RAPPORT DE STAGE DE FIN D ETUDES. Sujet

Dimension: px
Commencer à balayer dès la page:

Download "RAPPORT DE STAGE DE FIN D ETUDES. Sujet"

Transcription

1 Institut de la Francophonie pour l Informatique Ecole Nationale Supérieure des Télécommunications RAPPORT DE STAGE DE FIN D ETUDES Sujet - Etude et analyse des attaques et des signatures d'attaques - Etude bibliographique des parades au DoS et DDoS - Etude des HoneyPots - Intégration des HoneyPots dans une architecture globale de protection Etudiant : DOAN DUY Thieu Hoa, IFI Responsables : Ahmed SERHROUCHNI Paris, jenvier - juillet 2004

2 Sujet Etude et analyse des attaques et des signatures d'attaques Etude bibliographique des parades au DoS et DDoS Etude des HoneyPot Intégration des HoneyPot dans une architecture globale de protection 2

3 Table de matière Introduction... 5 Remerciements... 6 Partie 1 : Etude des attaques... 7 Déterminer des vulnérabilités...7 Le craquage par mot de passe...7 Le sniffing des mots de passe et des paquets...7 L'IP spoofing...9 Les scanners...10 Les chevaux de Troie...10 Les vers...11 Les trappes...11 Les bombes logiques...11 Le TCP-SYN flooding...12 Le Flood...13 Le Spamming...13 Les virus...13 L'ingénierie social...14 Partie 2 : Etude bibliographique des parades au DoS et DDoS DoS...15 Les attaques directes...15 Les attaques indirectes par rebond...16 Les attaques indirectes par réponse...16 Quelques parades de type DoS...17 Ping de la mort...17 TearDrop...18 DDoS...21 Mode opératoire...22 Les outils TFN (Tribal Flood Network) TFN2K Trin Stacheldraht...26 Mesures de protection...26 Partie 3 : Etude des HoneyPot Définition...29 Avantages...29 Inconvénients...30 Les types d'honeypot...30 Honeyd: Low-interaction honeypot Honeynet: High-interaction honeypot

4 Valeurs de Honeypot...33 Partie 4 : Intégration des HoneyPot dans une architecture globale de protection Installer Honeyd...35 Configuration Honeyd...37 Configurer un réseau virtuel simple...37 Configurer un réseau virtuel avec un routeur...38 Configurer un réseau virtuel relié aux machines réelles...39 Configurer un réseau virtuel complexe...40 Outils aide à créer fichier de configuration honeyd...41 Lancer Honeyd et analyser les données capturées...42 Lancer...43 Analyser les données capturées...43 Annexes Références

5 Introduction Ce document est un rapport du stage que j ai effectué du 1 er janvier 2004 au 30 juin 2004 dans le cadre de la scolarité 2003/2004 au Département Informatique et Réseau, ce stage est placé sous la direction de Monsieur le Professeur Ahmed Serhrouschni L objectif du projet était de : - Etude et analyse des attaques et des signatures d attaques - Etude bibliographique des parades au DoS et DDoS - Etude des HoneyPot - Intégration des HoneyPot dans une architecture globale de protection Ce stage s inscrit dans le cadre de mon stage de fin d étude pour valider mon diplôme de DEA à l Institut de la Francophonie pour l Informatique au Vietnam. Ce document présentera 4 parties principales correspondantes à l objectif du projet. 5

6 Remerciements Je tien tout d abord à remercier Monsieur le Professeur Ahmed Serhrouchni pour m avoir accueilli dans son projet et avoir encadré mon stage. Je remercie tout particulièrement Adil Andalousie pour tous ses conseils sur la signature électronique ainsi que le certificat électronique et le temps qu il m a consacré. Merci également à toutes les personnes dans mon bureau qui m a donné un environnement de travail très agréable. 6

7 Partie 1 : Etude des attaques Déterminer des vulnérabilités Cette opération consiste à déterminer le système d'exploitation, les services ouverts ainsi que leur version afin de pouvoir déterminer les éventuelles failles et les exploiter. Un des outils les populaire et les plus puissant est «nmap»'. Il permet entre autres le half-scan (sans établir de connexion) nmap -ss IP_du_serveur ou encore, le fingerprinting (détection d'os) nmap -ss -O IP_du_serveur Il y a des autres outils qui nous aident à déterminer les vulnérabilités dans un système. Par exemple, sous Windows, l outils SuperScan est connu et souvent utilisé par l attaquant. Dans la dernière partie, je l utilise pour collectionner les informations sur les machines virtuelles. Après avoir obtenu les informations nécessaires sur les OS ou services ouvertes, l attaquant va chercher les vulnérabilités et les méthodes d attaque correspondantes Le craquage par mot de passe La manière la plus classique par laquelle un hacker va essayer d'obtenir un mot de passe est l'attaque avec un dictionnaire. Dans ce genre d'attaque, le hacker utilise un dictionnaire de mots et de noms propres, et il les essaie un à un pour vérifier si le mot de passe est valide. Ces attaques se font avec des programmes qui peuvent deviner des milliers de mots de passe à la seconde, même quand ceux-ci sont ``hachés''. Ce procédé est d'autant plus facile qu'il lui permet de tester des variations sur les mots : mots écrits à l'envers, majuscules et minuscules, ajout de chiffres à la fin du mot. Le sniffing des mots de passe et des paquets Si un hacker ne peut pas deviner un mot de passe, il a d'autres outils pour l'obtenir. Une façon qui est devenue assez populaire est le sniffing. La plupart des réseaux utilisent la technologie de broadcast (comme Ethernet). En pratique, tous les ordinateurs sauf le destinataire du message vont s'apercevoir que le message 7

8 ne leur est pas destiné et vont donc l'ignorer. Mais par contre, beaucoup d'ordinateurs peuvent être programmés pour regarder chaque message qui traverse le réseau (mode promiscuité). Il existe des programmes qui utilisent ce procédé et qui capturent tous les messages qui circulent sur le réseau en repérant les mots de passe. Si quelqu'un se connecte à un ordinateur à travers un réseau en utilisant les protocoles insécurités (telnet, rlogin, ftp...), alors cette personne risque de perdre son mot de passe. C'est pourquoi il existe une menace sérieuse pour les personnes qui se connectent sur des ordinateurs distants, où les mots de passe apparaissent en clair dans la trame. Les programmes de sniffing les plus connus sont Esniff et TCPDump. Mais un sniffer peut tout aussi bien être bénéfique à l'administrateur réseau, puisqu'il permettrait de déceler avant les Hackers les failles de sécurité de son réseau. Ethereal v sous Linux permet de journaliser les événements définis par l'administrateur. Il est en outre compatible avec les journaux de LOG des routeurs Cisco (Cisco Secure IDS iplog files). Ethereal est téléchargeable à l'adresse suivante : Voici ci-dessous une liste d'autres sniffers disponibles dans le commerce Nom Adresse Description ATM Sniffer Network Décode plus de 250 protocoles Analyzer Shomiti Systems Century LAN Analyzer Supporte le standard Ethernet et fonctionne sous Windows 95/98 et NT PacketView de Klos Technologies ftp.klos.com/demo/pvdemo.zip Ce sniffer est basé sur DOS, idéal pour les environnements Ethernet Network Probe Fait une analyse d'environ 13 protocoles dont TCP/IP, Microsoft, NFS, Novell LANWatch Marche sous DOS, Windows 9x et NT EtherPeek Pour Windows et plates-formes Macintosh Ethload Sniffer qui permet de surveiller les gs/ethld104.zip sessions rlogin et telnet Linux sniffer Sniffer de mots de passe uniquement, en langage C La meilleure défense contre l'attaque de sniffers est l'utilisation d'un protocole de chiffrement comme SSL (Secure Socket Layer). 8

