Analyse de comportement de pare-feu par marquage de données

Dimension: px
Commencer à balayer dès la page:

Download "Analyse de comportement de pare-feu par marquage de données"

Transcription

1 Analyse de comportement de pare-feu par marquage de données Olivier Paul * Abstract: Dans cet article nous présentons les résultats préliminaires de l utilisation d un outil d analyse de comportement des systèmes de filtrage. Celui-ci fonctionne en utilisant un mécanisme de marquage de données qui permet distinguer de manière plus ou moins grossière quelles parties d'un paquet sont examinées par un pare feu en fonction de la configuration de celui-ci. Keywords: filtrage, virtualisation, marquage de données. 1 Introduction Les fonctions de filtrage sont aujourd'hui particulièrement répandues. On les trouve aussi bien dans les équipements destinés à une utilisation personnelle (routeurs personnels, routeursmodems/cable-adsl) que professionnelle (pare-feu dédiés, IPS, routeurs d'entreprise), aussi bien dans des équipements dédiés que dans des équipements dont ils viennent complémenter les fonctions. Par ailleurs leur déploiement s'est accompagné d'une complexification croissante. Aux fonctions de filtrage traditionnelles, se sont ajoutées au fil du temps des fonctions liées à la détection d'intrusion, à la détection d'attaques de dénis de service. Malheureusement, comme nous le montrons dans la section suivante, il n'est pas évident pour un utilisateur potentiel de déterminer quelles fonctions sont réellement implantées par un pare-feu, ni si une configuration donnée fonctionne de manière attendue. Dans cet article nous décrivons une ébauche de solution pour résoudre ce problème. Nous espérons dans le futur combiner cette ébauche avec d'autres techniques afin de permettre l'analyse de systèmes de filtrage de manière automatique. Notre proposition est pour le moment manuelle, et permet à l'utilisateur d'un système de filtrage de déterminer quelles données sont utilisées par un système de filtrage pour une configuration de filtrage bien définie. Dans la suite de cet article nous présentons l'architecture que nous proposons ainsi que des résultats de tests préliminaires. 2 Etat de l art 2.1 Utilisation de manuels et de standards La méthode la plus évidente pour déterminer les fonctionnalités de filtrage implantées par un outil est de lire le manuel qui lui est associé. Cependant cette méthode est rarement suffisante pour plusieurs raisons. D'une part certains outils ne possèdent pas de manuel. C'est par exemple le cas de nombreux routeurs/modems personnels qui possèdent uniquement un manuel de mise en route bien qu'ils implémentent des fonctions de filtrage [Pa07]. D'autres outils possèdent un manuel mais celui-ci n'est pas en phase avec les fonctionnalités réellement implantées par l'outil décrit. Dans certains cas, le manuel peut être optimiste vis à vis des fonctionnalités fournies * Institut Telecom Sud Paris, 9 rue Charles Fourier, Evry Cedex Tel : 33 (0) Fax : 33 (0) Submitted to SAR-SSI

2 [Pa07]. Il est à noter que cette absence d'information n'est pas toujours dans le mauvais sens. Ainsi il arrive parfois que certains outils fournissent des fonctionnalités plus perfectionnées que celles annoncées par le manuel correspondant [Pa07]. Ce cas se produit fréquemment dans les projets open-source ou l'objectif des développeurs est principalement l'avancement du code mais également pour certains outils commerciaux. Une solution fréquemment utilisée par les utilisateurs de systèmes open source pour palier ces problèmes est d'aller directement lire le code source des outils afin de comprendre leur fonctionnement. Cette solution même si elle ne peut qu'être bénéfique d'un point de vue de la sécurité est cependant assez fastidieuse et ne s'applique de toute façon qu'à une catégorie limitée d'outils. Une façon de remédier à ce manque d'information peut être l'utilisation de certifications. Au cours des dix dernières années, plusieurs spécifications de critères de certifications pour les outils de filtrage ont été réalisées par divers organismes tels que le CERT ou la NSA [CC]. Ces critères de certifications appelés profils de protection (PP) décrivent les fonctionnalités minimales qui doivent être implantées par un outil afin que celui-ci puisse être évalué. Cependant, dans la pratique, la majorité des équipements ne sont pas certifiés vis à vis de PPs standardisés parce que les constructeurs préfèrent faire valider leur produit vis à vis d'une description des fonctionnalités adaptée à leur produit qu'ils fournissent alors eux même. Dans ce cas la procédure de certification ne peut couvrir qu'une partie du PP, Une autre raison est tout simplement qu'aujourd'hui, de nombreux produits ne sont pas certifiés. Ainsi fin 2007, moins de 90 produits étaient certifiés et parmi ceux-ci seulement 5 étaient certifiés vis à vis d'un PP existant. Enfin les procédures de certification et de création de PPs étant relativement longues, les produits sont souvent certifiés par rapport à des fonctionnalités qui ne sont plus en rapport avec leurs véritables capacités. 2.2 Analyse par l'utilisation de batteries de tests Afin de faciliter le travail des développeurs, la plupart des outils de filtrage possèdent une batterie de tests permettant de déterminer si un outil de filtrage se comporte de manière similaire au comportement qu'il avait avant l'introduction de nouvelles fonctionnalités (tests de non régression). Ces tests se concentrent souvent sur la syntaxe des règles de configuration et fonctionnent dans un cadre local, sans mettre en œuvre de fonction réseau par exemple en utilisant une interface spécifique de test [Ipf]. Si ces tests permettent de s'assurer dans une certaine mesure de la cohérence du fonctionnement d'un outil dans le temps, ils ne permettent cependant pas à un utilisateur de comprendre la sémantique des règles de configuration. D'autre part, ils testent un nombre de points précis et ne permettent en aucun cas de garantir la stabilité du fonctionnement global de l'outil. De nombreux outils permettent la génération de trafic afin de tester le fonctionnement d'un outil de filtrage [hping]. Ils permettent au travers d'une description du trafic à générer de construire les unités de données ayant les caractéristiques désirées. Le test de l'outil de filtrage se fait alors une fois sa configuration réalisée en examinant les unités de données après traitement ainsi que les logs produits par l'outil. Cependant ces tests demandent une connaissance préalable de la sémantique des options de configuration et d'autre part l'analyse des logs et des unités de données non bloquées ne fournissent qu'une vision partielle des opérations réellement réalisées par un outil. Ainsi une règle de filtrage peut être examinée sans être appliquée, d'autre part des fonctions sont souvent mises en œuvre par défaut sans nécessiter de configuration explicite. Le problème de sémantique pourrait être réglé s'il existait une base publique de tests permettant de distinguer les cas de fonctionnement les plus courants. Ainsi une solution approchante concernant les NAT est proposée dans [Gu05]. Cependant les NATs sont des outils simples dont le comportement est relativement homogène. A notre connaissance il n'existe pas d'outil 2 Submitted to SAR-SSI 2008

