Sécurité des réseaux. 1. Introduction Tendances. Stéphane Lohier

Dimension: px
Commencer à balayer dès la page:

Download "Sécurité des réseaux. 1. Introduction Tendances. Stéphane Lohier lohier@univ-mlv.fr"

Transcription

1 Sécurité des réseaux 1. Introduction Tendances 1. Introduction Ø Tendances et chiffres Ø Pourquoi sécuriser? 2. Les attaques Ø Techniques d intrusion Phishing Crackage Sniffing Spoofing Malwares Ø Déni de service Smurfing TCP-SYN Flooding DDOS 3. Les défenses matérielles Ø Concepts Ø NAT et PAT Ø Les firewalls Ø DMZ Ø Proxy Ø IDS Ø VPN 4. Les défenses logicielles Ø Antivirus Ø Cryptographie Ø Hash Ø Signature Ø Authentification Ø Certificats Quelques statistiques : Ø 160 disparitions de matériel informatique par jour en France Ø + de 80% du trafic mondial est du spam (très souvent vérolé) Ø + de sites de phishing sont actifs (durée de vie moyenne 4 jours) Ø le coût moyen d'un incident de sécurité est de * Ø dans 20% des attaques, les entreprises mettent plus d'une semaine pour revenir à une situation de fonctionnement normal Ø 2/3 des entreprises françaises estiment avoir une dépendance forte vis à vis de leur système d'information, 1/4 d'entres elles seulement a mis en place une politique de sécurité (sources : Gartner, Radicati Group, APWG, Canalys, Clusif) Stéphane Lohier 1 * L hameçonnage, phishing ou filoutage est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité (wikipedia) Introduction Tendances 1. Introduction Tendances * * Un logiciel malveillant ou maliciel (en anglais : malware) est un programme développé dans le but de nuire à un système informatique, sans le consentement de l'utilisateur infecté (wikipedia)

2 1. Introduction Tendances 1. Introduction Tendances * * Un exploit est un élément de programme permettant à un individu ou un logiciel malveillant d'exploiter une faille de sécurité informatique dans un système d'exploitation ou dans un logiciel. (wikipedia) Introduction Tendances 1. Introduction Quelques chiffres 7 8 2

3 1. Introduction Quelques chiffres 1. Introduction Quelques chiffres Introduction Pourquoi sécuriser 1. Introduction Pourquoi sécuriser? Pourquoi les systèmes sont-ils vulnérables? Ø Émergence en permanence de nouveaux usages et de nouvelles technologies et donc de nouvelles vulnérabilités (réseaux sociaux, peer to peer, messagerie instantanée, réseaux sans fil, smartphone connectés en WiFi ou en 4G, téléphonie sur IP, stockage sur cloud ) ; Ø Politiques de sécurité complexes (où placer un ou des firewalls, quels fichiers crypter, quelle type de VPN, quels droits pour les administrateurs? ) ; Ø Politiques de sécurité basées sur des jugements humains ; Ø La sécurisation est coûteuse en moyens, en temps et surtout en ressources humaines. Quatre principaux objectifs de la sécurité : Ø L'intégrité : garantir que les données sont bien celles qu'on croit être ; Ø La confidentialité : assurer que seules les personnes autorisées ont accès aux ressources ; Ø La disponibilité : garantir l accès aux données de tout type ; Ø La non répudiation : garantir qu'une transaction ne peut être niée par l un des participants. Écoute Espionnage Usurpation Phishing Détournement Antispy DMZ Authentification Spoofing Certificats VPN Filtrage Cryptage Confidentialité Virus Antivirus Vers Information Filtrage Déni de service Filtrage Intégrité Disponibilité Altération Redondance Cryptage Erreurs Sauvegardes Intrusion Authentification Pannes Antispam Spam

4 2. Les attaques Types d attaque 1. Techniques d intrusion Ø Les accès physiques vont du vol de disque dur ou de portable à l écoute du trafic sur le réseau (sniffing) ; Ø L ingénierie sociale (social engineering) permet de retrouver ou de récupérer directement des couples identifiant/mot de passe en envoyant par exemple des messages falsifiés (phishing) ; Ø L interception de communications permet l usurpation d'identité, le vol de session (session hijacking), le détournement ou l altération de messages (spoofing) ; Ø Les intrusions sur le réseau comprennent le balayage de ports (port scan), l élévation de privilèges (passage du mode utilisateur au mode administrateur) et surtout les malwares (virus, vers et chevaux de Troie). 2. Les attaques Le sniffing Sur la plupart des réseaux, les trames sont diffusées sur tout le support (câble Ethernet, transmission radio WiFi ). En fonctionnement normal, seul le destinataire reconnaît son adresse (adresse MAC destination sur un réseau Ethernet) et lit le message. La carte Ethernet ou Wifi d un PC peut être reprogrammée pour lire tous les messages qui traversent le réseau (promiscious mode). Les hackers utilisent des «sniffers» ou analyseurs réseau tels wireshark pour trouver des identités et des mots de passe dans des dialogues POP3, FTP ou encore des données personnels dans le corps des messages (social engineering). La limite à priori est le dispositif d interconnexion utilisé sur le LAN ou le segment de LAN (switch, AP WiFi, routeur ). Le remote sniffing (daemon rpcap) permett de renvoyer le trafic capturé sur un réseau vers le réseau du hacker. L usurpation d adresse MAC permet de rediriger sur le switch le trafic de la victime vers la machine de l agresseur Les attaques Le «Crackage» de mot de passe 2. Les attaques Le phishing Le hacker utilise un dictionnaire de mots et de noms propres construit à partir d informations personnelles et privées qui ont été collectées (social engineering). Ces chaînes de caractère sont essayées une à une à l aide de programmes spécifiques qui peuvent tester des milliers de mots de passe à la seconde Mot de! Passe! 3! Mot de! Passe! 2! Mot de! Passe! 1! Exemple : «John the ripper» Toutes les variations sur les mots peuvent être testées : mots écrits à l envers, majuscules et minuscules, ajout de chiffres ou de symboles. Ce type d attaque est souvent nommé attaque par force brute car le mot de passe est deviné grâce à des milliers d essais successifs à partir d un dictionnaire, et non pas retrouvé à l aide d un programme capable de décrypter une chaîne de caractères. Néologisme anglais, contraction de " fishing «: pêcher, et de " phreaking " : pirater le réseau téléphonique (hameçonnage en français). Il s agit de conduire des internautes à divulguer des informations confidentielles, et notamment bancaires, en usant d un hameçon, fait de mensonge et de contrefaçon électronique (identité visuelle d un site connu, en-têtes, logo ). Le cas le plus classique est celui d un mail usurpant l identité de votre banque et contenant un lien vers un faux site où on vous demandera de confirmer votre numéro de carte bleue. Le phishing utilise également des virus qui installent des programmes espions afin d intercepter la frappe des données confidentielles sur le clavier (keyloggers) pour les transmettre ensuite sur un site où le «phisher» pourra les récupérer

5 2. Les attaques Les keyloggers 2. Les attaques Le Spoofing Programmes installés à votre insu sur votre PC et capables d enregistrer toutes les séquences de touches frappées sur un clavier : login, mot de passe, numéro de compte, numéro de carte bancaire... Le keylogger crée un fichier caché (.log) sur votre système susceptible d être ensuite transmis via Internet. Le fichier log peut ainsi contenir ainsi toutes les séquences de touches pour chaque fenêtre ouverte sur votre système La plupart des banques proposent une saisie du code personnel à la souris. L IP spoofing (to spoof : «faire passer pour, usurper») Ø L agresseur prétend provenir d une machine interne pour pénétrer sur le réseau privé. Ø Cette attaque basique peut être simplement bloquée avec un pare-feu (firewall) au niveau du routeur d accès qui éliminera les paquets entrants avec une adresse IP source source usurpée : Pirate LAN Privé Routeur d accès Internet Réseau Les attaques Le Spoofing (2) 2. Les attaques Le Spoofing (3) L ARP spoofing ou ARP poisoning Ø L'attaquant émet une requête ARP en unicast vers la victime A en spécifiant comme adresse IP émettrice celle de B et en indiquant sa propre adresse MAC comme l'adresse MAC de l'émetteur; idem vers la victime B (souvent un routeur). Ø Une fois les tables ARP de A et B falsifiées, tout le trafic est routé par l attaquant. Ø La même attaque peut être réalisée avec un ARP Reply mais la plupart des systèmes se protègent de cette attaque en n'acceptant que les réponses à des requêtes préalablement envoyées. Le mail Spoofing Ø Les courriers électroniques sur Internet sont également sujet au spoofing : une adresse d expéditeur peut être falsifiée simplement dans la mesure où elle ne comporte pas de pas de signature numérique. Ø Le protocole d envoi de messages SMTP n est pas sécurisé. Le DNS spoofing Ø Le pirate utilise les faiblesses du protocole DNS et de son implémentation sur les serveurs de noms de domaine pour rediriger des internautes vers des sites falsifiés. Ø Le but du pirate est donc de faire correspondre l'adresse IP d'une machine qu'il contrôle à l URL réel d'une machine publique. Ø Deux attaques de type DNS Spoofing : Le DNS ID Spoofing basé sur la récupération et l exploitation dans une fausse réponse du numéro d'identification contenu dans une requête DNS ; Le DNS Cache Poisoning qui corromps (empoisonne) avec de fausses adresses le cache des serveurs DNS