9 L'IP spoofing L'adresse IP d'un ordinateur est l'adresse qui est utilisée pour reconnaître un ordinateur sur internet. Un des principaux problèmes est qu'en utilisant le routage source d'ip, l'ordinateur du hacker peut se faire passer pour un ordinateur connu. Le routage source d'ip est une option qui peut être utilisée pour spécifier une route directe à une destination et renvoyer le chemin de retour à l'expéditeur. La route peut inclure l'utilisation d'autres routeurs ou de serveurs qui n'auraient normalement pas été utilisés pour faire suivre les paquets à la destination finale. Voici un exemple qui montre comment ceci peut être utilisé de façon à ce que l'ordinateur de l'intrus apparaisse comme étant l'ordinateur certifié par le serveur : L'agresseur change l'adresse IP de son ordinateur pour faire croire qu'il est un client certifié par le serveur, Il va ensuite construire une route source jusqu'au serveur qui spécifiera le chemin de retour direct que les paquets IP devront prendre pour aller au serveur et qu'ils devront prendre pour retourner à l'ordinateur de l'agresseur en utilisant le client certifié comme dernière étape dans la route vers le serveur, L agresseur envoie une requête client au serveur en utilisant la route source, Le serveur accepte la requête du client comme si elle provenait directement du client certifié et retourne une réponse au client, Le client, utilisant la route source, faire suivre le paquet à l'ordinateur de l'agresseur. Beaucoup de machines Unix acceptent les paquets de route source et les redirigent comme la route source l'indique. Beaucoup de routeurs acceptent également les paquets de route source bien que certains d'entre eux puissent être configurés pour bloquer ces paquets. Le routeur, pour des raisons de sécurité, ne devra pas accepter le routage source. Une autre manière encore plus simple pour spoofer un client est d'attendre que le système client ait éteint sa machine et de se faire passer ensuite pour ce dernier. Les entreprises utilisent souvent des PC et le protocole TCP/IP et NFS pour se connecter à des serveurs Unix et obtenir un accès aux répertoires et aux fichiers du serveur. Comme NFS utilise uniquement les adresses IP pour authentifier les clients, un intrus pourrait configurer un PC avec le même nom et la même adresse IP qu'un autre ordinateur, et alors essayer de lancer des connexions au serveur Unix comme s'il était le vrai client. Ceci est très simple à réaliser et ressemblerait à une attaque de l'intérieur. Le routeur devra 9

10 donc refuser les connexions d'une machine ayant la même adresse IP qu'une machine interne, mais se trouvant à l'extérieur du réseau local. Les s sont particulièrement sujets au spoofing car ils sont faciles à réaliser. Les courriers électroniques sans l'ajout d'une signature électronique ne peuvent pas être d'origine fiable. Il est facile par Telnet de se connecter directement au port SMTP du système (port 25). Le serveur recevant ces commandes fait confiance à cette personne si elle s'identifie. D'où le fait que le courrier électronique peut lui aussi être spoofé facilement en entrant une adresse d'expéditeur différente de l'adresse réelle. On peut donc sans aucun privilège falsifier ou spoofer le courrier électronique. D'autres services comme le DNS peuvent aussi être spoofés mais avec toutefois plus de difficultés que le courrier électronique. Ces services représentent une crainte qui mérite d'être considérée quand on les utilise. Le routeur pare-feu devra tenir régulièrement à jour ses fichiers LOG afin de contrôler toute tentative de piratage. De plus, ces fichiers LOG devront être sécurisés pour éviter toute modification malveillante. Les scanners Un scanner est un programme qui permet de savoir quels ports sont ouverts sur une machine donnée. Les Hackers utilisent les scanners pour savoir comment ils vont procéder pour attaquer une machine. Leur utilisation n'est heureusement pas seulement malsaine, car les scanners peuvent aussi permettre de prévenir une attaque. Le plus connu des scanners réseau est WS_Ping ProPack, que l'on peut trouver sur Les fichiers LOG générés par les scanners ne doivent pas être modifiables par un pirate. Les chevaux de Troie Un cheval de Troie est un programme qui se cache lui-même dans un autre programme apparemment au-dessus de tout soupçon. Quand la victime (l'utilisateur normal) lance ce programme, elle lance par là même le cheval de Troie caché. Actuellement, les chevaux de Troie les plus utilisés sont : Back Orifice 2000, Backdoor, Netbus, Subseven, Socket de Troie. La méthode la plus efficace pour se protéger de ces programmes néfastes est d'utiliser un bon antivirus comme Norton 2000 ou Network Associates. Des programmes spécifiques permettent également de scruter toute tentative de connexion sur les ports scrutés. Lockdown 2000 est le plus connu d'entre eux : une fois une tentative de connexion détectée, il fait un traceroute sur l'ip qui a tenté la connexion. La version 4 possède en bibliothèque 488 signatures de ``Troyans''. La machine Linux devra être équipée d'un antivirus permettant de repérer non seulement les 10

11 virus, mais également les chevaux de Troie. Les vers Un ver est un programme capable de se propager et de s'auto-reproduire sans l'utilisation d'un programme quelconque ni d'une action par une personne. Sur chaque ordinateur où il agit, le ver crée une nouvelle liste de machines distantes cibles. En parallèle, le ver : - essaie de trouver les mots de passe des comptes utilisateurs, - essaie d'entrer dans chaque machine cible en se faisant passer pour un utilisateur de la machine «attaquante»' (après avoir craqué le mot de passe utilisateur), et en utilisant un ancien bug dans le protocole finger, qui permet de savoir quels sont les usagers connectés sur une machine distante ou sur quelle machine est connecté un utilisateur donné. Les attaques de vers sont toutefois très rares parce que les serveurs sur l Internet sont de plus en plus performants (Windows NT Server ou Apache), mais c'est toujours une méthode utilisée par les hackers quand un nouveau bug est découvert dans un système d'exploitation. Les vers permettent aux agresseurs d'attaquer un maximum de sites en peu de temps. Le routeur pare-feu ne doit pas s'attarder à filtrer les vers: c'est la qualité du système d'exploitation qui doit permettre d'enrayer toute attaque de vers. Les trappes Une trappe est un point d'entrée dans un système informatique qui passe audessus des mesures de sécurité normales. C'est généralement un programme caché ou un composant électronique rendant le système de protection inefficace. De plus, la trappe est souvent activée par un événement ou une action normale (exemple : trappe dans les premières versions de Internet Explorer 5). Pareillement au type d'attaque précédent, les trappes sont des programmes qui ne peuvent pas être détectés au niveau IP, mais au niveau application (signature). C'est donc le rôle de l'antivirus et du système d'exploitation de détruire les trappes. Les bombes logiques Ce sont des dispositifs programmés dont le déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe quel appel au système. Les bombes logiques doivent être repérées au niveau applicatif, par un antivirus performant. 11

