Etude et validation de l'application du paradigme des pots de miel aux attaques visant les protocoles de routage

Dimension: px
Commencer à balayer dès la page:

Download "Etude et validation de l'application du paradigme des pots de miel aux attaques visant les protocoles de routage"

Transcription

1 Institut de la Francophonie pour l Informatique Institut Eurécom Sophia Antipolis Mémoire de fin d études Etude et validation de l'application du paradigme des pots de miel aux attaques visant les protocoles de routage Réalisé par LA Chi Anh (Promotion 10 IFI) Sous la direction de Marc DACIER Guillaume URVOY-KELLER (Institut Eurécom) Sophia Antipolis, Septembre 2006

2 Table des matières Table des matières...2 Liste des figures... 5 Liste des tableaux...6 Remerciements...7 Résumé...8 CHAPITRE 1 INTRODUCTION Problématique Motivation Méthode de travail Environnement de travail Contribution...12 CHAPITRE 2 ETAT DE L ART Les problèmes des protocoles de routage Authenticité et intégrité des échanges de routes Délai de convergence et instabilité Boucles de routage Croissance de la table de routage Mauvaises configurations Les attaques visant le routage Falsification d annonces Modification d attributs de préférence de trafic Désagrégation de préfixe Modification d attributs de préférence Insertion de fausses annonces Falsification d origine d un préfixe Insertion de retraits Insertion périodique d annonces et de retraits Insertion de messages de notification ou messages mal formés Rétention d annonces Création de boucles Isolation d un réseau

3 2.3. Inondation d annonces Empoisonnement de table de routage Épuisement de ressources de routeur Les attaques indirectes Les attaques TCP TCP SYN et TCP RESET Falsification de messages d erreur ICMP Les attaques ARP Détection d attaques visant les protocoles de routage Détection basée sur la signature Détection basée sur les statistiques Détection par l apprentissage Détection par l analyse en ondelettes Détection basée sur la topologie Détection par la visualisation Les approches de renforcement de protocoles de routage Les règles de filtrage Les approches de sécurité pour BGP S-BGP (Secure BGP) sobgp (Secure Origin BGP) psbgp (Pretty Secure BGP) pgbgp (Pretty Good BGP) Mécanisme «Listen and Whisper» Autres méthodes d authentification de BGP...24 CHAPITRE 3 LA FAISABILITE DES ATTAQUES VISANT LES PROTOCOLES DE ROUTAGE Arbre des attaques de routage Attaques visant RIP Attaques visant OSPF Attaques visant BGP Validation de la faisabilité des attaques de routage La modification d attributs de préférence L insertion de messages de routage La rétention de messages de routage L inondation de messages Les attaques indirectes

4 CHAPITRE 4 VALIDATION DE L'APPLICATION DU PARADIGME DES POTS DE MIEL AUX ATTAQUES SUR LE ROUTAGE Analyse de données d attaques vers les pots de miel du projet Leurré.com L architecture du système de pots de miel Leurré.com Les tentatives vers les ports et les protocoles de routage Les tentatives de reconnaître un routeur par traceroute/tracert La détection de boucles par les messages ICMP type 11 code Analyse de résultat du déploiement d un «routeur de miel» au sein d Eurécom Modèle de déploiement du «routeur de miel» avec Netflow Les informations Netflow récupérées par le «routeur de miel» Validation de l approche de «routeur de miel» dans la détection d attaques de routage...39 Conclusion et perspectives...42 Références...43 Termes et abréviations

5 Liste des figures Figure 3.1. Arbre des attaques visant RIP...26 Figure 3.2. Arbre des attaques visant OSPF...27 Figure 3.3. Le mécanisme RFD...29 Figure 3.4. Arbre des attaques visant BGP Figure 3.5. L utilisation de «AS padding» pour équilibrer le trafic...31 Figure 3.6. Le nombre de noeuds changés dans les routes observées sur PlanetLab..33 Figure 3.7. La distribution de la longueur des préfixes (Route-Views)...34 Figure 4.1. L architecture du système de pots de miel Leurré.com Figure 4.2. La tendance d augmentation des paquets ICMP 11 vers Leurré.com Figure 4.3. La distribution géographique des adresses IP de routeurs qui envoient ICMP 11 à Leurré.com...37 Figure 4.4. Le modèle de déploiement d un routeur de miel Netflow Figure 4.5. Le modèle de déploiement d un routeur de miel Figure 4.6. Le système IDS de routage Netflow

6 Liste des tableaux Table 3.1. L utilisation d attributs de préférence dans un mois (Route-Views) Table 3.2. La distribution de la longueur des AS paddings (Route-Views)...32 Table 4.1. Les tentatives de communication de routage vers Leurré.com Table 4.2. Les tentatives de traceroute/tracert vers Leurré.com...36 Table 4.3. Les tentatives d attaque vers le routeur de miel...39 Table 4.4. La capacité de détecter des attaques de routage par «routeur de miel» et IDS Netflow

7 Remerciements Je remercie M. Marc Dacier et M. Guillaume Urvoy-Keller, professeurs de l Eurecom pour leur direction sur un sujet de recherche très intéressant. Je tiens à exprimer ma reconnaissance pour leurs conseils et encouragements qui ont facilité mon travail. Je tiens à remercier M. Ho Tuong-Vinh et toutes les personnes de l IFI et de l Eurécom de m avoir aidé au cours de mon stage. Je voudrais également remercier ma mère et les membres de ma famille qui m ont supporté et encouragé énormément pendant mes séjours en France. Enfin, je remercie M. Guillaume Urvoy-Keller qui m'a aidé à corriger des erreurs de raisonnement et des fautes orthographes dans ce rapport. 7

8 Résumé Depuis longtemps, l infrastructure de routage sur l Internet a été considérée très vulnérable à plusieurs types d attaque. L attaque contre des protocoles de routage, surtout le protocole de routage «inter-domaine» BGP, peux affecter globalement la connectivité de réseau et causer de grands dommages à l économie. En attaquant des routeurs BGP, les criminels de réseau arriveront à causer le déni d accès (blackholing), la déconnexion, la redirection de trafic, la modification de données et l instabilité de communication. Ce rapport mentionne les types d attaque sur l infrastructure de routage et valide leur faisabilité, ensuite donne une évaluation sur l approche de «pots de miel» pour les détecter. Ce rapport se compose de 4 chapitres. D abord le premier chapitre présente une introduction sur le problème de sécurité dans le routage. Le deuxième chapitre va aborder les problèmes de routage, les types d attaque, les techniques de détection et les approches de sécurité récemment proposées. Le troisième chapitre est une analyse détaillée sur les vulnérabilités de l infrastructure de routage et les possibilités d attaque accompagnées par leur menace en réalité. Le quatrième chapitre valide les enjeux d une approche de pots de miel «honeyrouter» pour détecter les attaques mentionnées. Mots clés : sécurité de routage, attaque BGP, pots de miel, système de détection d'intrusions 8

9 Abstract Internet routing infrastructure has been considered strictly vulnerable to several types of attacks. Routing attacks, especially against the interdomain routing protocol like BGP, can globally affect network connectivity and cause great damage to economic activities. While attacking BGP routers, the criminals have the possibility to cause blackholing, loss of connectivity, instability, traffic redirection or even data modification. This report mentions routing infrastructure attacks and validates their feasibility, then gives an evaluation on the honeypot approach to detect them. This report is composed of 4 chapters. The first chapter presents an introduction to the security problem in routing. The second chapter outlines routing issues, attack possibilities, anomalies detection and current security approaches. The third chapter describes in detail the routing infrastructure vulnerabilities and the possibilities of attack accompanied by their threats in reality. The fourth chapter considers and validates the stakes of a honeypot approach (honeyrouter) to detect routing attacks. Keywords: routing security, BGP attack, honeypot, IDS 9

