Sécurité des réseaux. 1. Introduction Tendances. Stéphane Lohier

Dimension: px
Commencer à balayer dès la page:

Download "Sécurité des réseaux. 1. Introduction Tendances. Stéphane Lohier lohier@univ-mlv.fr"

Transcription

1 Sécurité des réseaux 1. Introduction Tendances 1. Introduction Ø Tendances et chiffres Ø Pourquoi sécuriser? 2. Les attaques Ø Techniques d intrusion Phishing Crackage Sniffing Spoofing Malwares Ø Déni de service Smurfing TCP-SYN Flooding DDOS 3. Les défenses matérielles Ø Concepts Ø NAT et PAT Ø Les firewalls Ø DMZ Ø Proxy Ø IDS Ø VPN 4. Les défenses logicielles Ø Antivirus Ø Cryptographie Ø Hash Ø Signature Ø Authentification Ø Certificats Quelques statistiques : Ø 160 disparitions de matériel informatique par jour en France Ø + de 80% du trafic mondial est du spam (très souvent vérolé) Ø + de sites de phishing sont actifs (durée de vie moyenne 4 jours) Ø le coût moyen d'un incident de sécurité est de * Ø dans 20% des attaques, les entreprises mettent plus d'une semaine pour revenir à une situation de fonctionnement normal Ø 2/3 des entreprises françaises estiment avoir une dépendance forte vis à vis de leur système d'information, 1/4 d'entres elles seulement a mis en place une politique de sécurité (sources : Gartner, Radicati Group, APWG, Canalys, Clusif) Stéphane Lohier 1 * L hameçonnage, phishing ou filoutage est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité (wikipedia) Introduction Tendances 1. Introduction Tendances * * Un logiciel malveillant ou maliciel (en anglais : malware) est un programme développé dans le but de nuire à un système informatique, sans le consentement de l'utilisateur infecté (wikipedia)

2 1. Introduction Tendances 1. Introduction Tendances * * Un exploit est un élément de programme permettant à un individu ou un logiciel malveillant d'exploiter une faille de sécurité informatique dans un système d'exploitation ou dans un logiciel. (wikipedia) Introduction Tendances 1. Introduction Quelques chiffres 7 8 2

3 1. Introduction Quelques chiffres 1. Introduction Quelques chiffres Introduction Pourquoi sécuriser 1. Introduction Pourquoi sécuriser? Pourquoi les systèmes sont-ils vulnérables? Ø Émergence en permanence de nouveaux usages et de nouvelles technologies et donc de nouvelles vulnérabilités (réseaux sociaux, peer to peer, messagerie instantanée, réseaux sans fil, smartphone connectés en WiFi ou en 4G, téléphonie sur IP, stockage sur cloud ) ; Ø Politiques de sécurité complexes (où placer un ou des firewalls, quels fichiers crypter, quelle type de VPN, quels droits pour les administrateurs? ) ; Ø Politiques de sécurité basées sur des jugements humains ; Ø La sécurisation est coûteuse en moyens, en temps et surtout en ressources humaines. Quatre principaux objectifs de la sécurité : Ø L'intégrité : garantir que les données sont bien celles qu'on croit être ; Ø La confidentialité : assurer que seules les personnes autorisées ont accès aux ressources ; Ø La disponibilité : garantir l accès aux données de tout type ; Ø La non répudiation : garantir qu'une transaction ne peut être niée par l un des participants. Écoute Espionnage Usurpation Phishing Détournement Antispy DMZ Authentification Spoofing Certificats VPN Filtrage Cryptage Confidentialité Virus Antivirus Vers Information Filtrage Déni de service Filtrage Intégrité Disponibilité Altération Redondance Cryptage Erreurs Sauvegardes Intrusion Authentification Pannes Antispam Spam

4 2. Les attaques Types d attaque 1. Techniques d intrusion Ø Les accès physiques vont du vol de disque dur ou de portable à l écoute du trafic sur le réseau (sniffing) ; Ø L ingénierie sociale (social engineering) permet de retrouver ou de récupérer directement des couples identifiant/mot de passe en envoyant par exemple des messages falsifiés (phishing) ; Ø L interception de communications permet l usurpation d'identité, le vol de session (session hijacking), le détournement ou l altération de messages (spoofing) ; Ø Les intrusions sur le réseau comprennent le balayage de ports (port scan), l élévation de privilèges (passage du mode utilisateur au mode administrateur) et surtout les malwares (virus, vers et chevaux de Troie). 2. Les attaques Le sniffing Sur la plupart des réseaux, les trames sont diffusées sur tout le support (câble Ethernet, transmission radio WiFi ). En fonctionnement normal, seul le destinataire reconnaît son adresse (adresse MAC destination sur un réseau Ethernet) et lit le message. La carte Ethernet ou Wifi d un PC peut être reprogrammée pour lire tous les messages qui traversent le réseau (promiscious mode). Les hackers utilisent des «sniffers» ou analyseurs réseau tels wireshark pour trouver des identités et des mots de passe dans des dialogues POP3, FTP ou encore des données personnels dans le corps des messages (social engineering). La limite à priori est le dispositif d interconnexion utilisé sur le LAN ou le segment de LAN (switch, AP WiFi, routeur ). Le remote sniffing (daemon rpcap) permett de renvoyer le trafic capturé sur un réseau vers le réseau du hacker. L usurpation d adresse MAC permet de rediriger sur le switch le trafic de la victime vers la machine de l agresseur Les attaques Le «Crackage» de mot de passe 2. Les attaques Le phishing Le hacker utilise un dictionnaire de mots et de noms propres construit à partir d informations personnelles et privées qui ont été collectées (social engineering). Ces chaînes de caractère sont essayées une à une à l aide de programmes spécifiques qui peuvent tester des milliers de mots de passe à la seconde Mot de! Passe! 3! Mot de! Passe! 2! Mot de! Passe! 1! Exemple : «John the ripper» Toutes les variations sur les mots peuvent être testées : mots écrits à l envers, majuscules et minuscules, ajout de chiffres ou de symboles. Ce type d attaque est souvent nommé attaque par force brute car le mot de passe est deviné grâce à des milliers d essais successifs à partir d un dictionnaire, et non pas retrouvé à l aide d un programme capable de décrypter une chaîne de caractères. Néologisme anglais, contraction de " fishing «: pêcher, et de " phreaking " : pirater le réseau téléphonique (hameçonnage en français). Il s agit de conduire des internautes à divulguer des informations confidentielles, et notamment bancaires, en usant d un hameçon, fait de mensonge et de contrefaçon électronique (identité visuelle d un site connu, en-têtes, logo ). Le cas le plus classique est celui d un mail usurpant l identité de votre banque et contenant un lien vers un faux site où on vous demandera de confirmer votre numéro de carte bleue. Le phishing utilise également des virus qui installent des programmes espions afin d intercepter la frappe des données confidentielles sur le clavier (keyloggers) pour les transmettre ensuite sur un site où le «phisher» pourra les récupérer

5 2. Les attaques Les keyloggers 2. Les attaques Le Spoofing Programmes installés à votre insu sur votre PC et capables d enregistrer toutes les séquences de touches frappées sur un clavier : login, mot de passe, numéro de compte, numéro de carte bancaire... Le keylogger crée un fichier caché (.log) sur votre système susceptible d être ensuite transmis via Internet. Le fichier log peut ainsi contenir ainsi toutes les séquences de touches pour chaque fenêtre ouverte sur votre système La plupart des banques proposent une saisie du code personnel à la souris. L IP spoofing (to spoof : «faire passer pour, usurper») Ø L agresseur prétend provenir d une machine interne pour pénétrer sur le réseau privé. Ø Cette attaque basique peut être simplement bloquée avec un pare-feu (firewall) au niveau du routeur d accès qui éliminera les paquets entrants avec une adresse IP source source usurpée : Pirate LAN Privé Routeur d accès Internet Réseau Les attaques Le Spoofing (2) 2. Les attaques Le Spoofing (3) L ARP spoofing ou ARP poisoning Ø L'attaquant émet une requête ARP en unicast vers la victime A en spécifiant comme adresse IP émettrice celle de B et en indiquant sa propre adresse MAC comme l'adresse MAC de l'émetteur; idem vers la victime B (souvent un routeur). Ø Une fois les tables ARP de A et B falsifiées, tout le trafic est routé par l attaquant. Ø La même attaque peut être réalisée avec un ARP Reply mais la plupart des systèmes se protègent de cette attaque en n'acceptant que les réponses à des requêtes préalablement envoyées. Le mail Spoofing Ø Les courriers électroniques sur Internet sont également sujet au spoofing : une adresse d expéditeur peut être falsifiée simplement dans la mesure où elle ne comporte pas de pas de signature numérique. Ø Le protocole d envoi de messages SMTP n est pas sécurisé. Le DNS spoofing Ø Le pirate utilise les faiblesses du protocole DNS et de son implémentation sur les serveurs de noms de domaine pour rediriger des internautes vers des sites falsifiés. Ø Le but du pirate est donc de faire correspondre l'adresse IP d'une machine qu'il contrôle à l URL réel d'une machine publique. Ø Deux attaques de type DNS Spoofing : Le DNS ID Spoofing basé sur la récupération et l exploitation dans une fausse réponse du numéro d'identification contenu dans une requête DNS ; Le DNS Cache Poisoning qui corromps (empoisonne) avec de fausses adresses le cache des serveurs DNS