12 Le TCP-SYN flooding Quand un client essaie d'établir une connexion TCP sur un serveur, le client et le serveur échangent une séquence de messages. Cette connexion technique s'applique à toutes les connexions TCP/IP (Telnet, web, s...). Le système client commence par envoyer un message SYN (pour synchronisation) au serveur. Le serveur renvoie alors un accusé de réception du SYN : SYN-ACK au client. Le client finit alors par établir la connexion en répondant par un ACK. La connexion (au niveau 4 du modèle OSI) entre le client et le serveur est donc ouverte et le service d'échange de données peut s'exécuter. La faille vient du fait qu'au moment où le serveur a renvoyé un accusé de réception du SYN (SYN- ACK), le serveur mais n'a pas encore reçu le ACK du client. C'est alors une connexion dite semiouverte. Le serveur construit dans sa mémoire système une structure de données décrivant toutes les connexions courantes. Cette structure de données est de taille finie, ce qui veut dire qu'il peut se créer un dépassement de capacité (overflow) en créant intentionnellement trop de connexions partiellement ouvertes. Le fait de créer ces semi-connexions sans se faire repérer est facilement réalisable avec l'ip spoofing. L'ordinateur de l'agresseur envoie des messages SYN au serveur victime; ceux-ci paraissent provenir d'un ordinateur bien défini mais font référence à un système client qui n'est pas capable de répondre au message SYN-ACK. Ce qui veut dire que le message ACK final ne sera jamais envoyé au serveur victime. Ces semi-connexions dans la structure de données du serveur victime vont éventuellement créer un débordement dans cette structure et le serveur sera incapable d'accepter d'autres connexions tant que la table ne sera pas vidée. Normalement, il y a un système de time-out associé à chaque connexion ouverte, donc les semi-connexions devraient expirer et le serveur victime récupérer de la place libre dans sa mémoire pour d'autres connexions. Toutefois, le système agresseur peut simplement continuer à envoyer des paquets dont l'ip est spoofée plus vite que le serveur victime puisse expirer les semi-connexions. Dans la plupart des cas, la victime d'une telle attaque aura des difficultés à accepter toute nouvelle connexion. Dans ces cas, l'attaque n'affectera pas les connexions déjà existantes ou la capacité à créer des connexions de l'intérieur vers l'extérieur. Par contre, dans certains cas, le serveur aura épuisé toutes ses ressources mémoires, et pourra ``planter'' et donc être rendu inopérant. La localisation de l'attaque est très souvent obscure parce que les adresses IP des paquets SYN envoyés sont rarement plausibles. Quand le paquet arrive au serveur victime, il n'y a aucun moyen de déterminer sa véritable source. Comme l Internet fait suivre les paquets sur une adresse de destination, le seul moyen de valider la source d'un paquet est 12

13 d'utiliser le filtrage. Avec la technologie actuelle du protocole IP, il est impossible d'éliminer tous les paquets spoofés. Mais il existe quelques solutions pour réduire le nombre de paquets spoofés et sortant du réseau. Le routeur devra limiter les entrées à l'interface externe, en n'accordant pas le droit d'entrée à un paquet qui a une adresse source du réseau interne. Il peut aussi être bon de filtrer les paquets sortants qui ont une adresse source différente du réseau interne afin de prévenir une attaque d'ip spoofing provenant du réseau interne. La combinaison de ces deux types de filtrage doit empêcher les agresseurs extérieurs d'envoyer des paquets prétendant provenir du réseau interne. Cela doit également empêcher les paquets provenant du réseau interne de prétendre venir de l'extérieur du réseau. L'IP spoofing et le SYN-flooding sont actuellement les deux principaux problèmes de la sécurité sur Internet. Le Flood Le Flood consiste à envoyer très rapidement de gros paquets d'informations à la machine routeur (à condition d'avoir un PING très court, comme c'est le cas pour un RLE), ce qui risque de faire ``planter'' la machine (``Ping Of Death'' : message ICMP de 64 ko qui faisait planter Windows). Une solution consiste à avoir une bonne gestion de la fenêtre d'anticipation TCP, et d'envoyer autant que faire se peut des messages ICMP de réduction de fenêtre. Le Spamming Le Spamming consiste à envoyer plusieurs milliers de messages identiques à une boîte aux lettres pour la faire saturer. En effet, les mails ne sont pas directs, ainsi lorsque le courrier sera relevé, celui-ci mettra beaucoup trop de temps et la boîte aux lettres sera alors inutilisable. Le routeur pare-feu pourra cependant détecter les tentatives de Spamming, en sniffant les paquets IP arrivants, et en remarquant une trop grande fréquence dans la réception d'un même message (taille du paquet, adresses source et destination identiques). Les virus Les constructeurs de pare-feu tendent maintenant à fournir avec leurs produits une solution antivirus complète, qui permet de filtrer les attaques logicielles comme les chevaux de Troie, les vers, les trappes et les bombes logiques. Les éléments actifs du réseau sont désormais de véritables remparts contre une pléthore d'attaques, qu'elles soient au niveau réseau ou au niveau applicatif. Cela rend la tâche des administrateurs réseau plus simple, car toutes les fonctions de sécurité sont fédérées sur un seul et même équipement, plus robuste et 13

14 entièrement administrable. Les éléments composant le réseau ne sont pas les seuls remparts aux attaques. Le système d'exploitation garantit un niveau de sécurité supplémentaire vis-à-vis des attaques de type virus, nuke ou trappes. C'est pourquoi nous nous intéressons maintenant à l'aspect sécurité de Linux. L'ingénierie social L'ingénierie sociale n'est pas vraiment une attaque informatique. C'est plutôt une méthode pour obtenir des informations sur un système ou des mots de passe. C'est une approche psychologique en utilisant des acteurs humaines disposants des informations pertinentes sur le système cible à attaquer. Pour obtenir le but, il y a 5 méthodes: - Internet: Se faire passer pour un acteur de l'entreprise (un utilisateur ou un administrateur) - Contact: Permet de cibler la personne et obtenir des informations dans son contexte (rendez-vous pour un motif quelconque) ou hors de son contexte (au restaurant d'entreprise ou en face au bureau). - Téléphone: Préparer d'une identité, d'un rôle ou d'un but exprimé. Utilise des canaux indirects (par exemple la téléphoniste ou un département quelconque) - Fax: Copier l'en-tête d'un fournisseur ou d'un client pour obtenir une information - Lettre: Même approche pour le fax mais au lieu de copier l'en-tête, on utilise une adresse fictive. Contre mesure - Formation des acteurs à tous les niveaux - Délimiter exactement le périmètre des informations confidentielles, sensibles, internes et publiques. - Tenter de placer les indicateurs pour assurer l'identité des personnes désirant des informations sensibles - Les documents ou communications qui ne sont pas clairement identifiés, doivent être transmises à un acteur responsable pour leur traitement. - Clause de confidentialité dans les contrats. 14

15 Partie 2 : Etude bibliographique des parades au DoS et DDoS DoS Les techniques d'attaque : Les attaquants utilisent plusieurs techniques d'attaques. Ces attaques peuvent être regroupées en trois familles différentes : - Les attaques directes. - Les attaques indirectes par rebond. - Les attaques indirectes par réponses. Nous allons voir en détail ces trois familles. Les attaques directes C'est la plus simple des attaques. Le hacker attaque directement sa victime à partir de son ordinateur. La plupart des "script kiddies" utilise cette technique. En effet, les programmes de hack qu'ils utilisent ne sont que faiblement paramétrable, et un grand nombre de ces logiciels envoient directement les paquets à la victime. Si vous vous faites attaqués de la sorte, il y a de grandes chances pour que vous puissiez remonter à l'origine de l'attaque, identifiant par la même occasion l'identité de l'attaquant. Depuis quelques ans, on n utilise jamais cette technique car il n est pas efficace quand on utilise une machine normale pour attaquer un serveur très performant. 15

16 Les attaques indirectes par rebond Cette attaque est très prisée des hackers. En effet, le rebond a deux avantages : - Masquer l'identité (l'adresse IP) du hacker. - Eventuellement, utiliser les ressources de l'ordinateur intermédiaire car il est plus puissant (CPU, bande passante...) pour attaquer. Le principe en lui même, est simple: Les paquets d'attaque sont envoyés à l'ordinateur intermédiaire, qui répercute l'attaque vers la victime. D'où le terme de rebond. L'attaque FTP Bounce fait partie de cette famille d'attaque. Si vous êtes victime de ce genre d'attaque, il n'est pas facile de remonter à la source. Au plus simple, vous remontrez à l'ordinateur intermédiaire. Les attaques indirectes par réponse Cette attaque est un dérivé de l'attaque par rebond. Elle offre les mêmes avantages, du point de vue du hacker. Mais au lieu d'envoyer une attaque à l'ordinateur intermédiaire pour qu'il la répercute, l'attaquant va lui envoyer une requête. Et c'est cette réponse à la requête qui va être envoyée à l'ordinateur victime. 16