6 2. Les attaques Le Spoofing (4) 2. Les attaques Les virus Le web spoofing Ø Version élaborée de l IP spoofing. Ø Il s'agit de remplacer un site par une version pirate du même site. Ø Technique notamment utilisée dans la dernière étape du phishing. Ø La falsification se déroule en plusieurs temps : Amener la victime à entrer dans le faux site web (grâce à l utilisation du DNS spoofing par exemple) Intercepter les requêtes HTTP ; Récupérer les vraies pages web et modifier ces pages ; Envoyer de fausses pages à la victime. Nom souvent utilisé pour désigner sans distinction tout type d attaque. En vérité, programme qui se propage à l aide d autres programmes ou de fichiers. Souvent simples et faciles à détecter à partir de leur code (signature). Efficaces, car ils se propagent plus vite que les anti-virus peuvent être mis à jour. Passent le plus souvent par la messagerie Conséquences de l exécution d un virus : Ø simple modification des paramètres d une application (page par défaut du navigateur). Ø Modification de la base de registre du système (exécution automatique d un programme commercial à chaque démarrage). Ø Effacement de données ou de fichiers essentiels au système d exploitation Les attaques Les rootkits 2. Les attaques Les vers Un rootkit est un malware qui installe une série d outils permettant à un pirate d accéder à distance à un ordinateur. Deux types de rootkit : Ø Les rootkits en mode utilisateur (les plus courants) fonctionnent au sein de l OS comme une application. Ils exécutent leur comportement malicieux en piratant les applications en fonctionnement sur le PC ou en remplaçant la mémoire utilisée par une application ; Ø Les rootkits en mode noyau fonctionnent au niveau le plus profond du système d exploitation du PC et donnent au pirate une série de privilèges plus puissants. Un ver (worm) est un programme capable de se propager et de s'auto-reproduire sans l'utilisation d'un programme quelconque (d un vecteur) ni d'une action par une personne. La particularité des vers ne réside pas forcément dans leur capacité immédiate de nuire mais dans leur facilité pour se propager grâce par exemple aux listes de contacts présentes sur les PC ou les smartphones. L exemple de Blaster (LovSan) : Ø Apparu en 2003, Blaster a infecté des centaines de milliers de PC Ø Blaster est programmé pour scanner une plage d'adresses IP aléatoire à la recherche de systèmes vulnérables à la faille RPC sur le port 135 (windows XP). Ø Lorsqu'une machine vulnérable est trouvée, le ver ouvre un shell distant sur le port TCP 4444, et force la machine distante à télécharger une copie du ver dans le répertoire %WinDir% \system32 en lançant une commande TFTP (port 69 UDP) pour transférer le fichier à partir de la machine infectée. Ø Une fois le fichier téléchargé, il est exécuté, puis il crée des entrées dans la base de registre afin de se relancer automatiquement à chaque redémarrage : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

7 2. Les attaques Les chevaux de Troie (troyans) 2. Les attaques Le troyan Ginmaster Un cheval de Troie (troyan) est programme caché dans un autre programme qui s exécute au démarrage du programme «hôte». Le nom provient d'une légende narrée dans l'iliade (Homère) à propos du siège de la ville de Troie par les Grecs. Il permet donc de s'introduire sur le système à l insu de la victime : ouverture d une «porte dérobée» ou backdoor, généralement un port. Le cheval de Troie devient alors autonome et peut agir comme un virus en infectant des données ou des programmes Les attaques Le scan de ports 2. Les attaques Le Déni de service Le scan de port permet de connaitre les ports ouverts ou fermés sur une machine distante mais aussi potentiellement : Ø les versions des services qui tournent ; Ø les types de systèmes d'exploitation et leurs versions ; Ø la présence d'un firewall ; Ø les ports ouverts sur le firewall; Ø la politique de filtrage en fonction d'adresses IP spécifiques ; Ø etc. Ce type d attaque nommé en anglais Denial Of Service ou DOS empêche par saturation un service de fonctionner correctement sur une machine. Par exemple le «Ping of the death» est la plus ancienne des attaques de type DOS : un ping continu avec une taille de paquet maximum est lancé vers la machine cible. Tous les OS récents empêchent ce type d attaque. Une variante connue sous le nom de smurfing est basée sur l envoi d un «echo request» ICMP avec comme adresse source celle de la victime et une adresse destination de diffusion. Les réponses «echo reply» provenant de toutes les machines du réseau vers la machine de la victime saturent celle-ci. Cette vulnérabilité a également été supprimée sur tous les OS récents

8 2. Les attaques TCP-SYN Flooding 2. Les attaques TCP-SYN Flooding Cette attaque consiste à inonder (flooding) la cible à l aide de demandes successives d ouverture de connexion TCP. Lors d une ouverture normale : Ø le premier segment TCP est transmis par le client avec le bit SYN à 1 pour demander l ouverture ; Ø le serveur répond avec dans son segment TCP les bits SYN et ACK à 1 ; Ø le client demandeur conclut la phase avec le bit ACK à 1. Les abus interviennent au moment où le serveur a renvoyé un accusé de réception (SYN ACK) au client mais n a pas reçu le «ACK» du client. C est alors une connexion à semi-ouverte et l agresseur peut saturer la structure de données du serveur victime en créant un maximum de connexions partiellement ouvertes. Le client autorisé ne pourra alors plus ouvrir de connexion. Il existe plusieurs méthodes simples pour parer cette attaque : Ø la limitation du nombre de connexions depuis la même source ou la même plage d'adresses IP ; Ø la libération des connexions semi-ouvertes selon un choix de client et un délai aléatoires ; Ø la réorganisation de la gestion des ressources allouées aux clients en évitant d'allouer des ressources tant que la connexion n'est pas complètement établie Les attaques Le DDOS 2. Les attaques Le DDOS Le Distributed denial-of-service ou déni de service distribué à les mêmes effets que le DoS traditionnel excepté qu'ici ce n'est plus une seule machine qui attaque les autres mais une multitude de machines «zombies» contrôlées par un maître unique. Maître L attaque se déroule en plusieurs étapes : Ø Recherche sur Internet d'un maximum de machines vulnérables qui deviendront des complices involontaires, des «zombies». Ø Les réseaux de zombies («botnet» en anglais) ainsi formés sont une ressource précieuse pour les hackers ; Daemons Contrôle Daemons Daemons Réseau de zombies Daemons Ø Installation sur ces machines de programmes dormants (daemons) et suppression des traces éventuelles (logs) ; Ø Les daemons sont basés sur les attaques DOS classiques (paquets UDP multiples, SYN Flood, buffer overflow ) ; Ø Activation du dispositif à l'heure et au jour programmé. Attaque distribuée Victime Parmi les attaques DDoS très populaires, on connaît l'attaque sur les sites internet Yahoo, CNN, Amen et EBay qui ont subit une inondation de leur réseau

9 2. Les attaques Sécurité des smartphones 2. Les attaques Répartition des attaques Les attaques sur les smartphones peuvent être spécifiques : Ø Attaques basées sur les SMS et MMS (pièce jointe infectée, DDOS ) ; Ø Attaques basées sur les réseaux de communication : Craquage des algorithmes de chiffrement GSM ; Craquage du réseau WiFi ; Virus transmis dans un fichier envoyé vers un smartphone en mode découverte Bluetooth. Ø Attaques basées sur les failles du navigateur Web (jailbreak de l Iphone basé sur les vulnérabilité de Safari). Ø Attaques basées sur les failles du système. Ø Malwares spécifiques (RedBrowser, FlexiSpy ) Les attaques Questions sur les attaques 3. Les défenses matérielles Concepts Quels sont les deux grands types d attaque? À quels domaines de sécurité (intégrité, confidentialité, disponibilité) se rapportent ces deux types? Quelle est la différence entre virus et vers? Dans quelle mesure ces derniers sont-ils plus dangereux? Quelles attaques sont considérées comme des dénis de service? Le spoofing Le flooding Les virus Le phishing Le spamming Dans une attaque de type DDOS : Une machine maître contrôle d autres machines qui pourront réaliser une attaque distribuée sur la cible Une machine maître inonde des machines cible à l aide d applications distribuées L objectif est de paralyser la machine cible 35 Défense en profondeur Ø Plusieurs mesures de sécurité valent mieux qu'une. Ø Par exemple Anti-spam sur les serveurs de messagerie ET sur les postes de travail. Interdiction par défaut Ø On ne connaît jamais à l'avance toutes les menaces qu'on va subir. Ø Il est mieux d'interdire tout ce qui n'est pas explicitement permis que de permettre tout ce qui n'est pas explicitement interdit. Participation des utilisateurs Ø Un système de protection n'est efficace que si tous les utilisateurs le supportent. Ø Un système trop restrictif pousse les utilisateurs à devenir créatifs Simplicité Ø La plupart des problèmes de sécurité ont leur origine dans une erreur humaine. Ø Dans un système simple : le risque d'erreur est plus petit ; il est plus facile de vérifier son bon fonctionnement. Principe du moindre privilège Ø Chaque élément d'un système (utilisateur, logiciel) ne doit avoir que le minimum de privilèges nécessaires pour accomplir sa tâche : Utilisateurs, utilisateur avancés, administrateurs ; Un serveur web est lancé avec un compte limité ; Zone RAM ou disque interdite ; 36 9