3 similaire pour les pare-feu. Un certain nombre de travaux ont été réalisés afin de tester des points spécifiques des pare-feu pour lesquels le comportement attendu est bien défini et connu à l avance. Par exemple [Senn05] présente une méthode permettant de tester les caractéristiques d un automate de filtre à état TCP pour ce protocole à partir de la définition formelle de TCP. Cependant ce type d'outil, en dehors du fait qu'il se limite à une petite partie du fonctionnement d un outil de filtrage (les problèmes de temporisation ou de vérification de numéros de séquence sont par exemple ignorés) présuppose comme dans les cas précédent la connaissance de la sémantique des commandes de configuration. 2.3 Analyse de traces d'exécution Au cours des cinq dernières années, de nombreuses propositions ont été faites concernant l'analyse de comportement d'outils réseaux au travers de l'analyse de leurs traces d'exécution lors de la réception/émission de données. Ainsi [Mut05] présente l'une des seules analyses à notre connaissance d un outil de sécurité. Celle-ci est réalisée à partir de traces d exécution d outils de détection d intrusion. Les auteurs se basent sur l outil ptrace afin d obtenir celles-ci. Les auteurs montrent par la suite comment ces traces peuvent être utilisées pour déterminer les signatures utilisées par des outils de détection d intrusion. La limitation principale de cette approche est qu elle est limitée à l étude de processus utilisateurs du fait de l utilisation de ptrace et cela dans un environnement d exécution bien connu afin de pouvoir disposer de cette fonctionnalité. D autre part les auteurs donnent peu d information sur la façon dont l analyse des traces est réalisée. Plus récemment, un grand nombre de travaux se sont intéressés à caractériser le comportement des logiciels réseaux par la construction de modèles de l exécution d un programme de manière automatique et à partir de traces d exécution. Ainsi [Bru07] présente une architecture qui à partir de la trace d exécution d un programme et de son état final produit une formule symbolique de son exécution appelée pré condition la plus faible. Celle-ci permet de définir quelles données en entrée peuvent amener le programme à un état donné. Cet état est défini par les données produites. Les auteurs utilisent cette approche pour réaliser la prise d empreinte de logiciels. Une limitation actuelle de cette approche est qu elle semble pour le moment limitée à des logiciels de petite taille dans lesquels les entrées-sorties sont bien définies. [Yin07] présente une architecture associant un mécanisme de marquage de données au travers d un émulateur et un ensemble d outils systèmes permettant de lier ces données teintées à leur utilisation par un processus, une librairie ou un fichier particulier. Cette architecture permet de détecter des attaques en repérant des anomalies dans le cheminement des données au travers d un système. Un des inconvénients de cette approche est qu elle nécessite d installer un ensemble d outils sur le système à surveiller. Ceci n est pas toujours possible le cas dans le cadre d environnements propriétaires. 3 Architecture proposée Dans cette partie, nous essayons de montrer l utilité de utilisation du marquage de donnée dans la compréhension d un processus de filtrage. Dans le cas de produits commerciaux, l accès aux sources et au code exécutable du processus de filtrage est souvent impossible. De plus, parmi les produits commerciaux, il est assez fréquent de ne pas pouvoir modifier le système d exploitation ou d y introduire de nouvelles fonctions qui permettraient de comprendre le lien entre le processus de filtrage et le reste du système. Un autre problème dans la compréhension du comportement de ces processus est qu ils sont souvent implantés comme une partie du système d exploitation. Il est donc difficile de distinguer leur comportement du reste du système que l on Submitted to SAR-SSI

4 peut être alors contraint d analyser dans sa globalité. Celui-ci étant souvent d un degré de complexité bien supérieur à celui d un simple programme, cette tache n est pas aisée. Enfin les systèmes implantant ces fonctions étant multi-tâches, l analyse du système peut se révéler plus complexe que celle d un simple programme dont l exécution, du point de vue utilisateur, est sans interruptions. Afin de résoudre ces problèmes nous proposons d utiliser un émulateur afin de réaliser les opérations de base de surveillance. Nous présentons par la suite Argos, l outil sur lequel se base notre système puis les extensions qui s y rattachent. Celles-ci ont pour objectif de présenter à l utilisateur d un système de filtrage la vision la plus synthétique des opérations réalisées pour une configuration et un trafic de test donnés. 3.1 Argos Notre architecture se base sur Argos [Por06]. Argos est un outil d'analyse d'exécutables qui permet de repérer la mise en œuvre d'attaques au travers de l'analyse dynamique du code exécuté. Argos est lui même basé sur un outil appelé Qemu [Bel05]. Qemu est un outil de virtualisation qui permet l'émulation de différents types de machines (x86, Sparc, Mips, ARM, PPC, Alpha,...). Dans ce cadre il permet l'exécution de code natif pour ces machine sur un système cible au travers de machines virtuelles. Lors de son exécution le code natif est traduit de manière dynamique pour pouvoir être exécuté sur le système cible. L unité de traduction dans Qemu est le bloc de traduction (Translation block), une suite d instructions terminée par une fonction modifiant le contrôle de l exécution du programme (saut, appel de fonction,...). L utilisation de tels blocs permet de limiter le coût de la traduction en conservant un cache des blocs récemment utilisés et donc de conserver de bonnes performances d'émulation. La traduction en elle-même est réalisée au travers d un langage intermédiaire comprenant un nombre réduit de fonctions simples. Il permet une portabilité plus importante du traducteur ainsi qu une modification plus aisées de ces fonctions. Les fonctions de ce langage intermédiaire sont compilées préalablement à l utilisation de l émulateur. Celui-ci se charge par la suite de composer le code cible associé à ces fonctions en fonction du code natif à traduire à la manière d un compilateur. La capacité de traduction de Qemu est utilisée par Argos pour associer des fonctions de marquage de données aux instructions traduites afin permettre à la machine virtuelle de distinguer la provenance des données traitées. Argos étant construit pour la reconnaissance d attaques réseau, la seule source de données teintée dans Argos est l interface réseau. Notre intérêt pour Argos est lié à plusieurs de ses caractéristiques: - C est à notre connaissance le seul système de virtualisation supportant le marquage de données dont le code source soit disponible publiquement. - Il permet d obtenir des informations d exécution d un système de filtrage sans avoir à instrumenter celui-ci sous quelque forme que ce soit (code source, appels système, code binaire). - Il permet l exécution d une grande variété de systèmes de filtrage par le fait que Qemu supporte l émulation d un grand nombre de systèmes. Ainsi des systèmes aussi divers que JunOS ou QN sont au moins partiellement supportés. - Il permet d associer les instructions exécutées à leur provenance des données qu'elles manipulent. 3.2 Extensions d Argos Malgré toutes ses qualités, Argos ne répond pas totalement à nos besoins. En effet Argos est conçu pour suivre le cheminement des données. Il utilise pour cela deux outils principaux : - L instrumentation des fonctions provoquant le transfert de données de ou vers un 4 Submitted to SAR-SSI 2008