6 2. Les attaques Le Spoofing (4) 2. Les attaques Les virus Le web spoofing Ø Version élaborée de l IP spoofing. Ø Il s'agit de remplacer un site par une version pirate du même site. Ø Technique notamment utilisée dans la dernière étape du phishing. Ø La falsification se déroule en plusieurs temps : Amener la victime à entrer dans le faux site web (grâce à l utilisation du DNS spoofing par exemple) Intercepter les requêtes HTTP ; Récupérer les vraies pages web et modifier ces pages ; Envoyer de fausses pages à la victime. Nom souvent utilisé pour désigner sans distinction tout type d attaque. En vérité, programme qui se propage à l aide d autres programmes ou de fichiers. Souvent simples et faciles à détecter à partir de leur code (signature). Efficaces, car ils se propagent plus vite que les anti-virus peuvent être mis à jour. Passent le plus souvent par la messagerie Conséquences de l exécution d un virus : Ø simple modification des paramètres d une application (page par défaut du navigateur). Ø Modification de la base de registre du système (exécution automatique d un programme commercial à chaque démarrage). Ø Effacement de données ou de fichiers essentiels au système d exploitation Les attaques Les rootkits 2. Les attaques Les vers Un rootkit est un malware qui installe une série d outils permettant à un pirate d accéder à distance à un ordinateur. Deux types de rootkit : Ø Les rootkits en mode utilisateur (les plus courants) fonctionnent au sein de l OS comme une application. Ils exécutent leur comportement malicieux en piratant les applications en fonctionnement sur le PC ou en remplaçant la mémoire utilisée par une application ; Ø Les rootkits en mode noyau fonctionnent au niveau le plus profond du système d exploitation du PC et donnent au pirate une série de privilèges plus puissants. Un ver (worm) est un programme capable de se propager et de s'auto-reproduire sans l'utilisation d'un programme quelconque (d un vecteur) ni d'une action par une personne. La particularité des vers ne réside pas forcément dans leur capacité immédiate de nuire mais dans leur facilité pour se propager grâce par exemple aux listes de contacts présentes sur les PC ou les smartphones. L exemple de Blaster (LovSan) : Ø Apparu en 2003, Blaster a infecté des centaines de milliers de PC Ø Blaster est programmé pour scanner une plage d'adresses IP aléatoire à la recherche de systèmes vulnérables à la faille RPC sur le port 135 (windows XP). Ø Lorsqu'une machine vulnérable est trouvée, le ver ouvre un shell distant sur le port TCP 4444, et force la machine distante à télécharger une copie du ver dans le répertoire %WinDir% \system32 en lançant une commande TFTP (port 69 UDP) pour transférer le fichier à partir de la machine infectée. Ø Une fois le fichier téléchargé, il est exécuté, puis il crée des entrées dans la base de registre afin de se relancer automatiquement à chaque redémarrage : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

7 2. Les attaques Les chevaux de Troie (troyans) 2. Les attaques Le troyan Ginmaster Un cheval de Troie (troyan) est programme caché dans un autre programme qui s exécute au démarrage du programme «hôte». Le nom provient d'une légende narrée dans l'iliade (Homère) à propos du siège de la ville de Troie par les Grecs. Il permet donc de s'introduire sur le système à l insu de la victime : ouverture d une «porte dérobée» ou backdoor, généralement un port. Le cheval de Troie devient alors autonome et peut agir comme un virus en infectant des données ou des programmes Les attaques Le scan de ports 2. Les attaques Le Déni de service Le scan de port permet de connaitre les ports ouverts ou fermés sur une machine distante mais aussi potentiellement : Ø les versions des services qui tournent ; Ø les types de systèmes d'exploitation et leurs versions ; Ø la présence d'un firewall ; Ø les ports ouverts sur le firewall; Ø la politique de filtrage en fonction d'adresses IP spécifiques ; Ø etc. Ce type d attaque nommé en anglais Denial Of Service ou DOS empêche par saturation un service de fonctionner correctement sur une machine. Par exemple le «Ping of the death» est la plus ancienne des attaques de type DOS : un ping continu avec une taille de paquet maximum est lancé vers la machine cible. Tous les OS récents empêchent ce type d attaque. Une variante connue sous le nom de smurfing est basée sur l envoi d un «echo request» ICMP avec comme adresse source celle de la victime et une adresse destination de diffusion. Les réponses «echo reply» provenant de toutes les machines du réseau vers la machine de la victime saturent celle-ci. Cette vulnérabilité a également été supprimée sur tous les OS récents

8 2. Les attaques TCP-SYN Flooding 2. Les attaques TCP-SYN Flooding Cette attaque consiste à inonder (flooding) la cible à l aide de demandes successives d ouverture de connexion TCP. Lors d une ouverture normale : Ø le premier segment TCP est transmis par le client avec le bit SYN à 1 pour demander l ouverture ; Ø le serveur répond avec dans son segment TCP les bits SYN et ACK à 1 ; Ø le client demandeur conclut la phase avec le bit ACK à 1. Les abus interviennent au moment où le serveur a renvoyé un accusé de réception (SYN ACK) au client mais n a pas reçu le «ACK» du client. C est alors une connexion à semi-ouverte et l agresseur peut saturer la structure de données du serveur victime en créant un maximum de connexions partiellement ouvertes. Le client autorisé ne pourra alors plus ouvrir de connexion. Il existe plusieurs méthodes simples pour parer cette attaque : Ø la limitation du nombre de connexions depuis la même source ou la même plage d'adresses IP ; Ø la libération des connexions semi-ouvertes selon un choix de client et un délai aléatoires ; Ø la réorganisation de la gestion des ressources allouées aux clients en évitant d'allouer des ressources tant que la connexion n'est pas complètement établie Les attaques Le DDOS 2. Les attaques Le DDOS Le Distributed denial-of-service ou déni de service distribué à les mêmes effets que le DoS traditionnel excepté qu'ici ce n'est plus une seule machine qui attaque les autres mais une multitude de machines «zombies» contrôlées par un maître unique. Maître L attaque se déroule en plusieurs étapes : Ø Recherche sur Internet d'un maximum de machines vulnérables qui deviendront des complices involontaires, des «zombies». Ø Les réseaux de zombies («botnet» en anglais) ainsi formés sont une ressource précieuse pour les hackers ; Daemons Contrôle Daemons Daemons Réseau de zombies Daemons Ø Installation sur ces machines de programmes dormants (daemons) et suppression des traces éventuelles (logs) ; Ø Les daemons sont basés sur les attaques DOS classiques (paquets UDP multiples, SYN Flood, buffer overflow ) ; Ø Activation du dispositif à l'heure et au jour programmé. Attaque distribuée Victime Parmi les attaques DDoS très populaires, on connaît l'attaque sur les sites internet Yahoo, CNN, Amen et EBay qui ont subit une inondation de leur réseau

9 2. Les attaques Sécurité des smartphones 2. Les attaques Répartition des attaques Les attaques sur les smartphones peuvent être spécifiques : Ø Attaques basées sur les SMS et MMS (pièce jointe infectée, DDOS ) ; Ø Attaques basées sur les réseaux de communication : Craquage des algorithmes de chiffrement GSM ; Craquage du réseau WiFi ; Virus transmis dans un fichier envoyé vers un smartphone en mode découverte Bluetooth. Ø Attaques basées sur les failles du navigateur Web (jailbreak de l Iphone basé sur les vulnérabilité de Safari). Ø Attaques basées sur les failles du système. Ø Malwares spécifiques (RedBrowser, FlexiSpy ) Les attaques Questions sur les attaques 3. Les défenses matérielles Concepts Quels sont les deux grands types d attaque? À quels domaines de sécurité (intégrité, confidentialité, disponibilité) se rapportent ces deux types? Quelle est la différence entre virus et vers? Dans quelle mesure ces derniers sont-ils plus dangereux? Quelles attaques sont considérées comme des dénis de service? Le spoofing Le flooding Les virus Le phishing Le spamming Dans une attaque de type DDOS : Une machine maître contrôle d autres machines qui pourront réaliser une attaque distribuée sur la cible Une machine maître inonde des machines cible à l aide d applications distribuées L objectif est de paralyser la machine cible 35 Défense en profondeur Ø Plusieurs mesures de sécurité valent mieux qu'une. Ø Par exemple Anti-spam sur les serveurs de messagerie ET sur les postes de travail. Interdiction par défaut Ø On ne connaît jamais à l'avance toutes les menaces qu'on va subir. Ø Il est mieux d'interdire tout ce qui n'est pas explicitement permis que de permettre tout ce qui n'est pas explicitement interdit. Participation des utilisateurs Ø Un système de protection n'est efficace que si tous les utilisateurs le supportent. Ø Un système trop restrictif pousse les utilisateurs à devenir créatifs Simplicité Ø La plupart des problèmes de sécurité ont leur origine dans une erreur humaine. Ø Dans un système simple : le risque d'erreur est plus petit ; il est plus facile de vérifier son bon fonctionnement. Principe du moindre privilège Ø Chaque élément d'un système (utilisateur, logiciel) ne doit avoir que le minimum de privilèges nécessaires pour accomplir sa tâche : Utilisateurs, utilisateur avancés, administrateurs ; Un serveur web est lancé avec un compte limité ; Zone RAM ou disque interdite ; 36 9