17 Là aussi, il n'est pas aisé de remonter à la source... Quelques parades de type DoS Ping de la mort Un ping a normalement une longueur maximale de ((2 16 ) - 1) octets, incluant une entête de 20 octets. Un ping of death c'est un ping qui a une longueur de données supérieure à la taille maximale. Lors de sont envoi, le ping of death est fragmenté en paquets plus petits. L'ordinateur victime qui reçoit ces paquets doit alors les reconstruirent. Certains systèmes ne gèrent pas cette fragmentation, et se bloquent, ou crashent complètement. En principe, pour déborder une machine on ne peut que l'envoyer des paquets avec la taille supérieure à 64 Koctets. La commande suivante va nous montrer comment les créer: ping -f -s xxx.xxx.xxx.xxx où xxx.xxx.xxx.xxx est l'adresse de la victime. L'idée est de les fragmenter en des paquets dont la taille est inférieure à 64 Koctets grâce à la technique de fragment des paquets. 17

18 Le problème se passe quand la machine cible essaie de défragmenter les paquets reçus. Le paquet final ayant la taille supérieure à 64 Koctets va bloquer la victime. Supposons que l'on a deux fragments suivants: Fragment 1 Fragment 2 MF=1 Offset=0 MF=0 Offset=65000 Taille=65000 Taille=1000 Donnée Donnée Quand on les rassemble, la taille du nouveau fragment est = Cette valeur est supérieure à 64Ko, on ne peut pas la mettre dans un registre à taille 16bits. Si on le fait, cela causera un problème. Prouver On va voir ce problème dans le système d'exploitation Minix version Le code suivant est extrait dans le fichier ip_read.c de la fonction merge_frags() second_datasize=second_offset+second_datasize-(first_offset+first_datasize); cut_second= bf_cut(second, second_hdr_size + first_offset+first_datasizesecond_offset, second_datasize);... first_datasize += second_datasize; first_hdr->ih_length= htons(first_hdr_size + first_datasize); second_datasize = ( ) = 1000 first_datasize = = first_hdr->ih_length = htons(first_hdr_size ); => Erreur Le variable first_hdr->ih_length est défini comme un variable à 16 bits correspond à une valeur bits. TearDrop Teardrop est une attaque (principalement contre les machines sous Microsoft 18

19 Windows NT) qui repose sur des fragments superposés. On va voir le code suivant (extrait dans la fonction ip_glue() du fichier ip_fragment.c du noyau de la ligne 361): /* Copy the data portions of all fragments into the new buffer. */ fp = qp->fragments; while(fp!= NULL) { if (count+fp->len > skb->len) { // (i) NETDEBUG(printk("Invalid fragment list: Fragment over size.\n")); ip_free(qp); frag_kfree_skb(skb,free_write); ip_statistics.ipreasmfails++; return NULL; } memcpy((ptr + fp->offset), fp->ptr, fp->len); // (ii) count += fp->len; fp = fp->next; } Qu'est ce qu'il se passe si la taille d'un fragment est inférieur à 0 (fp->len < 0). Quand on loue une partie de mémoire avec un nombre négatif, cela devient un très grand nombre positif. Cela dépense de la mémoire de la victime, l'ordinateur peut être soit bloqué soit redémarré. Prouver Les figures suivant montrent comment on peut créer un fragment ayant la taille négative (fp->len < 0) Fragment 1 Fragment 2 MF=1 Offset=0 MF=0 Offset=500 Taille=1000 Taille=400 Donnée Donnée Supposons que l'on reçoit 2 fragments ci-dessus et on est en train de traiter le fragment 2. Le variable 'end' est déjà calculé dans la ligne 474 par l'instruction: end = offset + ntohs(iph->tot_len) ihl; = ihl 19

20 = ihl Selon les codes à partir de ligne 508 dans le fichier ip_frament.c (Linux ) if (prev!= NULL && offset < prev->end) { i = prev->end - offset; offset += i; /* ptr into datagram */ ptr += i; /* ptr into fragment data */ } On a i = = 500 offset = = 1000 On passe end et nouvel offset dans la fonction ip_frag_create. On voie maintenant la partie principale dans cette fonction (dans le fichier ip_fragment.c à partir de la ligne 93 (fonction ip_frag_create) Linux ) /* Fill in the structure. */ fp->offset = offset; fp->end = end; fp->len = end offset; Donc, fp->len = 900 ihl 1000 = 100 ihl < 0 De la version à du noyau, on a changé le code pour contre cette vulnérabilité. Mais le problème est encore continué. Voir le code suivant (extrait dans la fonction ip_glue() du fichier ip_fragment.c du noyau de la ligne 357): fp = qp->fragments; count = qp->ihlen; while(fp) { if ((fp->len < 0) ((count + fp->len) > skb->len)) goto out_invalid; memcpy((ptr + fp->offset), fp->ptr, fp->len); if (count == qp->ihlen) { skb->dst = dst_clone(fp->skb->dst); skb->dev = fp->skb->dev; } count += fp->len; fp = fp->next; } Le problème dans ce code est si on a un fragment dans la liste des fragments qp- >fragments ayant la taille 0 et il est le premier fragment dans la liste. Pour la 20

21 première fois de la boucle, count est nécessaire égal à qp->ihlen, la fonction dst_clone(..) est donc lancée. Mais si fp->len = 0, count += fp->len ne change pas. A la prochaine boucle, le variable count est encore égal à qp->len. La fonction dst_clone() augmente un usage de count à un élément dans le routing cache. Notre fragment de taille 0 causera cet élément dans le cache devenir être abandonné. Le noyau ne peut pas le libéré. Parce que le noyau pense qu'il est encore utilisé. D'autre part, l'appel à louer une nouvelle entrée dans le routing cache ne teste pas si le hashtable qui contient la cache soit en état saturé. Si cela se passe, le noyau va faire une collection des déchets. Si le nombre des entrées dans le cache, après la collection, est encore supérieur au seuil alors la fonction dst_alloc() sera échouée. Donc, si on génère un nombre assez grand des entrées abandonnées dans le routing cache (4096 dans le noyau 2.2.3) dans notre mauvaise liste des fragments, alors tous les appels à la fonction dst_alloc() sera échoués. Les étapes suivantes vont nous montrer comment créer tel liste: - Envoyer un fragment à offset 0 avec la taille X (taille du fragment) et le flag IP_MF est vrai (More Fragment). Cela crée une liste. - Envoyer un fragment à offset 0 avec la taille d'entête IP est égale à la taille totale IP et le flag IP_MF est vrai. Ce fragment va être traité comme il est venu avant celui du premier car il a un offset égal à l'offset du fragment existant. Jusqu'à maintenant, il n'y a pas d'overlap car sa valeur 'end' est égale à l'offset du prochain fragment. - Envoyer 3ème fragment à offset X avec IP_MF est faux. Cela signifie que l'on termine ici. => On obtient 3 fragments avec les tailles: 0, X, End-X DDoS Le "Distributed denial-of-service" ou déni de service distribué est un type d'attaque très évolué visant à faire planter ou à rendre muette une machine en la submergeant de trafic inutile (voir fiche DoS). Plusieurs machines à la fois sont à l'origine de cette attaque (c'est une attaque distribuée) qui vise à anéantir des serveurs, des sous réseaux, etc. D'autre part, elle reste très difficile à contrer ou à éviter. C'est pour cela que cette attaque représente une menace que beaucoup craignent. 21