10 Chapitre 1 Introduction 1. Problématique De nos jours, l'internet joue un rôle de plus en plus important dans tous les secteurs économiques. Les transactions entre les entreprises dépendent la plupart de ce moyen de communication. Ainsi la taille de ce réseau s'agrandit de façon que protéger sa connectivité et sa confidentialité devient une tâche difficile et compliquée. L'infrastructure de routage contient plusieurs vulnérabilités comme les architectes de l'internet n'ont pas prévu la croissance rapide de ce réseau global. Afin de déterminer dynamiquement le chemin pour un paquet, les routeurs communiquent les uns avec les autres des informations sur le routage. Mais il est possible que pour faciliter la flexibilité ou pour simplifier le travail, il n'existe pas par la nature des mécanismes efficaces pour vérifier l'authenticité et la validité de ces informations. Un routeur sur l'internet a donc tout le droit de diffuser des fausses annonces qui sont capables de interrompre la connexion, rediriger le trafic ou causer l'instabilité permanent dans le réseau. Les attaques visant les routeurs, peu importe pour gagner le contrôle d'un routeur ou intervenir directement le protocole de routage, représentent une grave menace en réalité. Les protocoles de routage se classifie en 2 types selon la taille du réseau qu'ils desservent: intra-domaine (RIP, OSPF...) et inter-domaine (BGP Border Gateway Protocol). BGP est un protocole de facto basant sur le vecteur de chemin (path vector based protocol) très utilisé depuis la dernière décennie. Il assure la communication des routes entre les systèmes autonomes AS (par exemple des fournisseurs de service d'internet ISP). Son fonctionnement est basée sur la confiance entre les ISP donc il n'assure pas la validité des annonces de routage entre les routeurs. Un fois de gagner le contrôle d'un routeur BGP, l'attaquant peut exploiter BGP en annonçant les itinéraires faux afin de rediriger le trafic à une destination incorrecte. L'attaque visant le protocole BGP peut affecter globalement des machines sur l'internet. Bien qu'il n'y ait pas encore d'attaque contre BGP qui a été publiquement documentée jusqu'a maintenant, on a reconnu des mauvaises configurations de BGP qui ont posé les mêmes problèmes d'une telle attaque: Le 25 avril 1997 le système autonome (AS) numéro 7007 a diffusé les annonces incorrectes indiquant qu'il a eu le meilleur chemin à plusieurs destinations. Le 7 avril 1998, AS 8584 a annoncé environ préfixes (les adresses de réseau) qu'il n'a pas possédés. Le 6 avril 2001 AS a répété la même erreur en annonçant environ préfixes qu'il n'a pas possédés. La connectivité de plusieurs réseaux sur l'internet a été interrompue pendant plusieurs heures à cause de ces incidents [1]. La panne du moteur de recherche Google le 7 mai 2005 ont été suspectée d'être causée par les fausses annonces BGP de AS 174 [2]. 10

11 La convergence est encore un autre problème de BGP. Normalement, les protocoles de routage ont besoin un délai temporel entre le changement de route et la mise à jour de façon consistante de ce changement dans la table de routage de chaque routeur. Comme BGP est extrêmement bavard - les changements mineurs de connectivité produisent des centaines de messages de BGP et la perte d'une connexion importante peut en produire des millions. Avec la croissance de la taille du réseau, une récente étude a prouvé que ce délai augmente linéairement avec le nombre d'as dans le meilleur cas, et exponentiellement dans le pire [3]. De ce fait, les attaquants ont la chance d'allonger le temps de convergence en lançant des faux changements de route pour causer l'instabilité dans le réseau. De plus, comme le protocole BGP fonctionne sur TCP, une erreur sur la connexion TCP entre 2 routeurs peut forcer le routeur de retirer plusieurs routes, ce qui permet les attaquants de causer l'instabilité par une attaque indirecte via TCP ou ICMP. Plusieurs solutions pour améliorer les protocoles de routage ont été proposées. L'approche S-BGP (secure BGP) s'adresse à la plupart des vulnérabilités de sécurité en employant une combinaison d'ipsec, d'un nouvel attribut du chemin (AS PATH) contenant des «attestations» et une infrastructure de clé publique (PKI) [4]. Cette approche en effet exige trop de changement dans l'infrastructure pour être appliquée en réalité. Le sobgp (secure origin BGP) est une alternative à S-BGP, proposée par des chercheurs à Cisco Systems qui veulent valider des certificats pour assurer l'authenticité et l'autorisation d'annoncer une préfixe [5]. Le psbgp (pretty secure BGP) fournit un modèle d'authentification centralisé pour valider le numéro AS et un modèle d'authentification décentralisé pour vérifier la propriété d origine de préfixe [6]. Le pgbgp (pretty good BGP) suggère de réserver du temps aux administrateurs pour choisir avec précaution des routes indiquant un AS original n'ont pas été vu récemment (pour une période définie) [7]. Les règles de filtrage, la validation de route basée sur une base de données ou une graphe de connectivité... ont été également proposées. Pourtant ces propositions sont encore dans la période de considération. Certaines solutions ne résolvent que partiellement le problème abordé. Les vulnérabilités des protocoles de routage ont été déterminée théoriquement en examinant les possibilités d'abus et les résultats de simulation. Une validation pour reconnaître ce qui sont les menaces réelles est très nécessaire à ce moment. La détection des attaques visant l'infrastructure de routage est encore un nouveau sujet pour le domaine de sécurité. Plusieurs recherches ont été effectuées mais le défi posé par l'immensité des messages BGP est un grand problème pour la détection en temps réel. La complexité de topologie de l'internet provoque aussi la difficulté d'observer des attaquants. Dans le cadre de mon stage à l'institut Eurécom, j'essaie d'étudier les travaux de recherche reliés, vérifier les menaces d'attaque en réalité et valider l'application du paradigme des pots de miel à la détection des attaques sur le routage 2. Motivation La validation de l'arbre des attaques visant les protocoles de routage et la détection d'attaques contre les routeurs sont des sujets de pointe dans le domaine de sécurité de réseau. La variété des attaques, le besoin de protection du réseau... sont des grandes motivations pour qu'on puisse s'engager dans la recherche. En étudiant le sujet, on a une opportunité de maîtriser les protocoles de routage, communiquer avec les experts 11

12 pour avoir les connaissances les plus récentes dans le monde de sécurité, et découvrir les secrets professionnels cachés par la règle de "sécurité par l'obscurité". De plus, en travaillant dans une équipe de recherche on bénéficie d'une formation aux méthodes de travail et hérite des expériences des responsables de stage et d'autres collèges. 3. Méthode de travail Afin d'accomplir le travail donné, j'essaie de maîtriser les principes des protocoles de routage, puis rechercher sur des travaux antérieurs pour construire une arbre des possibilités d'attaque. Le travail suivant est de chercher dans le trafic de réseau des preuves pour confirmer les risques en réalité et éliminer les menaces irréalistes. A partir du modèle d'attaque obtenu, on peut valider les techniques de détection possibles pour les prévenir. 4. Environnement de travail Ce stage s'effectue à l'institut Eurécom, Sophia Antipolis, France. Le Parc scientifique de Sophia Antipolis se fait reconnu aujourd'hui comme un des plus grands centres de recherche dans les domaines de hautes technologies. L'Institut Eurécom est une Grande Ecole internationale d'ingénieurs et un centre de recherche des Systèmes de communication. Ce travail est réalisé sous la direction de M. Marc DACIER et M. Guillaume URVOY-KELLER à l'unité Communications d'entreprise. La recherche du département des Communications d'entreprise s'articule autour de deux domaines : Les protocoles et les services spécifiques aux applications Internet La sécurité pour les réseaux informatiques et systèmes distribués Depuis 2003 l'institut Eurécom a lancé le projet Leurré.com. Le but du projet est de rechercher profondément des attaques sur l'internet. Depuis sa naissance, le projet a attiré beaucoup d'intérêts de la communauté de sécurité. Le réseau de 51 plateformes de pots de miel distribués dans une vingtaine de pays du projet permet de collecter globalement les données des attaques sur l'internet. Cette base de données et les expériences de l'équipe de recherche facilitent certainement le travail de mon stage. 5. Contribution J'ai effectué mon stage de recherche à l'institut Eurécom pendant 6 mois. Les tâches prévues suivant ont été accomplies: Sur le plan théorique, j'ai approfondi le protocole BGP, l'arbre des attaques contre l'infrastructure de routage. J'ai construit une bibliographie complète sur les recherches concernant mon sujet à l'aide d'un Wiki partagé entre les membres du groupe de travail. Les recherches reliées sont classifiées en 4 axes: les problèmes, les attaques, les techniques de détection et les solutions de sécurité proposées pour les 12

13 protocoles de routage. J'ai fait des analyses sur les données pour observer les anomalies ou les signes d'une possible attaque. Les sources de données utilisées sont: La base de donnée du projet Leurré.com à Eurécom [40]. Le Netflow collecté depuis un "routeur de miel" déployé depuis l'année dernière à Eurécom Les traces tcpdump [43] des projets de recherches sur le réseau: MAWI [30], NLANR [31]... Les données du projet Telescope [41] Les données de routage BGP du projet Route-Views [33] Sur le plan pratique, j'ai appris la méthode de déploiement d'un "routeur de miel" utilisant le Netflow. J'ai implémenté des scripts pour récupérer et/ou extraire les données puis générer des rapports d'analyse. J'ai fait une analyse sur la fréquence de changement des routes par le traceroute depuis une vingtaine de machines du projet PlanetLab [32] dont l'eurécom est un partenaire. J'ai construit aussi une base d'adresses IP des routeurs grâce aux machines PlanetLab et une base de préfixes IP collectés par les données de Route-Views pour faciliter les travaux de recherche postérieurs. 13