10 3. Les défenses matérielles Concepts 3. Les défenses matérielles La translation d adresses - NAT La translation d adresses est basée sur l utilisation des adresses privées, non routables sur Internet : Plusieurs modèles de sécurité : Ø La sécurité par l hôte : chaque machine est sécurisée à un certain niveau (serveurs et stations avec authentification au login et protections locales sur l accès aux ressources) ; Ø La sécurité par le réseau : l accès à l ensemble des ressources du réseau est protégé par un firewall, un VPN, un proxy Plusieurs niveaux de sécurité : Ø Sécurité des données : concerne exclusivement les données à l intérieur du système (cryptographie, protection physique ) Ø Sécurité des réseaux : concerne les données qui transitent entre les systèmes (firewall, VPN ). Classe A Classe B à Classe C à Elle permet d isoler le trafic local du trafic public de l internet et nécessite l utilisation d un translateur d adresse (NAT - Network Adress Translator). Quand un paquet sort, l'adresse source est remplacée par une adresse publique. L'adresse source est donc masquée : masquerading. La translation de port est généralement utilisée conjointement (NAPT) pour éviter les collisions lorsque deux connexions ne sont différentes que par l'adresse interne. Deux niveaux interdépendants d étude : Ø Au niveau de l architecture du réseau (firewall, DMZ, VPN ) ; Ø Au niveau des protocoles utilisés dans le réseau (IPSec, PPTP, authentification, SSH, HTTP-S, cryptographie ) Les défenses matérielles Firewall : Principe 3. Les défenses matérielles Filtrage de paquets Le firewall ou pare-feux est chargé de filtrer les accès entre l Internet et le réseau local ou entre deux réseaux locaux. La localisation du firewall (avant ou après le routeur, avant ou après le NAT..) est stratégique. Le firewall, qui est souvent un routeur possédant des fonctionnalités de filtrage, possède autant d interfaces que de réseaux connectés. Suivant la politique de sécurité, le filtrage est appliqué différemment pour chacune des interfaces d entrée et de sortie (blocage des adresses IP privées entrantes, autorisation des accès entrants vers le serveur web institutionnel ) Les machines d extrémité possèdent également un firewall mais celui-ci est logiciel (pare-feu Windows ou iptables sous Linux par exemple) et sert à protéger les machines du trafic entrant si le firewall à l entrée du LAN n a pas été suffisamment sélectif. Pour chaque trame ou chaque paquet entrant ou sortant sur une interface donnée, les en-têtes correspondant aux différentes couches sont analysés et le filtrage sélectif est appliqué suivant la stratégie de sécurité définie par l administrateur du réseau. Le filtrage peut porter sur : Ø les adresses MAC source ou destination ; Ø les adresses IP source ou destination ; Ø les ports TCP ou UDP source ou destination ; Ø les Flags de l en-tête TCP (SYN, ACK ) ; Ø le type de message ICMP ; Ø le type de message ou le contenu HTTP, SMTP, POP (filtrage applicatif). Serveur d accès LAN privé Intranet Firewall Routeur d accès Internet LAN privé Firewall?? HTTP?? SMTP Internet Serveurs accessibles depuis Internet

11 3. Les défenses matérielles Filtrage sur les entrées 3. Les défenses matérielles Règles d un Firewall Le firewall peut également empêcher les connexions entrantes en analysant la valeur du bit ACK de l en-tête TCP. Lors d une demande de connexion, le bit ACK du premier segment TCP est à 0, les bits ACK des segments suivants sont généralement tous à 1. Il suffit donc de bloquer les segments entrants avec le bit ACK à 0, les segments suivants pour cette connexion ne seront pas pris en compte SYN=1, ACK=0 SYN=1, ACK=1 La configuration d un firewall passe par l écriture d une suite de règles qui décrivent les actions à effectuer (accepter ou refuser le trafic) suivant les informations contenues dans les en-têtes des paquets. Les caractéristiques de chaque paquet sont comparées aux règles, les unes après les autres. La première règle rencontrée qui correspond aux caractéristiques du paquet analysé est appliquée : l action décrite dans la règle est effectuée. Pour assurer une sécurité maximum, la seule règle présente par défaut doit être celle qui interdit l accès à tous les paquets entrants et sortants, d autres règles seront ensuite insérées pour ouvrir les accès souhaités. La stratégie appliquée est donc : «tout ce qui n'est pas explicitement autorisé est interdit». LAN privé SYN=0, ACK=1 Firewall Internet Les défenses matérielles Exemple de règles d un firewall 3. Les défenses matérielles Firewall : les ACL Cisco Les règles A et B permettent aux machines locales ( ) d ouvrir une connexion sur un serveur web (port 80) externe. Émission (règle C) ou réception (règle D) de courrier SMTP (port 25) avec un serveur externe. Les paquets entrants depuis des supposés serveurs SMTP ne peuvent passer que si la connexion a été initiée de l intérieur (règle D). Blocage de toute autre connexion (règle E). Sur les routeurs Cisco, les ACL (Access Control Lists) permettent de filtrer les paquets entrants ou sortants en fonction des adresses IP source et destination. Il existe 2 types d'acl : Ø standard : uniquement sur les IP sources ; Ø étendue : sur quasiment tous les champs des en-têtes IP, TCP et UDP. Le filtrage sur les paquets peut intervenir : Ø sur l interface d entrée, avant le processus de routage ; Ø sur l interface de sortie, après le processus de routage. Règle dest. Protocole Src Port Dst Port ACK=1 Action A Out TCP > Permit B In TCP 80 >1023 Permit C Out TCP > Permit D In TCP 25 >1023 Yes Permit E All All All All All All Deny

12 3. Les défenses matérielles Firewall : logique des ACL Cisco 3. Les défenses matérielles Firewall : exemples d ACL Cisco Le paquet est vérifié par rapport au 1er critère défini sur les informations contenues dans les en-têtes IP, TCP ou UDP : Ø S'il vérifie le critère, l'action définie est appliquée ; Ø Sinon le paquet est comparé successivement aux ACL suivants ; S'il ne satisfait aucun critère, l'action deny est appliquée. Des masques sont utilisés pour pouvoir identifier une ou plusieurs adresses IP en une seule définition. Le masque défini la portion de l'adresse IP qui doit être examinée : Ø signifie que seuls les 2 premiers octets doivent être examinés ; Ø deny avec : refus de toutes les IP commençant par Syntaxe d'une règle standard : access-list number [deny permit] source [source-wildcard] Ø number compris entre 1 et 99 ou entre 1300 et 1999 Ø Source-wildcard : masque pour la source Syntaxe d'une règle étendue : access-list number [deny permit] protocol source source-wildcard destination dest.-wildcard Ø number : compris entre 100 et 199 ou 2000 et 2699 access-list 1 deny (ou deny host ) access-list 1 permit (ou permit any) Ø Refuse les paquets d'ip source Le masque (également appelé wildcard mask) signifie ici que tous les bits de l'adresse IP sont significatifs. Ø La dernière règle autorise toutes les autres adresses (le masque signifie qu aucun n est significatif) access-list 2 permit Ø Autorise tous les paquets d'ip source /24. Ø Différence avec access-list 2 permit ? access-list 101 deny ip any host Ø Refus des paquets IP à destination de la machine et provenant de n'importe quelle source access-list 102 deny tcp any gt 1023 host eq 23 Ø Refus de paquet TCP provenant d'un port > 1023 et à destination du port 23 de la machine d'ip access-list 103 deny tcp any host eq http Ø Refus des paquets TCP à destination du port 80 de la machine d'ip Les défenses matérielles Firewall : quizz ACL Cisco 3. Les défenses matérielles Firewall sous Linux Netfilter est le module qui fournit à Linux les fonctions de pare-feu, de translation d adresse (NAT) et d'historisation du trafic réseau. Netfilter fonctionne en mode noyau. Il intercepte et manipule les paquets IP entrant et sortant de votre machine. iptables est le programme qui permet à un administrateur de configurer Netfilter. iptables est installé par défaut dans toutes les distributions Linux et est utilisable en mode commande. Des interfaces graphiques sont cependant disponibles pour modifier plus aisément les règles de filtrage ou de translation

