Pr Belkhir Abdelkader Gestion des clés cryptographiques 1. La génération des clés: attention aux clés faibles,... et veiller à utiliser des générateurs fiables 2. Le transfert de la clé:

Plus en détail

Propagation virale sur le Web Le ver BackTrack

Propagation virale sur le Web Le ver BackTrack Propagation virale sur le Web Le ver BackTrack Althes (http://www.althes.fr) Revision 1 - December 2002 Vincent Royer 1. Introduction Au cours de ces dernières années, un certain nombre

Plus en détail

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau. Firewall I- Définition Un firewall ou mur pare-feu est un équipement spécialisé dans la sécurité réseau. Il filtre les entrées et sorties d'un nœud réseau. Cet équipement travaille habituellement aux niveaux

Plus en détail

Malgré le cryptage effectué par le système, la sécurité d un système unix/linux repose aussi sur une bonne stratégie dans le choix du mot de passe :

Malgré le cryptage effectué par le système, la sécurité d un système unix/linux repose aussi sur une bonne stratégie dans le choix du mot de passe : 0.1 Sécuriser une machine Unix/linux 0.2 Différencier les comptes Créer un compte administrateur et un compte utilisateur, même sur une machine personnelle. Toujours se connecter sur la machine en tant

Plus en détail

Cours CCNA 1. Exercices

Cours CCNA 1. Exercices Cours CCNA 1 TD3 Exercices Exercice 1 Enumérez les sept étapes du processus consistant à convertir les communications de l utilisateur en données. 1. L utilisateur entre les données via une interface matérielle.

Plus en détail

GENERALITES. COURS TCP/IP Niveau 1

GENERALITES. COURS TCP/IP Niveau 1 GENERALITES TCP/IP est un protocole inventé par les créateurs d Unix. (Transfer Control Protocol / Internet Protocole). TCP/IP est basé sur le repérage de chaque ordinateur par une adresse appelée adresse

Plus en détail

Introduction à la sécurité informatique Connaissances de base sur la sécurité informatique Les critères fondamentaux Domaine d application Menaces Critères fondamentaux Les solutions de sécurité doivent

Plus en détail

bitdefender TOTAL SECURITY 2008

bitdefender TOTAL SECURITY 2008 bitdefender TOTAL SECURITY 2008 L ultime solution de protection proactive pour vos PC! BitDefender Total Security 2008 est la solution de sécurité ultime pour protéger de manière proactive vos ordinateurs.

Plus en détail

Traduction d adresse Filtrage

Traduction d adresse Filtrage 2ème année 2005-2006 Filtrage Janvier 2006 Objectifs : La traduction d adresse (réseau) consiste à modifier des paquets IP afin de faire croire à une partie du réseau qu ils ont été émis par (ou à destination

Plus en détail

Sécurité GNU/Linux. Iptables : passerelle

Sécurité GNU/Linux. Iptables : passerelle Sécurité GNU/Linux Iptables : passerelle By sharevb Sommaire I.Rappels...1 a)les différents types de filtrages : les tables...1 b)fonctionnement de base : les chaînes et les règles...1 II.La table nat

Plus en détail

Guide de démarrage rapide

Guide de démarrage rapide Guide de démarrage rapide Microsoft Windows Seven/Vista / XP / 2000 ESET Smart Security offre la vitesse et la précision d ESET NOD32 Antivirus et de son puissant moteur ThreatSense, allié à un pare-feu

Plus en détail

Sécuriser les achats en ligne par Carte d achat

Sécuriser les achats en ligne par Carte d achat Projet Sécurité Date : 09/02/09 Version : V 1.0 Etat : travail / vérifié / validé Rédacteur : JBO Réf. : CNRS/DSI/Expertise/ sécuriser la carte achat-v1.doc Annexes : Sécuriser les achats en ligne par

Plus en détail

But de cette présentation. Serveur SSH (rédigé pour Ubuntu Server) Principe. Principe. Hainaut P. 2013 - www.coursonline.be 1

But de cette présentation. Serveur SSH (rédigé pour Ubuntu Server) Principe. Principe. Hainaut P. 2013 - www.coursonline.be 1 Serveur SSH (rédigé pour Ubuntu Server) But de cette présentation Apprendre à configurer le service SSH Le service SSH, configuré sur notre serveur Ubuntu nous donnera un accès à distance sécurisé, à ce

Plus en détail

Configuration firewall. Cette fiche explique la configuration du firewall intégré à NetXServ. Version 2.0. Date 28/12/2011 Validation

Configuration firewall. Cette fiche explique la configuration du firewall intégré à NetXServ. Version 2.0. Date 28/12/2011 Validation Diffusion : Libre Restreinte Interne Configuration firewall Cette fiche explique la configuration du firewall intégré à NetXServ Version 2.0 Auteur JP MAJ DD Date 28/12/2011 Validation RESIX - 10, rue

Plus en détail

Chapitre 10: Cryptographie et. Sécurité.