10 3. Les défenses matérielles Concepts 3. Les défenses matérielles La translation d adresses - NAT La translation d adresses est basée sur l utilisation des adresses privées, non routables sur Internet : Plusieurs modèles de sécurité : Ø La sécurité par l hôte : chaque machine est sécurisée à un certain niveau (serveurs et stations avec authentification au login et protections locales sur l accès aux ressources) ; Ø La sécurité par le réseau : l accès à l ensemble des ressources du réseau est protégé par un firewall, un VPN, un proxy Plusieurs niveaux de sécurité : Ø Sécurité des données : concerne exclusivement les données à l intérieur du système (cryptographie, protection physique ) Ø Sécurité des réseaux : concerne les données qui transitent entre les systèmes (firewall, VPN ). Classe A Classe B à Classe C à Elle permet d isoler le trafic local du trafic public de l internet et nécessite l utilisation d un translateur d adresse (NAT - Network Adress Translator). Quand un paquet sort, l'adresse source est remplacée par une adresse publique. L'adresse source est donc masquée : masquerading. La translation de port est généralement utilisée conjointement (NAPT) pour éviter les collisions lorsque deux connexions ne sont différentes que par l'adresse interne. Deux niveaux interdépendants d étude : Ø Au niveau de l architecture du réseau (firewall, DMZ, VPN ) ; Ø Au niveau des protocoles utilisés dans le réseau (IPSec, PPTP, authentification, SSH, HTTP-S, cryptographie ) Les défenses matérielles Firewall : Principe 3. Les défenses matérielles Filtrage de paquets Le firewall ou pare-feux est chargé de filtrer les accès entre l Internet et le réseau local ou entre deux réseaux locaux. La localisation du firewall (avant ou après le routeur, avant ou après le NAT..) est stratégique. Le firewall, qui est souvent un routeur possédant des fonctionnalités de filtrage, possède autant d interfaces que de réseaux connectés. Suivant la politique de sécurité, le filtrage est appliqué différemment pour chacune des interfaces d entrée et de sortie (blocage des adresses IP privées entrantes, autorisation des accès entrants vers le serveur web institutionnel ) Les machines d extrémité possèdent également un firewall mais celui-ci est logiciel (pare-feu Windows ou iptables sous Linux par exemple) et sert à protéger les machines du trafic entrant si le firewall à l entrée du LAN n a pas été suffisamment sélectif. Pour chaque trame ou chaque paquet entrant ou sortant sur une interface donnée, les en-têtes correspondant aux différentes couches sont analysés et le filtrage sélectif est appliqué suivant la stratégie de sécurité définie par l administrateur du réseau. Le filtrage peut porter sur : Ø les adresses MAC source ou destination ; Ø les adresses IP source ou destination ; Ø les ports TCP ou UDP source ou destination ; Ø les Flags de l en-tête TCP (SYN, ACK ) ; Ø le type de message ICMP ; Ø le type de message ou le contenu HTTP, SMTP, POP (filtrage applicatif). Serveur d accès LAN privé Intranet Firewall Routeur d accès Internet LAN privé Firewall?? HTTP?? SMTP Internet Serveurs accessibles depuis Internet

11 3. Les défenses matérielles Filtrage sur les entrées 3. Les défenses matérielles Règles d un Firewall Le firewall peut également empêcher les connexions entrantes en analysant la valeur du bit ACK de l en-tête TCP. Lors d une demande de connexion, le bit ACK du premier segment TCP est à 0, les bits ACK des segments suivants sont généralement tous à 1. Il suffit donc de bloquer les segments entrants avec le bit ACK à 0, les segments suivants pour cette connexion ne seront pas pris en compte SYN=1, ACK=0 SYN=1, ACK=1 La configuration d un firewall passe par l écriture d une suite de règles qui décrivent les actions à effectuer (accepter ou refuser le trafic) suivant les informations contenues dans les en-têtes des paquets. Les caractéristiques de chaque paquet sont comparées aux règles, les unes après les autres. La première règle rencontrée qui correspond aux caractéristiques du paquet analysé est appliquée : l action décrite dans la règle est effectuée. Pour assurer une sécurité maximum, la seule règle présente par défaut doit être celle qui interdit l accès à tous les paquets entrants et sortants, d autres règles seront ensuite insérées pour ouvrir les accès souhaités. La stratégie appliquée est donc : «tout ce qui n'est pas explicitement autorisé est interdit». LAN privé SYN=0, ACK=1 Firewall Internet Les défenses matérielles Exemple de règles d un firewall 3. Les défenses matérielles Firewall : les ACL Cisco Les règles A et B permettent aux machines locales ( ) d ouvrir une connexion sur un serveur web (port 80) externe. Émission (règle C) ou réception (règle D) de courrier SMTP (port 25) avec un serveur externe. Les paquets entrants depuis des supposés serveurs SMTP ne peuvent passer que si la connexion a été initiée de l intérieur (règle D). Blocage de toute autre connexion (règle E). Sur les routeurs Cisco, les ACL (Access Control Lists) permettent de filtrer les paquets entrants ou sortants en fonction des adresses IP source et destination. Il existe 2 types d'acl : Ø standard : uniquement sur les IP sources ; Ø étendue : sur quasiment tous les champs des en-têtes IP, TCP et UDP. Le filtrage sur les paquets peut intervenir : Ø sur l interface d entrée, avant le processus de routage ; Ø sur l interface de sortie, après le processus de routage. Règle dest. Protocole Src Port Dst Port ACK=1 Action A Out TCP > Permit B In TCP 80 >1023 Permit C Out TCP > Permit D In TCP 25 >1023 Yes Permit E All All All All All All Deny

12 3. Les défenses matérielles Firewall : logique des ACL Cisco 3. Les défenses matérielles Firewall : exemples d ACL Cisco Le paquet est vérifié par rapport au 1er critère défini sur les informations contenues dans les en-têtes IP, TCP ou UDP : Ø S'il vérifie le critère, l'action définie est appliquée ; Ø Sinon le paquet est comparé successivement aux ACL suivants ; S'il ne satisfait aucun critère, l'action deny est appliquée. Des masques sont utilisés pour pouvoir identifier une ou plusieurs adresses IP en une seule définition. Le masque défini la portion de l'adresse IP qui doit être examinée : Ø signifie que seuls les 2 premiers octets doivent être examinés ; Ø deny avec : refus de toutes les IP commençant par Syntaxe d'une règle standard : access-list number [deny permit] source [source-wildcard] Ø number compris entre 1 et 99 ou entre 1300 et 1999 Ø Source-wildcard : masque pour la source Syntaxe d'une règle étendue : access-list number [deny permit] protocol source source-wildcard destination dest.-wildcard Ø number : compris entre 100 et 199 ou 2000 et 2699 access-list 1 deny (ou deny host ) access-list 1 permit (ou permit any) Ø Refuse les paquets d'ip source Le masque (également appelé wildcard mask) signifie ici que tous les bits de l'adresse IP sont significatifs. Ø La dernière règle autorise toutes les autres adresses (le masque signifie qu aucun n est significatif) access-list 2 permit Ø Autorise tous les paquets d'ip source /24. Ø Différence avec access-list 2 permit ? access-list 101 deny ip any host Ø Refus des paquets IP à destination de la machine et provenant de n'importe quelle source access-list 102 deny tcp any gt 1023 host eq 23 Ø Refus de paquet TCP provenant d'un port > 1023 et à destination du port 23 de la machine d'ip access-list 103 deny tcp any host eq http Ø Refus des paquets TCP à destination du port 80 de la machine d'ip Les défenses matérielles Firewall : quizz ACL Cisco 3. Les défenses matérielles Firewall sous Linux Netfilter est le module qui fournit à Linux les fonctions de pare-feu, de translation d adresse (NAT) et d'historisation du trafic réseau. Netfilter fonctionne en mode noyau. Il intercepte et manipule les paquets IP entrant et sortant de votre machine. iptables est le programme qui permet à un administrateur de configurer Netfilter. iptables est installé par défaut dans toutes les distributions Linux et est utilisable en mode commande. Des interfaces graphiques sont cependant disponibles pour modifier plus aisément les règles de filtrage ou de translation