LA SÉCURITÉ DANS LES RÉSEAUX POURQUOI SÉCURISER? Ce cours traitera essentiellement les points suivants :

LA SÉCURITÉ DANS LES RÉSEAUX POURQUOI SÉCURISER? Ce cours traitera essentiellement les points suivants : LA SÉCURITÉ DANS LES RÉSEAUX Page:1/6 Objectifs du COURS : Ce cours traitera essentiellement les points suivants : - les attaques : - les techniques d intrusion : - le sniffing - le «craquage» de mot de

Plus en détail

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité 1. Présentation Nmap est un outil open source d'exploration réseau et d'audit de sécurité, utilisé pour scanner de grands

Plus en détail

Denial of Service Attacks JIHENE HERGLI (GL4) KHAOULA BLEL (RT4) MOHAMED MOADEB (MBDS) HADHEMI MATMATI (RT4)

Denial of Service Attacks JIHENE HERGLI (GL4) KHAOULA BLEL (RT4) MOHAMED MOADEB (MBDS) HADHEMI MATMATI (RT4) Denial of Service Attacks JIHENE HERGLI (GL4) KHAOULA BLEL (RT4) MOHAMED MOADEB (MBDS) HADHEMI MATMATI (RT4) Table des matières 1. Présentation de l atelier 2. Présentation des outils utilisés 2.1. Loic...

Plus en détail

Sécurité des réseaux Les attaques

Sécurité des réseaux Les attaques Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques

Plus en détail

TP 1 - Prise de contact avec Snort, scapy

TP 1 - Prise de contact avec Snort, scapy TP 1 - Prise de contact avec Snort, scapy 0. Initialisation du TP Installer les paquets python-scapy, snort, nmap. 1. Présentation de SNORT v2.8.5 La détection d intrusion consiste en un ensemble de techniques

Plus en détail

par BALLAN Emilie et SURANGKANJANAJAI Gaëtan disponible en ligne : http://www.e eck.org/

par BALLAN Emilie et SURANGKANJANAJAI Gaëtan disponible en ligne : http://www.e eck.org/ Dénis de Service et usurpation d'identité par BALLAN Emilie et SURANGKANJANAJAI Gaëtan disponible en ligne : http://www.e eck.org/ PLAN Introduction Dénis de service: Tcp Syn Land Teardrop Smurf Ping de

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

Introduction aux Systèmes Distribués. Introduction générale

Introduction aux Systèmes Distribués. Introduction générale Introduction aux Systèmes Distribués Licence Informatique 3 ème année Introduction générale Eric Cariou Université de Pau et des Pays de l'adour Département Informatique Eric.Cariou@univ-pau.fr 1 Plan

Plus en détail

Les menaces informatiques

Les menaces informatiques Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une attaque. Une «attaque» est l'exploitation d'une faille d'un système informatique (système d'exploitation, logiciel

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Sécurisation en réseau

Sécurisation en réseau Déni de services Sécurisation en réseau Utilisant des bugs exemple Ping of death (Cf. RFC IP) l exploitation des protocoles TCP SYN flooding Envoi seulement le début du 3-way handshake Saturation de la

Plus en détail

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES SECURITE - IPTABLES Conception d'une zone démilitarisée (DeMilitarized Zone: DMZ) Veuillez indiquer les informations suivantes : Binômes Nom Station ou PC D. Essayed-Messaoudi Page 1 sur 9 TP 4 : Sécurité

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Comment votre PC peut-il être piraté sur Internet?

Comment votre PC peut-il être piraté sur Internet? Edited By BIANCHI Lorenzo A.C.S2013SERVICES INFORMATIQUE 2014 Comment votre PC peut-il être piraté sur Internet? Comment votre PC peut-il être piraté sur Internet? Toujours le fait de personnes malveillantes,

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required.

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required. Quelles sont les deux affirmations vraies relatives à la sécurité du réseau? (Choisissez deux réponses.) Protéger un réseau contre les attaques internes constitue une priorité moins élevée car les employés

Plus en détail

Introduction. Adresses

Introduction. Adresses Architecture TCP/IP Introduction ITC7-2: Cours IP ESIREM Infotronique Olivier Togni, LE2I (038039)3887 olivier.togni@u-bourgogne.fr 27 février 2008 L Internet est basé sur l architecture TCP/IP du nom

Plus en détail

Description du datagramme IP :

Description du datagramme IP : Université KASDI MERBAH OUARGLA Faculté des Nouvelles Technologies de l information et de la Communication Département Informatique et Technologies de les Information 1 er Année Master académique informatique

Plus en détail

Sécurité informatique : Sécurité dans un monde en réseau. Explosion des connexions à internet 2. ... Mais c est pas tout! 3

Sécurité informatique : Sécurité dans un monde en réseau. Explosion des connexions à internet 2. ... Mais c est pas tout! 3 Sécurité informatique : Matthieu Amiguet 2006 2007 Explosion des réseaux Explosion des connexions à internet 2 En 1990, environ 320 000 hôtes étaient connectées à internet Actuellement, le chiffre a dépassé

Plus en détail

Protocole TCP/IP. On classe généralement les protocoles en deux catégories selon le niveau de contrôle des données que l'on désire :

Protocole TCP/IP. On classe généralement les protocoles en deux catégories selon le niveau de contrôle des données que l'on désire : Nom.. Prénom.. Protocole TCP/IP Qu'est-ce qu'un protocole? Un protocole est une méthode de codage standard qui permet la communication entre des processus s'exécutant éventuellement sur différentes machines,

Plus en détail

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques THEGREENBOW FIREWALL DISTRIBUE TGB::! Pro Spécifications techniques SISTECH SA THEGREENBOW 28 rue de Caumartin 75009 Paris Tel.: 01.43.12.39.37 Fax.:01.43.12.55.44 E-mail: info@thegreenbow.fr Web: www.thegreenbow.fr

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

Présentation du modèle OSI(Open Systems Interconnection)

Présentation du modèle OSI(Open Systems Interconnection) Présentation du modèle OSI(Open Systems Interconnection) Les couches hautes: Responsables du traitement de l'information relative à la gestion des échanges entre systèmes informatiques. Couches basses:

Plus en détail

Descriptif de scénario Infection virale Analyse de capture réseau

Descriptif de scénario Infection virale Analyse de capture réseau Descriptif de scénario Infection virale Analyse de capture réseau Type de scénario : Analyse post incident Introduction : Suite à une attaque ou une infection virale, il est très souvent nécessaire d utiliser

Plus en détail

Module 8. Protection des postes de travail Windows 7

Module 8. Protection des postes de travail Windows 7 Module 8 Protection des postes de travail Windows 7 Vue d'ensemble du module Vue d'ensemble de la gestion de la sécurité dans Windows 7 Protection d'un ordinateur client Windows 7 en utilisant les paramètres

Plus en détail

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau. Firewall I- Définition Un firewall ou mur pare-feu est un équipement spécialisé dans la sécurité réseau. Il filtre les entrées et sorties d'un nœud réseau. Cet équipement travaille habituellement aux niveaux

Plus en détail

Rappels réseaux TCP/IP

Rappels réseaux TCP/IP Rappels réseaux TCP/IP Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 1 /27 Au menu Modèle

Plus en détail

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1 Formation A2IMP Acquisition d information sur les autres Frédéric Bongat IPSL Formation A2IMP 1 Idée : corréler des informations via d autres Informations de base Connaître l horodatage (date, heure) des

Plus en détail

Les attaques externes

Les attaques externes LinuxFocus article number 282 http://linuxfocus.org Les attaques externes par Eric Detoisien L auteur: Eric Detoisien est spécialiste en sécurité informatique. Passionné par

Plus en détail

Sécurité des Hébergeurs

Sécurité des Hébergeurs HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet FRnOG release 9 (24/11/2006) Sécurité des Hébergeurs Raphaël Marichez

Plus en détail

Internets. Informatique de l Internet: le(s) Internet(s) Composantes de l internet R3LR RENATER

Internets. Informatique de l Internet: le(s) Internet(s) Composantes de l internet R3LR RENATER Internets Informatique de l Internet: le(s) Internet(s) Joël Quinqueton Dépt MIAp, UFR IV UPV Université Montpellier III RENATER, R3LR Services Internet Protocoles Web Sécurité Composantes de l internet

Plus en détail

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Fonctionnement de Iptables. Exercices sécurité. Exercice 1 Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis.