5 espace mémoire (au sens large, c'est-à-dire mémoire principale, registres,...) pour suivre leur cheminement. Ceci est réalisé en modifiant la sémantique des fonctions du langage intermédiaire utilisé par Qemu. - La gestion d un espace mémoire associé à la mémoire disponible pour la machine virtuelle qui contient des étiquettes indiquant la provenance des données. Ces étiquettes sont utilisées par les fonctions instrumentées pour propager cette information de provenance lorsque cela est nécessaire et d autre part pour rendre les services de détection d attaques fournis par Argos. Cependant ces outils ne permettent pas de détecter l utilisation, par d autres fonctions, de données teintées. D autre part Argos n a pas pour objectif de signaler l utilisation de données teintées d une manière générale. Nous avons donc étendu d une part les autres fonctions du langage intermédiaire afin de pouvoir repérer l utilisation de données teintées dans des fonctions autres que celles liées au mouvement des données. D autre part, nous avons muni Argos d un système permettant de mémoriser l utilisation de ces données et de fournir à la demande une trace d utilisation. Une autre limitation d Argos est qu il est conçu afin d associer à chaque donnée, son origine, c'est-à-dire si il provient du réseau ainsi qu une approximation de sa localisation dans le flux de données reçu par la carte réseau. Une telle information peut être stockée de manière économe mais n est cependant pas suffisamment précise pour nos besoins. Nous avons donc étendu Argos afin de pouvoir conserver la position précise de chaque octet dans un paquet ainsi que l identité du paquet d origine. L utilisation dans Argos du système de pagination des informations de marquage permet de limiter le coût d une telle mesure. Cette information n'est cependant utile que si l'on peut par la suite associer un type à chaque marque. Pour cela nous avons étendu le système de sauvegarde de données présent dans Argos afin de sauver les trames reçues par les cartes réseau sous une forme facilement analysable (format pcap). Au cours de l utilisation de notre version modifiée il est rapidement apparu que les informations de marquage n auraient d intérêt qu accompagnées d informations liées aux instructions exécutées. Fournir une telle information n est pas possible au travers du système de conservation des marques car celui-ci se place au niveau du langage intermédiaire et n a donc pas accès au code natif à traduire. Nous avons donc étendu les fonctions de conservation de logs présentes dans Qemu afin de pouvoir conserver une trace exhaustive de l exécution de toutes les instructions. Afin de limiter l impact en terme de performance d un telle conservation, nous avons développé un système d automatisation du déclenchement des opérations de prise de log en fonction des évènements se produisant dans la machine virtuelle (arrivée/départ de trames, exécution de séquences d instructions natives particulières,...). Celui-ci permet par ailleurs l exécution de scripts dans le moniteur Qemu ainsi que sur la machine hôte. Cette interface entre la machine virtuelle et la machine hôte permet de synchroniser l'utilisation des outils de configuration d'outils de filtrage, de génération de trafic de test, de configuration des opérations de capture de trace et d'analyse de ces traces. Enfin nous avons modifié Qemu afin qu il conserve une valeur de compteur programme (pc) valide lors de l exécution de blocs (Dans Qemu, le pc est uniquement mis à jour en fin d exécution de bloc pour des raisons de performance). Au final, le système modifié fournit donc trois types de traces: Trace 1: la liste de toutes les instructions exécutées pendant un test. Trace 2: la position des instructions utilisant des données marquées et les marques associées. Trace 3: Les trames correspondant aux données marquées. Submitted to SAR-SSI

6 3.3 Analyse des traces obtenues Les modifications présentées dans la section précédente permettent d associer à chaque utilisation de donnée provenant d une trame, l instruction ayant utilisé cette donnée et le bloc de traduction associé. Cette correspondance nous permet de faire plusieurs types d opérations de simplification sur les informations présentées à l utilisateur. Ces opérations sont présentées Fig 1. Dans cette figure, les informations présentées à l'utilisateur à la fin de l'analyse sont indiquées en gris foncé alors que les outils réalisant les opérations de simplification sont présentés en gris clair. Ces opérations sont nécessaires car la quantité d instructions exécutées lors d un test même simple est assez importante. Ainsi lors de nos tests, pour une seule règle de filtrage et un seul paquet de test, le nombre d instructions exécutées entre la réception du paquet et sa réémission variait entre 1 et 2 millions. Même si une partie de ces instructions est due au ralentissement engendré par les mécanismes de log (exécution d'interruptions supplémentaires par exemple), il est nécessaire de distinguer ce qui provient du mécanisme de filtrage des autres fonctions mises en œuvre par le système dans lequel il se place. Un premier moyen de faire cette distinction est de limiter l analyse dans le temps en déclenchent les opérations de log lors d évènements particuliers. Dans notre cas l instrumentation des fonctions de réception et d émission des cartes réseau virtuelles permet de rendre cette fonction étant donné que les filtres agissent principalement lorsque du trafic est présent dans le système étudié. Le marquage des données est un second moyen qui nous permet de distinguer les instructions intéressantes. Le marquage par type utilise les traces 2 et 3 et permet de faire le lien entre les données contenues dans les trames reçues, la position de ces données dans les trames et le type des champs correspondants au travers d'un logiciel d'analyse réseau tel que tshark [tshark]. Celui-ci produit une description au format PDML (Packet Details Markup Language) [Bal05] associant à chaque champ de chaque paquet son type (protocole, sémantique du champ) et sa valeur. Cette description peut être par la suite utilisée par un utilisateur afin de limiter la présentation des fonctions et instructions exécutées en fonction du type de donnée qu'il pense être utilisé par la configuration de filtrage. Cependant un grand nombre de fonctions manipulent les données réseau. Par exemple, en environnement x86, les entrées-sorties dans Qemu se font en utilisant les instructions in et out. Dans le cas de données provenant du réseau, ces instructions manipulent donc toutes les données. La simplification réalisée par le marquage devrait donc être complété par d autres types de simplification se basant par exemple sur le type d instructions. Argos/ Qemu Instructions Marques Données tshark Analyseur PDML instructions par champs utilisés graphe d'appel Filtre graphes antérieurs synthèse protocoles/ champs utilisés graphes coloriés Fig 1. Opérations réalisées à partir des traces. 6 Submitted to SAR-SSI 2008

7 Un autre moyen de réduire l information présentée à l utilisateur est d utiliser les différences entre traces provenant de tests différents afin d isoler de nouvelles instructions ou fonctions. Afin de réaliser cette opération nous construisons lors de chaque test un graphe d appel. Les blocs d instructions sont assemblés en fonction des instructions de contrôle de flux qui les terminent de telle sorte à représenter les appels de fonctions pouvant exister dans le code natif original. Chaque instruction de contrôle de flux est analysée de telle sorte à déterminer les transitions possibles entre le bloc courant et les blocs suivants. Il est à noter que certaines instructions ne permettent pas de déterminer la transition à réaliser à partir d une trace d instruction seule (e.g. appel du contenu d un espace mémoire). Dans ce cas nous estimons le saut le plus probable en fonction des blocs apparaissant par la suite. La construction du graphe d appel par le fait qu elle se base sur une trace d exécution peut ne pas être complète. Cependant en choisissant de manière appropriée les configurations de filtrage testées, il est possible de construire des graphes croissants de manière incrémentale. Il est alors possible de calculer les recouvrements entre graphes et d extraire les fonctions non représentées dans le graphe original. 4 Résultats préliminaires Dans cette partie nous décrivons un ensemble de tests réalisés sur l outil de filtrage IPfilter [ipf] sous FreeBSD 6.3. Nous montrons comment les outils présentés dans la section précédente permettent de fournir à l utilisateur une vision assez synthétique du processus de filtrage. Nous utilisons IPfilter car il est à la fois assez complexe (le code source du filtre seul sans les outils de configuration comprend environ lignes de code) et son code source est disponible ce qui nous permet de vérifier les informations fournies par nos outils. 4.1 Architecture de test Lors des tests nous utilisons deux machines virtuelles communiquant au travers d un VLAN fourni par Qemu. Afin de synchroniser les opérations de configuration et de test entre les deux systèmes sans utiliser les fonctions réseau nous utilisons deux disques virtuels partagés entre les deux machines. L utilisateur du système possède un écran de configuration qui permet de saisir une série de test à réaliser. Chacun est constitué des opérations de configuration du filtre, des commandes permettant de tester le fonctionnement de celui-ci et d'une indication que le résultat du test en question peut être utilisé comme base de comparaison avec les tests suivants pour la construction des graphes. Une fois les tests sélectionnés, la configuration du filtre est réalisée et les commandes de génération de trafic exécutées automatiquement. A la réception de trafic, la carte réseau virtuelle du système de filtrage déclenche un évènement qui met en route les fonctions de log et à l émission de celui-ci déclenche un autre évènement qui arrête les fonctions de log et exécute un script sur la machine hôte qui analyse les logs obtenus en utilisant les mécanismes décrits dans la section précédente. Pour chaque type de champ présent dans le trafic généré, une vue de la trace d exécution est crée qui présente les instructions assembleur utilisées, la fonction auquel appartient le bloc ainsi que les caractéristiques du champ marqué (paquet, sémantique, provenance). L utilisateur du système peut par la suite consulter ces vues en fonction du type de champ qu il pense être affecté par la configuration de filtrage. En dehors des analyses présentées ci-dessus, le script produit une description graphique des résultats au format GL (Graph Exchange Language) [Win01]. Ce graphe peut par la suite être visualisé après transformation au travers d un outil tel que Graphviz [Graphviz]. A l heure actuelle l exécution d un test prend environ 20 secondes. Submitted to SAR-SSI

