ACES. Livrable 3.1. Spécifications Détaillées du Gestionnaire de Contexte

Dimension: px
Commencer à balayer dès la page:

Download "ACES. Livrable 3.1. Spécifications Détaillées du Gestionnaire de Contexte"

Transcription

1 ACES Livrable 3.1 Spécifications Détaillées du Gestionnaire de Contexte

2 Résumé L objectif du sous projet 3 est de concevoir un système de collecte d informations contextuelles locales, d une part et une interface permettant d abstraire ces données et d y accéder par le biais de requêtes exprimées selon le formalisme M4D4 (c.f. sous projet 2). Ce document est divisé en trois parties. Les deux premières décrivent deux systèmes de collecte des informations cartographiques, la première étant une approche passive, la seconde active. La dernière partie décrit la couche d abstraction de données et l accès aux données concrètes, remontées par les systèmes de collecte. Cette couche d abstraction de données peut donc être perçue comme une implémentation du modèle M4D4.

3 Table des matières 1 Introduction Acquisition active Acquisition passive Collecte Passive de Données Contextuelles Locales Présentation de l approche État de l art de l approche passive Publications Outils commerciaux Outils open-source Architecture générale Inventaire des nœuds du réseau Structures de données concrètes Algorithme de mise à jour des données Implémentation de la sonde Inventaire de produits Structures de données concrètes Algorithme de mise à jour des données Implémentation de la sonde Problèmes liés à l identification des logiciels Collecte Active de Données Contextuelles Locales 18 4 Gestionnaire de Contexte Buts et prédicats Prédicats M4D4 et vues SQL équivalentes Traduction des prédicats en arbres abstraits Algorithme de génération d une requête SQL Phase 1 : liste des variables sélectionnées Phase 2 : liste des tables sélectionnées Phase 3 : contraintes de jointures Phase 4 : contraintes de valeur littérale Phase 5 : contraintes de comparaison Reste

4 Chapitre 1 Introduction Les outils de détection d intrusions (IDS) utilisés pour détecter les attaques informatiques génèrent un volume important d alertes, dont le niveau de sévérité est généralement peu fiable. Une manière de réduire le volume des alertes et d améliorer la fiabilité consiste à prendre en compte les propriétés des machines du réseau surveillé (la cartographie). En effet, les informations cartographiques permettent d une part d évaluer la vulnérabilité des hôtes et d autre part de caractériser les hôtes dont la configuration est réputée pour engendrer des alertes non pertinentes, qui représentent une part importante du volume global d alertes. Ces informations cartographiques permettent aussi d assurer la mise en conformité du parc de machines. Enfin, l optimisation de la couverture des systèmes de détection d attaque nécessite aussi une connaissance de la topologie du réseau. Dans un contexte d accroissement constant de la taille, du dynamisme et de l entropie des réseaux, il est indispensable d automatiser la tâche d inventaire des caractéristiques des machines et de la topologie du réseau surveillé. L utilisation de postes nomades et les mises-à-jour régulières des logiciels augmentent encore la dynamique de la cartographie. On peut distinguer deux familles principales de techniques de cartographie des réseaux, l active et la passive. 1.1 Acquisition active L approche active consiste à interroger les machines du réseau pour obtenir leur configuration. Ces interrogations peuvent être adressées à des agents logiciels ad-hoc déployés sur les machines, qui sont chargés de collecter localement les informations cartographiques et de les envoyer à un composant central. Le cas échéant, ces agents peuvent aussi envoyer périodiquement les informations de leur propre initiative. Les interrogations peuvent aussi reposer sur des protocoles dédiés, comme SNMP. Cette approche est détaillée dans le chapitre 3 Les interrogations peuvent aussi être des stimuli envoyés à l ensemble des machines d un réseau depuis un poste central, qui déduit la configuration des machines de l analyse des réponses aux stimuli. La stimulation des composants se fait en initiant des connexions réseau. L ensemble des couches OSI fournissennt des indice pertinents pour découvrir les caractéristiques recherchées. Ainsi, une technique élémentaire permettant de connaître les services présents sur un hôte est le balayage de ports. Le balayage de ports consiste à initier une connexion TCP sur l ensemble des ports de l hôte considéré et observer ceux pour lesquels une connexion est établie. En effet, l établissement d une connexion TCP se fait en trois étapes : le client initie la connexion sur un port donné (SYN) ; si un serveur écoute sur ce port, il accepte la connexion (SYN- ACK) et le client termine l établissement (ACK). Il existe plusieurs variantes du balayage de ports que nous résumons ici : 1. TCP connect : L appel système connect() est utilisé par les systèmes d exploitation vers les machine cibles sur tous les ports cible. Si le port est ouvert, le connect() retournera une valeur valide, sinon le port n est pas atteignable. 2. TCP SYN scanning : souvent référencé comme le balayage half-open, parce qu il n ouvre pas une communication TCP en entier. L auditeur envoie un paquet SYN, comme si il allait ouvrir une connexion réelle ; si la 2

5 réponse est un SYN-ACK, le port testé est bien ouvert et l auditeur répond en envoyant un RST pour éteindre la connexion. 3. TCP FIN scanning : Cette technique utilise la spécificité suivante du protocole TCP : les ports fermés repondent à un paquet FIN avec un paquet RST, alors que les autres ports (ceux ouverts) ignorent les paquets. 4. UDP ICMP port unreachable scanning : technique qui utilise le protocole UDP et le message d erreur ICMP_PORT_UNREACH. Une machine envoie une erreur ICMP_PORT_UNREACH quand un paquet est envoyé sur un de leurs ports fermés. Ainsi, on peut savoir quels ports ne sont pas ouverts, donc en déduire quels sont ceux qui le sont. Cette technique a le désavantage d utiliser le protocole UDP qui n oblige pas les machines à émettre un acquittement à tous paquets reçus (en fonction des protocoles de niveau supérieur). Ces variantes du balayage de ports permettent à l auditeur d être plus ou moins discret. Notons toutefois que nous utilisons ici l acquisition de la cartographie afin de garantir la sécurité du système d information et non à des fins malveillantes. Le problème de la furtivité n a donc pas lieu d être. En associant la liste des ports ouverts obtenue par balayage à une base de donnée des logiciels réputés pour écouter sur les ports considérés, il est possible d en déduire le type de logiciel présent sur l hôte. Bien sûr, ce type d approche n est pas totalement fiable, car une application peut écouter sur un port différent de celui sur lequel cette application écoute habituellement. Rien n empêche par exemple de faire écouter un serveur HTTP sur le port 21, habituellement associé aux serveurs FTP. Les systèmes d exploitation des composants du réseau peuvent aussi être découverts par heuristique. En effet, certaines ambiguités des spécifications du protocole TCP/IP donnent lieu à des implémentations différentes des piles TCP/IP dans les systèmes d exploitation [3, 4]. Différentes versions de systèmes d exploitations peuvent ainsi être reconnues en soumettant au composant audité des paquets forgés, possèdant des combinaisons d options discriminantes dans les entêtes IP et TCP, parmi lesquelles la taille de la fenêtre TCP, le MSS Maximum Segment Size (TCP), le TTL Time To Live, le WS Window Scale, etc. Le balayage TCP évoqué précédemment permet à l auditeur de faire des suppositions plus ou moins fiables sur la nature des services hébergés sur les hôtes mais ne permet pas d obtenir des informations précises sur le modèle ou la version des serveurs. Lorsqu ils sont sollicités, certains serveurs fournissent dans leur réponse leur modèle et leur version. Les résultats obtenus par balayage TCP peuvent ainsi être complétés en soumettant aux services ouverts des requêtes permettant d identifier précisément les serveurs. Un grand nombre d outils open-source ou commerciaux sont disponibles pour effectuer de l acquisition de la cartographie par stimuli. Le plus utilisé est probablement nmap 1. nmap dispose de l ensemble des fonctionnalités décrites précédement pour reconnaître les services et les systèmes d exploitations. L acquisition par stimuli est généralement une fonctionnalité qu offrent les scanners de vulnérabilité comme Nessus 2. En plus des tests présentés ci-dessus, ces outils lancent des attaques contre les services afin d évaluer la vulnérabilité des composants. Bien entendu, les attaques lancées par ces outils peuvent avoir des effets de bord plus ou moins néfastes pour l environnement surveillé. Les tests effectués par Nessus sont sans conséquence lorsqu ils se cantonnent à l acquisition de la cartographie. Cette technique pallie au problème de déploiement à grande échelle posé par l approche à base d agents, car elle ne nécessite pas la présence d agents sur les machines surveillées. Elle introduit cependant de nouveaux inconvénients. Tout d abord, le temps nécessaire à l audit de l ensemble des composants d un réseau et à la mise à jour des informations est important. Par voie de conséquence, l approche est peu adaptée aux changements fréquents de configuration des composants du système d information. De plus, le trafic engendré par l approche est volumineux et les effets de bord inhérents à l approche peuvent s avérer nuisibles pour l environnement surveillé. Un autre inconvénient de l approche est que seuls les caractéristiques recherchées peuvent être découvertes. Une mise à jour régulière de la base de test de l auditeur est donc nécessaire. La base de données de Nessus, par exemple, comprend approximativement 2000 tests. Comme elle fonctionne par interrogation à distance des composants, l approche par stimuli ne peut découvrir que les serveurs. Les applications qui n écoutent pas sur un port ne peuvent pas être découvertes. Enfin, les mécanismes de filtrages (comme les pare-feux par exemple) limitent les possibilités de découverte des outils d acquisition par stimuli

6 1.2 Acquisition passive Par opposition à l approche active, l approche dite passive ne requiert aucune interaction avec les composants audités. Elle consiste à découvrir la cartographie d un réseau uniquement en observant les communications entre les composants d un réseau. Dans le cadre du projet ACES, nous proposons d exploiter les approches actives et passives. Les chapitres 2 et 3 de ce livrable leurs sont respectivement dédiées. Le chapitre 4 décrit le gestionnaire de contexte, chargé d interpréter les requêtes émanant des modules d analyse d alertes selon le formalisme M4D4 et de les traduire dans le format de données concret utilisé par les différents systèmes de collecte des informations cartographiques. 4