Plus en détail

Protocoles DHCP et DNS

Protocoles DHCP et DNS Protocoles DHCP et DNS DHCP (Dynamic Host Configuration Protocol) est un protocole qui permet à un serveur DHCP (Unix, Windows, AS400...) d'affecter des adresses IP temporaires (et d'autres paramètres)

Plus en détail

Guide rapide GFI LANguard

Guide rapide GFI LANguard Guide rapide GFI LANguard INTRODUCTION Bienvenue dans GFI LANguard : Votre solution tout en un pour la gestion de correctifs, l'analyse de vulnérabilités et l'audit réseau. GFI LANguard (ou "LANguard")

Plus en détail

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists).

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists). 1 LINUX FIREWALL Introduction Un firewall ou pare-feu est un des composants essentiel à la sécurité informatique d un réseau. Il va permettre d isoler une ou plusieurs machines ou réorienter les requêtes

Plus en détail

La collecte d informations

La collecte d informations La collecte d informations Nous allons décrire le fonctionnement des outils permettant de récupérer des informations à distance. Ces utilitaires sont fréquemment utilisés par les pirates pour préparer

Plus en détail

Sensibilisation à la Sécurité sur Internet. vulnérabilités sur Internet

Sensibilisation à la Sécurité sur Internet. vulnérabilités sur Internet Sensibilisation à la Sécurité sur Internet Cours «2» : Menaces et Cours «2» : Menaces et vulnérabilités sur Internet Plan du cours Sécurité locale du PC Sécurité du réseau Sécurité de communication Outils

Plus en détail

Fiche Technique. Cisco Security Agent

Fiche Technique. Cisco Security Agent Fiche Technique Cisco Security Agent Avec le logiciel de sécurité de point d extrémité Cisco Security Agent (CSA), Cisco offre à ses clients la gamme de solutions de protection la plus complète qui soit

Plus en détail

Dans le cadre de SECURIDAY 2010. Et sous le thème de Computer Forensics Investigation SECURINETS. Analyse des Malwares. Hamdi Tbourbi (RT4)

Dans le cadre de SECURIDAY 2010. Et sous le thème de Computer Forensics Investigation SECURINETS. Analyse des Malwares. Hamdi Tbourbi (RT4) Dans le cadre de SECURIDAY 2010 Et sous le thème de Computer Forensics Investigation SECURINETS Vous Présente l atelier : Analyse des Malwares Chef Atelier : Hamdi Tbourbi (RT4) Asma DHAYA (RT5) Salmen

Plus en détail

GENERALITES. COURS TCP/IP Niveau 1

GENERALITES. COURS TCP/IP Niveau 1 GENERALITES TCP/IP est un protocole inventé par les créateurs d Unix. (Transfer Control Protocol / Internet Protocole). TCP/IP est basé sur le repérage de chaque ordinateur par une adresse appelée adresse

Plus en détail

Mécanismes de sécurité des systèmes. 10 e cours Louis Salvail

Mécanismes de sécurité des systèmes. 10 e cours Louis Salvail Mécanismes de sécurité des systèmes 10 e cours Louis Salvail Objectifs Objectifs La sécurité des réseaux permet que les communications d un système à un autre soient sûres. Objectifs La sécurité des réseaux

Plus en détail

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team Annexe 5 Kaspersky Security For SharePoint Servers Consulting Team 2015 K A S P E R S K Y L A B Immeuble l Européen 2, rue 1 Joseph Monier 92859 Rueil Malmaison Cedex Table des matières Table des matières...

Plus en détail

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad Outils d'analyse de la sécurité des réseaux HADJALI Anis VESA Vlad Plan Introduction Scanneurs de port Les systèmes de détection d'intrusion (SDI) Les renifleurs (sniffer) Exemples d'utilisation Conclusions

Plus en détail

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T SECURINETS. Présente

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T SECURINETS. Présente Dans le cadre de SECURIDAY 2009 SECURINETS Présente Atelier : Mise en place d'une architecture sécurisée contre les attaques DDOS. Formateurs : 1. Fitouri Abdelkrim 2. Ghoulem Adel 3. Yahia Marwen 4. Zoghlami

Plus en détail

Protection des protocoles www.ofppt.info

Protection des protocoles www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Protection des protocoles DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2

Plus en détail

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage. TD réseau - Réseau : interconnexion de réseau Réseau : Interconnexion de réseaux, routage et application de règles de filtrage. Un réseau de grande importance ne peut pas seulement reposer sur du matériel

Plus en détail

SERVEUR DE MESSAGERIE

SERVEUR DE MESSAGERIE CRÉEZ VOTRE SERVEUR DE MESSAGERIE avec: version 4.3-B248 Sommaire PREAMBULE et REMERCIEMENTS Page 2 INTRODUCTION Page 2 AVERTISSEMENT Page 3 INSTALLATION Page 3 CONFIGURATION Page 12 CLIENT DE MESAGERIE

Plus en détail

Configurer un pare-feu avec NETFILTER

Configurer un pare-feu avec NETFILTER Configurer un pare-feu avec NETFILTER Netfilter est le firewall des distributions linux récentes pris en charge depuis les noyaux 2.4. Il est le remplaçant de ipchains. La configuration se fait en grande

Plus en détail

Technique de défense dans un réseau

Technique de défense dans un réseau Technique de défense dans un réseau Projet présenté dans le cadre des Bourses d'excellence ASIQ 2011-2012 Présenté par : Frédérik Paradis fredy_14@live.fr Gregory Eric Sanderson gzou2000@gmail.com Louis-Étienne

Plus en détail

Windows Internet Name Service (WINS)

Windows Internet Name Service (WINS) Windows Internet Name Service (WINS) WINDOWS INTERNET NAME SERVICE (WINS)...2 1.) Introduction au Service de nom Internet Windows (WINS)...2 1.1) Les Noms NetBIOS...2 1.2) Le processus de résolution WINS...2

Plus en détail

Plan. 1 Introduction. 2 Attaques de sécurité. 3 Services de sécurité. 4 Logiciels malveillants. 5 Attaques DoS. 6 ARP spoofing et flooding

Plan. 1 Introduction. 2 Attaques de sécurité. 3 Services de sécurité. 4 Logiciels malveillants. 5 Attaques DoS. 6 ARP spoofing et flooding Plan École Supérieure d Économie Électronique Sécurité Réseaux Rhouma Rhouma 21 Juillet 2014 2 4 5 1 / 68 2 / 68 Plan Introduction Introduction Objectifs de la sécurité CIA 2 4 5 Autres : Authenticité,

Plus en détail

Principes de DHCP. Le mécanisme de délivrance d'une adresse IP à un client DHCP s'effectue en 4 étapes : COMMUTATEUR 1. DHCP DISCOVER 2.