14 Chapitre 2 Etat de l art 1. Les problèmes des protocoles de routage 1.1. Authenticité et intégrité des échanges de routes Le protocole de routage BGP, qui fonctionne sur TCP, manquent dans sa propre architecture un mécanisme sécurisé pour vérifier l'authenticité et la légitimité des échanges de routage. Il est fortement vulnérable à une variété des types d'attaque. Les experts dans ce domaine recommandent d'utiliser le mécanisme d'authentification MD5 de TCP sur les liens de communication entre les routeurs [8]. Cependant, l'authentification MD5 ne fournit pas le chiffrage des données de routage. Au lieu de cela, elle vérifie justement les parties d'envoi et de réception. La solution complète pour ce problème, le S-BGP avec une infrastructure PKI, n'est pas encore adoptée à cause de l incompatibilité avec les protocoles courantes. Le même problème existe dans le protocole RIP (version 2) qui utilise MD5 dans ses paquets UDP et dans le protocole OSPF qui utilise MD5 dans sa connexion sur IP. Un autre problème des protocoles de routage est l'intégrité et la fiabilité des données. L'information qui est reçue d'un routeur partenaire est simplement crue d'être correcte. Et le routeur est obligé de republier cette information aux autres routeurs sans aucune vérification. Si un routeur indique qu'elle a l'accès à un réseau particulier, les autres croient simplement que l'information est correcte et recalculent leurs chemins à ce réseau. Et si un attaquant arrive à injecter un chemin qui est meilleur dans le calcul des routeurs, il gagne certainement le droit de contrôler le trafic de réseau. L'attaquant a aussi la possibilité de capturer des messages de routage, les modifier et les republier Délai de convergence et instabilité Les mesures expérimentales prouvent que les routeurs d'inter-domaine peuvent prendre des dizaines de minutes pour atteindre une vue cohérente de la topologie de réseau après un changement [3]. Pendant ce délai de convergence, on expérimente l'instabilité de reseau, la perte de paquets, la latence et même les boucles temporaires dans le cheminement [9]. Le temps de convergence pour les protocoles de routage intra-domaine est plus court mais il dépends fortement de la taille et le topologie du réseau. Des simulations sur BGP montrent que les retraits (withdrawal) de chemin prennent plus de temps que les annonces (update) pour atteindre à une mise-à-jour consistante. Une étude sur la convergence de Craig Labovitz et al. montre que ce délai augmente linéairement avec le nombre d'as dans le meilleur cas, et 14

15 exponentiellement dans le pire [3]. Ainsi la convergence de routage devient un problème critique avec le développement rapide de l'internet Boucles de routage En théorie, les protocoles de routage ont des mécanismes pour assurer le cheminement sans boucles. Mais les mesures donnent des évidences que les boucles existent parfois dans le transfert de paquets inter-domaine. La cause exacte de cet effet est peu claire. On crois que le délai de propagation des messages de routage cause des moments où il y a des contradictions de routage entre les routeurs. L'inconsistance de routage forme des boucles temporaires pendant la convergence. D. Pei et al. prouvent que la durée des boucles de routage BGP correspond étroitement au temps de convergence et dépend linéairement de la valeur MRAI (intervalle minimum entre deux publicités de route) du BGP [10]. A. Sridharan et al. trouvent une corrélation forte entre les boucles et le changement de routage inter-domaine [9] Croissance de la table de routage Malgré que CIDR (Classless Inter-Domain Routing) fournisse un mécanisme d'agréger des préfixes (adresses de réseau) en une préfixe plus courte (par exemple on peut agréger /24 et /24 en /23) de façon qu'on puisse réduire la taille de la table de routage, le nombre des préfixes annoncés sur l'internet augmente si rapidement que la table de routage peut être surchargé. Ce problème peut exagérer le temps de traitement dans les routeurs, causer l'instabilité, rejeter les nouveaux chemins, interrompre les sessions d'échanges de route, ou redémarrer le routeur [11] 1.5. Mauvaises configurations On croit certainement que les erreurs de configuration de routage perturbent ou interrompent la connectivité d'internet. Une étude sur une période de trois semaines des annonces de routage sur 23 points du réseau Internet indique que les erreurs de configuration sont nombreuses, elles influencent préfixes (0,2-1% de la taille de la table de routage BGP) [12]. Heureusement, la connectivité des utilisateurs est étonnamment robuste aux mauvaises configurations grâce à la redondance des liens du système de réseau. Cependant, des mauvaises configurations majeures sur le réseau dorsale ne sont pas négligeables en raison de leur influence sur le trafic d'internet. La mauvaise configuration qui annonce les préfixes plus longs que le préfixe original est effectivement dangereuses car elle permet les attaquants de causer à la fois le déni d accès (blackholing) dans un réseau et le déni de service (DoS) dans un autre réseau. 15

16 2. Les attaques visant le routage 2.1. Falsification d annonces Pour le protocole BGP, la falsification d'annonces depuis une machine quel conte sur le réseau est considérée difficile à faire car l intervention à la connexion TCP d un pair de routeurs exige de deviner correctement une combinaison de 3 attributs: le port de source, le port de destination, le numéro de séquence. Cette tâche est difficile pour BGP car l attaquant n a pas le moyen de renifler (normalement sur le lien dorsale entre un pair de routeurs, il n y a pas d autres machines). Et même si l attaquant peut injecter avec succès une annonce de routage, le temps pour que ce pair de routeurs rétablissent leur connexion (après le délai de «ACK storm» ) et retransmettent les vraies informations de routage est court. Pourtant, quand un attaquant arrive à gagner le droit d administration d un routeur, ce sera un problème. Il a toute possibilité de injecter des fausses routes car les protocoles de routage ne sont pas muni d un mécanisme de les vérifier. La falsification de messages de routage RIP et OSPF est beaucoup plus faisable. Elle demande de fournir la clé secrète MD5, qui peut être découvert par capturer et craquer les paquets Modification d attributs de préférence de trafic Désagrégation de préfixe Les protocoles de routage préfèrent la route avec le préfixe le plus long, ce qui exprime que cette route est la plus précise [1]. Les attaquants peut exploiter ce discipline en annonçant les préfixes plus longs que ceux annoncés par la victime qui les possède. Ainsi ils peuvent rediriger le trafic vers une autre destination. C était le cas de la mauvaise configuration de l AS 7007 en 1997 qui a déconnecté globalement l Internet Modification d attributs de préférence Les attributs de préférence sont AS_PATH (séquence de numéro AS qu il faut passer pour parvenir à un réseau), MED, COMMUNITY... (protocole BGP), METRIC (protocole RIP). Pour assurer la politique de trafic d un AS, améliorer la qualité de service, réduire le coût d affaires... les administrateurs configurent ces attributs pour rediriger le trafic vers les liens préférés [13]. En compromettant un routeur, l attaquant est supposé d être capable de modifier les attributs de préférence de la route annoncée avant de la republier aux routeurs partenaires afin de perturber le trafic. 16

17 Insertion de fausses annonces Falsification d origine d un préfixe En compromettant un routeur, l attaquant peut le reconfigurer pour que ce routeur annonce l origine des préfixes appartenant à une victime. Le trafic destiné au réseau de la victime est attiré vers l AS de ce routeur ou à n import quel réseau selon la configuration de l attaquant [1]. Un telle attaque arrive à causer le déni de service d un réseau, le déni d accès d un autre réseau et favoriser le reniflement si le trafic est redirigé à un réseau contrôlé par l attaquant. Une falsification de l origine sur plusieurs préfixes causera la perte de connectivité de l Internet Insertion de retraits L insertion de faux retraits d une route forcent les autres routeurs de recalculer le chemin vers le préfixe annoncé par cette route. Si les autres routeurs ne trouvent plus un chemin valide vers ce préfixe, ce réseau est donc isolé du réseau global Insertion périodique d annonces et de retraits Une fois que un routeur reçoit une annonce ou un retrait de route, il doit recalculer les chemins et republier ce changement à ses partenaires. Ce tâche consume du temps et des ressources du routeur et perturbe le trafic du réseau. L insertion périodique des annonces de routage sont visée à provoquer l instabilité permanente sur le réseau. Pour atténuer ce mauvais effet, BGP propose le mécanisme RFD (atténuation de l oscillation de route). Ce mécanisme incrémente la valeur de pénalité pour une route chaque fois qu elle est changée. Si cette valeur dépasse le seuil de coupure, la route n est plus comptée dans une période de temps jusqu au moment où cette valeur se diminue au seuil de réutilisation. Ce mécanisme pourtant n empêche pas un attaquant de causer l instabilité. Par contre, il peut aussi causer l isolation permanente d un réseau en calculant précisément le moment à injecter les fausses annonces [14] Insertion de messages de notification ou messages mal formés L implémentation des protocoles de routage oblige le calcul des chemins chaque fois on rencontre une erreur ou une remise de connexion. Les messages OPEN et NOTIFICATION de BGP peut être abusés pour forcer le calcul et causer l instabilité du réseau. Des messages mal formés sont injectés intentionnellement en espérant que le routeur peut perdre de temps à les traiter ou dans le pire cas, il peut se casser à cause d une bogue d implémentation [11] Rétention d annonces Normalement, un routeur reçoit des annonces de route, fait des calculs pour obtenir la meilleure route et republie cette route. Mais si ce routeur est compromis, 17