8 4.2 Exemple de résultats Notre outil fournit une vision synthétique des champs utilisés dans le processus de filtrage. La Fig 2 fournit ainsi la liste des champs manipulés par IPfilter lors de l utilisation de la configuration suivante. Celle-ci autorise un paquet ICMP de type echo et provenant de l interface ed0 à traverser le filtre en provenance de n importe quelle adresse source vers n importe quelle destination. pass in quick on ed0 proto icmp from any to any icmp-type echo La sémantique des champs est obtenue à partir de la description PDML fournie par tshark alors que l'utilisation est calculée à partir de la trace contenant les marques. Il est intéressant de noter que le champ IP checksum n est pas utilisé par IPfilter dans notre installation. Les adresses IP sont vérifiées bien que la règle ne spécifie pas de condition à leur sujet. Le champ ICMP ident semble être utilisé. Cependant une vérification rapide du code obtenu montre que ce champ est copié en mémoire mais n est pas utilisé pas la suite dans le processus de filtrage. Field Used eth.dst eth.src eth.type ip.version ip.hdr_len ip.dsfield ip.len ip.id ip.flags ip.frag_offset ip.ttl ip.proto ip.checksum ip.src ip.dst icmp.type icmp.code icmp.checksum icmp.ident icmp.seq data Fig 2. Graphe d appel présentant l exécution du traitement d un paquet. La Fig 3 présente un exemple de graphe d appel de fonctions obtenu au travers de notre outil lors de l utilisation d IPfilter pour la configuration précédente. Chaque cercle représente une fonction utilisée lors du test. Les arcs entre cercles représentent les appels de fonction. Lorsque plusieurs arcs existent entre deux cercles, ils indiquent que plusieurs appels ont été réalisés à partir de positions différentes dans la fonction d'origine. La couleur associée à chaque fonction est calculée automatiquement de la manière suivante. Parmi ces cercles, les cercles orange indiquent les fonctions provenant de l utilisation d IPfilter. Ceux-ci sont obtenus en calculant la différence entre le graphe d exécution lorsqu'ipfilter est désactivé et celui lorsque la commande présentée ci-dessus est configurée. Les cercles verts représentent 8 Submitted to SAR-SSI 2008

9 Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc _ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc_ Proc _ Proc _ Proc _ Proc_ Proc _ Proc_ Proc_ Proc_ Proc _ Proc _ Proc _ Proc _ Proc _ Proc _ Proc _ Proc _ Proc _ Proc _ Proc _ Proc _ Proc _ Proc _ Proc _ Proc _ Proc _ Proc _ Proc _ Proc _ Proc _ Proc _ Proc _ Proc _ Proc _ Proc _ parmi ces fonctions, les fonctions manipulant le champ type ICMP dans le paquet IP traité par le filtre. Ceux-ci sont obtenus au moyen des informations de marquage fournies par notre version modifiée d Argos. Après vérification du code source du filtre les procédures indiquées (représentées dans le graphe par leur adresse) sont bien les seules dans IPfilter à manipuler ce champ. Fig 3. Graphe d appel présentant l exécution du traitement d un paquet. La Fig 4 présente un exemple de vue telle qu elle est fournie à l utilisateur lorsqu il désire obtenir les informations associées à un champ particulier. Notre exemple représente les fonctions liées à la manipulation du champ Type ICMP pour la règle présentée ci-dessus. Elle indique que les instructions movzbl, cmp et ja utilisent le champ type ICMP du paquet 54 (0x0036). block[0xc043549a;0x00054d7f]={in: 0xc043549a mov 0x4(%edx),%ax 0xc043549e mov %ax,0x3e(%ebx) 0xc04354a2 movzbl (%edx),%eax from 0x02650e54 [0x0036 icmp.type] 0xc04354a5 cmp $0x12,%eax from 0x02650e54 [0x0036 icmp.type] 0xc04354a8 ja 0xc from 0x02650e54 [0x0036 icmp.type] } Fig 4. Trace présentée à l utilisateur. 4.3 Estimation de l importance des opérations de simplification Lors des tests nous nous sommes intéressés à deux aspects. Le premier concerne la justesse de la simplification présentée à l utilisateur. L autre concerne le nombre d instructions présentées à l utilisateur en fonction des techniques de simplification utilisées. Le tableau ci-dessous présente Submitted to SAR-SSI

10 plusieurs combinaisons. La simplification temporelle correspond au fait de ne conserver une trace que lorsque un paquet est présent à l intérieur du système de filtrage. Le marquage sans type considère toutes les instructions manipulant les données d un paquet. Le marquage avec type considère les instructions manipulant le type donné en tête de colonne. L'utilisation du graphe d'appel consiste à ne présenter que les instructions qui appartiennent à des fonctions qui ne sont pas présentes dans un graphe original (ici le graphe original est obtenu lors d'une exécution dans laquelle le module de filtrage n'est pas activé). Enfin la simplification par type d instruction supprime les instructions (utilisation de la pile, entrée/sorties,...) dont la présence n est pas indispensable à la compréhension du code assembleur. Type de simplification Instructions (Addr IP DST) Instructions (Type ICMP) Aucun Temporel Temporel, marquage sans type Temporel, marquage avec type Temporel, marquage, graphe d appel Temporel, marquage, graphe d appel, type d instruction Le tableau montre les résultats pour deux configurations de filtrage différentes. Vis à vis de traces brutes, les différentes techniques de simplification permettent d affiner considérablement la vision fournie à l utilisateur. 5 Conclusion Dans cet article nous avons montré comment au travers de processus d analyse automatique il était possible pour l utilisateur d un système de filtrage de simplifier la vision qu il pouvait obtenir vis-à-vis d une trace d exécution brute. Cette simplification n est pour le moment pas directement utilisable dans la mesure où elle permet principalement d indiquer à l utilisateur dans comment une configuration provoque un fonctionnement différent d une autre configuration de filtrage. Celui-ci a donc toujours besoin de comprendre la syntaxe des règles de configuration et au moins une partie de leur sémantique afin de construire un trafic de test approprié. Notre objectif est donc d utiliser comme base ces outils afin de pouvoir construire un modèle formel des opérations réalisées par un filtre à la manière de [Bru07] sans que celui-ci ne soit de taille trop importante. Une telle approche nous permettrait de construire de manière automatique des unités de données validant (ou ne validant pas) une configuration du pare-feu. Cependant en l état actuel notre outil permet déjà d améliorer la compréhension que l on peut avoir d un outil de filtrage sans se reposer sur la lecture de son code source. References [Pa07] Olivier Paul. There s nothing like a firewall. Présentation au Workshop IEEE Monam [Gu05] Saikat Guha et Paul Francis. Characterization and Measurement of TCP Traversal through NATs and Firewalls, Dans ACM Internet Measurement Conference, Submitted to SAR-SSI 2008