7 Chapitre 2 Collecte Passive de Données Contextuelles Locales 2.1 Présentation de l approche La collecte passive d informations contextuelles locales consiste à identifier des données cartographiques et topologiques sur le système d information uniquement par l écoute du trafic réseau. L analyse des interactions entre un client et un serveur révèle en effet un certain nombre de caractéristiques sur la structure du réseau et les machines, ainsi que sur les applications que ces dernières hébergent. A titre d illustration, considérons les figures 2.1 et 2.2, qui représentent respectivement le contenu d une requête HTTP d un client adressée à un serveur et la réponse de ce dernier. On constate que la requête contient le type de navigateur (MSIE 6.0) utilisé par le client pour effectuer sa requête et le type de système d exploitation (Windows NT 5.1). La réponse contient quant à elle le type de serveur Web (Apache). Bien entendu, l annonce de ces données est laissé à la liberté des protagonistes ; elles peuvent donc ne pas être fournies, ou bien forgées afin de tromper les systèmes de collecte passive. On supposera que la plupart du temps, ces données, lorsqu elles sont disponibles, sont valides. Il est en effet peu probable que les utilisateurs légitimes d un système d information se préoccupent de modifier les annonces effectués par leurs logiciels auprès des serveurs. L approche passive présente un certain nombre d avantages par rapport aux approches actives : Innocuité : contrairement aux approches actives, l approche passive n engendre aucun effet de bord néfaste sur le réseau. Outre le trafic réseau additionnel inhérent aux approches actives, certaines requêtes effectuées peuvent parfois engendrer des dénis de service sur certaines applications ou équipements réseau. Par principe, la collecte passive ne génère aucun trafic sur le réseau et écoute simplement le trafic par le biais d une interface réseau dédiée. Rapidité : la cartographie d un réseau de grande taille par les approches actives peut s avérer extrêmement longue car il est nécessaire de stimuler l ensemble des ports de l ensemble des adresses IP d une plage donnée, sans compter que certains équipements de filtrage dans le réseau peuvent ralentir encore le processus, en ne répondant pas aux stimuli, ce qui impose à la sonde d attendre l expiration des connexions pendantes. À l inverse, la collecte et la mise à jour des données cartographiques par approche passive se fait au fil de l eau. Réactivité : la fraîcheur des informations cartographiques fournies par des approches actives correspond à l état du réseau découvert lors de la découverte précédente. Compte tenu du temps nécessaire à la découverte de grands réseaux et du trafic important engendré (qui incite les administrateurs à exécuter les découvertes en dehors des heures travaillées pour ne pas perturber l utilisation du réseau par les utilisateurs), la période entre deux découvertes peut être très importante. À l inverse, la découverte d une information par approche passive se fait «au plus tôt», c est-à-dire à la première sollicitation d un service par un client. Simplicité : les sondes passives ne nécessitent aucune infrastructure spécifique et sont simples à installer et à maintenir dans un réseau. Une seule sonde permet de découvrir les caractéristiques d un ensemble de machines dans un réseau (à condition que sa localisation dans le réseau le permette). En fonction de la taille du réseau, 5

8 IP TCP HTTP GET / HTTP/1.1\r\n Accept: application/vnd.ms-powerpoint,... Accept-Language: fr\r\n Accept-Encoding: gzip, deflate\r\n User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Host: intranoo\r\n Connection: Keep-Alive\r\n FIG. 2.1 Requête du client 200 OK IP TCP HTTP HTTP/ OK\r\n Response Code: 200 Date: Wed, 25 Aug :53:50 GMT\r\n Server: Apache\r\n Last-Modified: Tue, 11 May :46:20 GMT\r\n Accept-Ranges: bytes\r\n Content-Length: 300\r\n Keep-Alive: timeout=15, max=100\r\n Connection: Keep-Alive\r\n Content-Type: text/html\r\n FIG. 2.2 Réponse du serveur quelques sondes sont alors suffisantes pour obtenir une couverture du réseau. Les approches orientées agents, au contraire, nécessitent le déploiement d agents logiciels sur l ensemble des machines d un réseau, ce qui s avère d autant d autant plus difficile dans les réseaux où cohabitent des systèmes hétérogènes (voire impossible sur certains équipements spécifiques comme les imprimantes ou les équipements d interconnexion). Capacité de découverte : par définition, les sondes actives découvrent au plus ce qu elles cherchent explicitement. Les sondes passives, au contraire, permettent de découvrir des caractéristiques spécifiques de manière relativement générique. De plus, l approche passive permet d analyser les deux interlocuteurs d une communication et par conséquent découvrir des caractéristiques propres au client, contrairement aux approches actives qui ne peuvent solliciter que les serveurs. Malgré tout, la collecte passive n est pas exempte d inconvénients inhérents à l approche : Trafic chiffré : l approche passive analysant le contenu et les entêtes des trames à différent niveaux des couches protocolaires. Par conséquent, l utilisation du chiffrement limite considérablement les capacités d analyse des sondes passives. Les approches actives ou par agents ne sont pas impactées par le trafic chiffré, puisque la sollicitation des service se fait à l initiative des sondes. Réactivité : la réactivité a été évoquée parmi les avantages de l approche passive car les informations sont découvertes «au plus tôt». On peut toutefois objecter que les caractéristiques peuvent aussi être détectées «au plus tard», si la première sollicitation correspond à une attaque. Volume de trafic : à l instar des sondes de détection d intrusions réseau (NIDS), les sondes passive peuvent être fortement contraintes par le volume de trafic à analyser. Si ce volume est trop important, la sonde est susceptible de perdre des paquets et ne pas découvrir certains services. On notera toutefois que l impact de la perte de paquets par une sonde passive est moins important que dans le cas des NIDS car il ne s agit pas de détecter des attaques, mais des informations cartographique. De plus, il est probable qu une découverte rendue impossible par la perte d un paquet ne soit en réalité que repoussée à plus tard (en l occurrence à la prochaine sollicitation similaire du service). 6

9 Présence d éléments perturbateurs : certains éléments dans le réseau sont susceptible d introduire des erreurs dans les observations effectuées par les sondes passives. Par exemple, une sonde située en amont d un machine effectuant de la translation d adresse engendre des erreurs d identification des machines. Qualité des informations découvertes : les observations fournies par les sondes passives sont généralement de moins précises que les approches actives ou par agents. Les observations peuvent être aussi entachées d erreurs ou d incertitudes. Ceci est principalement lié au fait que les sondes passives sont tributaires du contenu sollicitations analysées, contrairement aux approches actives qui choisissent les stimuli adressés aux machines auditées. La qualité parfois médiocre des observations est aussi liée à la nature même des éléments utilisés pour identifier des caractéristiques cartographiques. Ces éléments peuvent en effet être ambigus, erronés, ou non fiables. Dans la suite de ce chapitre, nous décrivons le fonctionnement de la sonde passive développée dans le cadre de ACES et l architecture logicielle. La sonde passive permet d identifier trois catégories d informations que nous détaillons ci-après : inventaire des nœuds machines sur le réseau, type et version des systèmes d exploitation, type et version des logiciels client/serveur. 2.2 État de l art de l approche passive Il existe peu de publications sur l acquisition passive. En revanche, plusieurs produits open-source et commerciaux proposent des fonctions d acquisition passive, mais qui souffrent encore d inconvénients. Nous évoquons d abord les quelques publications dont nous avons connaissance sur le sujet, puis nous énumérons les caractéristiques d outils commerciaux et open-source. On pourra se référer à une page dédiée à l acquisition passive pour une brève synthèse des outils disponibles (http://www.networkintrusion.co.uk/osfp.htm) Publications Dans [6], Dayioglu et Ozgit décrivent l utilisation d informations cartographiques obtenues passivement avec des alertes issues de NIDS (Network-based Intrusion Detection Systems). L outil est un module greffé à Snort qui utilise des attributs de TCP discriminants afin de deviner le système d exploitation des composants. La taille de la fenêtre TCP, la valeur de TTL, le drapeau de fragmentation sont des exemples d attributs dont les valeurs varient en fonction des systèmes d exploitation. Dans une publication récente, Webster et al décrivent un outil d acquisition passive baptisé LANscape [5]. L outil est composé de quatre composants. Une sonde est responsable du suivi de l état des connexions TCP afin de découvrir les ports ouverts. Un composant est chargé d agréger les informations issues des sondes et mettre à jour les informations stockées dans le composant de stockage. Enfin, le quatrième composant est chargé de la visualisation des informations découvertes. Cette publication offre des enseignements pertinents sur des problèmes intrinsèques de l approche rencontrés. Par exemple, les auteurs évoquent les difficultés rencontrées avec les ports transitoires. Certains services, comme par exemple FTP, ouvrent des ports élevés (> 1024) aléatoires 1, qu ils se communiquent sur un canal de commande le temps d échanger des données. Une fois l échange terminé, le port est refermé par l une ou l autre des parties. Cependant, du point de vue de la sonde passive, le port est encore ouvert. Les serveurs mandataires (proxies) engendrent le même type de problèmes Outils commerciaux Les solutions commerciales d acquisition passive sont d autant plus onéreuses que l audit de réseaux de grande taille nécessite une multiplication des sondes pour auditer l ensemble du réseau et que le prix individuel des sondes est élevé. Les deux produits majeurs du marché sont NeVO [14] et RNA [13]. NeVO est le composant d acquisition passive annexé à la version commerciale de Nessus. Originellement, Nessus est un outil d audit actif, que complète naturellement le composant passif. Le caractère hybride de l approche est intéressant. 1 ou bien demandent au client d ouvrir un port 7