18 L'attaquant peut le reconfigurer pour qu il fonctionne différemment que le protocole l oblige. Un routeur qui ne tient pas compte des annonces et qui ne republie pas ces routes causera des boucles et des isolations sur le réseau [15] Création de boucles Si un routeur R ne fait rien quand une annonce de route arrive, il risque de conserver une ancienne route qui contient un noeud (un autre routeur) R. Mais dans le même moment, le noeud R reçoit une route qui contient R dans son itinéraire, R et R forment un boucle [15] Isolation de réseau Si un routeur ne republie pas les retraits de route, les routeurs partenaires continue à transférer le trafic vers lui. La destination de ce trafic est inaccessible et devient isolée. La même chose aura lieu quand un routeur ne republie les annonces de route [15] Inondation d annonces L attaquant peut compromettre un routeur et l utiliser pour attaquer ses partenaires en envoyant plusieurs annonces de route Empoisonnement de table de routage Au cas où la table de routage est rempli à sa limite, le routeur rejetera le nouveau route ou écrasera les routes actuelles [11]. Ce fait perturbera l activité normale du réseau. Les attaquants envoient des annonces avec les préfixes longs (/24) pour remplir la table de routage et causer les anomalies de trafic Épuisement de ressources de routeur Les attaquants peuvent envoyer plusieurs messages de route pour épuiser les ressources d un routeur car le temps pour traiter une annonce est beaucoup plus long que celui pour envoyer une annonce Les attaques indirectes Le BGP fonctionne sur la connexion TCP, le RIP fonctionne sur la connexion UDP... Celui-ci permet des exploitations indirectes via les protocoles sous-jacents Les attaques TCP TCP SYN et TCP RESET Le BGP est vulnérable à des attaques TCP SYN. Si on ne pense pas à faire un filtrage de paquets, un simple DoS distribué (DDoS) peut interrompre la communication BGP. 18

19 Un paquet TCP RESET avec le numéro de séquence et de port valide peut aussi couper la connexion BGP. Pour faire une attaque de type TCP RESET, l attaquant devra compromettre un routeur partenaire ou bien essayer des milliards de combinaisons de numéro de séquence et des ports dans les paquets TCP. On a montré que ce sera faisable avec la technique «Slipping in the window» qui n envoie que des milliers de paquets dans un très peu de temps pour trouver une combinaison valide dans le cas où l attaquant connaît le nom du système d exploitation du routeur. Le TCP RESET est possiblement exploité pour lancer une attaque contre le mécanisme RFD de BGP [14] Falsification de messages d erreur ICMP Les messages ICMP qui indiquent une erreur dure ( hard-error, ICMP type 3) peuvent interrompre la connexion TCP. Le technique d attaque est similaire à l attaque TCP RESET [16] Les attaques ARP Les messages ARP sont utilisés pour traduire l adresse IP en adresse MAC. L attaquant peut facilement empoisonner la tableau d'arp d un routeur par les adresses MAC fausses pour terminer la session d un pair routeur et éventuellement les forcer de rétablir la session avec un routeur attaquant [11]. Cependant ce type d attaque est facile à détecter car il interrompe le trafic de contrôle de routage aussi que le trafic de données. 3. Détection d attaques visant les protocoles de routage La détection d'attaques visant les protocoles de routage ou la détection d'anomalies dans les routeurs est un sujet très focalisé dans le monde de sécurité, à cause de l'importance de l'infrastructure de routage. Cependant comme aucune attaque de routage n est publiquement documentée, les techniques de détection sont testées souvent sur un environnement de simulation. L énormité des annonces de routage cause aussi un problème à la détection en temps réel. La validation des techniques de détection est effectuée souvent sur les données Route-Views ou RIPE RCC dans les jours où il existait des anomalies du trafic causées par des vers (par exemple l événement du ver Slammer au janvier 2003 [17]), au lieu d une attaque de routage réelle 3.1. Détection basée sur la signature Cette technique est proposée par F. Wu et al [18]. Basé sur la valeur des attributs de préférence de deux chemins consécutivement annoncés, on définit 4 types d annonces: UP: si le deuxième chemin est plus préférable que le précédent, on l appelle un UP (U) DOWN: si le deuxième chemin est moins préférable que le précédent, on l appelle un DOWN (D). 19

20 PLAT : si deux chemins ont la même préférence, on l appelle un PLAT (P). WD : si la deuxième annonce est un retrait de chemin, on l appelle un WD (W) Alors, étant donné une séquence des annonces, on la libelle par une suite des U, D, P, W. Puis on la compare avec les signatures: Type Signature Exemple Indication A Une séquence des annonces terminée par WD {D,D,F,D,W},{U,F,F,D,W},{U,D,U,D,W}, {D,W,D,U,W} Délai de convergence à cause d une panne sur le lien/routeur B Une séquence des annonces avec WD au milieu {D,D,W,U,U},{D,W,U,W,U} Panne temporaire avec une rétablissement immédiate C Une séquence des annonces avec seulement une fluctuation de préférence {U,U,D,D,F},{D,D,U,F,U},{D,D,U,U,D} Panne temporaire avec une rétablissement immédiate ou un changement de route D E F Une séquence des annonces avec la préférence croissante ou décroissante monotone Une séquence des annonces avec plus de 2 fluctuations de préférence Une séquence des annonces avec la même préférence {U,U,U,U,U},{D,D,D,D,D},{U,F,F,U,F}, {D,F,D,F,F} {U,D,U,D,U},{D,U,D,U,D},{D,U,U,D,U} {F,F,F,F,F} Délai de convergence normal Oscillation de route Changement de route avec des attributs de préférence équivalente 3.2. Détection basée sur les statistiques F. Wu et al. proposent l'algorithme NIDES/STAT [18] qui surveille le comportement du système, et donne l'alarme quand le comportement (à court terme) dévie de manière significative de son comportement prévu, qui est décrit par son profil à long terme. On mesure donc cinq valeurs : la fréquence d'arrivée des annonces de routage, le nombre des routes dans une période (mesure d'intensité), le type d annonce, la fréquence d'occurrence de route (mesure catégorique), la différence des routes (mesure quantitative). Le détecteur d'anomalie produit alors d'une valeur commune pour la combinaison de cinq mesures. Les grandes valeurs indiquent le comportement anormal, et les valeurs près de zéro sont les signes du comportement normal Détection par l apprentissage J. Zhang et al. présentent un système de détection par apprentissage [19]. En employant un vecteur quantitatif pour représenter des messages BGP, ce système peut capturer des caractéristiques plus complexes des annonces BGP que les méthodes précédentes qui emploient l'agrégation simple. Ce vecteur est construit en utilisant des transformations en ondelettes. Ainsi on peut éviter d'employer la fenêtre de temps pour l'agrégation. Cette fenêtre est difficile de déterminer. Dans le traitement des signaux, les transformations en ondelettes représentent un signal cru (une fonction de temps) par un signal (ou des coefficients) de tempsfréquence (une fonction de temps et de fréquence). En traitant une séquence des messages BGP comme un signal (une fonction f(t) dont la valeur est le nombre des 20

Sécuriser le routage sur Internet

Sécuriser le routage sur Internet Sécuriser le routage sur Internet Guillaume LUCAS UFR Mathématique-Informatique Université de Strasbourg 7 mai 2013 Guillaume LUCAS (M1 RISE) Sécuriser le routage sur Internet 7 mai 2013 1 / 18 Introduction

Plus en détail

Profil des participants Le cours CCNA Exploration s adresse aux participants du programme Cisco

Profil des participants Le cours CCNA Exploration s adresse aux participants du programme Cisco Présentation et portée du cours : CNA Exploration v4.0 Networking Academy Profil des participants Le cours CCNA Exploration s adresse aux participants du programme Cisco diplômés en ingénierie, mathématiques

Plus en détail

Les Attaques en Réseau sous Linux

Les Attaques en Réseau sous Linux Les Attaques en Réseau sous Linux Plan Introduction Partie 1: ARP Spoofing Partie 2: Outils de simulation. Partie 3: Démonstration de l attaque.. Partie 4: Prévention et détection de l attaque. Partie