11 [Mut05] Darren Mutz, Christopher Kruegel,, William Robertson, Giovanni Vigna, et Richard Kemmerer. Reverse Engineering of Network Signatures. Dans Information Technology Security Conference (AusCERT). Mai [Senn05] Senn Diana, Basin David et Caronni Germano. Firewall Conformance Testing. Dans IFIP TestCom LNCS [Yin07] Heng Yin, Dawn Song, Manuel Egele, Christopher Kruegel, et Engin Kirda. Panorama: Capturing System-wide Information Flow for Malware Detection and Analysis. Dans ACM CCS [Cab07] Juan Caballero, Heng Yin, Zhenkai Liang, Dawn Song. Polyglot: Automatic Extraction of Protocol Message Format using Dynamic Binary Analysis. Dans ACM CCS [Bel05] F. Bellard. Qemu, a fast and portable dynamic translator. Dans USENI Annual Technical Conference, FREENI Track, [Por06] Georgios Portokalidis, Asia Slowinska et Herbert Bos. Argos: an Emulator for Fingerprinting Zero-Day Attacks ACM EuroSys [Bru07] David Brumley, Juan Caballero, Zhenkai Liang, James Newsome, Dawn Song. Towards Automatic Discovery of Deviations in Binary Implementations with Applications to Error Detection and Fingerprint Generation. Dans Usenix Security [ipf] IP Filter - TCP/IP Firewall/NAT Software. Disponible à coombs.anu.edu.au/~avalon/. [hping] Hping - Active Network Security Tool. Disponible à [CC] Common criteria Protection Profiles. Disponible à [Win01] A. Winter, B. Kullbach, V. Riediger. An Overview of the GL Graph Exchange Language. Software Visualization, International Seminar Dagstuhl Castle [Graphviz] Graphfiz, Graph Visualization Software. Disponible à [tshark] tshark, the wireshark network analyzer. Disponible à [Bal05] M. Baldi et F. Risso Using ML for Efficient and Modular Packet Processing. Dans IEEE Globecom Submitted to SAR-SSI

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1 Formation A2IMP Acquisition d information sur les autres Frédéric Bongat IPSL Formation A2IMP 1 Idée : corréler des informations via d autres Informations de base Connaître l horodatage (date, heure) des

Plus en détail

Haka : un langage orienté réseaux et sécurité

Haka : un langage orienté réseaux et sécurité Haka : un langage orienté réseaux et sécurité Kevin Denis, Paul Fariello, Pierre Sylvain Desse et Mehdi Talbi kdenis@arkoon.net pfariello@arkoon.net psdesse@arkoon.net mtalbi@arkoon.net Arkoon Network

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists).

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists). 1 LINUX FIREWALL Introduction Un firewall ou pare-feu est un des composants essentiel à la sécurité informatique d un réseau. Il va permettre d isoler une ou plusieurs machines ou réorienter les requêtes

Plus en détail

Les firewalls libres : netfilter, IP Filter et Packet Filter

Les firewalls libres : netfilter, IP Filter et Packet Filter Les firewalls libres : netfilter, IP Filter et Packet Filter Linux Expo Paris 1er Février 2002 Jean-Baptiste Marchand Jean-Baptiste.Marchand@hsc.fr Hervé Schauer Consultants Firewalls libres : netfilter,

Plus en détail

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne. Sécurité avancée des réseaux Filtrage des paquets IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.fr Outline Pare-feu & Filtre de Confiance Filtrage de paquets Pare-feu

Plus en détail

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr M1 Informatique Réseaux Filtrage Bureau S3-203 mailto://alexis.lechervy@unicaen.fr Sécurité - introduction Au départ, très peu de sécurité dans les accès réseaux (mots de passe, voyageant en clair) Avec

Plus en détail

Outils de Sécurité Réseau

Outils de Sécurité Réseau Outils de Sécurité Réseau SNORT Système de détection d intrusion CR150 - TP#1 Nom & Prénom : KHALID MOKRINI Matricule d étudiant : 1566527 Date : 11.02.2015 1) Présentation Générale des IDS 2) SNORT -

Plus en détail

Réseaux locaux virtuels : VLAN

Réseaux locaux virtuels : VLAN Réseaux locaux virtuels : VLAN I. Historique Les premiers réseaux Ethernet (on se situe donc en couche 2) étaient conçus à base de câbles coaxiaux raccordés entre eux et connectés aux ordinateurs, si bien

Plus en détail

PPE 4. Firewall KOS INFO. Groupe 1: Alexis, David et Lawrence 19/02/2014

PPE 4. Firewall KOS INFO. Groupe 1: Alexis, David et Lawrence 19/02/2014 KOS INFO PPE 4 Firewall Groupe 1: Alexis, David et Lawrence 19/02/2014 KOS info à pour mission d'établir des mécanismes de sécurité afin de protéger le réseau de M2L. Ce projet s'appuiera sur le logiciel

Plus en détail

Sécurité des réseaux Firewalls

Sécurité des réseaux Firewalls Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et

Plus en détail

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES SECURITE - IPTABLES Conception d'une zone démilitarisée (DeMilitarized Zone: DMZ) Veuillez indiquer les informations suivantes : Binômes Nom Station ou PC D. Essayed-Messaoudi Page 1 sur 9 TP 4 : Sécurité

Plus en détail

TP 1 - Prise de contact avec Snort, scapy

TP 1 - Prise de contact avec Snort, scapy TP 1 - Prise de contact avec Snort, scapy 0. Initialisation du TP Installer les paquets python-scapy, snort, nmap. 1. Présentation de SNORT v2.8.5 La détection d intrusion consiste en un ensemble de techniques

Plus en détail

Travaux Pratiques n 1 Principes et Normes des réseaux.

Travaux Pratiques n 1 Principes et Normes des réseaux. Travaux Pratiques n 1 Principes et Normes des réseaux. Objectifs Connaitre le matériel de base (switch, hub et routeur) Savoir configurer une machine windows et linux en statique et dynamique. Connaitre

Plus en détail

Définition Principes de fonctionnement Application à iptables 1/25

Définition Principes de fonctionnement Application à iptables 1/25 Les pare-feux Définition Principes de fonctionnement Application à iptables 1/25 Définition Un pare-feu est un logiciel qui : Analyse les trames qu'il reçoit et prend une décision en fonction des adresses

Plus en détail

10 tâches d administration simplifiées grâce à Windows Server 2008 R2. 1. Migration des systèmes virtuels sans interruption de service

10 tâches d administration simplifiées grâce à Windows Server 2008 R2. 1. Migration des systèmes virtuels sans interruption de service 10 tâches d administration simplifiées grâce à Windows Server 2008 R2 Faire plus avec moins. C est l obsession depuis plusieurs années de tous les administrateurs de serveurs mais cette quête prend encore

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - Cours de sécurité Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - 1 Plan pare-feux Introduction Filtrage des paquets et des segments Conclusion Bibliographie 2 Pare-Feux Introduction

Plus en détail

LES OUTILS D ALIMENTATION DU REFERENTIEL DE DB-MAIN

LES OUTILS D ALIMENTATION DU REFERENTIEL DE DB-MAIN LES OUTILS D ALIMENTATION DU REFERENTIEL DE DB-MAIN Les contenues de ce document sont la propriété exclusive de la société REVER. Ils ne sont transmis qu à titre d information et ne peuvent en aucun cas

Plus en détail

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public.