10 RNA est le composant d acquisition passive annexé à la version commerciale de Snort, baptisée Sourcefire. Snort est un système de détection d intrusions réseau, orienté signatures. Ce type de composant est une extension naturelle d un NIDS, car les techniques utilisées pour reconnaître les attaques, basées sur l étude des effets de bord de ces dernières sur le réseau, sont les mêmes que pour la reconnaissance de services. La maquette prévue dans ce projet exploite d ailleurs aussi les fonctions de reconnaissance et d extraction de motifs d IDS existants Outils open-source Il existe un grand nombre de d outils open-source performants, mais qui offrent un champ de fonctionnalités assez retreint ; il manque une infrastructure réunissant l ensemble des fonctions souhaitées. C est là l un des objectifs de notre étude : réutiliser autant que possible les outils existants pour construire un outil capable de remplir l ensemble des fonctions souhaitées de l acquisition passive. On peut découper les fonctions offertes par les outils open-source en deux catégories : la découverte de systèmes d exploitation et la découverte de services. Siphon[7] est un outil rudimentaire de détection de systèmes d exploitation et de services ouverts (au sens TCP). Les réponses positives des serveurs, c est à dire la présence des drapeaux SYN et ACK dans les paquets sont utilisé pour la découverte de services. Archaeoperyx [15] offre une interface graphique pour Siphon. Les développements semblent à l abandon depuis 2000, ainsi que la base de signatures d OS, qui rend l outil obsolete. Pof [8] est un outil de prise passive d empreintes systèmes qui est à l origine d autres outils tels que Ettercap [10] ou bien le module de Prelude [9] dédié à la reconnaissance d OS. La communauté qui contribue au développement est très active et par conséquent ces outils sont à jour pour la reconnaissance des systèmes d exploitations. Au titre des outils capables de reconnaître les systèmes d exploitations, citons aussi pfprintd [11] et Disco [12]. Leurs caractéristiques sont très similaires à celles de pof, nous ne détaillons donc pas plus ces outils. Bien qu il nous intéresse en premier lieu pour ses fonctions de prise d empreinte passive d OS, Ettercap offre d autres possibilités d analyse. Il permet notamment de lister les ports ouverts, les services hébergés et le type d hôte (simple hôte, passerelle ou routeur). La dernière version d Ettercap est très complète, mais la plupart des fonctions font appel à des méthodes d investigation actives. En effet, Ettercap stimule les hôtes en leur envoyant des requêtes et en analysant leurs réponses, ou bien s immisce dans les conversations (Man In The Middle), ce qui implique une interception et une redirection des paquets. Ces caractéristique sont intéressantes, mais elles sont intrinsèquement perturbantes vis-à-vis du réseau surveillé et violent notre contrainte de passivité. De toutes façons, dans notre contexte, nous utilisons la technique passive à des fins d administration du réseau donc, nous supposons donc que la sonde d acquisition est située à un endroit privilégié du réseau où le trafic est accessible à la sonde. Cependant, la nouvelle version de ettercap propose un mode exclusivement passif et est capable nativement d acquérir un grand nombre de caractéristiques, parmi les quelles les adresses IP des machines et leur nom, ainsi que les services ouverts. Le nom des machines est obtenu de manière passive en inspectant les requêtes DNS qui transitent sur le réseau. Dans son mode de fonctionnement passif, Ettercap peut également donner le type de carte réseau, en associant aux trois premiers octets de l adresse MAC son constructeur. Ensuite, selon le mode conventionnel de prise d empreinte, il détermine le système d exploitation des hôtes (actuellement, de l ordre de 1400 signatures sont référencées, tenues à jour par les contributeurs du projet). Enfin, les communications lui permettent de savoir quels sont les ports ouverts (TCP et UDP), en analysant notamment les paquets SYN+ACK, dans le cas de TCP, et d en déduire le fonctionnement vraisemblable de certains services. Ettercap évalue également de manière statistique la fonction de certaines machines (e.g. routeur, passerelle ou simple hôte), grâce aux messages ICMP. Enfin, ettercap présente des interfaces aux différents étages de l analyse, qui permettent de greffer des modules spécifiques. En revanche, Ettercap est incapable de suivre les sessions dans leur intégralité dans son fonctionnement passif. Comme nous le verrons, pour être plus précise, la collecte des informations de cartographie nécessite d analyser les sessions et non seulement les paquets individuels. 8

11 Données cartographiques conversion SQL Traitement des données tube nommé Sonde d'écoute Sonde passive d'écoute Sonde passive d'écoute passive réseau FIG. 2.3 Architecture de la sonde de cartographie passive La totalité de ces outils se base assez naturellement sur la bibliothèque libpcap pour l acquisition des paquets sur le réseau et bénéficient ainsi de l expressivité des filtres offerts par libpcap. Notons enfin que l ensemble des outils décrits manquent des fonctions nécessaires à la supervision de réseaux de grande taille sur le long terme. Ils ne sont pas intégrés dans une infrastructure globale capable d intégrer les observations de plusieurs sondes, le stockage de ces observations et la mise à jour des observations avec des informations collectées dans le passé. 2.3 Architecture générale L architecture de la sonde passive peut être divisée en trois composants fonctionnels. Le premier composant est responsable de la collecte, du filtrage et de l analyse de bas niveau du contenu des trames réseaux. Le second composant reçoit les événements issus du composant précédent pour consolider les observations, c est-à-dire normaliser et enrichir les observations et détecter les incohérences. Le troisième composant est responsable de la structuration et de la persistance des données cartographiques. La figure 2.3 présente l architecture de la sonde. La fonction de capture et d analyse du contenu des paquets réseaux s appuie sur les outils open-source existants Snort et Ettercap. Ces outils sont modifiés pour les besoins propres de collecte cartographique. Les données collectées par ces outils sont envoyées via un tube nommé au processus de traitement qui, après analyse, envoie ou met à jour les informations dans une base de données relationnelle. Le fonctionnement de ces composants ainsi que les structures de données concrètes auxquelles accède le gestionnaire de contexte sont décrites dans les sections suivantes de ce document. 2.4 Inventaire des nœuds du réseau Dans un contexte sécuritaire, il est primordial d être en mesure d identifier précisément les entités cible et source des attaques. Les entités de base considérées sont les nœuds du réseau, car ce sont les entités actives, chargées d exécuter des processus pour le compte d utilisateurs, et susceptibles d être affectés par des vulnérabilités. 9

12 On peut noter que le concept même de nœud est ambigu : les failles étant essentiellement logiques, les nœuds à identifier au sein du réseau ne sont pas tant les machines physiques que les entités logiques qui interagissent dans le réseau, c est-à-dire les systèmes d exploitation et les logiciels qu ils hébergent. Si dans la grande majorité des cas les machines physiques n hébergent qu un seul système d exploitation, il peut arriver que des machines soient multi-boot, auquel cas l association entre une machine physique et une entité logique n est plus valable qu à un instant donné. Notons enfin qu avec l utilisation grandissante des techniques de virtualisation (hébergement d une ou plusieurs machines virtuelles au sein d un même système d exploitation), l unicité de l association entre une machine physique et une entité logique n est même plus vraie à un instant donné. Dans le cadre de ce sous projet, nous ne considérerons pas le problème posé par les techniques de virtualisation, jugeant qu elles sont encore suffisamment exotiques. Pour résumer, nous considérerons dans la suite qu un nœud du réseau est une instance de système d exploitation exécuté à un instant donné. L objectif de l inventaire de machine est de collecter les différentes identités des nœuds du réseau, tout en essayant de préserver la cohérences entre ces différentes identités. Les identités considérées dans le cadre de la collecte passive sont les adresses MAC, les adresses IP et les noms réseau. L identification des nœuds du réseau impliqués dans des attaques à partir de ces différentes identités n est pas triviale. Aucune des quatre informations évoquées ci-dessus ne permettent d identifier les nœuds avec certitude car différents phénomènes ou mécanismes présents dans les réseaux peuvent les masquer ou les rendre ambigus : Les noms réseaux sont probablement les identités les plus pérennes et les plus évocatrices d un nœud. Le caractère évocateur d une identité est relatif à l interprétation que peut en avoir un opérateur de sécurité humain, qui est plus à même de connaître une machine par son nom que par son adresse IP et a fortiori par son adresse MAC. L obtention du nom réseau d un nœud à partir d une adresse IP se fait par l utilisation de mécanismes de résolution de type DNS. Cependant, la disponibilité des noms de machines n est pas garantie. En effet, les cas d échec de résolution inverse (c-à-d d obtention d un nom à partir d une adresse IP) sont fréquents. De plus, un nom réseau peut être associé à plusieurs adresses IP distinctes et une adresse IP est associée à au plus un nom réseau. Les adresses IP présentent l avantage d être disponibles de facto dans les trames réseau analysées par la sonde passive, mais leur pouvoir évocateur et leur pérennité sont inférieurs à ceux des noms réseau, notamment du fait de l utilisation croissante du protocole DHCP (Dynamic Host Configuration Protocol), qui rend dynamique l affectation des adresses IP aux nœuds du réseau. De plus, l utilisation de mécanismes de translation d adresse (NAT, Network Address Translation) peut masquer les adresses IP source et/ou destination réelles. Les adresses MAC constituent le moyen le plus fiable pour identifier un nœud dans le réseau, puisqu elles sont associées à une carte réseau physique. Cependant, ces identités ne sont valides que pour les machines dont une interface est située dans le même segment réseau que celle de la sonde passive. En théorie, une adresse MAC est associée à au plus une adresse IP. Cependant, la plupart des systèmes d exploitation autorisent l affectation de plusieurs adresses IP à une même carte réseau. On notera enfin qu un hôte peut être équipé de plusieurs interfaces réseaux ; par conséquent, une adresse MAC ne constitue pas un identifiant unique de nœud en soi. Dans la cadre de la cartographie passive, nous nous intéresserons plus spécialement au protocole DHCP car il contient des informations permettant de réunir les différentes identités des nœuds. En effet, une requête DHCP contient l adresse MAC de l hôte demandeur, l adresse IP qui lui est attribuée, ainsi que le nom qui lui est attribué dans le réseau, lorsque la mise à jour dynamique des DNS est activée dans le réseau Structures de données concrètes La Figure 2.4 représente le schéma relationnel de la sonde passive développée dans le cadre du projet. Les données d identification de machines sont stockées dans la table hosts et dans la table hosts_properties. La table hosts stocke les valeurs les plus à jour du nom (host_name), des adresses MAC (host_macaddr) et IP (host_ipv4) et du domaine (domain) des nœuds identifiés de manière unique par un identifiant symbolique host_id. La table hosts_properties est décrite plus en détail dans les sections suivantes. Dans le cas de l inventaire des nœuds du réseau, elle permet de mémoriser les identités de nœuds devenues obsolètes. Il est utile de mémoriser ces informations afin de permettre des raisonnements sur les alertes a posteriori (par exemple connaître l état de vulnérabilité d un hôte à une date donnée). 10