Plus en détail

Infrastructures critiques

Infrastructures critiques Faiblesses de BGP Infrastructures critiques Les infrastructures critiques, un axe à la mode dans la problématique de défense nationale Identification des infrastructures critiques Notion d interdépendance

Plus en détail

BGP Le routage inter-domaine

BGP Le routage inter-domaine BGP Le routage inter-domaine Bernard Cousin Plan Présentation de BGP Le protocole BGP Les attributs de BGP Quelques particularités de BGP ibgp Border Gateway Protocol 2 1 BGP version 4 Le protocole pour

Plus en détail

BGP et DNS : attaques sur les protocoles critiques de l Internet

BGP et DNS : attaques sur les protocoles critiques de l Internet BGP et DNS : attaques sur les protocoles critiques de l Internet Nicolas Dubée Secway/BD Consultants ndubee@secway.fr 1 Introduction Le 11 septembre 2001 n aura fait que renforcer un constat de nombreux

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 54 Audit et Sécurité Informatique Chap 1: Services, Mécanismes et attaques de sécurité Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2

Plus en détail

Routage IP: Protocoles. Page 1. 1994: création Bernard Tuy Modifications. 1995 Bernard Tuy 1997 Bernard Tuy 1998 Bernard Tuy

Routage IP: Protocoles. Page 1. 1994: création Bernard Tuy Modifications. 1995 Bernard Tuy 1997 Bernard Tuy 1998 Bernard Tuy Routage IP: Protocoles 1994: création Bernard Tuy Modifications 1995 Bernard Tuy 1997 Bernard Tuy 1998 Bernard Tuy Page 1 Plan Les protocoles de Routage IP Généralités RIP (2) IGRP OSPF EGP (2) BGP CIDR

Plus en détail

Grenoble 1 Polytech Grenoble RICM 4 TP Interconnexions de réseaux P. Sicard Étude du protocole de routage OSPF (Open Shortest Path First)

Grenoble 1 Polytech Grenoble RICM 4 TP Interconnexions de réseaux P. Sicard Étude du protocole de routage OSPF (Open Shortest Path First) UFR IMA Informatique & Mathématiques Appliquées Grenoble 1 UNIVERSITE JOSEPH FOURIER Sciences, Technologie, Médecine Polytech Grenoble RICM 4 TP Interconnexions de réseaux P. Sicard Étude du protocole

Plus en détail

PRINCIPES DU ROUTAGE IP PRINCIPES DU ROUTAGE IP IP ROUTING PRINCIPALS

PRINCIPES DU ROUTAGE IP PRINCIPES DU ROUTAGE IP IP ROUTING PRINCIPALS PRINCES DU ROUTAGE ROUTING PRINCALS securit@free.fr Slide n 1 TABLE DES MATIERES PLAN PROBLEMATIQUES PRINCES DU ROUTAGE PROTOCOLES DE ROUTAGE ROUTAGE STATIQUE ROUTAGE DYNAMIQUE DISTANT VECTOR vs LINK STATE

Plus en détail

Objectifs du chapitre

Objectifs du chapitre Objectifs du chapitre L objectif de ce chapitre est de faire le point sur les conséquences d IPv6 en matière de routage. Nous verrons donc les modifications apportées par IPv6 sur les paramétrages de routage

Plus en détail

TD 2 Chapitre 4 : Support des Services et Serveurs. Objectifs : Maîtriser l'exploitation des tables de routage dynamique.

TD 2 Chapitre 4 : Support des Services et Serveurs. Objectifs : Maîtriser l'exploitation des tables de routage dynamique. SI 5 BTS Services Informatiques aux Organisations 1 ère année TD 2 Chapitre 4 : Support des Services et Serveurs Le routage dynamique Objectifs : Maîtriser l'exploitation des tables de routage dynamique.

Plus en détail

Routage dans l Internet Partie 3 (BGP)

Routage dans l Internet Partie 3 (BGP) Topologie Internet Routage dans l Internet Partie 3 () EGP IGP Isabelle CHRISMENT ichris@loria.fr Avec des supports de Nina Taft (Sprint) et Luc Saccavini (INRIA Grenoble) Internal Gateway Protocol : utiliser

Plus en détail

Sécurité informatique : Sécurité dans un monde en réseau. Explosion des connexions à internet 2. ... Mais c est pas tout! 3

Sécurité informatique : Sécurité dans un monde en réseau. Explosion des connexions à internet 2. ... Mais c est pas tout! 3 Sécurité informatique : Matthieu Amiguet 2006 2007 Explosion des réseaux Explosion des connexions à internet 2 En 1990, environ 320 000 hôtes étaient connectées à internet Actuellement, le chiffre a dépassé

Plus en détail

Cours : Réseaux 3 Routage avancé

Cours : Réseaux 3 Routage avancé ons épartement de Télécommunicatio Dé Cours : Réseaux 3 Routage avancé Prof. A. Dahbi Cycle Ingénieur 2011 1 Objectifs Les objectifs sont : Décrire le rôle des protocoles de routage dynamique. Identifier

Plus en détail

Routage dynamique et protocoles de routage. Claude Chaudet Xavier Misseri

Routage dynamique et protocoles de routage. Claude Chaudet Xavier Misseri Routage dynamique et protocoles de routage Claude Chaudet Xavier Misseri Principe du routage Configurer les tables de routage (des routeurs) afin que les paquets empruntent le meilleur chemin disponible

Plus en détail

Cours n 9. Trunking - VTP Inter-VLAN

Cours n 9. Trunking - VTP Inter-VLAN Cours n 9 Trunking - VTP Inter-VLAN 1 Sommaire Agrégation (Trunking) VTP Inter-VLAN routing 2 Définition L'apparition de l'agrégation (trunking) remonte aux origines des technologies radio et de téléphonie.

Plus en détail

M2 ESECURE. Réseaux Routage interne : OSPF. Jean SAQUET Pierre BLONDEAU

M2 ESECURE. Réseaux Routage interne : OSPF. Jean SAQUET Pierre BLONDEAU M2 ESECURE Réseaux Routage interne : OSPF Jean SAQUET Pierre BLONDEAU OSPF Open Shortest Path First : Protocole défini par l'ietf : RFC 2328 (OSPF v2), basé sur l'état des liens (Link State Algorithm)

Plus en détail

Cisco Certified Network Associate

Cisco Certified Network Associate Cisco Certified Network Associate Version 4 Protocoles et concepts de routage Chapitre 4 Quel événement peut-il occasionner une mise à jour déclenchée? Expiration d un minuteur de routage de mises à jour

Plus en détail

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI Chapitre 2 Vulnérabilités protocolaires et attaques réseaux 1 Définitions Vulnérabilité: Défaut ou faiblesse d un système dans sa conception, sa mise en œuvre ou son contrôle interne pouvant mener à une

Plus en détail

Réseaux Couche Réseau

Réseaux Couche Réseau Réseaux Couche Réseau E. Jeandel Partiel Mercredi 10 novembre 14h Salle 001 Tout le cours jusqu aujourd hui, compris Cours non autorisé 1 Un routeur Un routeur Un routeur relie plusieurs réseaux entre

Plus en détail

Chapitre 1 Le routage statique

Chapitre 1 Le routage statique Les éléments à télécharger sont disponibles à l adresse suivante : http://www.editions-eni.fr Saisissez la référence ENI de l ouvrage EIPRCIS dans la zone de recherche et validez. Cliquez sur le titre

Plus en détail

Chapitre 6 : Les protocoles de routage

Chapitre 6 : Les protocoles de routage Chapitre 6 : Les protocoles de routage 1- Routage : Au niveau de chaque routeur il y a une table s appelle table de routage contient les informations suivant : @ Réseau destination, masque, moyen d atteindre

Plus en détail

CISCO CCNA Semestre 2. Support de cours. Protocole de routage EIGRP

CISCO CCNA Semestre 2. Support de cours. Protocole de routage EIGRP LICENCE PRO ASUR (Administration et SécUrité des Réseaux) SESSION 2012-2013 CISCO CCNA Semestre 2 Support de cours Protocole de routage EIGRP EIGRP est l'acronyme de Enhanced Interior Gateway Routing Protocol.

