Cartographie du SI et corrélation d alertes pour la détection d intrusions

Dimension: px
Commencer à balayer dès la page:

Download "Cartographie du SI et corrélation d alertes pour la détection d intrusions"

Transcription

1 Cartographie du SI et corrélation d alertes pour la détection d intrusions Etat de l art 07 Février 2005 RESPONSABLES France Telecom : Hervé DEBAR ENST Bretagne : Frédéric CUPPENS AUTEUR Diala ABIHAIDAR

2 INTRODUCTION LES IDS LES APPROCHES DE DETECTION COMPARAISONS DES APPROCHES ET DE LEURS LIMITES LA DETECTION QUALIFIEE DE «STATEFUL» VERSUS «STATELESS» LA CORRELATION D ALERTES ET LA CARTOGRAPHIE LA CARTOGRAPHIE DES RESEAUX LA DEFINITION DE LA CARTOGRAPHIE LES APPROCHES EXISTANTES L architecture à agents dédiés L approche active L approche passive TAXONOMIE DES OUTILS EXISTANTS NeVO RNA Snort EttercapNG Nessus Scotty/Tkined Nmap Checkos et SIRC P0f OSSIM SYNTHESE SUR LES OUTILS EXISTANTS LA CORRELATION D ALERTES ET LES PERSPECTIVES LES TECHNIQUES DE CORRELATION LES PERSPECTIVES...14 CONCLUSION...15 BIBLIOGRAPHIE...16 ANNEXE A OUTILS UTILISES DANS OSSIM...17 ANNEXE B CARACTERISATION D UNE MACHINE PAR OSSIM

3 Introduction De nos jours, le monde de la communication et du multimédia est en perpétuelle mutation. De nouvelles technologies émergentes, telles la Voix sur IP, Internet, , intranet, extranet et le commerce «Business to Business», forcent les entreprises à ouvrir leurs portes informatiques au reste du monde afin de rester compétitives. Malheureusement, cette ouverture vers l extérieur augmente sensiblement les risques liés à la sécurité de l entreprise. Assurer la sécurité informatique revient à garantir l intégrité et la confidentialité des données, la disponibilité, la non répudiation auxquelles s ajoute l authentification si on considère la sécurité sur l ensemble du réseau informatique. Tout système informatique peut être la cible d une menace qui cherchera à exploiter ses vulnérabilités. Une étape d analyse complète du système à protéger doit être faite pour détecter ses vulnérabilités et prendre certaines contre-mesures indispensables pour la prévention des attaques malveillantes. La deuxième étape consiste en une surveillance dite dynamique qui revient à surveiller le réseau, une fois la prévention faite, pour détecter d éventuelles intrusions. Dans le cadre de l observation des intrusions sur un réseau informatique il s avère évident qu il est nécessaire d automatiser la tâche vu l énorme volume de données à traiter. Ceci est confié aux outils de détections d intrusions (IDS, Intrusion Detection System). Cependant force est de constater que de nombreuses intrusions sont non détectées ou bien certaines sont détectées alors qu elles ne compromettent pas le système en question. Les IDS présentent certainement des lacunes que l on cherche depuis toujours à combler. Une corrélation d alerte peut paraître une solution pour réduire le nombre de fausses alertes. Une connaissance cartographique peut parfois apporter des informations exploitables par le processus de corrélation. Cette étude bibliographique est divisée en trois grandes parties. La première consistera à étudier les IDS pour voir pourquoi ils s avèrent insuffisants pour une gestion optimale de la sécurité du réseau. La deuxième partie traitera de la cartographie. Les différentes techniques et les différents outils de cartographie seront étudiés pour montrer leurs avantages et leurs points faibles ainsi que les différentes informations qu ils sont capables de fournir sur le réseau. La dernière partie sera consacrée à la corrélation d alertes ; une présentation rapide des méthodes existantes débouchera sur les perspectives. 2