13 3. Les défenses matérielles Firewall sous Linux : chaînes 3. Les défenses matérielles Firewall sous Linux : chaînes (2) Par défaut, le programme iptables utilise la table «filter» qui contient trois listes de règles ; Ces listes sont appelées chaînes de firewall ou juste chaînes. Les trois chaînes sont nommées INPUT, OUTPUT et FORWARD : Ø La chaîne INPUT permet de décider ce que l on fait d un paquet entrant. Il peut être accepté (ACCEPT) ou rejeté (DROP) ; Ø La chaîne OUTPUT permet de la même façon de fixer le sort des paquets sortants (ceux qui sont générés localement) ; Ø La chaîne FORWARD permet de transférer sur une autre carte réseau le paquet arrivé sur votre machine. Entrée Décision de routage INPUT FORWARD DROP OUTPUT ACCEPT Une autre table est utilisée pour les translations d adresses : la table «nat». Elle utilise 3 chaînes : Ø PREROUTING, c'est la chaîne qui va être utilisée pour faire du DNAT (Destination NAT) : translation sur adresse destination avant le processus de routage. Ex : pour un paquet entrant vers un serveur web interne et masqué, le routeur va remplacer sa propre IP par l IP du serveur web. Ø POSTROUTING, à la sortie du routeur et utilisée pour faire du SNAT (Source NAT) : masquage d'adresse source après le processus de routage. Ex : un ordinateur local veut sortir sur le WAN, le routeur va remplacer l'ip du paquet émis en local par sa propre IP. Ø OUTPUT, cette chaîne va traiter les réponses émises en local si le paquet avait pour destination le routeur, comme dans le cas de la table filter. Entrée PREROUTING DROP ACCEPT Décision de routage OUTPUT POSTROUTING DROP ACCEPT Sortie DROP ACCEPT Processus local DROP ACCEPT Sortie Processus local DROP ACCEPT Les défenses matérielles Firewall sous Linux : règles 3. Les défenses matérielles Firewall sous Linux : exemple Chaque chaîne est composée d'un ensemble de règles. Quand un paquet atteint une chaîne celle ci va examiner cet ensemble règle par règle pour trouver celle qui lui correspond. Si c'est le cas alors cette règle lui sera appliquée. Finalement s'il n'y a pas de règle qui corresponde à ce paquet, une politique par défaut sera appliquée. Soit le réseau représenté ci-dessous, quel est le rôle des commandes suivantes? La commande iptables permet de spécifier des règles de sélection des paquets IP dans les trois chaînes (INPUT, OUTPUT et FORWARD). Les paquets sont sélectionnées suivant la combinaison : Ø adresse source, adresse destination ; Ø protocole (tcp, udp, icmp, all) ; Ø numéro de port. Pour chaque règle de sélection, on définit une politique : accepter (ACCEPT) ou rejeter (DROP) le paquet. Exemple : on rejette les pings entrants : # iptables -A INPUT -i eth0 -p icmp -j DROP iptables -A INPUT -i eth0 -j ACCEPT iptables -A OUTPUT -o eth0 -j ACCEPT iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE iptables -t nat -A POSTROUTING -s /24 -o ppp0 -j MASQUERADE

14 3. Les défenses matérielles Firewall/Routage/NAT - Exemple 3. Les défenses matérielles Firewall/Routage/NAT - Exemple Pourquoi pour un paquet entrant, la translation est-elle effectuée sur l adresse destination (Destination NAT) avant le routage et le filtrage? Les défenses matérielles Firewall/Routage/NAT - Exemple Pourquoi pour un paquet sortant, la translation est-elle effectuée sur l adresse source (Source NAT) après le filtrage et le routage? 3. Les défenses matérielles DMZ : principe Une zone démilitarisée (ou DMZ de l anglais DeMilitarized Zone) est une zone de réseau privée ne faisant partie ni du réseau local privé ni de l Internet À la manière d'une zone franche au delà de la frontière, la DMZ permet de regrouper des ressources nécessitant un niveau de protection intermédiaire. Comme un réseau privé, elle est isolée par un firewall mais avec des règles de filtrage moins contraignantes, généralement : Ø Traffic Externe -> DMZ autorisé ; Ø Traffic Externe -> Interne interdit ; Ø Traffic Interne -> DMZ autorisé ; Ø Traffic Interne -> Externe autorisé ; Ø Traffic DMZ -> Interne interdit ; Ø Traffic DMZ -> Externe interdit. LAN privé Zone de protection forte Zone de protection intermédiaire Firewall DMZ Routeur d accès Internet

15 3. Les défenses matérielles DMZ : 2 niveaux de Firewall Un niveau supplémentaire de sécurité peut être introduit avec un deuxième firewall. Les règles d accès sur le firewall du réseau local privé sont plus restrictives. La DMZ est située entre les deux firewalls (DMZ «en sandwich») avec des règles moins restrictives introduites par le premier firewall 3. Les défenses matérielles Firewall et DMZ : exemple (1) La règle A du firewall permet aux machines du LAN privé d'accéder à DMZ 2, alors que la règle C est censée l'interdire. Comment remédier à cela? LAN privé Mail DMZ 1 Firewall Internet DMZ 2 LAN privé Firewall 2 Firewall 1 DMZ Routeur d accès web Internet Zone de protection forte Zone de protection intermédiaire Les défenses matérielles Firewall et DMZ : exemple (2) 3. Les défenses matérielles Proxy : principe Un serveur mandataire (Proxy) a pour fonction de relayer des requêtes entre un poste client et un serveur ou un réseau externe. Les serveurs mandataires sont notamment utilisés pour assurer les fonctions suivantes : Ø sécurité du réseau local ; Ø filtrage et anonymat ; Ø accélération de la navigation : mémoire cache, compression des données ; Ø filtrage des publicités ou des contenus lourds (java, flash) ; Ø journalisation des requêtes (logging). Pour certaines fonctionnalités, un Proxy est très proche d un Firewall applicatif. Exemple : proxy http dans un établissement scolaire pour filtrer les accès Internet. Connexion directe virtuelle Requête au serveur Internet Réponse relayée Cache Requête relayée Réponse du serveur Proxy (Serveur mandaté) Internet LAN privé

16 3. Les défenses matérielles Les IDS 3. Les défenses matérielles Architecture d un IDS Un IDS (Intrusion Detection System ) est un surveillant d un système informatique et de ses utilisateurs. L idée de base est de «prévenir plutôt que de guérir». Différentes tâches d un IDS : Ø Monitoring des événements réseau ou système (connexion sur le port 23, 3 tentatives de saisie du mot de passe, tentative d écriture dans une zone mémoire protégée ) ; Ø Audit des événements interne et externe ; Ø Analyse des risques à partir des informations d audit, en temps réel ou à partir des logs ; Ø Alerte de l administrateur en cas d attaque (message sur console, mail, SMS ) ; Ø Éventuellement : reconfiguration dynamique du firewall (filtrage de l'attaquant) ou des serveurs. HIDS HIDS HIDS HIDS Les IDS peuvent intervenir à deux niveaux : Ø détection et analyse du trafic sur le réseau : NIDS (Network IDS), typiquement devant le firewall ; Ø détection et analyse des évènements (logs) sur les serveurs : HIDS (Host IDS). Les IDS sont le plus souvent hybrides : NIDS + HIDS Les défenses matérielles Où placer un NIDS? 3. Les défenses matérielles Classification des IDS Position (1) : Ø détection de toutes les attaques mais log trop complet et analyse trop complexe ; Ø intéressant pour un Honeypot (pot de miel). Position (2): Ø dans la DMZ ; Ø insuffisant contre les attaques vers le LAN. Position (3) : Ø traite les attaques internes ; Ø efficace car 80% des attaques sont depuis ou vers le LAN (virus, DOS ). IDS Méthode de détection Comportement après détection Source des données Fréquence d utililisation Approche comportementale Approche par scénario Passif Actif Audit système Audit applicatif Paquets réseaux Surveillance continue Analyse périodique