Plus en détail

Correction des systèmes d exploitation et des applications Bulletin de sécurité des TI à l intention du gouvernement du Canada

Correction des systèmes d exploitation et des applications Bulletin de sécurité des TI à l intention du gouvernement du Canada Correction des systèmes d exploitation et des applications Bulletin de sécurité des TI à l intention du gouvernement du Canada ITSB-96 Dernière mise à jour : mars 2015 1 Introduction La correction des

Plus en détail

Conservatoire National des Arts et Métiers FOD Ile de France UE NFA051 LE ROUTAGE INTERNET

Conservatoire National des Arts et Métiers FOD Ile de France UE NFA051 LE ROUTAGE INTERNET Conservatoire National des Arts et Métiers FOD Ile de France UE NFA051 LE ROUTAGE INTERNET Version Auteur Commentaires 10 octobre 2004 Emile Geahchan Version Initiale 15 octobre 2005 Emile Geahchan Modifications

Plus en détail

Projet OpNet. Spécialité Réseaux 2003/2004 Yannick GRENZINGER Loic JAQUEMET

Projet OpNet. Spécialité Réseaux 2003/2004 Yannick GRENZINGER Loic JAQUEMET Projet OpNet Spécialité Réseaux 2003/2004 Yannick GRENZINGER Loic JAQUEMET 1Présentation...3 1.1Le besoin de mobilité...3 1.2Le protocole IP Mobile...4 1.3Opnet...5 1.4Le projet...6 2La réalisation du

Plus en détail

Dans ce chapitre nous allons étudier une méthode pratique d anti-phishing, ce qui consiste à un système de classification automatique.

Dans ce chapitre nous allons étudier une méthode pratique d anti-phishing, ce qui consiste à un système de classification automatique. I INTRODUCTION Les pages de phishing sont l un des problèmes majeurs de sécurité sur internet. La majorité des attaques utilisent des méthodes sophistiquées comme les fausses pages pour tromper les utilisateurs

Plus en détail

DIFF AVANCÉE. Samy. samy@via.ecp.fr

DIFF AVANCÉE. Samy. samy@via.ecp.fr DIFF AVANCÉE Samy samy@via.ecp.fr I. RETOUR SUR QUELQUES PROTOCOLES COUCHE FONCTIONS Protocoles 7 Application 6 Présentation 5 Session 4 Transport 3 Réseau 2 Liaison 1 Physique Interface entre l utilisateur

Plus en détail

PROJET TRIBOX-2012-A

PROJET TRIBOX-2012-A PROJET TRIBOX-2012-A Auteur : Groupe Tutoriel d'installation et de configuration de Trixbox Membres du projet: GUITTON Jordan MORELLE Romain SECK Mbaye Gueye Responsable de la formation: MOTAMED Cina Client:

Plus en détail

Pré-requis. Objectifs. A. Les mises à jour Windows (Windows Update) Page 322 Chapitre 5

Pré-requis. Objectifs. A. Les mises à jour Windows (Windows Update) Page 322 Chapitre 5 Page 322 Chapitre 5 Windows Pré-requis et objectifs 7 - Technicien Support pour postes de travail en entreprise Pré-requis Identifier et résoudre les problèmes de sécurité Connaissance d'un système d'exploitation

Plus en détail

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1 Formation A2IMP Acquisition d information sur les autres Frédéric Bongat IPSL Formation A2IMP 1 Idée : corréler des informations via d autres Informations de base Connaître l horodatage (date, heure) des

Plus en détail

Introduction à MPLS F. Nolot 2009 1

Introduction à MPLS F. Nolot 2009 1 Introduction à MPLS 1 Introduction à MPLS Introduction 2 Introduction Les fournisseurs d'accès veulent Conserver leur infrastructure existante ET Ajouter de nouveaux services non supportés par la technologie

Plus en détail

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL CSG-16\S Novembre Page intentionnellement laissée en blanc. Avant-propos Le document est non classifié et il

Plus en détail

Dois-je déployer IPv6?

Dois-je déployer IPv6? Dois-je déployer IPv6? Marc Blanchet Viagénie Marc.Blanchet@viagenie.ca http://www.viagenie.ca À la mémoire d'itojun Cette présentation est dédiée à Junichiro itojun Hagino. Itojun est décédé la semaine

Plus en détail

QU EST-CE QU UN SOC? Un centre de sécurité opérationnel est une équipe dédiée à la détection et la gestion des incidents.

QU EST-CE QU UN SOC? Un centre de sécurité opérationnel est une équipe dédiée à la détection et la gestion des incidents. QU EST-CE QU UN SOC? Un centre de sécurité opérationnel est une équipe dédiée à la détection et la gestion des incidents. POURQUOI SURVEILLER With enough time, prevention will always fail. RÔLES D UN SOC

Plus en détail

Routage Statique. Protocoles de Routage et Concepts. Version 4.0. 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 1

Routage Statique. Protocoles de Routage et Concepts. Version 4.0. 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 1 Routage Statique Protocoles de Routage et Concepts Version 4.0 1 Objectifs Définir le rôle général d'un routeur dans les réseaux. Décrire les réseaux directement connectés et les différentes interfaces

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès )

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Sommaire 1. Protection de son matériel et de ses données Création d'un utilisateur avec mot de passe compliqué

Plus en détail

TR2 : Technologies de l'internet. Chapitre VII. Serveur DHCP Bootp Protocole, Bail Relais DHCP

TR2 : Technologies de l'internet. Chapitre VII. Serveur DHCP Bootp Protocole, Bail Relais DHCP TR2 : Technologies de l'internet Chapitre VII Serveur DHCP Bootp Protocole, Bail Relais DHCP 1 Serveur DHCP Dynamic Host Configuration Protocol La configuration d un serveur DHCP permet : d assurer la

Plus en détail

Conception d'une architecture commutée. Master 2 Professionnel STIC-Informatique 1

Conception d'une architecture commutée. Master 2 Professionnel STIC-Informatique 1 Conception d'une architecture commutée Master 2 Professionnel STIC-Informatique 1 Conception d'une architecture commutée Définition Master 2 Professionnel STIC-Informatique 2 Motivations L'architecture

Plus en détail

Diff Avancée. Retour sur la couche 2: -Les boucles et le STP. Retour sur la couche 3: -Quelques infos sur l adressage -Protocoles de Routage

Diff Avancée. Retour sur la couche 2: -Les boucles et le STP. Retour sur la couche 3: -Quelques infos sur l adressage -Protocoles de Routage Diff Avancée Retour sur la couche 2: -Les boucles et le STP Retour sur la couche 3: -Quelques infos sur l adressage -Protocoles de Routage Sous réseaux virtuels Commandes utiles L architecture à VIA Retour

Plus en détail

Master d'informatique 1ère année. Réseaux et protocoles. Architecture : les bases

Master d'informatique 1ère année. Réseaux et protocoles. Architecture : les bases Master d'informatique 1ère année Réseaux et protocoles Architecture : les bases Bureau S3-203 Mailto : alexis.lechervy@unicaen.fr D'après un cours de Jean Saquet Réseaux physiques LAN : Local Area Network

Plus en détail

C. Configuration des services de transport

C. Configuration des services de transport Page 282 Chapitre 8 Dans la version 2013 d'exchange, les dossiers publics sont devenus un type de boîtes aux lettres et utilisent les mêmes mécanismes de routage que les e-mails. - Le message est destiné

Plus en détail

Sélectionner le meilleur pair. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. 29 novembre 2010

Sélectionner le meilleur pair. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. 29 novembre 2010 1 Sélectionner le meilleur pair / Sélectionner le meilleur pair Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr 29 novembre 2010 2 Sélectionner le meilleur pair / Le problème Je veux récupérer un gros fichier

Plus en détail

Cours CCNA 1. Exercices

Cours CCNA 1. Exercices Cours CCNA 1 TD1 Exercices Exercice 1 : Décrivez les facteurs internes qui ont un impact sur les communications réseau. Les facteurs internes ayant un impact sur les communications sont liés à la nature

Plus en détail

Sélectionner le meilleur pair

Sélectionner le meilleur pair Sélectionner le meilleur pair Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr 29 novembre 2010 1 Sélectionner le meilleur pair / Le problème Je veux récupérer un gros fichier (mettons une image d installation

Plus en détail

Mise en quarantaine dynamique : une question de métrologie. Emmanuel.Reuter@inrets.fr Nicolas.Bonicco@unice.fr

Mise en quarantaine dynamique : une question de métrologie. Emmanuel.Reuter@inrets.fr Nicolas.Bonicco@unice.fr Mise en quarantaine dynamique : une question de métrologie Emmanuel.Reuter@inrets.fr Nicolas.Bonicco@unice.fr PLAN I. Introduction II. Contrôle d'accès en réseau filaire III. Solutions de quarantaine IV.