4 1. Les IDS Les IDS sont des outils automatiques de surveillance de trafic destinés à détecter toute activité anormale ou suspecte supposée être une tentative de violation de la politique de sécurité mise en œuvre. Les IDS sont classés sous deux catégories : les HIDS (Host based Intrusion Detection System) et les NIDS (Network based Intrusion Detection System). Les HIDS assurent la sécurité au niveau des machines hôtes. Ils détectent tout accès ou modifications non autorisés de fichiers. Ils utilisent des modules logiciels implantés sur les machines hôtes à surveiller qui lisent les fichiers de log pour collecter les informations utiles dans des traces d audit. Les NIDS quant à eux assurent la sécurité des réseaux en enregistrant des données observées sur le trafic réseau. Ils nécessitent des machines dédiées placées dans des endroits bien précis (à la sortie d un firewall, devant un serveur Web ). Ils capturent et lisent les paquets IP circulant sur le réseau (Sniffing) Les approches de détection Nous avons vu que le rôle principal de l IDS est de détecter des intrusions. Reste à savoir comment il va pouvoir le faire, en d autres termes qu est-ce qu un IDS cherchera à savoir. Deux approches de détections existent [2]: l approche comportementale et l approche par scénario. L approche comportementale se base sur l idée de profil d un utilisateur (ou groupe d utilisateurs). Un profil d utilisateur est vu comme étant le trafic réseau relatif, la taille de données échangées, le nombre de connexions par jour établies par cet utilisateur ou vers cet utilisateur Cette approche consiste à comparer le profil de ce dernier à un profil défini au préalable correspondant à un comportement normal et enregistré dans une base de comportements dans le but de détecter des déviations notables. Cette approche cherche donc à détecter une anomalie de comportement. La deuxième approche consiste à analyser les traces d audit système ou les données sur le réseau pour détecter des comportements interdits. Ces derniers sont repérés par certains motifs ou signatures relatifs à des attaques connues et enregistrées dans une base de signatures d attaques. Cette approche cherche donc à détecter des manifestations d attaques. La réponse des IDS suite à une détection d intrusion peut être de deux sortes. Elle peut correspondre à une simple alerte, notification envoyée pour le personnel responsable via un message d alerte sur une console, une mise à jour de rapport d attaques C est une réponse passive. Mais il est aussi possible que l IDS réponde en exerçant une action spécifique comme par exemple déconnecter un utilisateur, fermer des ports, reconfigurer un firewall C est une forme active de réponse et nous avons tendance à parler d IPS (Intrusion Prevention System) Comparaisons des approches et de leurs limites On peut déjà noter quelques faits concernant les deux approches précédentes surtout en ce qui concerne les alertes générées. Ces deux approches peuvent donner lieu à des faux positifs et des faux négatifs. Les faux positifs sont la détection d une intrusion en l absence de celle ci. Les faux négatifs s illustrent par le fait que le système n a pas détecté une intrusion qui a eu lieu. Avec l approche comportementale, il est fort probable de déclencher un grand nombre de faux positifs. En effet les comportements qualifiés de normaux sont généralement appris par le module par une simple observation. Il peut y avoir une déviation normale du système sans que celle-ci représente une intrusion potentielle mais l IDS va déclencher une alerte (faux positif). De même un attaquant peut étaler son attaque dans le temps pour qu elle corresponde à un comportement normal appris par le module. Ceci est source de faux négatifs. Le problème avec la deuxième approche est qu elle se base sur une bonne définition de la politique de sécurité et une prise en compte de toutes les attaques possibles puisque toute 3