17 3. Les défenses matérielles Approche comportementale 3. Les défenses matérielles Approche par scénario IDS Behaviour-based Une attaque est considérée comme un comportement anormal par rapport au comportement de référence. Nécessité de modéliser le profil de l utilisateur à partir : Ø de méthodes statistiques: construction du modèle statistique (moyenne, variance, écart type, ) du comportement normal (temps CPU utilisé, durée d une connexion, ) ; Ø des réseaux de neurones : apprendre à un réseau de neurones le comportement normal d un utilisateur ; il décidera ensuite de la normalité de comportement par rapport à ce qu il a appris (méthode encore dans le domaine de la recherche). Modèle statistique IDS Knowledge-based Basée sur une connaissance à priori des signatures d attaques. Techniques utilisés pour cette approche : Ø Les systèmes experts : une base de connaissance des attaques, et un moteur d inférence du système expert qui décide si une attaque est répertoriée et s est produite ou pas. Ø Le pattern matching : s appuie sur une base de données de signature d attaque et un algorithme chargé de localiser les signatures dans les traces d audit, cette technique est la plus utilisé dans les outils commerciaux. Signatures Capture Analyse Alertes Capture Analyse Alertes Avantage de l approche comportementale : Ø ne nécessite pas une base de scénarios d attaque ; Ø permet la détection de nouvelles attaques. Inconvénient : Ø risque important de «faux positifs», car le comportement peut changer avec le temps. Avantage : Ø Nombre de fausse alarme faible. Inconvénients : Ø Les nouvelles attaques ne sont pas détectés ; Ø Entretien régulier de la base de connaissance ; Ø Les attaque de type abus de privilège ne sont pas détectés Les défenses matérielles Exemples d actions d un IDS 3. Les défenses matérielles Exemple d IDS : SNORT + BASE Ordre envoyé par le NIDS à un équipement tierce (firewall, ACL sur routeurs) pour une reconfiguration immédiate dans le but de bloquer une intrusion (possible par passage des informations détaillant l alerte dans l en tête(s) de paquet(s)). Envoi d une trap SNMP (et le détail des informations le constituant) à une console hyperviseur tierce comme HP OpenView, Tivoli, Cabletron Spectrum, etc. Envoi d un à un ou plusieurs utilisateurs pour notifier d une intrusion sérieuse. Journalisation (log) de l attaque : sauvegarde des détails de l alerte dans une base de données centrale (exemple : de l de la cible, protocole utilisé, payload). Sauvegarde de l ensemble des paquets réseaux (raw packets) capturés et/ou seul(s) les paquets qui ont déclenchés une alerte. Lancement d'un programme extérieur pour exécuter une action spécifique (envoi d un message sms, émission d une alerte auditive ). Envoi d un "ResetKill" : construction d'un paquet TCP FIN pour forcer la fin d une connexion (uniquement valable sur des techniques d intrusions utilisant TCP). Notification visuelle de l alerte : affichage de l alerte dans une ou plusieurs console(s) de management. SNORT est un NDIS open source très utilisé dans le monde LINUX fonctionnant également sous Windows. BASE est une interface graphique écrite en PHP utilisée pour afficher les logs générés par l'ids SNORT

18 3. Les défenses matérielles Les VPN Un VPN (Virtual Private Network) est constitué d un ensemble de LAN privés reliés à travers Internet par un «tunnel» sécurisé dans lequel les données sont cryptées. Les postes distants faisant partie du même VPN communiquent de manière sécurisée comme s ils étaient dans le même espace privé, mais celui-ci est virtuel car il ne correspond pas à une réalité physique. Cette solution permet d utiliser les ressources de connexion de l Internet plutôt que de mettre en place, comme par le passé, une liaison spécialisée privée entre deux sites qui peut être très coûteuse si les sites sont fortement éloignés. Une passerelle matérielle ou logicielle est chargée de gérer le cryptage, l authentification et le contrôle d intégrité. Un VPN repose sur un protocole de «tunnelisation» qui peut intervenir à différents niveaux OSI et dans lequel est définit notamment l algorithme de cryptage. LAN 1 PC nomade Passerelle VPN logicielle Internet LAN 2 3. Les défenses matérielles Exemple de VPN 1. Le PC1 ( ) envoie un paquet vers le serveur web ( ) comme il le ferait si ce dernier était sur le même LAN. 2. Le routeur qui joue le rôle de passerelle VPN encrypte le paquet, ajoute l en-tête VPN et un nouvel en-tête IP avec les adresses publiques et relaie le paquet. 3. A l autre extrémité, le routeur/firewall reçoit le paquet, confirme l identité de l émetteur, confirme que le paquet n a pas été modifié, décapsule et décrypte le paquet original. 4. Le serveur web reçoit le paquet décrypté. LAN 1 PC1 : Routeur VPN Internet Routeur VPN/ Firewall En-tête VPN Paquet IP Nouvel en-tête IP Paquet IP crypté LAN 2 web : Passerelle VPN Paquets cryptés Tunnel sécurisé Passerelle privées Src= publiques Src= privées Src= Dst= Les défenses matérielles Questions sur les VPN (1) 3. Les défenses matérielles Questions sur les VPN (2) La figure suivante illustre une communication entre deux machines à travers un VPN. Le paquet IP issu du PC1 est transporté vers le serveur web distant. 1) Complétez la figure en spécifiant les différents en-têtes et en écrivant les adresses IP privées et publiques sur le paquet à ses différents stades de transmission. 2) Comment sont masquées les adresses IP privées? LAN 1 PC1 : Routeur VPN Internet Routeur VPN/ Firewall LAN 2 web : ) Pourquoi un double en-tête IP est-il nécessaire? IP data IP data IP data 4) Quel est le rôle de l en-tête VPN? Par quel dispositif est-il géré?

19 4. Les défenses logicielles Antivirus La seule méthode pour détecter et éliminer les virus est l'utilisation d'un anti-virus. C est un logiciel installé sur chaque PC (station et serveur) qui scanne (analyse) au fur et à mesure les fichiers transférés. Le logiciel lit les codes et tente de reconnaître la signature des virus qu'il connaît. Quelques remarques : Ø La signature : c est le code (la programmation) du virus. Ø Comme le nombre de virus devient de plus en plus important et qu'éliminer de la liste les "anciens virus" serait dangereux, le travail de comparaison entre sa liste de virus et le fichier analysé devient de plus en plus lourd. C'est néanmoins la seule solution. Ø Pour détecter les nouveau virus, les logiciels anti-virus mettent à jour leur base de donnée régulièrement. Sans cette mise à jour, l'utilisation de ces programmes est pratiquement inutile. Ø Les virus deviennent "mutants". Pour évitez cette détection, les virus changent de signature en modifiant leur code de programmation en même temps que l'infection. Ø Certains virus actuels se coupent en plusieurs morceaux pour se reconstruire à la moindre occasion (virus polymorphes) 4. Les défenses logicielles Notions de cryptographie Le but de la cryptographie est de garantir la confidentialité, l'authenticité et l'intégrité des données échangées. Il existe à l heure actuelle deux grands principes de chiffrement ou cryptage : le cryptage symétrique qui utilise une même clé partagée et le cryptage asymétrique qui utilise deux clés distinctes. Cryptage symétrique Il basé sur l utilisation d une clé privée (ou algorithme) partagée entre les deux parties communicantes. La même clé sert à crypter et décrypter les messages. Bonjour Cryptage Données cryptées bnra&z Décryptage Bonjour Clé privée Réseau non sécurisé Clé privée Les défenses logicielles Cryptage symétrique Ce type de chiffrement est efficace (des longueurs de clés de 64 ou 128 bits sont suffisantes), rapide et peu gourmand en puissance de calcul. La principale difficulté est de trouver un moyen sécurisé pour communiquer la clé aux deux entités. Bonjour Clé privée Cryptage Données cryptées bnra&z Réseau non sécurisé Décryptage Clé privée Bonjour 4. Les défenses logicielles Cryptage asymétrique Le cryptage asymétrique utilise deux clés différentes pour chaque utilisateur : Ø la première est privée et n est connue que de l utilisateur qui a généré les clés ; Ø la deuxième est publique et peut être transmise sur Internet. Les clés publique et privée sont mathématiquement liées par l algorithme de cryptage de telle manière qu un message crypté avec une clé publique ne puisse être décrypté qu avec la clé privée correspondante et qu il est impossible de déduire la clé privée à partir de la clé publique. Une clé est donc utilisée pour le cryptage et l autre pour le décryptage. Son principal avantage est qu il résout le problème du transfert de la clé mais en revanche, il est plus coûteux en termes de temps de calcul et nécessite des tailles de clé plus importantes (couramment 1024 ou 2048 bits). Les algorithmes de chiffrement symétrique les plus utilisés sont : Ø DES (Digital encryption Standard) : avec des clés de 64 bits seulement et la puissance de calcul actuelle, sa robustesses est mise en cause ; Ø AES (Advanced Encryption Standard) : utilise des clés de 128 bits, le plus efficace aujourd hui compte-tenu des faibles ressources de calcul nécessaires. Bonjour Cryptage Données cryptées Zv*yic Décryptage Bonjour Clé publique Réseau non sécurisé Clé privée