13 3. Les défenses matérielles Firewall sous Linux : chaînes 3. Les défenses matérielles Firewall sous Linux : chaînes (2) Par défaut, le programme iptables utilise la table «filter» qui contient trois listes de règles ; Ces listes sont appelées chaînes de firewall ou juste chaînes. Les trois chaînes sont nommées INPUT, OUTPUT et FORWARD : Ø La chaîne INPUT permet de décider ce que l on fait d un paquet entrant. Il peut être accepté (ACCEPT) ou rejeté (DROP) ; Ø La chaîne OUTPUT permet de la même façon de fixer le sort des paquets sortants (ceux qui sont générés localement) ; Ø La chaîne FORWARD permet de transférer sur une autre carte réseau le paquet arrivé sur votre machine. Entrée Décision de routage INPUT FORWARD DROP OUTPUT ACCEPT Une autre table est utilisée pour les translations d adresses : la table «nat». Elle utilise 3 chaînes : Ø PREROUTING, c'est la chaîne qui va être utilisée pour faire du DNAT (Destination NAT) : translation sur adresse destination avant le processus de routage. Ex : pour un paquet entrant vers un serveur web interne et masqué, le routeur va remplacer sa propre IP par l IP du serveur web. Ø POSTROUTING, à la sortie du routeur et utilisée pour faire du SNAT (Source NAT) : masquage d'adresse source après le processus de routage. Ex : un ordinateur local veut sortir sur le WAN, le routeur va remplacer l'ip du paquet émis en local par sa propre IP. Ø OUTPUT, cette chaîne va traiter les réponses émises en local si le paquet avait pour destination le routeur, comme dans le cas de la table filter. Entrée PREROUTING DROP ACCEPT Décision de routage OUTPUT POSTROUTING DROP ACCEPT Sortie DROP ACCEPT Processus local DROP ACCEPT Sortie Processus local DROP ACCEPT Les défenses matérielles Firewall sous Linux : règles 3. Les défenses matérielles Firewall sous Linux : exemple Chaque chaîne est composée d'un ensemble de règles. Quand un paquet atteint une chaîne celle ci va examiner cet ensemble règle par règle pour trouver celle qui lui correspond. Si c'est le cas alors cette règle lui sera appliquée. Finalement s'il n'y a pas de règle qui corresponde à ce paquet, une politique par défaut sera appliquée. Soit le réseau représenté ci-dessous, quel est le rôle des commandes suivantes? La commande iptables permet de spécifier des règles de sélection des paquets IP dans les trois chaînes (INPUT, OUTPUT et FORWARD). Les paquets sont sélectionnées suivant la combinaison : Ø adresse source, adresse destination ; Ø protocole (tcp, udp, icmp, all) ; Ø numéro de port. Pour chaque règle de sélection, on définit une politique : accepter (ACCEPT) ou rejeter (DROP) le paquet. Exemple : on rejette les pings entrants : # iptables -A INPUT -i eth0 -p icmp -j DROP iptables -A INPUT -i eth0 -j ACCEPT iptables -A OUTPUT -o eth0 -j ACCEPT iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE iptables -t nat -A POSTROUTING -s /24 -o ppp0 -j MASQUERADE

14 3. Les défenses matérielles Firewall/Routage/NAT - Exemple 3. Les défenses matérielles Firewall/Routage/NAT - Exemple Pourquoi pour un paquet entrant, la translation est-elle effectuée sur l adresse destination (Destination NAT) avant le routage et le filtrage? Les défenses matérielles Firewall/Routage/NAT - Exemple Pourquoi pour un paquet sortant, la translation est-elle effectuée sur l adresse source (Source NAT) après le filtrage et le routage? 3. Les défenses matérielles DMZ : principe Une zone démilitarisée (ou DMZ de l anglais DeMilitarized Zone) est une zone de réseau privée ne faisant partie ni du réseau local privé ni de l Internet À la manière d'une zone franche au delà de la frontière, la DMZ permet de regrouper des ressources nécessitant un niveau de protection intermédiaire. Comme un réseau privé, elle est isolée par un firewall mais avec des règles de filtrage moins contraignantes, généralement : Ø Traffic Externe -> DMZ autorisé ; Ø Traffic Externe -> Interne interdit ; Ø Traffic Interne -> DMZ autorisé ; Ø Traffic Interne -> Externe autorisé ; Ø Traffic DMZ -> Interne interdit ; Ø Traffic DMZ -> Externe interdit. LAN privé Zone de protection forte Zone de protection intermédiaire Firewall DMZ Routeur d accès Internet

15 3. Les défenses matérielles DMZ : 2 niveaux de Firewall Un niveau supplémentaire de sécurité peut être introduit avec un deuxième firewall. Les règles d accès sur le firewall du réseau local privé sont plus restrictives. La DMZ est située entre les deux firewalls (DMZ «en sandwich») avec des règles moins restrictives introduites par le premier firewall 3. Les défenses matérielles Firewall et DMZ : exemple (1) La règle A du firewall permet aux machines du LAN privé d'accéder à DMZ 2, alors que la règle C est censée l'interdire. Comment remédier à cela? LAN privé Mail DMZ 1 Firewall Internet DMZ 2 LAN privé Firewall 2 Firewall 1 DMZ Routeur d accès web Internet Zone de protection forte Zone de protection intermédiaire Les défenses matérielles Firewall et DMZ : exemple (2) 3. Les défenses matérielles Proxy : principe Un serveur mandataire (Proxy) a pour fonction de relayer des requêtes entre un poste client et un serveur ou un réseau externe. Les serveurs mandataires sont notamment utilisés pour assurer les fonctions suivantes : Ø sécurité du réseau local ; Ø filtrage et anonymat ; Ø accélération de la navigation : mémoire cache, compression des données ; Ø filtrage des publicités ou des contenus lourds (java, flash) ; Ø journalisation des requêtes (logging). Pour certaines fonctionnalités, un Proxy est très proche d un Firewall applicatif. Exemple : proxy http dans un établissement scolaire pour filtrer les accès Internet. Connexion directe virtuelle Requête au serveur Internet Réponse relayée Cache Requête relayée Réponse du serveur Proxy (Serveur mandaté) Internet LAN privé

16 3. Les défenses matérielles Les IDS 3. Les défenses matérielles Architecture d un IDS Un IDS (Intrusion Detection System ) est un surveillant d un système informatique et de ses utilisateurs. L idée de base est de «prévenir plutôt que de guérir». Différentes tâches d un IDS : Ø Monitoring des événements réseau ou système (connexion sur le port 23, 3 tentatives de saisie du mot de passe, tentative d écriture dans une zone mémoire protégée ) ; Ø Audit des événements interne et externe ; Ø Analyse des risques à partir des informations d audit, en temps réel ou à partir des logs ; Ø Alerte de l administrateur en cas d attaque (message sur console, mail, SMS ) ; Ø Éventuellement : reconfiguration dynamique du firewall (filtrage de l'attaquant) ou des serveurs. HIDS HIDS HIDS HIDS Les IDS peuvent intervenir à deux niveaux : Ø détection et analyse du trafic sur le réseau : NIDS (Network IDS), typiquement devant le firewall ; Ø détection et analyse des évènements (logs) sur les serveurs : HIDS (Host IDS). Les IDS sont le plus souvent hybrides : NIDS + HIDS Les défenses matérielles Où placer un NIDS? 3. Les défenses matérielles Classification des IDS Position (1) : Ø détection de toutes les attaques mais log trop complet et analyse trop complexe ; Ø intéressant pour un Honeypot (pot de miel). Position (2): Ø dans la DMZ ; Ø insuffisant contre les attaques vers le LAN. Position (3) : Ø traite les attaques internes ; Ø efficace car 80% des attaques sont depuis ou vers le LAN (virus, DOS ). IDS Méthode de détection Comportement après détection Source des données Fréquence d utililisation Approche comportementale Approche par scénario Passif Actif Audit système Audit applicatif Paquets réseaux Surveillance continue Analyse périodique