Chapitre 10: Cryptographie et. Sécurité. Chapitre 10: Cryptographie et L'objectif de ce chapitre: Sécurité. Décrire les différentes étapes de la définition et de la mise en place d'une politique globale de sécurité d'un réseau. Analyser l'intégration

Plus en détail

Adressage de réseaux

Adressage de réseaux Page 1 sur 28 Adressage de réseaux 5.1 Adresses IP et masques de sous-réseau 5.1.1 Rôle de l adresse IP Un hôte a besoin d une adresse IP pour participer aux activités sur Internet. L adresse IP est une

Plus en détail

PACK SKeeper. Descriptif du Pack SKeeper : Equipements

PACK SKeeper. Descriptif du Pack SKeeper : Equipements PACK SKeeper Destinée aux entreprises et aux organisations de taille moyenne ( 50 à 500 users ) fortement utilisatrices des technologies de l'information (messagerie, site web, Intranet, Extranet,...)

Plus en détail

Cisco Certified Network Associate

Cisco Certified Network Associate Cisco Certified Network Associate Version 4 Notions de base sur les réseaux Chapitre 3 01 Quel protocole de la couche application sert couramment à prendre en charge les transferts de fichiers entre un

Plus en détail

Collecte des examens du module Introduction aux Réseaux et Bases de Routage

Collecte des examens du module Introduction aux Réseaux et Bases de Routage INSTITUT SUPERIEUR DE GESTION DE TUNIS Collecte des examens du module Introduction aux Réseaux et Bases de Routage Examens corrigés Kaouther Nouira 2011-2012 Ministère de l Enseignement Supérieur, de le

Plus en détail

Chapitre N 7: Configuration et administration d un réseau local. Configuration et administration d un réseau local

Chapitre N 7: Configuration et administration d un réseau local. Configuration et administration d un réseau local Configuration et administration d un réseau local I Introduction : Une fois le matériel est choisi, le câblage est réalisé et les différentes composantes du réseau sont connectées, il faut. Quelque soit

Plus en détail

C. Configuration des services de transport

C. Configuration des services de transport Page 282 Chapitre 8 Dans la version 2013 d'exchange, les dossiers publics sont devenus un type de boîtes aux lettres et utilisent les mêmes mécanismes de routage que les e-mails. - Le message est destiné

Plus en détail

INTRODUCTION A LA SECURITE DES RESEAUX

INTRODUCTION A LA SECURITE DES RESEAUX INTRODUCTION A LA SECURITE DES RESEAUX OBJECTIFS de la SECURITE des DONNEES (relativement à des personnes non autorisées) Confidentielles-ne doivent pas être lues Permanentes-ne doivent pas être altérées

Plus en détail

Notice d installation des cartes 3360 et 3365

Notice d installation des cartes 3360 et 3365 Notice d installation des cartes 3360 et 3365 L architecture ci-dessous représente de manière simplifiée l utilisation des cartes IP 3360 et Wi-Fi 3365, associée à une centrale Harmonia La carte IP 3360

Plus en détail

VPN Virtual PrivateNetworks

VPN Virtual PrivateNetworks VPN Virtual PrivateNetworks Préparé par: Ayoub SECK Ingénieur-Chercheur en Télécommunications Spécialiste en Réseaux IP et Télécoms mobiles Certifié: JNCIA, CCNA-SECURITY, CCNP,CCDP Suggestions: seckayoub@gmail.com

Plus en détail

Description du datagramme IP :

Description du datagramme IP : Université KASDI MERBAH OUARGLA Faculté des Nouvelles Technologies de l information et de la Communication Département Informatique et Technologies de les Information 1 er Année Master académique informatique

Plus en détail

PACK SKeeper Multi = 1 SKeeper et des SKubes

PACK SKeeper Multi = 1 SKeeper et des SKubes PACK SKeeper Multi = 1 SKeeper et des SKubes De plus en plus, les entreprises ont besoin de communiquer en toute sécurité avec leurs itinérants, leurs agences et leurs clients via Internet. Grâce au Pack

Plus en détail

Linux sécurité des réseaux

Linux sécurité des réseaux Linux sécurité des réseaux Rappels et audits réseaux Frédéric Bongat (IPSL) Philippe Weill (SA) 1 Introduction Sécurité des réseaux sous Linux Les réseaux Audit réseau 2 3 TCP/IP : protocoles de communication

Plus en détail

Formation Iptables : Correction TP

Formation Iptables : Correction TP Table des matières 1.Opérations sur une seule chaîne et sur la table filter:...2 2.Opérations sur plusieurs chaînes et sur la table filter:...5 3.Opérations sur plusieurs chaires et sur plusieurs tables

Plus en détail