Principes de DHCP. Le mécanisme de délivrance d'une adresse IP à un client DHCP s'effectue en 4 étapes : COMMUTATEUR 1. DHCP DISCOVER 2. DHCP ET TOPOLOGIES Principes de DHCP Présentation du protocole Sur un réseau TCP/IP, DHCP (Dynamic Host Configuration Protocol) permet d'attribuer automatiquement une adresse IP aux éléments qui en font

Plus en détail

Chapitre 5 : Protocole TCP/IP

Chapitre 5 : Protocole TCP/IP Chapitre 5 : Protocole TCP/IP 1- IP (Internet Protocol) : Il permet de à des réseaux hétérogène de coopérer. Il gère l adressage logique, le routage, la fragmentation et le réassemblage des paquets. Il

Plus en détail

Sujet bibliographique

Sujet bibliographique Stéphane BOEUF Grégory DANELON DESS Réseaux Année 2001-2002 Sujet bibliographique Denial of Service (Déni de service) Mars 2002 Université Claude Bernard Lyon 1 UFR d informatique SOMMAIRE 1. INTRODUCTION...4

Plus en détail

La lutte contre les dénis de service réseau

La lutte contre les dénis de service réseau La lutte contre les dénis de service réseau Renaud Bidou Radware renaudb@radware.com Résumé Les dénis de service ne sont pas nouveaux. Les principales techniques utilisées ont parfois plus de dix ans.

Plus en détail

A l'origine, les FYI sont uniquement des documents officiels issus des organismes de normalisation de l'internet, sans toutefois être des normes.

A l'origine, les FYI sont uniquement des documents officiels issus des organismes de normalisation de l'internet, sans toutefois être des normes. 1 2 Deux groupes guident les évolutions de l Internet : un groupe de recherche, l IRTF (Internet Research Task Force) un groupe de développement, l IETF (Internet Engineering Task Force) ; travaille sur

Plus en détail

1 Généralités sur les réseaux informatiques. 2 Organisation de l'internet. 3 Les services de l'internet. 4 Les protocoles TCP IP

1 Généralités sur les réseaux informatiques. 2 Organisation de l'internet. 3 Les services de l'internet. 4 Les protocoles TCP IP 1 sur les réseaux informatiques 2 Organisation de l'internet 3 Les services de l'internet 4 Les protocoles TCP IP 5 Moyens de connexion à l'internet 6 Sécurité sur l'internet 89 4 Les protocoles TCP IP

Plus en détail

Sécurité 2. Université Kasdi Merbah Ouargla. ETUDE DES ATTAQUES Les attaques réseau : exemples. 2 ème Année Master RCS.

Sécurité 2. Université Kasdi Merbah Ouargla. ETUDE DES ATTAQUES Les attaques réseau : exemples. 2 ème Année Master RCS. Sécurité 2 Université Kasdi Merbah Ouargla Département d Informatique et des Technologies de l Information ETUDE DES ATTAQUES Les attaques réseau : exemples 2 ème Année Master RCS Septembre 2014 Master

Plus en détail

IPv6. Lab 6: Déploiement. Objectif: Communication IPv6 entre noeuds dans des sites différents au travers d'internet (IPv4)

IPv6. Lab 6: Déploiement. Objectif: Communication IPv6 entre noeuds dans des sites différents au travers d'internet (IPv4) IPv6 Lab 6: Déploiement Objectif: Communication IPv6 entre noeuds dans des sites différents au travers d'internet (IPv4) v.1a E. Berera 1 Communication sites IPv6 par Internet (IPv4) Wi-Fi SSID:groupe1

Plus en détail

INTRODUCTION A LA SECURITE DES RESEAUX

INTRODUCTION A LA SECURITE DES RESEAUX INTRODUCTION A LA SECURITE DES RESEAUX OBJECTIFS de la SECURITE des DONNEES (relativement à des personnes non autorisées) Confidentielles-ne doivent pas être lues Permanentes-ne doivent pas être altérées

Plus en détail

Sécurité et Firewall

Sécurité et Firewall TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette

Plus en détail

Chapitre 1 Comment se connecter à Internet... 13

Chapitre 1 Comment se connecter à Internet... 13 Chapitre 1 Comment se connecter à Internet... 13 1.1 Adresse IP permanente ou temporaire... 16 1.2 Débit d une connexion... 16 1.3 Utilisation occasionnelle (RTC, Numéris)... 20 RTC... 20 RNIS... 24 1.4

Plus en détail

Firewall : Pourquoi et comment?

Firewall : Pourquoi et comment? Firewall : Pourquoi et comment? En ai-je besoin? Internet, bien que très utile et pratique, est parsemé d'embuches. Parmi elles : les virus et les troyens. Un virus est un programme créé pour modifier

Plus en détail

Administration réseau Introduction

Administration réseau Introduction Administration réseau Introduction A. Guermouche A. Guermouche Cours 1 : Introduction 1 Plan 1. Introduction Organisation Contenu 2. Quelques Rappels : Internet et le modèle TCP/ Visage de l Internet Le

Plus en détail

KASPERSKY DDOS PROTECTION. Découvrez comment Kaspersky Lab défend les entreprises contre les attaques DDoS

KASPERSKY DDOS PROTECTION. Découvrez comment Kaspersky Lab défend les entreprises contre les attaques DDoS KASPERSKY DDOS PROTECTION Découvrez comment Kaspersky Lab défend les entreprises contre les attaques DDoS LES ENTREPRISES SONT DEVENUES LA CIBLE DES CYBER-CRIMINELS. Si votre entreprise a déjà subi une

Plus en détail

PCI (Payment Card Industry) DSS (Data Security Standard )

PCI (Payment Card Industry) DSS (Data Security Standard ) PCI (Payment Card Industry) DSS (Data Security Standard ) Jean-Marc Robert Génie logiciel et des TI PCI-DSS La norme PCI (Payment Card Industry) DSS (Data Security Standard) a été développée dans le but

Plus en détail

La protection des réseaux contre les attaques DOS. Dany Fernandes et Papa Amadou Sarr. Tuteur : Osman SALEM. Mai 2010

La protection des réseaux contre les attaques DOS. Dany Fernandes et Papa Amadou Sarr. Tuteur : Osman SALEM. Mai 2010 La protection des réseaux contre les attaques DOS Dany Fernandes et Papa Amadou Sarr Mai 2010 Tuteur : Osman SALEM Sommaire Remerciements... 3 Introduction... 4 1. Une attaque connue : le déni de service...

Plus en détail

MAUREY SIMON PICARD FABIEN LP SARI

MAUREY SIMON PICARD FABIEN LP SARI MAUREY SIMON PICARD FABIEN LP SARI FIREWALL ET SECURISATION D'UN RESEAU D'ENTREPRISE TRAVAUX PRATIQUES 4 TP 4 FIREWALL ET SECURISATION D'UN RESEAU D'ENTREPRISE - 1 SOMMAIRE 1. INTRODUCTION 2. MATERIEL

Plus en détail

TP 11.2.3c Fonctions des listes de contrôle d'accès multiples (TP avancé)

TP 11.2.3c Fonctions des listes de contrôle d'accès multiples (TP avancé) TP 11.2.3c Fonctions des listes de contrôle d'accès multiples (TP avancé) Nom du routeur Type de routeur Adresse FA0 Adresse FA1 Adresse S0 Adresse S1 Masque de sousréseau Routage Mot de passe enable Mot

Plus en détail

Bibliographie. Gestion des risques

Bibliographie. Gestion des risques Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes

Plus en détail

ISEC. Codes malveillants

ISEC. Codes malveillants ISEC s malveillants Jean Leneutre jean.leneutre@telecom-paristech.fr Bureau C234-4 Tél.: 01 45 81 78 81 INF721, 2011-12. Page 1 q malveillant («malware» ou «rogue program») Ensemble d instruction permettant