13 Hosts host_id host_ipv4 host_by_ip host_dhcp host_name host_by_name host_macaddr host_by_mac host_domain host_desc hosts_properties host_id prop_id prop_type prop_meaning prop_content prop_time products product_id prod_name prod_type prod_categorie prod_port cano_id reg_id data_cano_products reg_id prod_categorie _order regex nom_cst nom version_cst version os_cst os text prod_cano cano_id name_id version_id os_id FIG. 2.4 Schéma relationnel des structures de données concrètes utilisées par la sonde passive Algorithme de mise à jour des données Deux processus distincts contribuent à l alimentation et à la mise à jour du contenu de ces tables dans la sonde passive. Le premier processus alimente la base à partir des adresses IP présentes dans les trames réseau qui sont analysées, ainsi que par résolution DNS ; le second alimente la base par analyse des requêtes DHCP. Les algorithmes de stockage et de mise à jour sont décrits dans la section suivante. Mise à jour à partir des adresses IP contenues dans les trames L Algorithme 1 met à jour les données stockées dans les tables hosts (symbolisée par H ) et hosts_properties à partir d une adresse IP trouvée dans un paquet IP et retourne l identifiant symbolique de nœud associé. La première instruction consiste à obtenir le nom du nœud à partir de son adresse IP par les mécanismes classiques de résolution inverse de noms. On peut objecter que, ce faisant, la sonde n est pas strictement passive, puisqu elle effectue des requêtes à destination d un serveur DNS, par exemple. Ceci n est pas rédhibitoire car il s agit d un trafic ni volumineux ni potentiellement nocif comme peut l être celui engendré par sonde active par stimuli. De plus, pour obtenir une sonde strictement passive, il serait envisageable de placer une autre sonde passive en amont des serveurs de résolution de nom, dédiée à la capture des requêtes DNS, par exemple. Le gain en innocuité se ferait au détriment de la simplicité de l architecture et du traitement des informations. Nous n adopterons donc pas cette solution dans le cadre de ce projet. En cas de succès de la résolution inverse de nom et si il n existe qu un seul couple ip,name dans la base H, alors l identifiant symbolique est retourné. S il existe plusieurs noms identiques en base, différentes stratégies de mise à jour des informations sont entreprises en fonction du nombre de noms. Dans tous les cas, le nom issu de la résolution, jugé le plus pérenne, est utilisé en priorité pour retrouver l identifiant symbolique de nœud. La procédure memoriser est chargée du stockage des informations dans la tabel hosts_properties. La procédure newhost crée une nouvelle entrée dans la base hosts en lui affectant un identifiant symbolique unique. En cas d échec de la résolution de nom, l identifiant symbolique associé à l adresse IP est retourné s il existe, ou une nouvelle entrée est ajoutée à la table hosts. Mise à jour à partir des requêtes DHCP L Algorithme 2 met à jour les données stockées dans les tables hosts et hosts_properties à partir d une requête DHCP o dans laquelle figure l adresse MAC o.mac, l adresse IP o.ip et le nom o.name du nœud client DHCP. Cette procédure suppose que les DNS sont mis à jour dynamiquement. Dans le cas où un nœud présent dans la table hosts possède la même adresse MAC que celle de la requête, les autres identités de du nœud (adresse IP et nom) sont mises à jour et les éventuelles identités devenues obsolètes sont 11

14 Data: Une adresse IP ip Result: Identifiant symbolique du nœud et mise à jour de la table des hôtes H name resolve(ip); if name is defined then if!t H /t.ip = ip t.name = name then return t.hid; else let n = {t H /t.name = name} ; if n = 0 then if t H /t.ip = ip then t.hostname name; memoriser(t.hid, ip, name); return t.hid; else return new host(ip,name); end else if n = 1 then let t = n H /n.name = name; memoriser(t.hid, t.ip); t.ip ip; return t.hid; else return new host(ip,name); end end else if t H /t.ip = ip then return t.hid else return new host(ip); end end Algorithm 1: Mise à jour de l inventaire des nœuds à partir d une adresse IP mémorisées dans la table hosts_properties. S il n existe aucun nœud associé à l adresse MAC de la requête, il est nécessaire d identifier un éventuel nœud déjà présent dans la table hosts, qui correpond au nœud client de la requête DHCP. Cette situation peut se produire si par exemple le nœud en question a préalablement été identifié par la simple analyse de trafic IP (c.f. Algorithme 1). La recherche par nom est utilisée en priorité car le nom est jugé une information plus pérenne que l adresse IP. En l absence de nom coïncidant avec celui de la requête, c est l adresse IP qui est utilisée comme clé d indexation (lignes 15 à 25). Dans ce dernier cas, en présence d une telle adresse IP, il est nécessaire de vérifier si le nœud correspondant a été identifié par le biais de la sonde DHCP (test en ligne 17). Dans l affirmative, l adresse IP est invalidée (ligne 20) et une nouvelle entrée est ajoutée à la table hosts. Les cas les plus fréquents correspondent à une demande DHCP initiale, au renouvellement d un bail déjà acquis, ou à la perte d une adresse suit à l expiration d un bail. Des cas plus exotiques peuvent se produire, qui peuvent rendre ambiguë l identification de la machine physique concernée par la requête. Par exemple, l association entre un nom de machine et son adresse MAC peut changer, suite à un changement de nom logique ou au remplacement de la carte réseau ; une même machine peut posséder plusieurs adresses MAC ; des machines distinctes peuvent éventuellement posséder le même nom d hôte (cas de machines 12

15 Data: Une requête o = (o.mac, o.ip, o.name) Result: Mise à jour de la table des hôtes H if h H /h.mac = o.mac then if o.ip h.ip then memoriser(h, h.ip); h.ip o.ip; end if o.name h.name then memoriser(h, h.name); h.name o.name; end else let n = {h H /h.name = o.name} ; if n = 1 then memoriser(h.id, h.ip); (h.mac, h.ip) (o.mac, o.ip); else if n = 0 then if h H /h.ip = o.ip then if h.dhcp then (h.dhcp, h.mac, h.name) (true, o.mac, o.name); else h.by_ipv4 f alse; ajouter(h, new host(o.mac, o.ip, o.name)); end else ajouter(h, new host(o.mac, o.ip, o.name)); end else ajouter(h, new host(o.mac, o.ip, o.name)); end end Algorithm 2: Mise à jour de l inventaire des nœuds à partir des requêtes DHCP clonées) ; une machine peut avoir plusieurs accès ethernet, si bien qu un même nom peut être associé à plusieurs adresses MAC, ou au contraire autant de noms que d adresses MAC, auquel cas une même machine physique peut être vue comme plusieurs machines logiques ; les machines multi-boot sont susceptibles de posséder plusieurs noms et une seule adresse MAC. Une administration rigoureuse du réseau (absence de machine anonyme ou homonymes, par exemple) et/ou l inclusion de certaines propriétés dans les données cartographiques permettent de limiter ces difficultés Implémentation de la sonde La sonde d analyse du trafic DHCP est implémentée sous la forme d un module de EttercapNG, chargée de disséquer les requêtes DHCP. Les données analysées sont envoyées à l application de traitement des informations par le biais d un tube nommé. Le protocole DHCP contient différentes informations en fonction du type de requête effectué. Dans le cas d un renouvellement de bail unicast, le champ yiaddr contient l adresse IP choisie par le client. Dans le cas d une demande initiale par broadcast, l option 54 contient l adresse IP du serveur élu. Dans tous les cas, on obtient l adresse MAC du client et optionnellement son nom complet. 13