20 4. Les défenses logicielles Exemples de cryptage asymétrique 4. Les défenses logicielles Symétrique ou asymétrique? Le plus connu est l algorithme de chiffrement RSA (Rivest, Shamir et Adelman MIT). Concu en 1977, il reste très utilisé pour l authentification. Des clés de 2048 bits sont aujourd hui fortement recommandées. L'algorithme ElGamal, du nom de son créateur Taher Elgamal, est un algorithme asymétrique basé sur les logarithmes discrets. Il est également très utilisé pour le chiffrement et la signature. Un groupe de n personnes souhaite utiliser un système cryptographique pour s'échanger deux a deux des informations confidentielles. Les informations échangées entre deux membres du groupe ne devront pas pouvoir être lues par un autre membre. Le groupe décide d'utiliser un système symétrique de chiffrement. 1) Quel est le nombre minimal de clés symétriques nécessaires? 2) Donnez le nom d'un algorithme de chiffrement symétrique reconnu. Le programme complet de cryptographie à clé publique le plus connu est PGP (Pretty Good Privacy). Le format OpenPGP est le standard ouvert de cryptographie issu de PGP. Sous Linux, la distribution la plus répandue est GnuPG. Sous Windows, il s agit de WinPT (Windows Privacy Tools). Le groupe décide maintenant de remplacer ce système par un système asymétrique. 3) Quel est le nombre minimal de couples de clés asymétriques nécessaires pour que chaque membre puisse envoyer et recevoir des informations chiffrées et/ou signées? Les défenses logicielles Symétrique ou asymétrique? 4) Bob souhaite envoyer des informations chiffrées et signées a Alice (Bob et Alice appartiennent tous les deux au groupe). Quelle(s) clé(s) Bob doit-il utiliser? 5) Donnez le nom d'un algorithme de chiffrement asymétrique reconnu. 4. Les défenses logicielles Cryptage symétrique et asymétrique Pour profiter de l'efficacité du chiffrement symétrique et des avantages de l'asymétrique qui élimine le problème de transfert de la clé, une solution est de combiner les deux chiffrements : Ø on chiffre le message avec une clé symétrique ; Ø on chiffre la clé symétrique avec la clé publique du destinataire ; Ø on joint la clé symétrique chiffrée au message ; Ø le destinataire déchiffre la clé symétrique avec sa clé privée, puis le message avec la clé symétrique qu il peut utiliser à son tour pour envoyer des messages chiffrés. Le groupe décide enfin d'utiliser un système hybride pour le chiffrement (c'est-à-dire qui utilise la cryptographie symétrique et asymétrique). 6) Donnez les raisons qui ont poussées ce groupe à utiliser un tel système? Cryptage Décryptage Thèse qw?x Thèse Clé symétrique Clé symétrique Clé publique Clé symétrique cryptée Clé privée

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

LA SÉCURITÉ DANS LES RÉSEAUX POURQUOI SÉCURISER? Ce cours traitera essentiellement les points suivants :

LA SÉCURITÉ DANS LES RÉSEAUX POURQUOI SÉCURISER? Ce cours traitera essentiellement les points suivants : LA SÉCURITÉ DANS LES RÉSEAUX Page:1/6 Objectifs du COURS : Ce cours traitera essentiellement les points suivants : - les attaques : - les techniques d intrusion : - le sniffing - le «craquage» de mot de

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Devoir Surveillé de Sécurité des Réseaux

Devoir Surveillé de Sécurité des Réseaux Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Fonctionnement de Iptables. Exercices sécurité. Exercice 1 Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis.

Plus en détail

Sécurité des réseaux Firewalls

Sécurité des réseaux Firewalls Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et

Plus en détail

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES SECURITE - IPTABLES Conception d'une zone démilitarisée (DeMilitarized Zone: DMZ) Veuillez indiquer les informations suivantes : Binômes Nom Station ou PC D. Essayed-Messaoudi Page 1 sur 9 TP 4 : Sécurité

Plus en détail

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists).

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists). 1 LINUX FIREWALL Introduction Un firewall ou pare-feu est un des composants essentiel à la sécurité informatique d un réseau. Il va permettre d isoler une ou plusieurs machines ou réorienter les requêtes

Plus en détail

Sécurisation en réseau

Sécurisation en réseau Déni de services Sécurisation en réseau Utilisant des bugs exemple Ping of death (Cf. RFC IP) l exploitation des protocoles TCP SYN flooding Envoi seulement le début du 3-way handshake Saturation de la

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

Mécanismes de sécurité des systèmes. 10 e cours Louis Salvail

Mécanismes de sécurité des systèmes. 10 e cours Louis Salvail Mécanismes de sécurité des systèmes 10 e cours Louis Salvail Objectifs Objectifs La sécurité des réseaux permet que les communications d un système à un autre soient sûres. Objectifs La sécurité des réseaux

Plus en détail

PCI (Payment Card Industry) DSS (Data Security Standard )

PCI (Payment Card Industry) DSS (Data Security Standard ) PCI (Payment Card Industry) DSS (Data Security Standard ) Jean-Marc Robert Génie logiciel et des TI PCI-DSS La norme PCI (Payment Card Industry) DSS (Data Security Standard) a été développée dans le but

Plus en détail

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A TP réseau firewall L objectif de ce TP est de comprendre comment mettre en place un routeur pare-feu (firewall) entre

Plus en détail

Table des matières AVANT-PROPOS... MODULE 1 : ENVIRONNEMENT... 1-1 MODULE 2 : ATTAQUES COURANTES... 2-1

Table des matières AVANT-PROPOS... MODULE 1 : ENVIRONNEMENT... 1-1 MODULE 2 : ATTAQUES COURANTES... 2-1 Table des matières AVANT-PROPOS... MODULE 1 : ENVIRONNEMENT... 1-1 Problématiques de la sécurité... 1-2 Domaines de la sécurité... 1-4 Buts de la sécurité informatique... 1-6 Niveaux de sécurité... 1-7

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1. Routeur Chiffrant Navista Version 2.8.0 Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.0 Cibles de sécurité C.S.P.N Référence : NTS-310-CSPN-CIBLES-1.05

Plus en détail

Sécurité des réseaux Les attaques

Sécurité des réseaux Les attaques Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

Configurer un pare-feu avec NETFILTER

Configurer un pare-feu avec NETFILTER Configurer un pare-feu avec NETFILTER Netfilter est le firewall des distributions linux récentes pris en charge depuis les noyaux 2.4. Il est le remplaçant de ipchains. La configuration se fait en grande

Plus en détail

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - Cours de sécurité Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - 1 Plan pare-feux Introduction Filtrage des paquets et des segments Conclusion Bibliographie 2 Pare-Feux Introduction

Plus en détail

Chapitre II. Introduction à la cryptographie

Chapitre II. Introduction à la cryptographie Chapitre II Introduction à la cryptographie PLAN 1. Terminologie 2. Chiffrement symétrique 3. Chiffrement asymétrique 4. Fonction de hachage 5. Signature numérique 6. Scellement 7. Echange de clés 8. Principe

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public.

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. TP 8.1 ÉTUDE D UN FIREWALL OBJECTIFS Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. PRÉ-REQUIS Système d exploitation

Plus en détail

Définition Principes de fonctionnement Application à iptables 1/25

Définition Principes de fonctionnement Application à iptables 1/25 Les pare-feux Définition Principes de fonctionnement Application à iptables 1/25 Définition Un pare-feu est un logiciel qui : Analyse les trames qu'il reçoit et prend une décision en fonction des adresses

Plus en détail

Formation Iptables : Correction TP

Formation Iptables : Correction TP Table des matières 1.Opérations sur une seule chaîne et sur la table filter:...2 2.Opérations sur plusieurs chaînes et sur la table filter:...5 3.Opérations sur plusieurs chaires et sur plusieurs tables

Plus en détail

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required.

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required. Quelles sont les deux affirmations vraies relatives à la sécurité du réseau? (Choisissez deux réponses.) Protéger un réseau contre les attaques internes constitue une priorité moins élevée car les employés

Plus en détail

Sécurité informatique : Sécurité dans un monde en réseau. Explosion des connexions à internet 2. ... Mais c est pas tout! 3

Sécurité informatique : Sécurité dans un monde en réseau. Explosion des connexions à internet 2. ... Mais c est pas tout! 3 Sécurité informatique : Matthieu Amiguet 2006 2007 Explosion des réseaux Explosion des connexions à internet 2 En 1990, environ 320 000 hôtes étaient connectées à internet Actuellement, le chiffre a dépassé

Plus en détail

Les pare-feux : concepts

Les pare-feux : concepts Les pare-feux : concepts Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (2) 15 mai 2005 Diapositive N 1 /19 C'est quoi

Plus en détail

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables Firewall, Virus, Spam Administration Système et Réseaux, Sécurité Firewall, Spam, Virus Philippe Harrand Firewall Généralités Définitions Mise en oeuvre iptables 1 Departement Informatique Pôle Sciences

Plus en détail

Iptables. Nat : Cette table effectue le masquerading. Elle est constituée de trois chaînes internes : PREROUTING, OUTPUT et POSTROUTING..