Plus en détail

Réseaux Couche Réseau Adresses

Réseaux Couche Réseau Adresses Réseaux Couche Réseau Adresses E. Jeandel Résumé des épisodes précédents Comment un ensemble de machines, reliées physiquement entre elles, peuvent communiquer Problématique Internet = Interconnexion de

Plus en détail

Couche réseau. Chapitre 6. Exercices

Couche réseau. Chapitre 6. Exercices Chapitre 6 Couche réseau Exercices No Exercice Points Difficulté Couche réseau, bases IP 1. Comment un destinataire sait-il qu il a reçu le dernier fragment 1 d un datagramme fragmenté? 2. Lorsqu un fragment

Plus en détail

Programme Formation INES

Programme Formation INES Programme Formation INES Le cheminement des données de l'abonné à un serveur sur Internet Infrastructures et protocoles. Objectifs et présentation L'objectif principal est d'acquérir les connaissances

Plus en détail

[ Sécurisation des canaux de communication

[ Sécurisation des canaux de communication 2014 ISTA HAY RIAD FORMATRICE BENSAJJAY FATIHA OFPPT [ Sécurisation des canaux de communication Protocole IPsec] Table des matières 1. Utilisation du protocole IPsec... 2 2. Modes IPsec... 3 3. Stratégies

Plus en détail

Devoir surveillé : NET 9 février 2007

Devoir surveillé : NET 9 février 2007 Devoir surveillé : NET 9 février 2007 Nom : Prénom : Répondez aux questions dans l espace prévu à cet effet. Elaborez votre réflexion au brouillon et reportez ensuite votre réponse sur ce document d une

Plus en détail

Vue d'ensemble de NetFlow. Gestion et Supervision de Réseau

Vue d'ensemble de NetFlow. Gestion et Supervision de Réseau Vue d'ensemble de NetFlow Gestion et Supervision de Réseau Sommaire Netflow Qu est-ce que Netflow et comment fonctionne-t-il? Utilisations et applications Configurations et mise en œuvre fournisseur Cisco

Plus en détail

TD7 Réseau IP, DNS, ARP, routage, transport {Nicolas.Ollinger, Emmanuel.Godard, Yann.Esposito}@lif.univ-mrs.fr 24 novembre 2004

TD7 Réseau IP, DNS, ARP, routage, transport {Nicolas.Ollinger, Emmanuel.Godard, Yann.Esposito}@lif.univ-mrs.fr 24 novembre 2004 TD7 Réseau IP, DNS, ARP, routage, transport {Nicolas.Ollinger, Emmanuel.Godard, Yann.Esposito}@lif.univ-mrs.fr 4 novembre 004 Internet peut-être vu comme un réseau de sous-réseaux hétérogènes. Le ciment

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

ProCurve Manager Plus 2.2

ProCurve Manager Plus 2.2 ProCurve Manager Plus 2.2 ProCurve Manager Plus 2.2 est une plate-forme de gestion de réseau avancée basée sur Windows qui fournit à l administrateur des écrans simples à utiliser et détaillés pour configurer,

Plus en détail

Sécurité et Firewall

Sécurité et Firewall TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette

Plus en détail

2. Technique d analyse de la demande

2. Technique d analyse de la demande 1. Recevoir et analyser une requête du client 2. Sommaire 1.... Introduction 2.... Technique d analyse de la demande 2.1.... Classification 2.2.... Test 2.3.... Transmission 2.4.... Rapport 1. Introduction

Plus en détail

Master d'informatique e-secure

Master d'informatique e-secure Master d'informatique e-secure Réseaux DNSSEC Bureau S3-354 Mailto:Jean.Saquet@unicaen.fr http://saquet.users.greyc.fr/m2 DNS : rappel du principe Base de données répartie et hiérarchique Contient les

Plus en détail

INF4420: Éléments de Sécurité Informatique

INF4420: Éléments de Sécurité Informatique : Éléments de Module III : Sécurité des réseaux informatiques José M. Fernandez D-6428 340-4711 poste 5433 Où sommes-nous? Semaine 1 Intro Semaines 2, 3 et 4 Cryptographie Semaine 6, 7 Sécurité dans les

Plus en détail

Notions sur les réseaux TCP/IP, avec et sans fil

Notions sur les réseaux TCP/IP, avec et sans fil 5 Notions sur les réseaux TCP/IP, avec et sans fil Chapitre Au sommaire de ce chapitre Principe du réseau Internet Termes basiques du paramétrage de TCP/IP Principe des ports TCP et UDP Et les VPN? Dans

Plus en détail

Sécurité des réseaux IPSec

Sécurité des réseaux IPSec Sécurité des réseaux IPSec A. Guermouche A. Guermouche Cours 4 : IPSec 1 Plan 1. A. Guermouche Cours 4 : IPSec 2 Plan 1. A. Guermouche Cours 4 : IPSec 3 Pourquoi? Premier constat sur l aspect critique

Plus en détail

Annuaire : Active Directory

Annuaire : Active Directory Annuaire : Active Directory Un annuaire est une structure hiérarchique qui stocke des informations sur les objets du réseau. Un service d'annuaire, tel qu'active Directory, fournit des méthodes de stockage

Plus en détail

OSPF Routage intra-domaine

OSPF Routage intra-domaine OSPF Routage intra-domaine Bernard Cousin Plan Présentation de OSPF Le protocole OSPF Les aires de routage d'ospf Les phases d'ospf Les messages d'ospf Conclusion Open Shortest Path First 2 1 OSPF Un protocole

Plus en détail

L'adressage IP. Hiver 2014 Rachid Kadouche 420-KEG-LG

L'adressage IP. Hiver 2014 Rachid Kadouche 420-KEG-LG L'adressage IP L adresse MAC L adresse MAC L adresse MAC L adresse MAC L adresse MAC Réseaux 1 Réseaux 2 L adresse MAC Réseaux 1 Réseaux 2 Réseaux complexe, difficile d identifier un ordinateur Adresse

Plus en détail

RFC 6810 : The RPKI/Router Protocol

RFC 6810 : The RPKI/Router Protocol RFC 6810 : The RPKI/Router Protocol Stéphane Bortzmeyer Première rédaction de cet article le 18 janvier 2013 Date de publication du RFC : Janvier 2013 Le protocole décrit

Plus en détail

Formation Réseaux : Notions de base

Formation Réseaux : Notions de base Formation x Formation Réseaux : Notions Jean-Philippe André (), p2009 3. Couche Septembre 2007 Que sont les x? Formation x Wikipedia.org : Un est un ensemble de nœuds (ou pôles) reliés entre eux par des

Plus en détail

SÉCURITÉ SYSTÈMES ET RÉSEAUX, NIVEAU 2

SÉCURITÉ SYSTÈMES ET RÉSEAUX, NIVEAU 2 Réseaux et Sécurité SÉCURITÉ SYSTÈMES ET RÉSEAUX, NIVEAU 2 Réf: SEA Durée : 4 jours (7 heures) OBJECTIFS DE LA FORMATION Ce stage avancé vous permettra de mesurer le niveau de sécurité de votre système

Plus en détail

Design et implémentation d une solution de filtrage ARP. Patrice Auffret 8 Décembre 2009 OSSIR B 0.2

Design et implémentation d une solution de filtrage ARP. Patrice Auffret 8 Décembre 2009 OSSIR B 0.2 Design et implémentation d une solution de filtrage ARP Patrice Auffret 8 Décembre 2009 OSSIR B 0.2 Qui suis-je? GomoR (http://www.gomor.org/ ) Sinon, expert sécurité chez Thomson http://www.thomson.net/

Plus en détail

Politique de gestion des mots de passe

Politique de gestion des mots de passe Centre de Ressources Informatique Politique de gestion des mots de passe Préparé pour: CRI Préparé par: Laurent PEQUIN 15 février 2010 15, avenue René Cassin 97474 Saint Denis Cedex 9 Réunion T 02 62 93

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

La répartition de charge (Cluster NLB)

La répartition de charge (Cluster NLB) La répartition de charge (Cluster NLB) La répartition de charge devient indispensable quand un seul serveur ne suffit plus pour tenir la charge ou maintenir un temps de réponse acceptable. Si le besoin

Plus en détail

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier Plan Internet - Outils Nicolas Delestre 1 DHCP 2 Firewall 3 Translation d adresse et de port 4 Les proxys 5 DMZ 6 VLAN À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier 7 Wake On Line

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Durcissement d'un routeur Cisco

Durcissement d'un routeur Cisco Durcissement d'un routeur Cisco Par Elie MABO Administrateur Systèmes, Réseaux et Sécurité elie.mabo@gmail.com Dernière mise à jour: 20/06/2010 Document rédigé par Elie MABO (Administrateur Systèmes, Réseaux

Plus en détail

Median SR04 - Automne 2007 Les documents ne sont pas autorisés

Median SR04 - Automne 2007 Les documents ne sont pas autorisés Median SR04 - Automne 2007 Les documents ne sont pas autorisés - Utiliser le verso en cas de besoin Exercice 1 (1,5pts) : soit le réseau suivant dont l'adresse réseau est 130.252.0.0 : Segment 1.10.34.10.35.10.36