16 2.5 Inventaire de produits Les produits sont des logiciels au sens large, c est à dire des applications et des systèmes d exploitation. Comme présenté dans le livrable 6.1, la connaissance des produits est utile pour raisonner sur les alertes fournies par les sondes de détection d attaque. En effet, la grande majorité des vulnérabilité sont présentes au niveau des entités logiques d un système d information. La comparaison de la configuration vulnérable d un logiciel avec la configuration effective d un nœud du réseau permet de diagnostiquer le succès ou l échec d une attaque exploitant la vulnérabilité, à condition que ces configurations soient fiables 2. De plus, il existe des configurations logicielles dont le comportement normal est réputé pour engendrer des fausses alertes ou des alertes non pertinentes au niveau de certaines sondes de détection d attaques. La connaissance de la présence de ces configurations au sein d un système d information permet de reconnaître des occurrences de fausses alertes Structures de données concrètes Les données d inventaire logicielles sont stockées dans plusieurs tables dont la structure est décrite ci-après. La Figure 2.4 représente les relations entre ces tables. Identification des produits La description d un produit est stockée dans la table products. Un produit est identifié de manière unique par une valeur symbolique prod_id. La valeur prod_name est la description brute du produit, telle que fournie par la sonde passive ; prod_type est le type de service associé au produit (par exemple httpserver, etc.). La champ prod_categorie indique si le produit référencé est un système d exploitation, un service ouvert inconnu (c est-à-dire pour lequel il n existe aucune expression régulière satisfaisante), un produit de type client ou un produit de type serveur. Le champ prod_port est le numéro de port sur lequel le service identifié par prod_id est réputé écouter. Les champs cano_id et reg_id sont des clés étrangères des tables prod_cano et data_cano_prod, respectivement. Il n existe actuellement pas de nomenclature officielle des noms de produits. Les systèmes de collecte d informations cartographiques utilisent par conséquent leur propre convention de nommage. Pour exploiter ces différents outils, il est nécessaire d établir une nomenclature unique de nommage des logiciels et de convertir les noms bruts issus des outils dans cette représentation unique. On notera qu un récent projet baptisé CPE 3 (Common Platform Enumeration) créé à l initiative du Mitre 4 a pour ambition de proposer un schéma de nommage unique, basé sur un formalisme XML. Le formalisme proposé par CPE a été retenu dans le cadre de ACES pour la description des produits. Les noms normalisés sont stockés dans la table prod_cano. Formellement, un produit normalisé est un triplet constitué d un nom (name_id), d une version (version_id) et d un nom de système d exploitation (os_id) pour lequel le logiciel est conçu. Chaque produit normalisé est identifié de manière unique par une valeur symbolique cano_id. Pour éviter la redondance, les valeurs name_id, version_id et (os_id) sont en réalité des clés étrangères associées des valeurs stockées dans trois tables distinctes (non représentées sur la Figure 2.4 pour plus de lisibilité). La table data_cano_prod est utilisée par le processus de normalisation des noms de produits et contient les règles de conversion des noms bruts vers les noms normalisés. Cette table contient la catégorie de produit à filtrer prod_categorie (système d exploitation, serveur, client), l ordre d application de la règle (_order), l expression régulière de filtrage (regex) et les numéros de champ dans l expression régulière ou les constantes à utiliser pour formater les descriptions de produits. Par exemple, l entrée reg_id = 3 prod_categorie = server-version 2 Nous verrons que, en pratique, cette condition est difficile à remplir

17 _order = ap01 regex = ^Apache/(\d+(?:\.\d+)+) \((Unix Debian Red Hat Linux) nom_cst = TRUE nom = Apache version_cst = FALSE version = 1 os_cst = FALSE os = 2 signifie que le produit est de type serveur, qu il s agit de la première règle à tester dans la famille des règles ap, que le nom de produit extrait est constant et vaut «Apache», que le numéro de version est variable et disponible dans le premier sous-champ du résultat de l application de l expression régulière sur la donnée brute, et que le nom de système d exploitation est aussi variable et disponible dans le second sous-champ. Association entre les nœuds et les produits Le but de la collecte passive de la cartographie est d identifier les associations effectives entre des nœuds du réseau et les produits qu ils hébergent. Ce lien est implémenté au niveau des structures de données concrètes par la table hosts_properties. Les nœuds sont liés au produits par le biais du champ prop_content de la table hosts_properties, qui contient une clé étrangère, correspondant à un identifiant unique de produit. Afin de pouvoir étendre les caractéristiques d une machine, hosts_properties contient un champ décrivant la nature de l information (prop_meaning) et sa valeur (prop_content). Cette structure permet d ajouter des propriétés d hôtes nécessitant des structures de données plus complexes qu un simple couple (type, valeur) : prop_type contient alors le nom d une table et prop_content la clé primaire d une entrée de cette table. Dans le cas de l association des nœuds avec des produits, prop_type contient la valeur «runs» et prop_content une valeur correspondant à un prop_id. La table hosts_properties est aussi utilisée pour mémoriser les données d identification devenues obsolètes. Ainsi, les adresses MAC et IP et le nom d un hôte obsolètes sont stockées dans le champ prop_content, avec comme données prop_meaning les valeurs hostname, mac_addr et ip_addr (c.f. 10) Algorithme de mise à jour des données L algorithme consiste simplement à rechercher l identifiant symbolique du produit à partir de la description brute qui en est donnée par la sonde. En l absence de ce produit, un nouveau produit est ajouté à la liste des produits et un nouvel identifiant est retourné. L identifiant symbolique de l hôte à partir de son adresse IP est obtenu par invocation de la procédure gethostbyip, qui correspond à l Algorithme 1 donné précédemment. Enfin, l association entre l identifiant symbolique d hôte et l identifiant symbolique de produit est ajouté à la liste des propriétés d hôtes. Si la propriété d hôte a été détectée précédemment, la date d observation est simplement mise à jour, sinon un nouvelle propriété d hôte est créée avec comme date d observation la date courante Implémentation de la sonde Deux processus de détection séparés sont utilisés pour détecter les systèmes d exploitation et les applications. Détection de systèmes d exploitation À l instar de l approche active par stimuli, l identification des systèmes d exploitation par analyse passive se base sur des ambiguïtés dans les spécifications du protocole TCP/IP, qui donnent lieu à des implémentations différentes dans les piles TCP/IP des systèmes d exploitations. Il est ainsi possible d identifier la nature et la version du système d exploitation d un client et d un serveur par les techniques de prise d empreinte (fingerprinting), qui consistent à analyser certains champs des entêtes TCP/IP (TTL, taille de fenêtre, DF, TOS) présents dans les trames échangées. 15

18 Data: Un événement e = (ip, prod,cat) où ip est l adresse IP d une machine, prod un nom brut de produit et cat une catégorie de produit Result: Mise à jour des tables produits P et propriété de nœuds H P if p P /p.cat = cat p.prod = prod then p new product(prod, cat); end hid gethostbyip(ip); if hp H P /hp.hid = hid hp.type = run hp.content = p.id then hp new host property(hid, run, p.id); end else hp.t currenttime end Algorithm 3: Mise à jour de l inventaire des associations produits/nœuds L identification de systèmes d exploitations par cartographie passive n est pas totalement fiable. En particulier, les données à disposition ne sont pas toujours suffisantes pour distinguer deux versions de systèmes d exploitation différentes. D une manière générale, cette technique permet de distinguer des familles de systèmes d exploitation, ce qui suffit souvent pour déterminer l échec d une attaque (plutôt que son succès). Ettercap est utilisé pour la détection de systèmes d exploitation. Sa base d empreintes de systèmes compte plusieurs centaines d entrées. Détection d applications Comme illustré dans l exemple donné en introduction de ce chapitre, l identification des logiciels par cartographie passive repose sur l extraction des annonces faites par certains logiciels dans les requêtes ou réponses du protocole applicatif. L extraction des annonces effectuées par les logiciels est réalisée à partir d expression régulières au format PCRE (Perl Compatible Regular Expressions). L outil open-source Snort dispose des fonctions nécessaires à cette extraction. Une base de règles ad-hoc sera donc élaborée dans le cadre du projet pour capturer les données voulues. Par exemple, les deux règles suivantes permettent d identifier respectivement un client et un serveur web : log tcp any any -> any 80 ( flow: from_client,established; content: "User-Agent\: "; classtype:client-version; pcre:"/user-agent\:\s([^\r\n]+)[\r\n]/"; msg:"...";) log tcp any 80 -> any any ( flow: from_server,established; content: "Server\:"; classtype:server-version; pcre:"/server\:\s([^\r\n]+)[\r\n]/"; msg:"...";) Bien entendu, seuls les services écoutant sur les ports standards énumérés dans les signatures (par exemple 80 dans le cas du HTTP) pourront être identifiés. La base de règles du prototype de sonde développé dans le cadre de ACES se limitera à l analyse de quelques protocoles applicatifs les plus courants, à savoir les applications HTTP, mail (SMTP, POP), FTP, SSH, IRC, NNTP. 16

19 2.5.4 Problèmes liés à l identification des logiciels Afin de raisonner sur les alertes, nous avons besoin de croiser des informations sur la cartographie du système d information avec des informations sur les configurations vulnérables des applications. Les premières sont obtenues par le biais de sondes de collecte actives ou passive et les secondes à partir de bases de données de vulnérabilité diverses (OSVDB, ICAT, etc.). Ni les unes ni les autres n utilisent de référentiel commun de nommage des logiciel, ce qui complique la tâche de corrélation car les identifiants de produits sont incompatibles, imprécis, ambigus et parfois entachés d erreurs, comme cela a été évoqué plus haut (c.f. 14). Le projet CPE, qui propose un schéma de nommage unique est balbutiant. Les sondes cartographiques et les bases de données de vulnérabilités ne l utilisent donc pas encore pour identifier les produits. Il est possible que cela soit le cas dans ultérieurement, lorsque la base de données CPE sera suffisamment riche. En attendant, nous devons faire la conversion des noms bruts vers un schéma de nommage unique. Comme nous l avons déjà évoqué, le schéma de nommage retenu dans le cadre du projet est compatible avec celui proposé par CPE. Cette conversion peut s opérer à différents étages du système de collecte cartographique. La technique la plus élégante consiste à alimenter la base de connaissance directement avec des données normalisées, ce qui signifie que le travail de conversion est assuré directement par les sondes. C est la technique que nous adoptons pour l identification des logiciels affectés par des malwares, dans le cadre du contexte global. La base des noms de logiciels est aussi alimentée par des systèmes dont nous n avons pas forcément la maîtrise. Dans ce dernier cas, la conversion est effectuée à l extérieur de ces systèmes, par un processus ad-hoc, situé au niveau de la base de connaissance. Ce processus prend en entrée les règles de conversion (sous la forme d expressions régulières), les descriptions de logiciels issues de sources non compatibles avec CPE, applique les conversions et les stocke dans la base d informations cartographiques. Cette opération de conversion est symbolisée dans le schéma d architecture donné en Figure 2.3 par la flèche dont le label est «conversion». Le principe de fonctionnement est d essayer d appliquer une à une les expressions régulières sur les données brutes. En cas de succès, des données sont éventuellement extraites du résultat de l application de l expression régulière (par exemple le numéro de version d un produit), puis la description normalisée du produit est stockée dans la base. La conversion d une donnée brute peut éventuellement donner lieu à l insertion de plusieurs entrées normalisées, par exemple lorsqu une donnée brute identifie une application donnée et un système d exploitation. Les requêtes émanant du gestionnaire de corrélation n exploitent que les données normalisées. 17