17 3. Les défenses matérielles Approche comportementale 3. Les défenses matérielles Approche par scénario IDS Behaviour-based Une attaque est considérée comme un comportement anormal par rapport au comportement de référence. Nécessité de modéliser le profil de l utilisateur à partir : Ø de méthodes statistiques: construction du modèle statistique (moyenne, variance, écart type, ) du comportement normal (temps CPU utilisé, durée d une connexion, ) ; Ø des réseaux de neurones : apprendre à un réseau de neurones le comportement normal d un utilisateur ; il décidera ensuite de la normalité de comportement par rapport à ce qu il a appris (méthode encore dans le domaine de la recherche). Modèle statistique IDS Knowledge-based Basée sur une connaissance à priori des signatures d attaques. Techniques utilisés pour cette approche : Ø Les systèmes experts : une base de connaissance des attaques, et un moteur d inférence du système expert qui décide si une attaque est répertoriée et s est produite ou pas. Ø Le pattern matching : s appuie sur une base de données de signature d attaque et un algorithme chargé de localiser les signatures dans les traces d audit, cette technique est la plus utilisé dans les outils commerciaux. Signatures Capture Analyse Alertes Capture Analyse Alertes Avantage de l approche comportementale : Ø ne nécessite pas une base de scénarios d attaque ; Ø permet la détection de nouvelles attaques. Inconvénient : Ø risque important de «faux positifs», car le comportement peut changer avec le temps. Avantage : Ø Nombre de fausse alarme faible. Inconvénients : Ø Les nouvelles attaques ne sont pas détectés ; Ø Entretien régulier de la base de connaissance ; Ø Les attaque de type abus de privilège ne sont pas détectés Les défenses matérielles Exemples d actions d un IDS 3. Les défenses matérielles Exemple d IDS : SNORT + BASE Ordre envoyé par le NIDS à un équipement tierce (firewall, ACL sur routeurs) pour une reconfiguration immédiate dans le but de bloquer une intrusion (possible par passage des informations détaillant l alerte dans l en tête(s) de paquet(s)). Envoi d une trap SNMP (et le détail des informations le constituant) à une console hyperviseur tierce comme HP OpenView, Tivoli, Cabletron Spectrum, etc. Envoi d un à un ou plusieurs utilisateurs pour notifier d une intrusion sérieuse. Journalisation (log) de l attaque : sauvegarde des détails de l alerte dans une base de données centrale (exemple : de l de la cible, protocole utilisé, payload). Sauvegarde de l ensemble des paquets réseaux (raw packets) capturés et/ou seul(s) les paquets qui ont déclenchés une alerte. Lancement d'un programme extérieur pour exécuter une action spécifique (envoi d un message sms, émission d une alerte auditive ). Envoi d un "ResetKill" : construction d'un paquet TCP FIN pour forcer la fin d une connexion (uniquement valable sur des techniques d intrusions utilisant TCP). Notification visuelle de l alerte : affichage de l alerte dans une ou plusieurs console(s) de management. SNORT est un NDIS open source très utilisé dans le monde LINUX fonctionnant également sous Windows. BASE est une interface graphique écrite en PHP utilisée pour afficher les logs générés par l'ids SNORT

18 3. Les défenses matérielles Les VPN Un VPN (Virtual Private Network) est constitué d un ensemble de LAN privés reliés à travers Internet par un «tunnel» sécurisé dans lequel les données sont cryptées. Les postes distants faisant partie du même VPN communiquent de manière sécurisée comme s ils étaient dans le même espace privé, mais celui-ci est virtuel car il ne correspond pas à une réalité physique. Cette solution permet d utiliser les ressources de connexion de l Internet plutôt que de mettre en place, comme par le passé, une liaison spécialisée privée entre deux sites qui peut être très coûteuse si les sites sont fortement éloignés. Une passerelle matérielle ou logicielle est chargée de gérer le cryptage, l authentification et le contrôle d intégrité. Un VPN repose sur un protocole de «tunnelisation» qui peut intervenir à différents niveaux OSI et dans lequel est définit notamment l algorithme de cryptage. LAN 1 PC nomade Passerelle VPN logicielle Internet LAN 2 3. Les défenses matérielles Exemple de VPN 1. Le PC1 ( ) envoie un paquet vers le serveur web ( ) comme il le ferait si ce dernier était sur le même LAN. 2. Le routeur qui joue le rôle de passerelle VPN encrypte le paquet, ajoute l en-tête VPN et un nouvel en-tête IP avec les adresses publiques et relaie le paquet. 3. A l autre extrémité, le routeur/firewall reçoit le paquet, confirme l identité de l émetteur, confirme que le paquet n a pas été modifié, décapsule et décrypte le paquet original. 4. Le serveur web reçoit le paquet décrypté. LAN 1 PC1 : Routeur VPN Internet Routeur VPN/ Firewall En-tête VPN Paquet IP Nouvel en-tête IP Paquet IP crypté LAN 2 web : Passerelle VPN Paquets cryptés Tunnel sécurisé Passerelle privées Src= publiques Src= privées Src= Dst= Les défenses matérielles Questions sur les VPN (1) 3. Les défenses matérielles Questions sur les VPN (2) La figure suivante illustre une communication entre deux machines à travers un VPN. Le paquet IP issu du PC1 est transporté vers le serveur web distant. 1) Complétez la figure en spécifiant les différents en-têtes et en écrivant les adresses IP privées et publiques sur le paquet à ses différents stades de transmission. 2) Comment sont masquées les adresses IP privées? LAN 1 PC1 : Routeur VPN Internet Routeur VPN/ Firewall LAN 2 web : ) Pourquoi un double en-tête IP est-il nécessaire? IP data IP data IP data 4) Quel est le rôle de l en-tête VPN? Par quel dispositif est-il géré?

19 4. Les défenses logicielles Antivirus La seule méthode pour détecter et éliminer les virus est l'utilisation d'un anti-virus. C est un logiciel installé sur chaque PC (station et serveur) qui scanne (analyse) au fur et à mesure les fichiers transférés. Le logiciel lit les codes et tente de reconnaître la signature des virus qu'il connaît. Quelques remarques : Ø La signature : c est le code (la programmation) du virus. Ø Comme le nombre de virus devient de plus en plus important et qu'éliminer de la liste les "anciens virus" serait dangereux, le travail de comparaison entre sa liste de virus et le fichier analysé devient de plus en plus lourd. C'est néanmoins la seule solution. Ø Pour détecter les nouveau virus, les logiciels anti-virus mettent à jour leur base de donnée régulièrement. Sans cette mise à jour, l'utilisation de ces programmes est pratiquement inutile. Ø Les virus deviennent "mutants". Pour évitez cette détection, les virus changent de signature en modifiant leur code de programmation en même temps que l'infection. Ø Certains virus actuels se coupent en plusieurs morceaux pour se reconstruire à la moindre occasion (virus polymorphes) 4. Les défenses logicielles Notions de cryptographie Le but de la cryptographie est de garantir la confidentialité, l'authenticité et l'intégrité des données échangées. Il existe à l heure actuelle deux grands principes de chiffrement ou cryptage : le cryptage symétrique qui utilise une même clé partagée et le cryptage asymétrique qui utilise deux clés distinctes. Cryptage symétrique Il basé sur l utilisation d une clé privée (ou algorithme) partagée entre les deux parties communicantes. La même clé sert à crypter et décrypter les messages. Bonjour Cryptage Données cryptées bnra&z Décryptage Bonjour Clé privée Réseau non sécurisé Clé privée Les défenses logicielles Cryptage symétrique Ce type de chiffrement est efficace (des longueurs de clés de 64 ou 128 bits sont suffisantes), rapide et peu gourmand en puissance de calcul. La principale difficulté est de trouver un moyen sécurisé pour communiquer la clé aux deux entités. Bonjour Clé privée Cryptage Données cryptées bnra&z Réseau non sécurisé Décryptage Clé privée Bonjour 4. Les défenses logicielles Cryptage asymétrique Le cryptage asymétrique utilise deux clés différentes pour chaque utilisateur : Ø la première est privée et n est connue que de l utilisateur qui a généré les clés ; Ø la deuxième est publique et peut être transmise sur Internet. Les clés publique et privée sont mathématiquement liées par l algorithme de cryptage de telle manière qu un message crypté avec une clé publique ne puisse être décrypté qu avec la clé privée correspondante et qu il est impossible de déduire la clé privée à partir de la clé publique. Une clé est donc utilisée pour le cryptage et l autre pour le décryptage. Son principal avantage est qu il résout le problème du transfert de la clé mais en revanche, il est plus coûteux en termes de temps de calcul et nécessite des tailles de clé plus importantes (couramment 1024 ou 2048 bits). Les algorithmes de chiffrement symétrique les plus utilisés sont : Ø DES (Digital encryption Standard) : avec des clés de 64 bits seulement et la puissance de calcul actuelle, sa robustesses est mise en cause ; Ø AES (Advanced Encryption Standard) : utilise des clés de 128 bits, le plus efficace aujourd hui compte-tenu des faibles ressources de calcul nécessaires. Bonjour Cryptage Données cryptées Zv*yic Décryptage Bonjour Clé publique Réseau non sécurisé Clé privée