Plus en détail

Compte-rendu du TP n o 4

Compte-rendu du TP n o 4 Qiao Wang Charles Duchêne 18 décembre 2013 Compte-rendu du TP n o 4 Document version 1.0 F2R UV301B Routage : peering BGP Sommaire 1. PLAN D ADRESSAGE 2 2. CONFIGURATION DU BANC 2 3. IBGP 4 1 Salle 27,

Plus en détail

Cours admin 200x serveur : DNS et Netbios

Cours admin 200x serveur : DNS et Netbios LE SERVICE DNS Voici l'adresse d'un site très complet sur le sujet (et d'autres): http://www.frameip.com/dns 1- Introduction : Nom Netbios et DNS Résolution de Noms et Résolution inverse Chaque composant

Plus en détail

1 Certificats - 3 points

1 Certificats - 3 points Université de CAEN Année 2008-2009 U.F.R. de Sciences le 23 mars 2009 Master professionnel RADIS UE4 - module réseaux - Spécialisation Durée : 2h. - Tous documents autorisés 1 Certificats - 3 points Lors

Plus en détail

Les Réseaux. Par THOREZ Nicolas

Les Réseaux. Par THOREZ Nicolas Les Réseaux Par THOREZ Nicolas V - Description des protocoles de la couche Internet @ et MSR L'adresse est l'adresse d'un poste sur un réseau. Elle est noté pas une suite de 4 nombres décimaux compris

Plus en détail

OSPF. Protocoles de routage et Concepts Chapitre 11. Version 4.0. 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 1

OSPF. Protocoles de routage et Concepts Chapitre 11. Version 4.0. 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 1 OSPF Protocoles de routage et Concepts Chapitre 11 Version 4.0 1 Objectifs Décrire l historique et les caractéristiques de base d OSPF. Identifier et appliquer les commandes de configuration d OSPF. Décrire,

Plus en détail

BAC PRO Système Electronique Numérique. Nom : Le routage Date : LE ROUTAGE

BAC PRO Système Electronique Numérique. Nom : Le routage Date : LE ROUTAGE 1. Sommaire LE ROUTAGE 1. Sommaire... 1 2. Un routeur, pour quoi faire?... 1 3. Principe de fonctionnement du routage.... 2 4. Interfaces du routeur... 3 4.1. Côté LAN.... 3 4.2. Côté WAN.... 3 5. Table

Plus en détail

Exercices Active Directory (Correction)

Exercices Active Directory (Correction) Exercices Active Directory (Correction) Exercice : Scénarios pour l'implémentation de composants logiques AD DS Lire les scénarios suivants et déterminer les composants logiques AD DS à déployer dans chaque

Plus en détail

Réseaux (INFO-F-303) - Année académique 2013-2014 Examen de théorie de première session - 7 janvier 2014 Nom: Prénom: Section :

Réseaux (INFO-F-303) - Année académique 2013-2014 Examen de théorie de première session - 7 janvier 2014 Nom: Prénom: Section : Réseaux (INFO-F-303) - Année académique 2013-2014 Examen de théorie de première session - 7 janvier 2014 Nom: Prénom: Section : 1 Lisez d'abord ce qui suit : - Indiquez vos nom et prénom sur chaque feuille,

Plus en détail

CHAPITRE 9 : LE ROUTAGE de PAQUETS ou DATAGRAMMES IP

CHAPITRE 9 : LE ROUTAGE de PAQUETS ou DATAGRAMMES IP CHAPITRE 9 : LE ROUTAGE de PAQUETS ou DATAGRAMMES IP I. Théorie : a. Objectif :.l adressage de niveau 3 permet de regrouper des interfaces physiques au sein de réseaux logiques..le routage permet, en fonction

Plus en détail

Métrologie réseaux GABI LYDIA GORGO GAEL

Métrologie réseaux GABI LYDIA GORGO GAEL Métrologie réseaux GABI LYDIA GORGO GAEL Métrologie Définition : La métrologie est la science de la mesure au sens le plus large. La mesure est l'opération qui consiste à donner une valeur à une observation.

Plus en détail

Ebauche Rapport finale

Ebauche Rapport finale Ebauche Rapport finale Sommaire : 1 - Introduction au C.D.N. 2 - Définition de la problématique 3 - Etat de l'art : Présentatio de 3 Topologies streaming p2p 1) INTRODUCTION au C.D.N. La croissance rapide

Plus en détail

Module 5 : Mise en œuvre du routage IP

Module 5 : Mise en œuvre du routage IP Module 5 : Mise en œuvre du routage IP 0RGXOH#8#=#0LVH#HQ#±XYUH#GX#URXWDJH#,3# # 44: #3UpVHQWDWLRQ#JpQpUDOH 'RQQHU#XQ#DSHUoX#GHV VXMHWV#HW#GHV#REMHFWLIV#GH#FH PRGXOH1 'DQV#FH#PRGXOH/#QRXV DOORQV#H[DPLQHU#OHV

Plus en détail

CheckPoint R76 Security Engineering niveau 2 (Cours officiel)

CheckPoint R76 Security Engineering niveau 2 (Cours officiel) CheckPoint R76 Security Engineering niveau 2 (Cours officiel) Objectif : Check Point Security Engineering est un cours avancé de 3 jours qui vous explique comment construire, modifier, déployer et diagnostiquer

Plus en détail

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ Aujourd'hui, les clients des banques peuvent effectuer la plupart

Plus en détail

Intelligence Artificielle et Systèmes Multi-Agents. Badr Benmammar bbm@badr-benmammar.com

Intelligence Artificielle et Systèmes Multi-Agents. Badr Benmammar bbm@badr-benmammar.com Intelligence Artificielle et Systèmes Multi-Agents Badr Benmammar bbm@badr-benmammar.com Plan La première partie : L intelligence artificielle (IA) Définition de l intelligence artificielle (IA) Domaines

Plus en détail

TP 1.1.7 Utilisation des commandes ping et tracert à partir d une station de travail

TP 1.1.7 Utilisation des commandes ping et tracert à partir d une station de travail TP 1.1.7 Utilisation des commandes ping et tracert à partir d une station de travail Objectif Apprendre à utiliser la commande TCP/IP ping (Packet Internet Groper) à partir d une station de travail Apprendre

Plus en détail

IPv6. Lab 6: Déploiement. Objectif: Communication IPv6 entre noeuds dans des sites différents au travers d'internet (IPv4)

IPv6. Lab 6: Déploiement. Objectif: Communication IPv6 entre noeuds dans des sites différents au travers d'internet (IPv4) IPv6 Lab 6: Déploiement Objectif: Communication IPv6 entre noeuds dans des sites différents au travers d'internet (IPv4) v.1a E. Berera 1 Communication sites IPv6 par Internet (IPv4) Wi-Fi SSID:groupe1

Plus en détail

Concept des VLAN Introduction au VLAN virtuel

Concept des VLAN Introduction au VLAN virtuel Les VLAN Sommaire 1.Concept des VLAN 1.1.Introduction au VLAN virtuel 1.2.Domaines de broadcast avec VLAN et routeurs 1.3.Fonctionnement d un VLAN 1.4.Avantages des LAN virtuels (VLAN) 1.5.Types de VLAN

Plus en détail

Gestion des Incidents (Incident Management)

Gestion des Incidents (Incident Management) 31/07/2004 Les concepts ITIL-Incidents 1 «Be prepared to overcome : - no visible management ou staff commitment, resulting in non-availability of resources - [ ]» «Soyez prêts a surmonter : - l absence

Plus en détail

L3 ASR Projet 1: DNS. Rapport de Projet

L3 ASR Projet 1: DNS. Rapport de Projet L3 ASR Projet 1: DNS Rapport de Projet Table des matières I. Maquette de travail...1 II. Configuration des machines...2 III. Type de zone...3 IV. Délégation de zone...3 V. Suffixes DNS...4 VI. Mise en

Plus en détail

Administration via l'explorateur WebSphere MQ

Administration via l'explorateur WebSphere MQ Ce document présente l utilisation de l Explorateur WebSphere MQ, et en particulier sa capacité à administrer des Queue Manager distants. Il aborde également les problèmes de sécurité liés à l administration

Plus en détail

Installation et configuration d un serveur DHCP (Windows server 2008 R2)

Installation et configuration d un serveur DHCP (Windows server 2008 R2) Installation et configuration d un serveur DHCP (Windows server 2008 R2) Contenu 1. Introduction au service DHCP... 2 2. Fonctionnement du protocole DHCP... 2 3. Les baux d adresse... 3 4. Etendues DHCP...

Plus en détail