20 Chapitre 3 Collecte Active de Données Contextuelles Locales La solution logicielle DNA consiste en un moteur de découverte et d inventaire réseau automatique. A l issue de cette étape active de récupération d informations, un algorithme permet d établir la connectivité en couches 2 et 3 entre les différents équipements réseau. Ces informations sont stockées dans une base de données relationnelle. Dans le cadre de ACES, DNA sera donc utilisé comme une sonde logicielle, source d informations contextuelles cartographiques. La table ntxcprocnetworkobject contient la liste des équipements découverts sur le réseau : ntxcprocnetworkobject Field Type Null Default Extra UOID string(200) No lasthistory int(11) Yes 0 PrimaryIntIndex int(11) Yes NULL PrimaryIpAddress string(50) Yes NULL ObjectTypeID int(11) Yes 0 Services int(11) Yes NULL PublicCommunity string(50) Yes NULL PrivateCommunity string(50) Yes NULL Hostname string(50) Yes NULL VendorID int(11) Yes 0 ProductID string(200) Yes NULL extendedproductid string(10) Yes NULL wmiserial string(50) Yes NULL fingerprintos string(255) Yes NULL fingerprintosdetails string(255) Yes NULL x int(11) Yes -1 y int(11) Yes -1 La table dnahistory contient la liste des inventaires effectués par DNA. 18

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection) II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection) II.2/ Description des couches 1&2 La couche physique s'occupe de la transmission des bits de façon brute sur un canal de

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

L3 informatique Réseaux : Configuration d une interface réseau

L3 informatique Réseaux : Configuration d une interface réseau L3 informatique Réseaux : Configuration d une interface réseau Sovanna Tan Septembre 2009 Révision septembre 2012 1/23 Sovanna Tan Configuration d une interface réseau Plan 1 Introduction aux réseaux 2

Plus en détail

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous-direction scientifique et technique Laboratoire Technologies de l Information

Plus en détail

DHCP et NAT. Cyril Rabat cyril.rabat@univ-reims.fr. Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 2012-2013

DHCP et NAT. Cyril Rabat cyril.rabat@univ-reims.fr. Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 2012-2013 DHCP et NAT Cyril Rabat cyril.rabat@univ-reims.fr Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 22-23 Cours n 9 Présentation des protocoles BOOTP et DHCP Présentation du NAT Version

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Linux sécurité des réseaux

Linux sécurité des réseaux Linux sécurité des réseaux Rappels et audits réseaux Frédéric Bongat (IPSL) Philippe Weill (SA) 1 Introduction Sécurité des réseaux sous Linux Les réseaux Audit réseau 2 3 TCP/IP : protocoles de communication

Plus en détail

Présentation du modèle OSI(Open Systems Interconnection)

Présentation du modèle OSI(Open Systems Interconnection) Présentation du modèle OSI(Open Systems Interconnection) Les couches hautes: Responsables du traitement de l'information relative à la gestion des échanges entre systèmes informatiques. Couches basses:

Plus en détail

Serveurs de noms Protocoles HTTP et FTP

Serveurs de noms Protocoles HTTP et FTP Nils Schaefer Théorie des réseaux (EC3a) Serveurs de noms Protocoles HTTP et FTP Théorie des réseaux (EC3a) Séance 7 Pourquoi DNS? Internet est une structure hiérarchique et arborescente de réseaux et

Plus en détail

Sécurité des réseaux Les attaques

Sécurité des réseaux Les attaques Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques

Plus en détail

Semaine 4 : le protocole IP

Semaine 4 : le protocole IP Semaine 4 : le protocole IP Séance 1 : l adressage... 1 Séance 2 : le protocole IP... 8 Séance 3 : l adresse IP... 16 Séance 1 : l adressage Introduction Au cours de cette séance, nous allons parler de

Plus en détail

La sécurité des Réseaux Partie 6.1 Les pare-feus

La sécurité des Réseaux Partie 6.1 Les pare-feus La sécurité des Réseaux Partie 6.1 Les pare-feus Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références F. Ia et O. Menager, Optimiser et sécuriser son trafic

Plus en détail

Dynamic Host Configuration Protocol

Dynamic Host Configuration Protocol Dynamic Host Configuration Protocol 1 2 problèmes de gestion avec IP La Gestion des adresses IP Les adresses IP doivent être unique Nécessité d une liste d ordinateurs avec leurs adresses IP respectives

Plus en détail

Contrôle Réseau Internet et services Documents papier et calculatrice autorisés 2h00

Contrôle Réseau Internet et services Documents papier et calculatrice autorisés 2h00 Contrôle Réseau Internet et services Documents papier et calculatrice autorisés 2h00 NOM : Nombre total de points : 56,5 points. Note finale = nb points acquis*20/ Les parties sont indépendantes. Dans

Plus en détail

Architectures de communication. «Architecture protocolaire réseau» «protocolaire»

Architectures de communication. «Architecture protocolaire réseau» «protocolaire» Architectures de communication C. Pham Université de Pau et des Pays de l Adour Département Informatique http://www.univ-pau.fr/~cpham Congduc.Pham@univ-pau.fr «Architecture protocolaire réseau» Architecture

Plus en détail

Réseaux - Cours 3. IP : introduction et adressage. Cyril Pain-Barre. Semestre 1 - version du 13/11/2009. IUT Informatique Aix-en-Provence

Réseaux - Cours 3. IP : introduction et adressage. Cyril Pain-Barre. Semestre 1 - version du 13/11/2009. IUT Informatique Aix-en-Provence Réseaux - Cours 3 IP : introduction et adressage Cyril Pain-Barre IUT Informatique Aix-en-Provence Semestre 1 - version du 13/11/2009 1/32 Cyril Pain-Barre IP : introduction et adressage 1/24 TCP/IP l

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

Notions sur les réseaux TCP/IP, avec et sans fil

Notions sur les réseaux TCP/IP, avec et sans fil 5 Notions sur les réseaux TCP/IP, avec et sans fil Chapitre Au sommaire de ce chapitre Principe du réseau Internet Termes basiques du paramétrage de TCP/IP Principe des ports TCP et UDP Et les VPN? Dans

Plus en détail

Chapitre 1 Comment se connecter à Internet... 13

Chapitre 1 Comment se connecter à Internet... 13 Chapitre 1 Comment se connecter à Internet... 13 1.1 Adresse IP permanente ou temporaire... 16 1.2 Débit d une connexion... 16 1.3 Utilisation occasionnelle (RTC, Numéris)... 20 RTC... 20 RNIS... 24 1.4

Plus en détail

Rappels réseaux TCP/IP

Rappels réseaux TCP/IP Rappels réseaux TCP/IP Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 1 /27 Au menu Modèle

Plus en détail

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI Chapitre 2 Vulnérabilités protocolaires et attaques réseaux 1 Définitions Vulnérabilité: Défaut ou faiblesse d un système dans sa conception, sa mise en œuvre ou son contrôle interne pouvant mener à une

Plus en détail

INF4420: Éléments de Sécurité Informatique

INF4420: Éléments de Sécurité Informatique : Éléments de Module III : Sécurité des réseaux informatiques José M. Fernandez M-3109 340-4711 poste 5433 Où sommes-nous? Semaine 1 Intro Semaines 2, 3 et 4 Cryptographie Semaine 6, 7 Sécurité dans les

Plus en détail

Retour d expérience sur Prelude

Retour d expérience sur Prelude Retour d expérience sur Prelude OSSIR Paris / Mathieu Mauger Consultant Sécurité (Mathieu.Mauger@intrinsec.com) Guillaume Lopes Consultant Sécurité (Guillaume.Lopes@Intrinsec.com) @Intrinsec_Secu 1 Plan

Plus en détail

Internet. PC / Réseau

Internet. PC / Réseau Internet PC / Réseau Objectif Cette présentation reprend les notions de base : Objectif, environnement de l Internet Connexion, fournisseurs d accès Services Web, consultation, protocoles Modèle en couches,

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

Sécurité des réseaux Firewalls

Sécurité des réseaux Firewalls Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et

Plus en détail

Protection des protocoles www.ofppt.info

Protection des protocoles www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Protection des protocoles DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2

Plus en détail

Partagez plus avec Christie Brio

Partagez plus avec Christie Brio Partagez plus avec Christie Brio Plus de productivité. Plus de travail en équipe. Plus de choix Sommaire Christie Brio Enterprise Guide de déploiement Présentation..2 Où installer le boitier sur le réseau..

Plus en détail

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Claire Billaud - 3ème année IS MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Page 1 sur 9 Principe : On veut faire en sorte que le réseau interne

Plus en détail

Introduction. UDP et IP UDP

Introduction. UDP et IP UDP Introduction Protocoles TCP et UDP M. Berthet. Les illustrations sont tirées de l ouvrage de Guy Pujolle, Cours réseaux et Télécom TCP (Transmission Control Protocol) et UDP (User Datagram Protocol) assurent

Plus en détail

Couche réseau : autour d IP. Claude Chaudet

Couche réseau : autour d IP. Claude Chaudet Couche réseau : autour d IP Claude Chaudet 2 ICMP : Signalisation dans IP Positionnement et rôle d'icmp IP est, en soi, un mécanisme simple dédié à l'acheminement de trames Il ne définit pas de messages

Plus en détail

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité 1. Présentation Nmap est un outil open source d'exploration réseau et d'audit de sécurité, utilisé pour scanner de grands

Plus en détail

NFA083 Réseau et Administration Web TCP/IP

NFA083 Réseau et Administration Web TCP/IP NFA083 Réseau et Administration Web TCP/IP Sami Taktak sami.taktak@cnam.fr Centre d Étude et De Recherche en Informatique et Communications Conservatoire National des Arts et Métiers Rôle de la Couche

Plus en détail

Master Informatique. Master Informatique 1ère année 1 er sem. Anonymat : Numéro à coller. Examen Réparti 1 : ARES 2010-2011

Master Informatique. Master Informatique 1ère année 1 er sem. Anonymat : Numéro à coller. Examen Réparti 1 : ARES 2010-2011 3. Lorsqu une alerte est interceptée sur le serveur web, l application doit envoyer un e-mail aux administrateurs des machines distantes concernées. (a) Pouvez vous rappeler le protocole applicatif utilisé

Plus en détail

Travaux Pratiques n 1 Principes et Normes des réseaux.