Iptables. Nat : Cette table effectue le masquerading. Elle est constituée de trois chaînes internes : PREROUTING, OUTPUT et POSTROUTING.. I) Introduction : Il existe trois tables : Filter : C est la table par défaut qui permet le filtrage des paquets. Elle ne modifie pas le contenu des paquets. Elle est constituée de trois chaînes : INPUT,

Plus en détail

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2

Plus en détail

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr M1 Informatique Réseaux Filtrage Bureau S3-203 mailto://alexis.lechervy@unicaen.fr Sécurité - introduction Au départ, très peu de sécurité dans les accès réseaux (mots de passe, voyageant en clair) Avec

Plus en détail

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1 Les ACL Cisco Master 2 Professionnel STIC-Informatique 1 Les ACL Cisco Présentation Master 2 Professionnel STIC-Informatique 2 Les ACL Cisco? Les ACL (Access Control Lists) permettent de filtrer des packets

Plus en détail

TP Réseaux. Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ)

TP Réseaux. Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ) TP Réseaux Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ) Préambule Nous devons concevoir une zone démilitarisée, c'est à dire une configuration réseau qui permet d'isoler un ensemble de

Plus en détail

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall? TP Linux : Firewall Objectif : Réaliser un firewall simple par filtrage de paquet avec iptables sous Linux Matériel : 1 serveur Linux S configuré en routeur entre le réseau du lycée qui représentera le

Plus en détail

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. 2013 Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. Table des matières 1 Les architectures sécurisées... 3 2 La PKI : Autorité de certification... 6 3 Installation

Plus en détail

Les menaces informatiques

Les menaces informatiques Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une attaque. Une «attaque» est l'exploitation d'une faille d'un système informatique (système d'exploitation, logiciel

Plus en détail

Fiche de l'awt La sécurité informatique

Fiche de l'awt La sécurité informatique Fiche de l'awt La sécurité informatique La sécurité informatique est essentielle pour l'entreprise, particulièrement dans le contexte de l'ebusiness: définition, dangers, coûts, outils disponibles Créée

Plus en détail

PACK SKeeper Multi = 1 SKeeper et des SKubes

PACK SKeeper Multi = 1 SKeeper et des SKubes PACK SKeeper Multi = 1 SKeeper et des SKubes De plus en plus, les entreprises ont besoin de communiquer en toute sécurité avec leurs itinérants, leurs agences et leurs clients via Internet. Grâce au Pack

Plus en détail

Cours 14. Crypto. 2004, Marc-André Léger

Cours 14. Crypto. 2004, Marc-André Léger Cours 14 Crypto Cryptographie Définition Science du chiffrement Meilleur moyen de protéger une information = la rendre illisible ou incompréhensible Bases Une clé = chaîne de nombres binaires (0 et 1)

Plus en détail

LAB : Schéma. Compagnie C 192.168.10.30 /24 192.168.10.10 /24 NETASQ

LAB : Schéma. Compagnie C 192.168.10.30 /24 192.168.10.10 /24 NETASQ LAB : Schéma Avertissement : l exemple de configuration ne constitue pas un cas réel et ne représente pas une architecture la plus sécurisée. Certains choix ne sont pas à prescrire dans un cas réel mais

Plus en détail

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif C TLS Objectif Cette annexe présente les notions de cryptage asymétrique, de certificats et de signatures électroniques, et décrit brièvement les protocoles SSL (Secure Sockets Layer) et TLS (Transport

Plus en détail

FILTRAGE de PAQUETS NetFilter

FILTRAGE de PAQUETS NetFilter TP RESEAUX MMI Semestre 3 FILTRAGE de PAQUETS NetFilter OBJECTIF : Introduction à Netfilter. Configuration d'un firewall. MATERIELS : (Machines Virtuelles) 1 Serveur Debian avec apache d'installé, 1 Poste

Plus en détail

Comment votre PC peut-il être piraté sur Internet?

Comment votre PC peut-il être piraté sur Internet? Edited By BIANCHI Lorenzo A.C.S2013SERVICES INFORMATIQUE 2014 Comment votre PC peut-il être piraté sur Internet? Comment votre PC peut-il être piraté sur Internet? Toujours le fait de personnes malveillantes,

Plus en détail

Plan. 1 Introduction. 2 Attaques de sécurité. 3 Services de sécurité. 4 Logiciels malveillants. 5 Attaques DoS. 6 ARP spoofing et flooding

Plan. 1 Introduction. 2 Attaques de sécurité. 3 Services de sécurité. 4 Logiciels malveillants. 5 Attaques DoS. 6 ARP spoofing et flooding Plan École Supérieure d Économie Électronique Sécurité Réseaux Rhouma Rhouma 21 Juillet 2014 2 4 5 1 / 68 2 / 68 Plan Introduction Introduction Objectifs de la sécurité CIA 2 4 5 Autres : Authenticité,

Plus en détail

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage Licence 3 Systèmes et Réseaux II Chapitre V : Filtrage Département IEM / UB Eric.Leclercq@u-bourgogne.fr Bureau G212 Aile des Sciences de l Ingénieur Mise-à-jour : février 2009 (Département IEM / UB) Filtrage

Plus en détail

Filtrer les accès. Pare-feu personnel. Pare-feu professionnel

Filtrer les accès. Pare-feu personnel. Pare-feu professionnel 2. Pare-feu 21Pare 2.1 Pare-feu feu:sonrôle Filtrer les accès Entrant et sortant Pare-feu personnel Sur les postes Contrôle couches 1 à 7 Pare-feu professionnel Equipement réseau Couches 1 à 3 2 2.2 Filtrage

Plus en détail

Rappels réseaux TCP/IP

Rappels réseaux TCP/IP Rappels réseaux TCP/IP Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 1 /27 Au menu Modèle

Plus en détail

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne. Sécurité avancée des réseaux Filtrage des paquets IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.fr Outline Pare-feu & Filtre de Confiance Filtrage de paquets Pare-feu

Plus en détail

Installation et configuration de ZeroShell

Installation et configuration de ZeroShell Master 2 Réseaux et Systèmes informatiques Sécurité Réseaux Installation et configuration de ZeroShell Présenté par: Mor Niang Prof.: Ahmed Youssef PLAN 1. Présentation 2. Fonctionnalités 3. Architecture

Plus en détail

Filtrage IP Statique

Filtrage IP Statique Filtrage IP Statique Filtrage statique: Pourquoi? C'est un des moyens de limiter les flux entre différents réseaux Les concepts du filtrage de paquets(1) Analyse des entêtes d'un paquet : Protocole Adresse

Plus en détail

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ TR2 : Technologies de l'internet Chapitre VI NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ 1 NAT : Network Address Translation Le NAT a été proposé en 1994

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

TP 1 - Prise de contact avec Snort, scapy

TP 1 - Prise de contact avec Snort, scapy TP 1 - Prise de contact avec Snort, scapy 0. Initialisation du TP Installer les paquets python-scapy, snort, nmap. 1. Présentation de SNORT v2.8.5 La détection d intrusion consiste en un ensemble de techniques

Plus en détail

cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007 F i r e w a l l s e t a u t r e s é l é m e n t s d ' a r c h i t e c t u r e d e s é c u r i t é cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL

Plus en détail

Charte d installation des réseaux sans-fils à l INSA de Lyon

Charte d installation des réseaux sans-fils à l INSA de Lyon Charte d installation des réseaux sans-fils à l INSA de Lyon Toute installation d un point d accès est soumise à autorisation auprès du Responsable Sécurité des Systèmes d Information (RSSI) de l INSA

Plus en détail

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR) Sécuriser son réseau Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR) Plan Rappel IP Techniques et outils Réseaux Outils réseaux ( sniffer,scanner ) Translation d adresse

Plus en détail

pare - feu généralités et iptables

pare - feu généralités et iptables pare - feu généralités et iptables Cycle Ingénierie 3e année SRT Dernière mise à jour : 12/12/2006 Adrien URBAN pare-feu général routeurs pare-feu sans état pare-feu avec état pare-feu avec état et inspection

Plus en détail

Le filtrage de niveau IP

Le filtrage de niveau IP 2ème année 2008-2009 Le filtrage de niveau IP Novembre 2008 Objectifs Filtrage : Le filtrage permet de choisir un comportement à adopter vis à vis des différents paquets émis ou reçus par une station.