Plus en détail

Formation Iptables : Correction TP

Formation Iptables : Correction TP Table des matières 1.Opérations sur une seule chaîne et sur la table filter:...2 2.Opérations sur plusieurs chaînes et sur la table filter:...5 3.Opérations sur plusieurs chaires et sur plusieurs tables

Plus en détail

Préparation TP Système et réseau : mise en oeuvre et exploitation

Préparation TP Système et réseau : mise en oeuvre et exploitation Préparation TP Système et réseau : mise en oeuvre et exploitation Procédure à réaliser avant chaque TP : Sous Windows : Démarrer/Panneau de configuration/connexion Réseau Propriétés/Onglet général Propriétés

Plus en détail

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr M1 Informatique Réseaux Filtrage Bureau S3-203 mailto://alexis.lechervy@unicaen.fr Sécurité - introduction Au départ, très peu de sécurité dans les accès réseaux (mots de passe, voyageant en clair) Avec

Plus en détail

Sécurité des Postes Clients

Sécurité des Postes Clients HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des Postes Clients Table ronde CFSSI Jeudi 29 mars 2007 Benjamin

Plus en détail

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1. Routeur Chiffrant Navista Version 2.8.0 Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.0 Cibles de sécurité C.S.P.N Référence : NTS-310-CSPN-CIBLES-1.05

Plus en détail

Firewall et Nat. Démarrez ces machines et vérifiez leur fonctionnement. Faites attention à l'ordre de démarrage.

Firewall et Nat. Démarrez ces machines et vérifiez leur fonctionnement. Faites attention à l'ordre de démarrage. BTS S.I.O. 2 nd Année Option SISR Firewall et Nat TP 10 Firewall & Nat Notes : remplacer unserveur.sio.lms.local par le nom d'un serveur sur le réseau sio. Trouver les adresses du cœurs de réseau du lycée

Plus en détail

Activité - Serveur sous Linux Suse

Activité - Serveur sous Linux Suse Activité - Serveur sous Linux Suse Configuration de services réseaux Problématique : Configurer les services réseaux (DHCP, SAMBA, APACHE2) sur un serveur afin de répondre au besoin des postes clients

Plus en détail

Installer un serveur FTP avec IIS

Installer un serveur FTP avec IIS Installer un serveur FTP avec IIS Ce dossier vous explique en détail comment installer et configurer un serveur FTP avec IIS (Internet Information Services), qui est un outil intégré à Windows NT4, 2000

Plus en détail

Notions de sécurités en informatique

Notions de sécurités en informatique Notions de sécurités en informatique Bonjour à tous, voici un article, vous proposant les bases de la sécurité informatique. La sécurité informatique : Vaste sujet, car en matière de sécurité informatique

Plus en détail

PPE 4. Firewall KOS INFO. Groupe 1: Alexis, David et Lawrence 19/02/2014

PPE 4. Firewall KOS INFO. Groupe 1: Alexis, David et Lawrence 19/02/2014 KOS INFO PPE 4 Firewall Groupe 1: Alexis, David et Lawrence 19/02/2014 KOS info à pour mission d'établir des mécanismes de sécurité afin de protéger le réseau de M2L. Ce projet s'appuiera sur le logiciel

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

Sécurité des Réseaux et d internet. Yves Laloum

Sécurité des Réseaux et d internet. Yves Laloum Sécurité des Réseaux et d internet Yves Laloum CNAM Page 1 1. Menaces et vulnérabilités sur l Internet! Connaître et comprendre les vulnérabilités et les menaces "niveau réseau : sniffers / scanners /

Plus en détail

Travaux pratiques Utilisation de Wireshark pour examiner les captures FTP et TFTP

Travaux pratiques Utilisation de Wireshark pour examiner les captures FTP et TFTP Travaux pratiques Utilisation de Wireshark pour examiner les captures FTP et TFTP Topologie Première partie (FTP) La première partie mettra l accent sur une capture TCP d une session FTP. Cette topologie

Plus en détail

Compromettre son réseau en l auditant?

Compromettre son réseau en l auditant? Compromettre son réseau en l auditant? Renaud Deraison Directeur de la Recherche Tenable Network Security 1 Introduction Devant la recrudescence de failles et la crainte de vers de toutes sortes, ainsi

Plus en détail

Desktop Firewall ASaP

Desktop Firewall ASaP Desktop Firewall ASaP Service complet de sécurisation par firewall il surveille, contrôle et tient l'historique de l'activité réseau de votre PC La plupart des utilisateurs d'ordinateurs personnels (PC)

Plus en détail

Atelier 2. Étape 1 : Installation de Active Directory, installation du service DNS et installation du service WINS Durée approximative : 40 minutes

Atelier 2. Étape 1 : Installation de Active Directory, installation du service DNS et installation du service WINS Durée approximative : 40 minutes Atelier 2 Installation d Active Directory Installation du service DNS Installation du Service WINS Création d'un compte d'ordinateur Jonction d'un ordinateur à un domaine Création d usagers. Étape 1 :

Plus en détail

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier Plan Internet - Outils Nicolas Delestre 1 DHCP 2 Firewall 3 Translation d adresse et de port 4 Les proxys 5 DMZ 6 VLAN À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier 7 Wake On Line

Plus en détail

Chapitre 1 : Introduction aux bases de données

Chapitre 1 : Introduction aux bases de données Chapitre 1 : Introduction aux bases de données Les Bases de Données occupent aujourd'hui une place de plus en plus importante dans les systèmes informatiques. Les Systèmes de Gestion de Bases de Données

Plus en détail

Hébergement WeboCube. Un système performant et sécurisé. Hébergement géré par une équipe de techniciens

Hébergement WeboCube. Un système performant et sécurisé. Hébergement géré par une équipe de techniciens Hébergement WeboCube Le service d'hébergement WeboCube a pour but de sécuriser la présence internet grâce à un suivi personnalisé et une maintenance active de votre serveur internet. Un espace de gestion

Plus en détail

Kaspersky Fraud Prevention for Endpoints

Kaspersky Fraud Prevention for Endpoints Kaspersky Fraud Prevention for Endpoints www.kaspersky.fr KASPERSKY FRAUD PREVENTION 1. Techniques d attaque du système bancaire en ligne L'appât du gain constitue la principale motivation de la cyber-criminalité.

Plus en détail

SECURIDAY 2013 Cyber War

SECURIDAY 2013 Cyber War Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Atelier : Mail Threats Formateurs:

Plus en détail

La haute disponibilité de la CHAINE DE

La haute disponibilité de la CHAINE DE Pare-feu, proxy, antivirus, authentification LDAP & Radius, contrôle d'accès des portails applicatifs La haute disponibilité de la CHAINE DE SECURITE APPLICATIVE 1.1 La chaîne de sécurité applicative est

Plus en détail

Analyse spectrale d outils classiques de Déni de Service Distribués

Analyse spectrale d outils classiques de Déni de Service Distribués Analyse spectrale d outils classiques de Déni de Service Distribués GALLON Laurent - AUSSIBAL Julien Université de Pau et des Pays de l Adour LIUPPA/CSYSEC http://csysec.univ-pau.fr Laurent.gallon@univ-pau.fr

Plus en détail

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR) Sécuriser son réseau Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR) Plan Rappel IP Techniques et outils Réseaux Outils réseaux ( sniffer,scanner ) Translation d adresse

Plus en détail

Couche application. La couche application est la plus élevée du modèle de référence.

Couche application. La couche application est la plus élevée du modèle de référence. Couche application La couche application est la plus élevée du modèle de référence. Elle est la source et la destination finale de toutes les données à transporter. Couche application La couche application

Plus en détail