Travaux Pratiques n 1 Principes et Normes des réseaux. Travaux Pratiques n 1 Principes et Normes des réseaux. Objectifs Connaitre le matériel de base (switch, hub et routeur) Savoir configurer une machine windows et linux en statique et dynamique. Connaitre

Plus en détail

Les Protocoles de Transport Introduction à l analyse de trames

Les Protocoles de Transport Introduction à l analyse de trames Les Protocoles de Transport Introduction à l analyse de trames telnet localhost 80 telnet localhost 80 Trying ::1 connected to localhost. Escape character is ^]. Demande de connexion du client Ouverture

Plus en détail

Introduction. Adresses

Introduction. Adresses Architecture TCP/IP Introduction ITC7-2: Cours IP ESIREM Infotronique Olivier Togni, LE2I (038039)3887 olivier.togni@u-bourgogne.fr 27 février 2008 L Internet est basé sur l architecture TCP/IP du nom

Plus en détail

Réseaux - Cours 4. IP : introduction et adressage. Cyril Pain-Barre. version du 18/2/2013. IUT Informatique Aix-en-Provence

Réseaux - Cours 4. IP : introduction et adressage. Cyril Pain-Barre. version du 18/2/2013. IUT Informatique Aix-en-Provence Réseaux - Cours 4 : introduction et adressage Cyril Pain-Barre IUT Informatique Aix-en-Provence version du 18/2/2013 1/34 Cyril Pain-Barre : introduction et adressage 1/26 TCP/ l architecture d Internet

Plus en détail

Introduction. Licence MASS L3 Inf f3

Introduction. Licence MASS L3 Inf f3 Le modèle client serveur Introduction Licence MASS L3 Inf f3 Encapsulation : rappel Données Données Application En-tête En-tête Transport UDP Données TCP Données Paquet UDP Segment TCP En-tête IP Données

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 69 Audit et Sécurité Informatique Chap 2: Firewall et Règles de Filtrage ACL Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2 / 69 Plan

Plus en détail

A l'origine, les FYI sont uniquement des documents officiels issus des organismes de normalisation de l'internet, sans toutefois être des normes.

A l'origine, les FYI sont uniquement des documents officiels issus des organismes de normalisation de l'internet, sans toutefois être des normes. 1 2 Deux groupes guident les évolutions de l Internet : un groupe de recherche, l IRTF (Internet Research Task Force) un groupe de développement, l IETF (Internet Engineering Task Force) ; travaille sur

Plus en détail

SECURIDAY 2013 Cyber War

SECURIDAY 2013 Cyber War Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Formateurs: 1. Trabelsi NAJET

Plus en détail

Exercice 1 : Routage et adressage

Exercice 1 : Routage et adressage NOM Prénom : Tous les documents manuscrits ou imprimés sont autorisés (polycopiés de cours, notes personnelles, livres, etc.). Il est interdit de prêter ses documents à ses voisins. L'usage de la calculatrice

Plus en détail

Conception des réseaux Contrôle Continu 1

Conception des réseaux Contrôle Continu 1 NOM: PRENOM: Conception des réseaux Contrôle Continu 1 Durée : 2 heures Seuls les documents manuscrits ou distribués en cours sont autorisés. Les réponses doivent tenir dans l encadré prévu à cet effet

Plus en détail

Administration réseau Introduction

Administration réseau Introduction Administration réseau Introduction A. Guermouche A. Guermouche Cours 1 : Introduction 1 Plan 1. Introduction Organisation Contenu 2. Quelques Rappels : Internet et le modèle TCP/ Visage de l Internet Le

Plus en détail

TP 1 - Prise de contact avec Snort, scapy

TP 1 - Prise de contact avec Snort, scapy TP 1 - Prise de contact avec Snort, scapy 0. Initialisation du TP Installer les paquets python-scapy, snort, nmap. 1. Présentation de SNORT v2.8.5 La détection d intrusion consiste en un ensemble de techniques

Plus en détail

Évolution de l architecture de réseau avec garde-barrière, VPN, accès distants

Évolution de l architecture de réseau avec garde-barrière, VPN, accès distants JRES 2003 Lille, 20 novembre 2003 Évolution de l architecture de réseau avec garde-barrière, VPN, accès distants Marie-Claude QUIDOZ & Catherine GRENET CNRS/UREC Évolution de l architecture de réseau /

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

Installation et configuration d un serveur DHCP (Windows server 2008 R2)

Installation et configuration d un serveur DHCP (Windows server 2008 R2) Installation et configuration d un serveur DHCP (Windows server 2008 R2) Contenu 1. Introduction au service DHCP... 2 2. Fonctionnement du protocole DHCP... 2 3. Les baux d adresse... 3 4. Etendues DHCP...

Plus en détail

DIFF DE BASE. Serendip serendip@via.ecp.fr. Samy samy@via.ecp.fr

DIFF DE BASE. Serendip serendip@via.ecp.fr. Samy samy@via.ecp.fr DIFF DE BASE Serendip serendip@via.ecp.fr Samy samy@via.ecp.fr I. INTRODUCTION AU RÉSEAU RÉSEAU : /ʁE.ZO/ N.M. DÉR., AU MOYEN DU SUFF. -EAU, DE L'A. FR. REIZ, REZ «FILET» (RETS); RÉSEAU A ÉTÉ EN CONCURRENCE

Plus en détail

Protocole TCP/IP. On classe généralement les protocoles en deux catégories selon le niveau de contrôle des données que l'on désire :

Protocole TCP/IP. On classe généralement les protocoles en deux catégories selon le niveau de contrôle des données que l'on désire : Nom.. Prénom.. Protocole TCP/IP Qu'est-ce qu'un protocole? Un protocole est une méthode de codage standard qui permet la communication entre des processus s'exécutant éventuellement sur différentes machines,

Plus en détail

Haka : un langage orienté réseaux et sécurité

Haka : un langage orienté réseaux et sécurité Haka : un langage orienté réseaux et sécurité Kevin Denis, Paul Fariello, Pierre Sylvain Desse et Mehdi Talbi kdenis@arkoon.net pfariello@arkoon.net psdesse@arkoon.net mtalbi@arkoon.net Arkoon Network

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Adressage de réseaux

Adressage de réseaux Page 1 sur 28 Adressage de réseaux 5.1 Adresses IP et masques de sous-réseau 5.1.1 Rôle de l adresse IP Un hôte a besoin d une adresse IP pour participer aux activités sur Internet. L adresse IP est une

Plus en détail

Travaux pratiques Utilisation de Wireshark pour examiner une capture DNS UDP

Travaux pratiques Utilisation de Wireshark pour examiner une capture DNS UDP Travaux pratiques Utilisation de Wireshark pour examiner une capture DNS UDP Topologie Objectifs 1re partie : Enregistrer les informations de configuration IP d un ordinateur 2e partie : Utiliser Wireshark

Plus en détail

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM Copyright TECH 2012 Technext - 8, avenue Saint Jean - 06400 CANNES Société - TECHNEXT France - Tel : (+ 33) 6 09 87 62 92 - Fax :

Plus en détail

Configuration IP sous Debian Gnu/Linux. Projet réseau 2006-200. /etc/network/interfaces. routage sous linux. Plateforme 1.

Configuration IP sous Debian Gnu/Linux. Projet réseau 2006-200. /etc/network/interfaces. routage sous linux. Plateforme 1. Projet réseau 2006-200 routage sous Linux: configuration réseau et routage sous linux travail personnel: (1) mise en place d'un routeur linux. traduction d'adresse sujet: translation d'adresse (NAPT) travail

Plus en détail

http://www.world-prog.com

http://www.world-prog.com Quelle couche OSI gère les segments de données? La couche application La couche présentation La couche session La couche transport 4.1.3 Prise en charge de communications fiables 2 Reportez-vous à l illustration.

Plus en détail

Sécurisation en réseau

Sécurisation en réseau Déni de services Sécurisation en réseau Utilisant des bugs exemple Ping of death (Cf. RFC IP) l exploitation des protocoles TCP SYN flooding Envoi seulement le début du 3-way handshake Saturation de la

Plus en détail

GENERALITES. COURS TCP/IP Niveau 1

GENERALITES. COURS TCP/IP Niveau 1 GENERALITES TCP/IP est un protocole inventé par les créateurs d Unix. (Transfer Control Protocol / Internet Protocole). TCP/IP est basé sur le repérage de chaque ordinateur par une adresse appelée adresse

Plus en détail

TP SIMULATION RESEAU Logiciel PACKET TRACER

TP SIMULATION RESEAU Logiciel PACKET TRACER TP SIMULATION RESEAU Logiciel PACKET TRACER Objectif du TP : Choix du matériel pour faire un réseau Comprendre l adressage IP Paramétrer des hôtes sur un même réseau pour qu ils communiquent entre eux

Plus en détail

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage: Administration d un Intranet Rappel: Le routage dans Internet La décision dans IP du routage: - Table de routage: Adresse destination (partie réseau), netmask, adresse routeur voisin Déterminer un plan

Plus en détail

Sécurité informatique : Sécurité dans un monde en réseau. Explosion des connexions à internet 2. ... Mais c est pas tout! 3

Sécurité informatique : Sécurité dans un monde en réseau. Explosion des connexions à internet 2. ... Mais c est pas tout! 3 Sécurité informatique : Matthieu Amiguet 2006 2007 Explosion des réseaux Explosion des connexions à internet 2 En 1990, environ 320 000 hôtes étaient connectées à internet Actuellement, le chiffre a dépassé