Plus en détail

Table des matières. Formation Iptables

Table des matières. Formation Iptables Table des matières 1.COURS...2 1.1.Mise en situation...2 1.2.Que puis je faire avec iptables/netfilter?...3 1.3.Qu'est ce qu'une chaîne?...3 1.4.Comment placer une règle dans une chaîne?...5 2.TP IPTABLES...6

Plus en détail

NetCrunch 6. Superviser

NetCrunch 6. Superviser AdRem NetCrunch 6 Serveur de supervision réseau Avec NetCrunch, vous serez toujours informé de ce qui se passe avec vos applications, serveurs et équipements réseaux critiques. Documenter Découvrez la

Plus en détail

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1 Formation A2IMP Acquisition d information sur les autres Frédéric Bongat IPSL Formation A2IMP 1 Idée : corréler des informations via d autres Informations de base Connaître l horodatage (date, heure) des

Plus en détail

Le protocole SSH (Secure Shell)

Le protocole SSH (Secure Shell) Solution transparente pour la constitution de réseaux privés virtuels (RPV) INEO.VPN Le protocole SSH (Secure Shell) Tous droits réservés à INEOVATION. INEOVATION est une marque protégée PLAN Introduction

Plus en détail

Notions de sécurités en informatique

Notions de sécurités en informatique Notions de sécurités en informatique Bonjour à tous, voici un article, vous proposant les bases de la sécurité informatique. La sécurité informatique : Vaste sujet, car en matière de sécurité informatique

Plus en détail

Sécurité et Firewall

Sécurité et Firewall TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

Glossaire. Acces Denied

Glossaire. Acces Denied Glossaire Acces Denied Littéralement, Accès refusé. Procédure en vigueur sur les espaces de discussion et permettant aux administrateurs d'interdire l'accès à une personne, en général repérée par son adresse

Plus en détail

Sécurité des Réseaux et d internet. Yves Laloum

Sécurité des Réseaux et d internet. Yves Laloum Sécurité des Réseaux et d internet Yves Laloum CNAM Page 1 1. Menaces et vulnérabilités sur l Internet! Connaître et comprendre les vulnérabilités et les menaces "niveau réseau : sniffers / scanners /

Plus en détail

Présenté par : Mlle A.DIB

Présenté par : Mlle A.DIB Présenté par : Mlle A.DIB 2 3 Demeure populaire Prend plus d ampleur Combinée avec le phishing 4 Extirper des informations à des personnes sans qu'elles ne s'en rendent compte Technique rencontrée dans

Plus en détail

Travaux Pratiques n 1 Principes et Normes des réseaux.

Travaux Pratiques n 1 Principes et Normes des réseaux. Travaux Pratiques n 1 Principes et Normes des réseaux. Objectifs Connaitre le matériel de base (switch, hub et routeur) Savoir configurer une machine windows et linux en statique et dynamique. Connaitre

Plus en détail

Sécurisation du réseau

Sécurisation du réseau Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités

Plus en détail

FORMATION PROFESSIONNELLE AU HACKING

FORMATION PROFESSIONNELLE AU HACKING FORMATION PROFESSIONNELLE AU HACKING BRIEFING Dans un monde où la science et la technologie évolue de façons exponentielle, les informaticiens et surtout les administrateurs des systèmes informatique (Réseau,

Plus en détail

Réseaux et Télécommunication Interconnexion des Réseaux

Réseaux et Télécommunication Interconnexion des Réseaux Réseaux et Télécommunication Interconnexion des Réseaux 1 Concevoir un réseau Faire évoluer l existant Réfléchir à toutes les couches Utiliser les services des opérateurs (sous-traitance) Assemblage de

Plus en détail

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau. Firewall I- Définition Un firewall ou mur pare-feu est un équipement spécialisé dans la sécurité réseau. Il filtre les entrées et sorties d'un nœud réseau. Cet équipement travaille habituellement aux niveaux

Plus en détail

Descriptif de scénario Infection virale Analyse de capture réseau

Descriptif de scénario Infection virale Analyse de capture réseau Descriptif de scénario Infection virale Analyse de capture réseau Type de scénario : Analyse post incident Introduction : Suite à une attaque ou une infection virale, il est très souvent nécessaire d utiliser

Plus en détail

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI Cryptologie Algorithmes à clé publique Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Cryptographie à clé publique Les principes essentiels La signature électronique Infrastructures

Plus en détail

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014 École Supérieure d Économie Électronique Chap 9: Composants et systèmes de sécurité 1 Rhouma Rhouma 21 Juillet 2014 2 tagging et port trunk Création des via les commandes sur switch cisco 1 / 48 2 / 48

Plus en détail

DHCP et NAT. Cyril Rabat cyril.rabat@univ-reims.fr. Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 2012-2013

DHCP et NAT. Cyril Rabat cyril.rabat@univ-reims.fr. Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 2012-2013 DHCP et NAT Cyril Rabat cyril.rabat@univ-reims.fr Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 22-23 Cours n 9 Présentation des protocoles BOOTP et DHCP Présentation du NAT Version

Plus en détail

La Translation d'adresses. F. Nolot

La Translation d'adresses. F. Nolot La Translation d'adresses F. Nolot 1 Introduction Adressage internet sur 32 bits : a peu près 4 milliards d'adresses Découpage en classes réduit ce nombre Le nombre de machines sur Internet pourrait atteindre

Plus en détail

Sécurité des réseaux IPSec

Sécurité des réseaux IPSec Sécurité des réseaux IPSec A. Guermouche A. Guermouche Cours 4 : IPSec 1 Plan 1. A. Guermouche Cours 4 : IPSec 2 Plan 1. A. Guermouche Cours 4 : IPSec 3 Pourquoi? Premier constat sur l aspect critique

Plus en détail

Cisco Certified Network Associate

Cisco Certified Network Associate Cisco Certified Network Associate Version 4 Notions de base sur les réseaux Chapitre 3 01 Quel protocole de la couche application sert couramment à prendre en charge les transferts de fichiers entre un

Plus en détail

Introduction aux Systèmes Distribués. Introduction générale

Introduction aux Systèmes Distribués. Introduction générale Introduction aux Systèmes Distribués Licence Informatique 3 ème année Introduction générale Eric Cariou Université de Pau et des Pays de l'adour Département Informatique Eric.Cariou@univ-pau.fr 1 Plan

Plus en détail

Sécurité des systèmes informatiques

Sécurité des systèmes informatiques Sécurité des systèmes informatiques Alex Auvolat, Nissim Zerbib 4 avril 2014 Alex Auvolat, Nissim Zerbib Sécurité des systèmes informatiques 1 / 43 Introduction La sécurité est une chaîne : elle est aussi

Plus en détail

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN Les Réseaux Privés Virtuels (VPN) 1 Définition d'un VPN Un VPN est un réseau privé qui utilise un réseau publique comme backbone Seuls les utilisateurs ou les groupes qui sont enregistrés dans ce vpn peuvent

Plus en détail

La sécurité des systèmes d information

La sécurité des systèmes d information Ntic consultant contact@ntic-consultant.fr 02 98 89 04 89 www.ntic-consultant.fr La sécurité des systèmes d information Ce document intitulé «La sécurité des systèmes d information» est soumis à la licence

Plus en détail

z Fiche d identité produit

z Fiche d identité produit z Fiche d identité produit Référence DFL-260 Désignation Firewall UTM NETDEFEND 260 pour petites entreprises et télétravailleurs Clientèle cible PME comptant jusqu à 50 utilisateurs Accroche marketing

Plus en détail

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T SECURINETS. Présente

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T SECURINETS. Présente Dans le cadre de SECURIDAY 2009 SECURINETS Présente Atelier : Mise en place d'une architecture sécurisée contre les attaques DDOS. Formateurs : 1. Fitouri Abdelkrim 2. Ghoulem Adel 3. Yahia Marwen 4. Zoghlami

Plus en détail

Bibliographie. Gestion des risques

Bibliographie. Gestion des risques Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes

Plus en détail

Sécurité GNU/Linux. Iptables : passerelle

Sécurité GNU/Linux. Iptables : passerelle Sécurité GNU/Linux Iptables : passerelle By sharevb Sommaire I.Rappels...1 a)les différents types de filtrages : les tables...1 b)fonctionnement de base : les chaînes et les règles...1 II.La table nat

Plus en détail

Positionnement produit

Positionnement produit Firewall UTM NetDefend DFL-160 pour TPE FIREWALL HAUT DÉBIT Débit du firewall de 70 Mbps et vitesse du VPN de 25 Mbps Cas de figure d utilisation Pour assurer la sécurité du réseau des PME sans ressources

Plus en détail

Présentation du modèle OSI(Open Systems Interconnection)

Présentation du modèle OSI(Open Systems Interconnection) Présentation du modèle OSI(Open Systems Interconnection) Les couches hautes: Responsables du traitement de l'information relative à la gestion des échanges entre systèmes informatiques. Couches basses:

Plus en détail

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier Plan Internet - Outils Nicolas Delestre 1 DHCP 2 Firewall 3 Translation d adresse et de port 4 Les proxys 5 DMZ 6 VLAN À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier 7 Wake On Line

Plus en détail

Pare-feu VPN sans fil N Cisco RV120W

Pare-feu VPN sans fil N Cisco RV120W Pare-feu VPN sans fil N Cisco RV120W Élevez la connectivité de base à un rang supérieur Le pare-feu VPN sans fil N Cisco RV120W combine une connectivité hautement sécurisée (à Internet et depuis d'autres

Plus en détail