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. TP 8.1 ÉTUDE D UN FIREWALL OBJECTIFS Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. PRÉ-REQUIS Système d exploitation

Plus en détail

Mécanismes de sécurité des systèmes. 10 e cours Louis Salvail

Mécanismes de sécurité des systèmes. 10 e cours Louis Salvail Mécanismes de sécurité des systèmes 10 e cours Louis Salvail Objectifs Objectifs La sécurité des réseaux permet que les communications d un système à un autre soient sûres. Objectifs La sécurité des réseaux

Plus en détail

TP4 : Firewall IPTABLES

TP4 : Firewall IPTABLES Module Sécurité TP4 : Firewall IPTABLES Ala Rezmerita François Lesueur Le TP donnera lieu à la rédaction d un petit fichier texte contenant votre nom, les réponses aux questions ainsi que d éventuels résultats

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark Wireshark est un programme informatique libre de droit, qui permet de capturer et d analyser les trames d information qui transitent

Plus en détail

Infocus < http://www.securityfocus.com/infocus/1796 >

Infocus < http://www.securityfocus.com/infocus/1796 > Infocus < http://www.securityfocus.com/infocus/1796 > Detecting Worms and Abnormal Activities with NetFlow, Part 1 by Yiming Gong last updated August 16, 2004 Détection de Vers et d Activités Anormales

Plus en détail

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM Copyright TECH 2012 Technext - 8, avenue Saint Jean - 06400 CANNES Société - TECHNEXT France - Tel : (+ 33) 6 09 87 62 92 - Fax :

Plus en détail

CONFIGURATION FIREWALL

CONFIGURATION FIREWALL Diffusion : Libre Expert en Réseaux & Télécoms Restreinte Interne CONFIGURATION FIREWALL Version : 2.0 Date : 29/08/2009 RESIX - 8, rue germain Soufflot - Immeuble le sésame - 78180 Montigny le Bretonneux

Plus en détail

TAGREROUT Seyf Allah TMRIM

TAGREROUT Seyf Allah TMRIM TAGREROUT Seyf Allah TMRIM Projet Isa server 2006 Installation et configuration d Isa d server 2006 : Installation d Isa Isa server 2006 Activation des Pings Ping NAT Redirection DNS Proxy (cache, visualisation

Plus en détail

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014 École Supérieure d Économie Électronique Chap 9: Composants et systèmes de sécurité 1 Rhouma Rhouma 21 Juillet 2014 2 tagging et port trunk Création des via les commandes sur switch cisco 1 / 48 2 / 48

Plus en détail

Sécurité et Firewall

Sécurité et Firewall TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN. 1 But TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN. 2 Les VLAN 2.1 Définition Un VLAN (Virtual Local

Plus en détail

Projet : PcAnywhere et Le contrôle à distance.

Projet : PcAnywhere et Le contrôle à distance. Projet : PcAnywhere et Le contrôle à distance. PAGE : 1 SOMMAIRE I)Introduction 3 II) Qu'est ce que le contrôle distant? 4 A.Définition... 4 B. Caractéristiques.4 III) A quoi sert le contrôle distant?.5

Plus en détail

White Paper - Livre Blanc

White Paper - Livre Blanc White Paper - Livre Blanc Développement d applications de supervision des systèmes d information Avec LoriotPro Vous disposez d un environnement informatique hétérogène et vous souhaitez à partir d une

Plus en détail

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2011/14 Fonctionnalités

Plus en détail

Modélisation Principe Autre principe

Modélisation Principe Autre principe Modélisation Principe : un modèle est une abstraction permettant de mieux comprendre un objet complexe (bâtiment, économie, atmosphère, cellule, logiciel, ). Autre principe : un petit dessin vaut mieux

Plus en détail

Traduction binaire dynamique de l extension SIMD

Traduction binaire dynamique de l extension SIMD Traduction binaire dynamique de l extension SIMD Néon de l ARMv7 dans Qemu Travaux d études et de recherches Ensimag - Tima SLS 25 mai 2010 Table des matières 1 Introduction 2 Tiny code generator Les helpers

Plus en détail

Institut Supérieure Aux Etudes Technologiques De Nabeul. Département Informatique

Institut Supérieure Aux Etudes Technologiques De Nabeul. Département Informatique Institut Supérieure Aux Etudes Technologiques De Nabeul Département Informatique Support de Programmation Java Préparé par Mlle Imene Sghaier 2006-2007 Chapitre 1 Introduction au langage de programmation

Plus en détail

Bibliographie. Gestion des risques

Bibliographie. Gestion des risques Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes

Plus en détail

FORMATION CN01a CITRIX NETSCALER

FORMATION CN01a CITRIX NETSCALER FORMATION CN01a CITRIX NETSCALER Contenu de la formation CN01a CITRIX NETSCALER Page 1 sur 6 I. Généralités 1. Objectifs de cours Installation, configuration et administration des appliances réseaux NetScaler

Plus en détail

SECURIDAY 2012 Pro Edition

SECURIDAY 2012 Pro Edition SECURINETS CLUB DE LA SECURITE INFORMATIQUE INSAT SECURIDAY 2012 Pro Edition [Application de notification en cas d incident] Roua TOUIHRI (RT3) Nesrine DRIWECH (RT3) Amira ABID(GL3) Chef Atelier : Aymen

Plus en détail

QUELQUES CONCEPTS INTRODUCTIFS

QUELQUES CONCEPTS INTRODUCTIFS ESIEE Unité d'informatique IN101 Albin Morelle (et Denis Bureau) QUELQUES CONCEPTS INTRODUCTIFS 1- ARCHITECTURE ET FONCTIONNEMENT D UN ORDINATEUR Processeur Mémoire centrale Clavier Unité d échange BUS

Plus en détail

La Gestion des Applications la plus efficace du marché

La Gestion des Applications la plus efficace du marché La Gestion des Applications la plus efficace du marché Contexte La multiplication des applications web professionnelles et non-professionnelles représente un vrai challenge actuellement pour les responsables

Plus en détail

Le service FTP. M.BOUABID, 04-2015 Page 1 sur 5

Le service FTP. M.BOUABID, 04-2015 Page 1 sur 5 Le service FTP 1) Présentation du protocole FTP Le File Transfer Protocol (protocole de transfert de fichiers), ou FTP, est un protocole de communication destiné à l échange informatique de fichiers sur

Plus en détail

Atelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3)

Atelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3) Atelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3) Table des matières 1. Présentation de l atelier... 2 2. Présentation des outils utilisés... 2 a. GNS3

Plus en détail

Formula Negator, Outil de négation de formule.

Formula Negator, Outil de négation de formule. Formula Negator, Outil de négation de formule. Aymerick Savary 1,2, Mathieu Lassale 1,2, Jean-Louis Lanet 1 et Marc Frappier 2 1 Université de Limoges 2 Université de Sherbrooke Résumé. Cet article présente

Plus en détail

Chapitre I : le langage UML et le processus unifié

Chapitre I : le langage UML et le processus unifié I. Introduction Les méthodes d analyse orientées objet sont initialement issues des milieux industriels. La préoccupation dominante de leurs auteurs est le génie logiciel, c est-àdire les principes et

Plus en détail

1. Accès au bureau à distance dans le réseau local

1. Accès au bureau à distance dans le réseau local LP CHATEAU BLANC 45 CHALETTE/LOING BAC PRO SEN TR THÈME : ACCES AU BUREAU A DISTANCE TP N 1 Compétences : C1-1 ; C3-3 ; C3-4 ; C5-7 Ressources : INTERNET LE SUJET DU TP ACADÉMIE D ORLÉANS-TOURS NOM : CI

Plus en détail

Notions de sécurités en informatique

Notions de sécurités en informatique Notions de sécurités en informatique Bonjour à tous, voici un article, vous proposant les bases de la sécurité informatique. La sécurité informatique : Vaste sujet, car en matière de sécurité informatique