20 4. Les défenses logicielles Exemples de cryptage asymétrique 4. Les défenses logicielles Symétrique ou asymétrique? Le plus connu est l algorithme de chiffrement RSA (Rivest, Shamir et Adelman MIT). Concu en 1977, il reste très utilisé pour l authentification. Des clés de 2048 bits sont aujourd hui fortement recommandées. L'algorithme ElGamal, du nom de son créateur Taher Elgamal, est un algorithme asymétrique basé sur les logarithmes discrets. Il est également très utilisé pour le chiffrement et la signature. Un groupe de n personnes souhaite utiliser un système cryptographique pour s'échanger deux a deux des informations confidentielles. Les informations échangées entre deux membres du groupe ne devront pas pouvoir être lues par un autre membre. Le groupe décide d'utiliser un système symétrique de chiffrement. 1) Quel est le nombre minimal de clés symétriques nécessaires? 2) Donnez le nom d'un algorithme de chiffrement symétrique reconnu. Le programme complet de cryptographie à clé publique le plus connu est PGP (Pretty Good Privacy). Le format OpenPGP est le standard ouvert de cryptographie issu de PGP. Sous Linux, la distribution la plus répandue est GnuPG. Sous Windows, il s agit de WinPT (Windows Privacy Tools). Le groupe décide maintenant de remplacer ce système par un système asymétrique. 3) Quel est le nombre minimal de couples de clés asymétriques nécessaires pour que chaque membre puisse envoyer et recevoir des informations chiffrées et/ou signées? Les défenses logicielles Symétrique ou asymétrique? 4) Bob souhaite envoyer des informations chiffrées et signées a Alice (Bob et Alice appartiennent tous les deux au groupe). Quelle(s) clé(s) Bob doit-il utiliser? 5) Donnez le nom d'un algorithme de chiffrement asymétrique reconnu. 4. Les défenses logicielles Cryptage symétrique et asymétrique Pour profiter de l'efficacité du chiffrement symétrique et des avantages de l'asymétrique qui élimine le problème de transfert de la clé, une solution est de combiner les deux chiffrements : Ø on chiffre le message avec une clé symétrique ; Ø on chiffre la clé symétrique avec la clé publique du destinataire ; Ø on joint la clé symétrique chiffrée au message ; Ø le destinataire déchiffre la clé symétrique avec sa clé privée, puis le message avec la clé symétrique qu il peut utiliser à son tour pour envoyer des messages chiffrés. Le groupe décide enfin d'utiliser un système hybride pour le chiffrement (c'est-à-dire qui utilise la cryptographie symétrique et asymétrique). 6) Donnez les raisons qui ont poussées ce groupe à utiliser un tel système? Cryptage Décryptage Thèse qw?x Thèse Clé symétrique Clé symétrique Clé publique Clé symétrique cryptée Clé privée

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

LA SÉCURITÉ DANS LES RÉSEAUX POURQUOI SÉCURISER? Ce cours traitera essentiellement les points suivants :

LA SÉCURITÉ DANS LES RÉSEAUX POURQUOI SÉCURISER? Ce cours traitera essentiellement les points suivants : LA SÉCURITÉ DANS LES RÉSEAUX Page:1/6 Objectifs du COURS : Ce cours traitera essentiellement les points suivants : - les attaques : - les techniques d intrusion : - le sniffing - le «craquage» de mot de

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Fonctionnement de Iptables. Exercices sécurité. Exercice 1 Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis.

Plus en détail

Sécurité des réseaux. 1. Introduction Quelques chiffres. 1. Introduction Tendances. Stéphane Lohier lohier@univ-mlv.fr!

Sécurité des réseaux. 1. Introduction Quelques chiffres. 1. Introduction Tendances. Stéphane Lohier lohier@univ-mlv.fr! Sécurité des réseaux 1. Introduction Tendances et chiffres Pourquoi sécuriser? 2. Les attaques Techniques d intrusion Déni de service 3. Les défenses Concepts 4. Architectures de défense Firewall DMZ NAT

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 54 Audit et Sécurité Informatique Chap 1: Services, Mécanismes et attaques de sécurité Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Devoir Surveillé de Sécurité des Réseaux

Devoir Surveillé de Sécurité des Réseaux Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI Chapitre 2 Vulnérabilités protocolaires et attaques réseaux 1 Définitions Vulnérabilité: Défaut ou faiblesse d un système dans sa conception, sa mise en œuvre ou son contrôle interne pouvant mener à une

Plus en détail

INF4420: Éléments de Sécurité Informatique

INF4420: Éléments de Sécurité Informatique : Éléments de Module III : Sécurité des réseaux informatiques José M. Fernandez M-3109 340-4711 poste 5433 Où sommes-nous? Semaine 1 Intro Semaines 2, 3 et 4 Cryptographie Semaine 6, 7 Sécurité dans les

Plus en détail

Exercice 1 : Routage et adressage

Exercice 1 : Routage et adressage NOM Prénom : Tous les documents manuscrits ou imprimés sont autorisés (polycopiés de cours, notes personnelles, livres, etc.). Il est interdit de prêter ses documents à ses voisins. L'usage de la calculatrice

Plus en détail

Sécurité des réseaux Firewalls

Sécurité des réseaux Firewalls Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et

Plus en détail

RÉSEAUX ET SÉCURITÉ INFORMATIQUES

RÉSEAUX ET SÉCURITÉ INFORMATIQUES RÉSEAUX ET SÉCURITÉ INFORMATIQUES MICKAËL CHOISNARD UNIVERSITÉ DE BOURGOGNE Cours MIGS 2 novembre 2015 INTRODUCTION La sécurité de ma machine, je m'en fous : y'a rien de précieux sur ma machine... personne

Plus en détail

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists).

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists). 1 LINUX FIREWALL Introduction Un firewall ou pare-feu est un des composants essentiel à la sécurité informatique d un réseau. Il va permettre d isoler une ou plusieurs machines ou réorienter les requêtes

Plus en détail

Sécurisation en réseau

Sécurisation en réseau Déni de services Sécurisation en réseau Utilisant des bugs exemple Ping of death (Cf. RFC IP) l exploitation des protocoles TCP SYN flooding Envoi seulement le début du 3-way handshake Saturation de la

Plus en détail

UE31 - M3102 : Services Réseaux

UE31 - M3102 : Services Réseaux UE31 - M3102 : Services Réseaux Enoncé du TP 4 NAT/PAT, Pare-Feu C. Pain-Barre Table des matières 1 Simulateur : Nat/Pat et firewall 2 Exercice 1 (Simulation Nat/Pat et firewall).................................

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

TR2 : Technologies de l'internet. Chapitre VIII. Liste de Contrôle d Accès (ACL) ACL Standard et étendues Masque générique ACL nommées

TR2 : Technologies de l'internet. Chapitre VIII. Liste de Contrôle d Accès (ACL) ACL Standard et étendues Masque générique ACL nommées TR2 : Technologies de l'internet Chapitre VIII Liste de Contrôle d Accès (ACL) ACL Standard et étendues Masque générique ACL nommées 1 Listes de contrôle d accès (ACL) Importance croissante de la sécurité

Plus en détail

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble ASR4 réseaux Barrière de Sécurité Introduction Serveur de proximité, pare-feu IP, filtrage, architecture 1 Objectif des gardes barrières Protéger un environnement (vis à vis de l extérieur et de l intérieur)

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 69 Audit et Sécurité Informatique Chap 2: Firewall et Règles de Filtrage ACL Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2 / 69 Plan

Plus en détail

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES SECURITE - IPTABLES Conception d'une zone démilitarisée (DeMilitarized Zone: DMZ) Veuillez indiquer les informations suivantes : Binômes Nom Station ou PC D. Essayed-Messaoudi Page 1 sur 9 TP 4 : Sécurité

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

PCI (Payment Card Industry) DSS (Data Security Standard )

PCI (Payment Card Industry) DSS (Data Security Standard ) PCI (Payment Card Industry) DSS (Data Security Standard ) Jean-Marc Robert Génie logiciel et des TI PCI-DSS La norme PCI (Payment Card Industry) DSS (Data Security Standard) a été développée dans le but

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

1 Montage de l architecture

1 Montage de l architecture Étude de cas Sécurité des réseaux Xavier Skapin xavier.skapin@univ-poitiers.fr 28-29 Correction Montage de l architecture L objectif de cette étude est de monter une architecture sécurisée selon divers

Plus en détail

Mécanismes de sécurité des systèmes. 10 e cours Louis Salvail

Mécanismes de sécurité des systèmes. 10 e cours Louis Salvail Mécanismes de sécurité des systèmes 10 e cours Louis Salvail Objectifs Objectifs La sécurité des réseaux permet que les communications d un système à un autre soient sûres. Objectifs La sécurité des réseaux

Plus en détail

PROJET TRIBOX-2012-A

PROJET TRIBOX-2012-A PROJET TRIBOX-2012-A Auteur : Groupe Tutoriel d'installation et de configuration de Trixbox Membres du projet: GUITTON Jordan MORELLE Romain SECK Mbaye Gueye Responsable de la formation: MOTAMED Cina Client:

Plus en détail

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required.

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required. Quelles sont les deux affirmations vraies relatives à la sécurité du réseau? (Choisissez deux réponses.) Protéger un réseau contre les attaques internes constitue une priorité moins élevée car les employés

Plus en détail

Configurer un pare-feu avec NETFILTER

Configurer un pare-feu avec NETFILTER Configurer un pare-feu avec NETFILTER Netfilter est le firewall des distributions linux récentes pris en charge depuis les noyaux 2.4. Il est le remplaçant de ipchains. La configuration se fait en grande

Plus en détail

Protection contre les menaces Prévention

Protection contre les menaces Prévention Protection contre les menaces Prévention Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Prévention Routeurs Pare-feu Systèmes de prévention d intrusion Conclusions Jean-Marc

Plus en détail

Sécurité des réseaux Les attaques

Sécurité des réseaux Les attaques Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques

Plus en détail

Session Novembre 2004

Session Novembre 2004 OFPPT Office de la Formation Professionnelle et de la Promotion du Travail Direction Recherche et Ingénierie de la Formation Correction EFF Session Juillet 2012 Filière : Techniques des Réseaux Informatiques

Plus en détail

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A TP réseau firewall L objectif de ce TP est de comprendre comment mettre en place un routeur pare-feu (firewall) entre

Plus en détail

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public.