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet Curriculum Name Guide du participant CCENT 3 Section 9.3 Dépannage de l adressage IP de la couche 3 Cette section consacrée au dépannage vous permettra d étudier les conditions nécessaires à l obtention

Plus en détail

18 TCP Les protocoles de domaines d applications

18 TCP Les protocoles de domaines d applications 18 TCP Les protocoles de domaines d applications Objectifs 18.1 Introduction Connaître les différentes catégories d applications et de protocoles de domaines d applications. Connaître les principaux protocoles

Plus en détail

Cisco Certified Network Associate

Cisco Certified Network Associate Cisco Certified Network Associate Version 4 Notions de base sur les réseaux Chapitre 3 01 Quel protocole de la couche application sert couramment à prendre en charge les transferts de fichiers entre un

Plus en détail

Profil de protection d un pare-feu industriel

Profil de protection d un pare-feu industriel Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

Notice du LiveCD Spécialité Réseaux

Notice du LiveCD Spécialité Réseaux Notice du LiveCD Spécialité Réseaux 21 2 Ethereal : Ethereal est un sniffer de réseau, il capture les trames circulant sur le réseau, en permet l'analyse et sépare suivant l'encapsulation les différnetes

Plus en détail

Sécurisation du réseau

Sécurisation du réseau Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités

Plus en détail

Administrateur Système et Réseau

Administrateur Système et Réseau Titre professionnel : Reconnu par l Etat de niveau II (Bac), inscrit au RNCP (arrêté du 28/01/09, J.O. n 32 du 07/02/09) (53 semaines) page 1/7 Unité 1 : Gestion du poste de travail 4 semaines Module 1

Plus en détail

Le protocole ARP (Address Resolution Protocol) Résolution d adresses et autoconfiguration. Les protocoles ARP, RARP, TFTP, BOOTP, DHCP

Le protocole ARP (Address Resolution Protocol) Résolution d adresses et autoconfiguration. Les protocoles ARP, RARP, TFTP, BOOTP, DHCP Résolution d adresses et autoconfiguration Les protocoles ARP, RARP, TFTP, BOOTP, DHCP Le protocole ARP (Address Resolution Protocol) Se trouve au niveau de la couche réseau (à côté du protocole ) Routage

Plus en détail

Cisco Certified Network Associate

Cisco Certified Network Associate Cisco Certified Network Associate Version 4 Notions de base sur les réseaux Chapitre 4 1 D après l en-tête de la couche transport illustré, quelles affirmations parmi les suivantes définissent la session

Plus en détail

Chapitre 5 : Protocole TCP/IP

Chapitre 5 : Protocole TCP/IP Chapitre 5 : Protocole TCP/IP 1- IP (Internet Protocol) : Il permet de à des réseaux hétérogène de coopérer. Il gère l adressage logique, le routage, la fragmentation et le réassemblage des paquets. Il

Plus en détail

Réseau en automatisme industriel Ethernet les réseaux IP

Réseau en automatisme industriel Ethernet les réseaux IP Rappel Réseau en automatisme industriel Ethernet les réseaux IP Le modèle OSI définit sept couches. TCP/IP est basé sur le modèle DOD, qui ne comporte que quatre couches, mais en cohérence avec le modèle

Plus en détail

Application distribuée via HTTP Mise en œuvre minimale...

Application distribuée via HTTP Mise en œuvre minimale... Module RX : distrib/http Application distribuée via HTTP Mise en œuvre minimale... Problème de la distribution Fabrice Harrouet École Nationale d Ingénieurs de Brest harrouet@enib.fr http://www.enib.fr/~harrouet/

Plus en détail

Services réseau. 6.1 Clients, serveurs et leur interaction. 6.1.1 Relation client-serveur

Services réseau. 6.1 Clients, serveurs et leur interaction. 6.1.1 Relation client-serveur Page 1 sur 35 Services réseau 6.1 Clients, serveurs et leur interaction 6.1.1 Relation client-serveur Tous les jours, nous utilisons les services disponibles sur les réseaux et sur Internet pour communiquer

Plus en détail

Fonctionnement et protocoles des couches applicatives

Fonctionnement et protocoles des couches applicatives Chapitre 3 : Fonctionnement et protocoles des couches applicatives Introduction La plupart d entre nous utilisons Internet via le Web, les services de messagerie et les programmes de partage de fichiers.

Plus en détail

Les pare-feux : concepts

Les pare-feux : concepts Les pare-feux : concepts Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (2) 15 mai 2005 Diapositive N 1 /19 C'est quoi

Plus en détail

Cours n 9. Trunking - VTP Inter-VLAN

Cours n 9. Trunking - VTP Inter-VLAN Cours n 9 Trunking - VTP Inter-VLAN 1 Sommaire Agrégation (Trunking) VTP Inter-VLAN routing 2 Définition L'apparition de l'agrégation (trunking) remonte aux origines des technologies radio et de téléphonie.

Plus en détail

Protection contre les menaces Prévention

Protection contre les menaces Prévention Protection contre les menaces Prévention Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Prévention Routeurs Pare-feu Systèmes de prévention d intrusion Conclusions Jean-Marc

Plus en détail

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir. Mise à jour: Mars 2012 Objectif du module Réseaux Informatiques [Archi/Lycée] http://fr.wikipedia.org/ Nicolas Bredèche Maître de Conférences Université Paris-Sud bredeche@lri.fr Acquérir un... Ressources

Plus en détail

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Fonctionnement de Iptables. Exercices sécurité. Exercice 1 Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis.

Plus en détail

INFO 3020 Introduction aux réseaux d ordinateurs

INFO 3020 Introduction aux réseaux d ordinateurs INFO 3020 Introduction aux réseaux d ordinateurs Philippe Fournier-Viger Département d informatique, U.de M. Bureau D216, philippe.fournier-viger@umoncton.ca Automne 2014 1 Introduction Au dernier cours

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

Administration Système

Administration Système Administration Système Nadi Tomeh 10 mars 2015 Conception du réseau Configuration/installation d une station de travail Switching Hub Ether 10/100 COL 12345678 100 1236 125080! 10 Power Intégration dans

Plus en détail

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ)

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Objectifs Se connecter au périphérique multi-fonction et afficher les paramètres de sécurité

Plus en détail

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1 Formation A2IMP Acquisition d information sur les autres Frédéric Bongat IPSL Formation A2IMP 1 Idée : corréler des informations via d autres Informations de base Connaître l horodatage (date, heure) des

Plus en détail

Cours réseaux Modèle OSI

Cours réseaux Modèle OSI Cours réseaux Modèle OSI IUT 1 Université de Lyon Introduction: le modèle OSI Un modèle théorique : le modèle OSI (Open System Interconnection) A quoi ça sert: Nécessité de découper/classifier l ensemble

Plus en détail

CCNA 1 Final exam 2011 French

CCNA 1 Final exam 2011 French CCNA 1 Final exam 2011 French Email : quocvuong.it@gmail.com Thanks! Regardez le schéma. Parmi les affirmations suivantes se rapportant à la configuration IP mentionné lesquelles sont vraies? (Choisissez

Plus en détail

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement COREYE CACHE Solution d absorption de charge pour une disponibilité et une performance optimales des applications Web En bref Architecture technique La plateforme Coreye Cache délivre la majeure partie

Plus en détail

Cours CCNA 1. Exercices

Cours CCNA 1. Exercices Cours CCNA 1 TD3 Exercices Exercice 1 Enumérez les sept étapes du processus consistant à convertir les communications de l utilisateur en données. 1. L utilisateur entre les données via une interface matérielle.

Plus en détail

Introduction aux réseaux

Introduction aux réseaux Introduction aux réseaux Présentation de TCP/IP et de la programmation. Julien OLIVAIN julien.olivain@lsv.ens-cachan.fr> LSV - ENS de Cachan Plan Introduction générale. Protocoles de communication. Organisation

Plus en détail

Serveurs réseau Linux

Serveurs réseau Linux s o l u t i o n s U n i x L i n u x C R A I G H U N T Serveurs réseau Linux Introduction Linux est le système d exploitation idéal pour un serveur réseau. Son utilisation très répandue comme plate-forme

Plus en détail

Services Réseaux - Couche Application. TODARO Cédric

Services Réseaux - Couche Application. TODARO Cédric Services Réseaux - Couche Application TODARO Cédric 1 TABLE DES MATIÈRES Table des matières 1 Protocoles de gestion de réseaux 3 1.1 DHCP (port 67/68)....................................... 3 1.2 DNS (port

Plus en détail

Dynamic Host Configuration Protocol

Dynamic Host Configuration Protocol Dynamic Host Configuration Protocol 1 2 problèmes de gestion avec IP La Gestion des adresses IP Les adresses IP doivent être unique Nécessité d une liste d ordinateurs avec leurs adresses IP respectives

Plus en détail

NetCrunch 6. Superviser

NetCrunch 6. Superviser AdRem NetCrunch 6 Serveur de supervision réseau Avec NetCrunch, vous serez toujours informé de ce qui se passe avec vos applications, serveurs et équipements réseaux critiques. Documenter Découvrez la

Plus en détail

Installation de serveurs DNS, WINS et DHCP sous Windows Server 2003

Installation de serveurs DNS, WINS et DHCP sous Windows Server 2003 Installation de serveurs DNS, WINS et DHCP sous Windows Server 2003 Contexte : Dans le cadre de l optimisation de l administration du réseau, il est demandé de simplifier et d optimiser celle-ci. Objectifs

Plus en détail

DIGITAL NETWORK. Le Idle Host Scan

DIGITAL NETWORK. Le Idle Host Scan DIGITAL NETWORK Siège : 13 chemin de Fardeloup 13600 La Ciotat Siret : 43425494200015 APE : 722 Z www.digital network.org www.dnsi.info Laboratoires : 120 Avenue du Marin Blanc, ZI Les Paluds, 13685 Aubagne

Plus en détail