Plus en détail

Cours 1 : La compilation

Cours 1 : La compilation /38 Interprétation des programmes Cours 1 : La compilation Yann Régis-Gianas yrg@pps.univ-paris-diderot.fr PPS - Université Denis Diderot Paris 7 2/38 Qu est-ce que la compilation? Vous avez tous déjà

Plus en détail

Machines virtuelles Cours 1 : Introduction

Machines virtuelles Cours 1 : Introduction Machines virtuelles Cours 1 : Introduction Pierre Letouzey 1 pierre.letouzey@inria.fr PPS - Université Denis Diderot Paris 7 janvier 2012 1. Merci à Y. Régis-Gianas pour les transparents Qu est-ce qu une

Plus en détail

Menaces et sécurité préventive

Menaces et sécurité préventive HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Menaces et sécurité préventive Matinales Sécurité Informatique 18

Plus en détail

Question n 1 : Sur le routeur, vérifier les débits de l interface Fa0/1 avec la commande suivante :

Question n 1 : Sur le routeur, vérifier les débits de l interface Fa0/1 avec la commande suivante : TP QoS 1. Dispositif du Labo 2. Premier exemple : cas où la QoS n est pas activée Vérifions la connectivité avec le serveur FTP depuis le poste G1 : Puis on ouvre une session FTP : Idem avec H1. On télécharge

Plus en détail

Architecture Logicielle

Architecture Logicielle Architecture Logicielle Chapitre 3: UML pour la description et la documentation d une architecture logicielle Année universitaire 2013/2014 Semestre 1 Rappel L architecture d un programme ou d un système

Plus en détail

A propos de la sécurité des environnements virtuels

A propos de la sécurité des environnements virtuels A propos de la sécurité des environnements virtuels Serge RICHARD - CISSP (IBM Security Systems) serge.richard@fr.ibm.com La virtualisation, de quoi parlons nous «Virtualiser» un objet informatique, ou

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant RÉSEAUX INFORMATIQUES

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant RÉSEAUX INFORMATIQUES RÉSEAUX INFORMATIQUES Page:1/13 Objectifs de l activité pratique : Réseau Ethernet : - câblage point à point, test d écho ; commandes «mii-tool» et «linkloop» Commutation Ethernet : - câblage d un commutateur

Plus en détail

Lisez l exposé. Quelles affirmations décrivent la conception du réseau représenté dans le schéma? (Choisissez trois réponses.)

Lisez l exposé. Quelles affirmations décrivent la conception du réseau représenté dans le schéma? (Choisissez trois réponses.) Lisez l exposé. Quelles affirmations décrivent la conception du réseau représenté dans le schéma? (Choisissez trois réponses.) Cette conception n évoluera pas facilement. Le nombre maximal de VLAN pouvant

Plus en détail

Payment Card Industry (PCI) Normes en matière de sécurité des données

Payment Card Industry (PCI) Normes en matière de sécurité des données Payment Card Industry (PCI) Normes en matière de sécurité des données Procédures de balayage de sécurité Version 1.1 Date de publication : septembre 2006 Table des matières Niveau 5... 6 Niveau 4... 6

Plus en détail

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier Plan Internet - Outils Nicolas Delestre 1 DHCP 2 Firewall 3 Translation d adresse et de port 4 Les proxys 5 DMZ 6 VLAN À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier 7 Wake On Line

Plus en détail

ERESI : une plate-forme d'analyse binaire au niveau noyau. The ERESI team http://www.eresi-project.org

ERESI : une plate-forme d'analyse binaire au niveau noyau. The ERESI team http://www.eresi-project.org ERESI : une plate-forme d'analyse binaire au niveau noyau The ERESI team http://www.eresi-project.org ERESI: quelques rappels 7 années de développement Plusieurs contributeurs 5 logiciels, 14 bibliothèques

Plus en détail

Rapport de certification 2001/24

Rapport de certification 2001/24 PREMIER MINISTRE Secrétariat général de la Défense nationale Direction centrale de la sécurité des systèmes d information Schéma Français d Évaluation et de Certification de la Sécurité des Technologies

Plus en détail

Description du datagramme IP :

Description du datagramme IP : Université KASDI MERBAH OUARGLA Faculté des Nouvelles Technologies de l information et de la Communication Département Informatique et Technologies de les Information 1 er Année Master académique informatique

Plus en détail

TP 3 Réseaux : Subnetting IP et Firewall

TP 3 Réseaux : Subnetting IP et Firewall TP 3 Réseaux : Subnetting IP et Firewall Durée approximative du temps à passer sur chaque partie: I) 1h II-A) 1h II-B) 1h II-C) 45 mn II-D) 15 mn Important Il est nécessaire de ne pas avoir de services

Plus en détail

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN. UFC CENTRE DE BAB EZZOUAR EXEMPLES DE SUJETS POUR LE PROJET DE FIN D ETUDE OPSIE PROPOSES PAR M. NACEF (ENSEIGNANT) Sujet 1 : Management des risques par la méthode MEHARI. Type : étude, audit. MEHARI est

Plus en détail

Descriptif de scénario Infection virale Analyse de capture réseau

Descriptif de scénario Infection virale Analyse de capture réseau Descriptif de scénario Infection virale Analyse de capture réseau Type de scénario : Analyse post incident Introduction : Suite à une attaque ou une infection virale, il est très souvent nécessaire d utiliser

Plus en détail

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables Firewall, Virus, Spam Administration Système et Réseaux, Sécurité Firewall, Spam, Virus Philippe Harrand Firewall Généralités Définitions Mise en oeuvre iptables 1 Departement Informatique Pôle Sciences

Plus en détail

Migration vers l'open-source de l infrastructure de pare-feu du campus CNRS d Orléans

Migration vers l'open-source de l infrastructure de pare-feu du campus CNRS d Orléans Migration vers l'open-source de l infrastructure de pare-feu du campus CNRS d Orléans PLAN Contexte Conduite du projet La solution mise en place Retour d expérience Perspectives / Conclusions Le campus

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

TP Wireshark. Première approche de Wireshark. 1 ) Lancer Wireshark (double clic sur l icône sur le bureau). La fenêtre

TP Wireshark. Première approche de Wireshark. 1 ) Lancer Wireshark (double clic sur l icône sur le bureau). La fenêtre TP Wireshark Wireshark est un analyseur de protocole réseau. Il permet de visualiser et de capturer les trames, les paquets de différents protocoles réseau, filaire ou pas. Le site originel est à http://www.wireshark.org/.

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

modélisation solide et dessin technique

modélisation solide et dessin technique CHAPITRE 1 modélisation solide et dessin technique Les sciences graphiques regroupent un ensemble de techniques graphiques utilisées quotidiennement par les ingénieurs pour exprimer des idées, concevoir

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Memory Arrays avec Memory Gateways Version 5.5.2 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien

Plus en détail

Chapitre X : Réseaux virtuels (VLAN)

Chapitre X : Réseaux virtuels (VLAN) Chapitre X : Réseaux virtuels (VLAN) Eric Leclercq & Marinette Savonnet Département IEM http://ufrsciencestech.u-bourgogne.fr http://ludique.u-bourgogne.fr/~leclercq 8 avril 2011 1 Principes Problématique

Plus en détail

TP Réseaux. Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ)

TP Réseaux. Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ) TP Réseaux Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ) Préambule Nous devons concevoir une zone démilitarisée, c'est à dire une configuration réseau qui permet d'isoler un ensemble de

Plus en détail

IPFIX (Internet Protocol Information export)

IPFIX (Internet Protocol Information export) IPFIX (Internet Protocol Information export) gt-metro, réunion du 20/11/06 Lionel.David@rap.prd.fr 20-11-2006 gt-metro: IPFIX 1 Plan Définition d IPFIX Le groupe de travail IPFIX Les protocoles candidats