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. TP 8.1 ÉTUDE D UN FIREWALL OBJECTIFS Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. PRÉ-REQUIS Système d exploitation

Plus en détail

Table des matières AVANT-PROPOS... MODULE 1 : ENVIRONNEMENT... 1-1 MODULE 2 : ATTAQUES COURANTES... 2-1

Table des matières AVANT-PROPOS... MODULE 1 : ENVIRONNEMENT... 1-1 MODULE 2 : ATTAQUES COURANTES... 2-1 Table des matières AVANT-PROPOS... MODULE 1 : ENVIRONNEMENT... 1-1 Problématiques de la sécurité... 1-2 Domaines de la sécurité... 1-4 Buts de la sécurité informatique... 1-6 Niveaux de sécurité... 1-7

Plus en détail

TP réseau Les ACL : création d'une DMZ

TP réseau Les ACL : création d'une DMZ 1 But TP réseau Les ACL : création d'une DMZ Le but de se TP est de se familiariser avec l'utilisation des listes de contrôle d'accès étendues. Pour illustrer leur utilisation, vous allez simuler la mise

Plus en détail

Chapitre II. Introduction à la cryptographie

Chapitre II. Introduction à la cryptographie Chapitre II Introduction à la cryptographie PLAN 1. Terminologie 2. Chiffrement symétrique 3. Chiffrement asymétrique 4. Fonction de hachage 5. Signature numérique 6. Scellement 7. Echange de clés 8. Principe

Plus en détail

Iptables. Nat : Cette table effectue le masquerading. Elle est constituée de trois chaînes internes : PREROUTING, OUTPUT et POSTROUTING..

Iptables. Nat : Cette table effectue le masquerading. Elle est constituée de trois chaînes internes : PREROUTING, OUTPUT et POSTROUTING.. I) Introduction : Il existe trois tables : Filter : C est la table par défaut qui permet le filtrage des paquets. Elle ne modifie pas le contenu des paquets. Elle est constituée de trois chaînes : INPUT,

Plus en détail

La sécurité des Réseaux Partie 6.1 Les pare-feus

La sécurité des Réseaux Partie 6.1 Les pare-feus La sécurité des Réseaux Partie 6.1 Les pare-feus Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références F. Ia et O. Menager, Optimiser et sécuriser son trafic

Plus en détail

Couche réseau : autour d IP. Claude Chaudet

Couche réseau : autour d IP. Claude Chaudet Couche réseau : autour d IP Claude Chaudet 2 ICMP : Signalisation dans IP Positionnement et rôle d'icmp IP est, en soi, un mécanisme simple dédié à l'acheminement de trames Il ne définit pas de messages

Plus en détail

Définition Principes de fonctionnement Application à iptables 1/25

Définition Principes de fonctionnement Application à iptables 1/25 Les pare-feux Définition Principes de fonctionnement Application à iptables 1/25 Définition Un pare-feu est un logiciel qui : Analyse les trames qu'il reçoit et prend une décision en fonction des adresses

Plus en détail

Sécurité informatique : Sécurité dans un monde en réseau. Explosion des connexions à internet 2. ... Mais c est pas tout! 3

Sécurité informatique : Sécurité dans un monde en réseau. Explosion des connexions à internet 2. ... Mais c est pas tout! 3 Sécurité informatique : Matthieu Amiguet 2006 2007 Explosion des réseaux Explosion des connexions à internet 2 En 1990, environ 320 000 hôtes étaient connectées à internet Actuellement, le chiffre a dépassé

Plus en détail

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1. Routeur Chiffrant Navista Version 2.8.0 Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.0 Cibles de sécurité C.S.P.N Référence : NTS-310-CSPN-CIBLES-1.05

Plus en détail

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. 2013 Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. Table des matières 1 Les architectures sécurisées... 3 2 La PKI : Autorité de certification... 6 3 Installation

Plus en détail

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr M1 Informatique Réseaux Filtrage Bureau S3-203 mailto://alexis.lechervy@unicaen.fr Sécurité - introduction Au départ, très peu de sécurité dans les accès réseaux (mots de passe, voyageant en clair) Avec

Plus en détail

PROJET III 2000/2001 ARCHITECTURE D'UN SITE INTERNET

PROJET III 2000/2001 ARCHITECTURE D'UN SITE INTERNET PROJET III 2000/2001 ARCHITECTURE D'UN SITE INTERNET F.-Y. VILLEMIN CNAM-CEDRIC PLAN 1. Sécurité 2. Attaques 3. Architecture 4. Garde-barrière (Firewall) 5. Cryptographie 6. SSL 7. Signature électronique

Plus en détail

Réseaux virtuels Applications possibles :

Réseaux virtuels Applications possibles : Réseaux virtuels La mise en place d'un réseau privé virtuel permet de connecter de façon sécurisée des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils étaient sur le même

Plus en détail

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables Firewall, Virus, Spam Administration Système et Réseaux, Sécurité Firewall, Spam, Virus Philippe Harrand Firewall Généralités Définitions Mise en oeuvre iptables 1 Departement Informatique Pôle Sciences

Plus en détail

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - Cours de sécurité Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - 1 Plan pare-feux Introduction Filtrage des paquets et des segments Conclusion Bibliographie 2 Pare-Feux Introduction

Plus en détail

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1 Les ACL Cisco Master 2 Professionnel STIC-Informatique 1 Les ACL Cisco Présentation Master 2 Professionnel STIC-Informatique 2 Les ACL Cisco? Les ACL (Access Control Lists) permettent de filtrer des packets

Plus en détail

Formation Iptables : Correction TP

Formation Iptables : Correction TP Table des matières 1.Opérations sur une seule chaîne et sur la table filter:...2 2.Opérations sur plusieurs chaînes et sur la table filter:...5 3.Opérations sur plusieurs chaires et sur plusieurs tables

Plus en détail

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. Prénom : Nom : Groupe :

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. Prénom : Nom : Groupe : TP3 ASR4 Réseaux Département Informatique, IUT Bordeaux 1 ASR4-R Prénom : Nom : Groupe : 1 Gestion du réseau virtuel Le réseau virtuel utilisé lors de ce TP a été réalisé avec NEmu (Network Emulator),

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

Linux sécurité des réseaux

Linux sécurité des réseaux Linux sécurité des réseaux Rappels et audits réseaux Frédéric Bongat (IPSL) Philippe Weill (SA) 1 Introduction Sécurité des réseaux sous Linux Les réseaux Audit réseau 2 3 TCP/IP : protocoles de communication

Plus en détail

Infrastructure de sécurité des réseaux

Infrastructure de sécurité des réseaux Infrastructure de sécurité des réseaux Rushed Kanawati Département R&T, IUT de Villetaneuse http://lipn.fr/ kanawati rushed.kanawati@lipn.univ-paris13.fr Module M4210 February 18, 2015 1 / 67 PLAN 1 Introduction

Plus en détail

Les pare-feux : concepts

Les pare-feux : concepts Les pare-feux : concepts Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (2) 15 mai 2005 Diapositive N 1 /19 C'est quoi

Plus en détail

Sécurité GNU/Linux NAT

Sécurité GNU/Linux NAT Sécurité GNU/Linux NAT By sharevb Sommaire I.Qu'est-ce qu'une passerelle?...1 II.Qu'est-ce que NAT?...2 III.Types de NAT...2 a)nat Statique...3 b)nat dynamique/ip masquerading/pat...4 c)oui, mais ICMP

Plus en détail

FILTRAGE de PAQUETS NetFilter

FILTRAGE de PAQUETS NetFilter TP RESEAUX MMI Semestre 3 FILTRAGE de PAQUETS NetFilter OBJECTIF : Introduction à Netfilter. Configuration d'un firewall. MATERIELS : (Machines Virtuelles) 1 Serveur Debian avec apache d'installé, 1 Poste

Plus en détail

PACK SKeeper. Descriptif du Pack SKeeper : Equipements

PACK SKeeper. Descriptif du Pack SKeeper : Equipements PACK SKeeper Destinée aux entreprises et aux organisations de taille moyenne ( 50 à 500 users ) fortement utilisatrices des technologies de l'information (messagerie, site web, Intranet, Extranet,...)

Plus en détail

PACK SKeeper Multi = 1 SKeeper et des SKubes

PACK SKeeper Multi = 1 SKeeper et des SKubes PACK SKeeper Multi = 1 SKeeper et des SKubes De plus en plus, les entreprises ont besoin de communiquer en toute sécurité avec leurs itinérants, leurs agences et leurs clients via Internet. Grâce au Pack

Plus en détail

Cours 14. Crypto. 2004, Marc-André Léger

Cours 14. Crypto. 2004, Marc-André Léger Cours 14 Crypto Cryptographie Définition Science du chiffrement Meilleur moyen de protéger une information = la rendre illisible ou incompréhensible Bases Une clé = chaîne de nombres binaires (0 et 1)

Plus en détail

Comment votre PC peut-il être piraté sur Internet?