Plus en détail

* Un flux TCP/UDP est une communication (plusieurs sessions TCP ou UDP) entre deux machines IP pendant un intervalle de

* Un flux TCP/UDP est une communication (plusieurs sessions TCP ou UDP) entre deux machines IP pendant un intervalle de Plateforme de Surveillance réseau et sécurité Solution SecurActive NSS SecurActive NSS est une plateforme de surveillance réseau et sécurité basée sur un moteur d analyse innovant. SecurActive NSS capture

Plus en détail

Appliance Check Point 2200

Appliance Check Point 2200 Fiche produit : Appliance Check Point 2200 2200 Solution pour petites entreprises et succursales Sécurité de haut niveau au format desktop Appliance Check Point 2200 Les passerelles Internet sont aujourd'hui

Plus en détail

m0n0wall Présentation pour le groupe SUR (Sécurité Unix et Réseaux) de l'ossir Maxime Brémond et Guy Widloecher

m0n0wall Présentation pour le groupe SUR (Sécurité Unix et Réseaux) de l'ossir Maxime Brémond et Guy Widloecher m0n0wall Présentation pour le groupe SUR (Sécurité Unix et Réseaux) de l'ossir Maxime Brémond et Guy Widloecher m0n0wall Un firewall en logiciel libre Retour d'expérience Un peu de vocabulaire m0n0wall

Plus en détail

Sensibilisation à la sécurité Les composants de vsphere. Edito. Cahier Technique Amosdec Q2 2010 Numéro 5

Sensibilisation à la sécurité Les composants de vsphere. Edito. Cahier Technique Amosdec Q2 2010 Numéro 5 Q2 2010 Numéro 5 Les composants de vsphere Edito 2010 marque une nouvelle étape dans l évolution du marché de la virtualisation : Virtualisation globale des serveurs et des infrastructures Virtualisation

Plus en détail

MISE EN PLACE DE LA PLATEFORME DE TESTS...

MISE EN PLACE DE LA PLATEFORME DE TESTS... SOMMAIRE : MISE EN PLACE DE LA PLATEFORME DE TESTS...2 INTRODUCTION...2 LE CÂBLE DE BOUCLE EXTERNE...2 CONFIGURATION DU POSTE INFORMATIQUE...3 Problème posé...3 Identification des éléments mis en cause...3

Plus en détail

Formations. «Produits & Applications»

Formations. «Produits & Applications» Formations «Produits & Applications» Nos formations Réf. PAP01 14 Heures ANTIVIRUS - McAfee : Endpoint Réf. PAP02 7 Heures ANTIVIRUS - ESET NOD32 Réf. PAP03 28 Heures FIREWALL - Check Point Réf. PAP04

Plus en détail

Sécurité Réseaux TP1

Sécurité Réseaux TP1 Sécurité Réseaux TP1 BONY Simon 22 mai 2012 1 P a g e Table des matières Introduction... 3 I. Préparation... 4 II. Routage Classique... 5 II.1 Mise en œuvre du routage classique... 5 II.2 Configuration

Plus en détail

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web Fiche technique: Sécurité des terminaux Protection éprouvée pour les terminaux, la messagerie et les environnements Web Présentation permet de créer un environnement (terminaux, messagerie et Web) protégé

Plus en détail

Retour d expérience sur Prelude

Retour d expérience sur Prelude Retour d expérience sur Prelude OSSIR Paris / Mathieu Mauger Consultant Sécurité (Mathieu.Mauger@intrinsec.com) Guillaume Lopes Consultant Sécurité (Guillaume.Lopes@Intrinsec.com) @Intrinsec_Secu 1 Plan

Plus en détail

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr Sécurité d IPv6 Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr 1 / 24 Sécurité d IPv6 Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr 2 / 24 Introduction IPv6 est la version d IP normalisée en 1995-1998 (RFC

Plus en détail

Vérification Formelle des Aspects de Cohérence d un Workflow net

Vérification Formelle des Aspects de Cohérence d un Workflow net Vérification Formelle des Aspects de Cohérence d un Workflow net Abdallah Missaoui Ecole Nationale d Ingénieurs de Tunis BP. 37 Le Belvédère, 1002 Tunis, Tunisia abdallah.missaoui@enit.rnu.tn Zohra Sbaï

Plus en détail

Solution A La Gestion Des Objets Java Pour Des Systèmes Embarqués

Solution A La Gestion Des Objets Java Pour Des Systèmes Embarqués International Journal of Engineering Research and Development e-issn: 2278-067X, p-issn: 2278-800X, www.ijerd.com Volume 7, Issue 5 (June 2013), PP.99-103 Solution A La Gestion Des Objets Java Pour Des

Plus en détail

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Filtrage IP MacOS X, Windows NT/2000/XP et Unix Filtrage IP MacOS X, Windows NT/2000/XP et Unix Cette présentation, élaborée dans le cadre de la formation SIARS, ne peut être utilisée ou modifiée qu avec le consentement de ses auteur(s). MacOS/NT/Unix

Plus en détail

Chapitre 1 Découvrir Windows Server 2008 13. Chapitre 2 Installation et configuration 25

Chapitre 1 Découvrir Windows Server 2008 13. Chapitre 2 Installation et configuration 25 Chapitre 1 Découvrir Windows Server 2008 13 1.1. Les fondations du système... 17 1.2. La virtualisation... 18 1.3. La sécurité... 21 1.4. Web... 23 1.5. Fonctionnalités disponibles dans Windows Server

Plus en détail

PROGRAMME DETAILLE. Parcours en première année en apprentissage. Travail personnel. 4 24 12 24 CC + ET réseaux

PROGRAMME DETAILLE. Parcours en première année en apprentissage. Travail personnel. 4 24 12 24 CC + ET réseaux PROGRAMME DETAILLE du Master IRS Parcours en première année en apprentissage Unités d Enseignement (UE) 1 er semestre ECTS Charge de travail de l'étudiant Travail personnel Modalités de contrôle des connaissances

Plus en détail

Administration réseau Introduction

Administration réseau Introduction Administration réseau Introduction A. Guermouche A. Guermouche Cours 1 : Introduction 1 Plan 1. Introduction Organisation Contenu 2. Quelques Rappels : Internet et le modèle TCP/ Visage de l Internet Le

Plus en détail

Introduction aux Systèmes Distribués. Introduction générale

Introduction aux Systèmes Distribués. Introduction générale Introduction aux Systèmes Distribués Licence Informatique 3 ème année Introduction générale Eric Cariou Université de Pau et des Pays de l'adour Département Informatique Eric.Cariou@univ-pau.fr 1 Plan

Plus en détail

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau. Firewall I- Définition Un firewall ou mur pare-feu est un équipement spécialisé dans la sécurité réseau. Il filtre les entrées et sorties d'un nœud réseau. Cet équipement travaille habituellement aux niveaux

Plus en détail

Dynamips - Un émulateur de routeur Cisco sur PC

Dynamips - Un émulateur de routeur Cisco sur PC Dynamips - Un émulateur de routeur Cisco sur PC Christophe Fillot Université de Technologie de Compiègne, Service Informatique rue Personne de Roberval, 60200 Compiègne Christophe.Fillot@utc.fr Jean-Marc

Plus en détail

Acquisition des données

Acquisition des données Chef De Projet Informatique en Environnement Territorial diffusion restreinte à l'enseignement CDP-UPMC Frédéric Bongat Formation CDP 1 Un système compromis implique: Une méthodologie afin de faire face

Plus en détail