Comment votre PC peut-il être piraté sur Internet? Edited By BIANCHI Lorenzo A.C.S2013SERVICES INFORMATIQUE 2014 Comment votre PC peut-il être piraté sur Internet? Comment votre PC peut-il être piraté sur Internet? Toujours le fait de personnes malveillantes,

Plus en détail

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Claire Billaud - 3ème année IS MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Page 1 sur 9 Principe : On veut faire en sorte que le réseau interne

Plus en détail

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif C TLS Objectif Cette annexe présente les notions de cryptage asymétrique, de certificats et de signatures électroniques, et décrit brièvement les protocoles SSL (Secure Sockets Layer) et TLS (Transport

Plus en détail

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage Licence 3 Systèmes et Réseaux II Chapitre V : Filtrage Département IEM / UB Eric.Leclercq@u-bourgogne.fr Bureau G212 Aile des Sciences de l Ingénieur Mise-à-jour : février 2009 (Département IEM / UB) Filtrage

Plus en détail

Sécurisation du réseau

Sécurisation du réseau Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités

Plus en détail

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49 Filtrage dynamique Linux noyau >= 2.4 netfilter : Iptables Cisco propose les CBAC (IOS Firewall) *BSD avec IPFilter Packet filter Beaucoup de Pare Feu utilise du filtrage dynamique Principe Fonctionnement

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

IPSec peut fonctionner selon deux modes, transport ou tunel.

IPSec peut fonctionner selon deux modes, transport ou tunel. Infrastructure PKI (public key infrastructure) Le cryptage symétrique Utilise la même clé pour crypter et décrypter un document Le cryptage asymétrique Utilise une paire de clé public et privée différente

Plus en détail

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne. Sécurité avancée des réseaux Filtrage des paquets IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.fr Outline Pare-feu & Filtre de Confiance Filtrage de paquets Pare-feu

Plus en détail

Notions de sécurités en informatique

Notions de sécurités en informatique Notions de sécurités en informatique Bonjour à tous, voici un article, vous proposant les bases de la sécurité informatique. La sécurité informatique : Vaste sujet, car en matière de sécurité informatique

Plus en détail

Charte d installation des réseaux sans-fils à l INSA de Lyon

Charte d installation des réseaux sans-fils à l INSA de Lyon Charte d installation des réseaux sans-fils à l INSA de Lyon Toute installation d un point d accès est soumise à autorisation auprès du Responsable Sécurité des Systèmes d Information (RSSI) de l INSA

Plus en détail

Sécurité des Systèmes Informatiques. Sécurité réseau. Fabrice. fabrice.legond-aubry@lip6.fraubry@lip6.fr. Legond-Aubry. Module SSI - 20/11/2005 1

Sécurité des Systèmes Informatiques. Sécurité réseau. Fabrice. fabrice.legond-aubry@lip6.fraubry@lip6.fr. Legond-Aubry. Module SSI - 20/11/2005 1 SSI Sécurité des Systèmes Informatiques Sécurité réseau Legond-Aubry Fabrice fabrice.legond-aubry@lip6.fraubry@lip6.fr Module SSI - 20/11/2005 1 Plan de cours Attaques niveau 2: ethernet Attaques niveau

Plus en détail

Evaluer les risques liés aux défauts de sécurité

Evaluer les risques liés aux défauts de sécurité C2I Métiers de la Santé SECURITE INFORMATIQUE Evaluer les risques liés aux défauts de sécurité Eric Boissinot Université François Rabelais Tours 13/02/2007 Pourquoi la sécurité? Le bon fonctionnement d

Plus en détail

Administration réseau Iptables et NAT

Administration réseau Iptables et NAT Administration réseau Iptables et NAT A. Guermouche A. Guermouche Cours 4 : Iptables et NAT 1 Plan 1. Logiciels de filtrage de paquets 2. Ipfwadm 3. Ipchains 4. Iptables A. Guermouche Cours 4 : Iptables

Plus en détail

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall? TP Linux : Firewall Objectif : Réaliser un firewall simple par filtrage de paquet avec iptables sous Linux Matériel : 1 serveur Linux S configuré en routeur entre le réseau du lycée qui représentera le

Plus en détail

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous-direction scientifique et technique Laboratoire Technologies de l Information

Plus en détail

TP Réseaux. Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ)

TP Réseaux. Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ) TP Réseaux Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ) Préambule Nous devons concevoir une zone démilitarisée, c'est à dire une configuration réseau qui permet d'isoler un ensemble de

Plus en détail

Bibliographie. Gestion des risques

Bibliographie. Gestion des risques Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes

Plus en détail

Rappels réseaux TCP/IP

Rappels réseaux TCP/IP Rappels réseaux TCP/IP Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 1 /27 Au menu Modèle

Plus en détail

Le filtrage de niveau IP

Le filtrage de niveau IP 2ème année 2008-2009 Le filtrage de niveau IP Novembre 2008 Objectifs Filtrage : Le filtrage permet de choisir un comportement à adopter vis à vis des différents paquets émis ou reçus par une station.

Plus en détail

LAB : Schéma. Compagnie C 192.168.10.30 /24 192.168.10.10 /24 NETASQ

LAB : Schéma. Compagnie C 192.168.10.30 /24 192.168.10.10 /24 NETASQ LAB : Schéma Avertissement : l exemple de configuration ne constitue pas un cas réel et ne représente pas une architecture la plus sécurisée. Certains choix ne sont pas à prescrire dans un cas réel mais

Plus en détail

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2

Plus en détail

Plan. 1 Introduction. 2 Attaques de sécurité. 3 Services de sécurité. 4 Logiciels malveillants. 5 Attaques DoS. 6 ARP spoofing et flooding

Plan. 1 Introduction. 2 Attaques de sécurité. 3 Services de sécurité. 4 Logiciels malveillants. 5 Attaques DoS. 6 ARP spoofing et flooding Plan École Supérieure d Économie Électronique Sécurité Réseaux Rhouma Rhouma 21 Juillet 2014 2 4 5 1 / 68 2 / 68 Plan Introduction Introduction Objectifs de la sécurité CIA 2 4 5 Autres : Authenticité,

Plus en détail

Sécurité des réseaux IPSec

Sécurité des réseaux IPSec Sécurité des réseaux IPSec A. Guermouche A. Guermouche Cours 4 : IPSec 1 Plan 1. A. Guermouche Cours 4 : IPSec 2 Plan 1. A. Guermouche Cours 4 : IPSec 3 Pourquoi? Premier constat sur l aspect critique

Plus en détail

Évolution de l architecture de réseau avec garde-barrière, VPN, accès distants

Évolution de l architecture de réseau avec garde-barrière, VPN, accès distants JRES 2003 Lille, 20 novembre 2003 Évolution de l architecture de réseau avec garde-barrière, VPN, accès distants Marie-Claude QUIDOZ & Catherine GRENET CNRS/UREC Évolution de l architecture de réseau /

Plus en détail

Crypto et sécurité de l information

Crypto et sécurité de l information 1 / 73 Crypto et sécurité de l information Chap 4: Gestion des clés symétriques ou asymétriques, Protocoles d authentification, Kerberos, Protocoles de sécurité Rhouma Rhouma https://sites.google.com/site/rhoouma

Plus en détail

Travaux Pratiques n 1 Principes et Normes des réseaux.

Travaux Pratiques n 1 Principes et Normes des réseaux. Travaux Pratiques n 1 Principes et Normes des réseaux. Objectifs Connaitre le matériel de base (switch, hub et routeur) Savoir configurer une machine windows et linux en statique et dynamique. Connaitre

Plus en détail

Pare-feu. 2. Zone Démilitarisée (DMZ) 1. Qu'est-ce qu'un pare-feu?

Pare-feu. 2. Zone Démilitarisée (DMZ) 1. Qu'est-ce qu'un pare-feu? Pare-feu Chaque ordinateur connecté à Internet (et d'une manière plus générale à n'importe quel réseau) est susceptible d'être victime d'une intrusion pouvant compromettre l'intégrité du système ou bien

Plus en détail

Glossaire. Acces Denied

Glossaire. Acces Denied Glossaire Acces Denied Littéralement, Accès refusé. Procédure en vigueur sur les espaces de discussion et permettant aux administrateurs d'interdire l'accès à une personne, en général repérée par son adresse

Plus en détail

Iptables. Table of Contents

Iptables. Table of Contents Iptables Stéphane Salès s.sales@tuxz.org Table of Contents 1.TP IPTABLES 2 1.1.Opérations sur une seule chaîne et sur la table filter: 2 1.1.1.paramètre protocole 2 1.1.2.paramètre source 2 1.1.3.chaîne

Plus en détail

pare - feu généralités et iptables

pare - feu généralités et iptables pare - feu généralités et iptables Cycle Ingénierie 3e année SRT Dernière mise à jour : 12/12/2006 Adrien URBAN pare-feu général routeurs pare-feu sans état pare-feu avec état pare-feu avec état et inspection

Plus en détail