5 absence de signature dans la table de signatures pourrait induire un faux négatif. Cette approche demande également une définition précise de la signature sinon il y a un risque de faux positifs qui reste cependant moins important comparé avec la première approche La détection qualifiée de «stateful» versus «stateless» Un autre aspect de comparaison des IDS est la méthode de détection employée par ces différents outils. En ce qui concerne l approche par scénario, la majeure partie des IDS présents sur le marché se contentent d une analyse paquet par paquet sans prendre en considération qu une attaque peut être distribuée sur plusieurs paquets. La détection d intrusion dans ce cas consiste à chercher l existence d une certaine signature d attaque dans un paquet ; si cette dernière existe une alerte est déclenchée sinon le paquet est accepté et un autre paquet est analysé. Cette méthode est qualifiée de «stateless» puisqu elle ne garde pas d information sur l état des différents paquets analysés. Par contre une approche dite «stateful» consiste à garder des traces de chaque paquet analysé même si ce dernier ne comporte pas une signature d attaque. Plusieurs informations relatives aux paquets (valeurs des champs de l entête, certaines informations présentes dans le contenu du paquet ) sont collectées au fur et à mesure de l analyse et ceci durant une fenêtre temporelle fixée (120 secondes dans certains exemples [19]). Ces informations seront exploitées pour grouper les paquets selon les sessions auxquelles ils appartiennent. Les différents groupes seront ensuite analysés pour détecter d éventuel scénario d attaques. Les IDS employant cette méthode sont dits SIDS (Stateful Intrusion Detection System). Ils ont l avantage de pouvoir détecter des attaques (TearDrop Attack, Loki Information Tunneling Attack [19]) difficilement détectables par un IDS dit «stateless». L apport de cette méthode de détection étant la réduction du nombre des faux négatifs puisque de nouvelles attaques sont désormais détectables La corrélation d alertes et la cartographie L autre problème auxquels on s intéresse de nos jours est de trouver un moyen de réduire le nombre d alertes. La meilleure façon de le faire est de corréler les différentes alertes générées par les détecteurs d intrusions. De plus, les alertes générées par les IDS peuvent être conformes aux signatures définies et illustrent des attaques sans pour autant que ces dernières ne soient effectives. Prenons l exemple d une machine Unix avec un serveur Web Apache et un IDS signalant une attaque sur Microsoft IIS. Cette attaque n a pas réellement d effet sur la machine. On définit un degré de fiabilité associé à une alerte d IDS qui illustre à quel point on est certain à sa réception, de l existence d une attaque potentielle. Il est évident que si l IDS n est pas très fiable ceci implique l existence de pas mal de faux positifs. Ce genre de faux positifs générés par les IDS peut être réduit si ces derniers ont une meilleure connaissance des équipements du réseau. Il existe des modules de cartographie qu on détaillera ci-après capables de connaître ce genre d information exploitable pour une réduction du taux de fausses alertes. Ceci est l un des buts de la cartographie de réseaux. 2. La Cartographie des réseaux 2.1. La définition de la cartographie Les systèmes informatiques présentent plusieurs failles et sont la cible des attaquants qui exploitent certaines vulnérabilités existantes. La connaissance des caractéristiques du système d exploitation ainsi que les services et leurs versions, permet d avoir une meilleure approche de la détermination des vulnérabilités exploitables. La cartographie d un réseau concerne aussi bien son niveau physique que son niveau applicatif. On distingue deux aspects principaux de la cartographie [1]: son aspect topologique qui désigne la structure du réseau informatique. La topologie est aussi bien physique (équipements, interconnexions physiques entre les équipements à l exemple 4

6 d Ethernet) que logique (adressage, routage). L autre aspect de la cartographie est l aspect applicatif qui désigne l ensemble des composants logiciels du système. Le but principal de la cartographie est d avoir le plus de renseignements possibles sur le réseau qui pourront aider à avoir une connaissance en profondeur des différents composants ainsi que des vulnérabilités correspondantes. Les informations recherchées par les différents outils de cartographie existants diffèrent d un outil à un autre mais nous pouvons citer : l OS et sa version, le nom de la machine, son adresse MAC ou IP, le serveur hébergé et sa version etc Les approches existantes Différentes approches de cartographie existent [14]. L approche à agents dédiés, les approches active et passive L architecture à agents dédiés Une des façons de collecter des informations sur une machine serait d utiliser le principe des agents (utilisé par certains IDS). Un agent logiciel est un code exécutable qui peut être dédié ou mobile. Un agent dédié reste sur une seule machine alors qu un agent mobile peut se déplacer d une machine sur laquelle il s exécute pour se terminer sur une deuxième [15]. Dans les deux cas, pour pouvoir s exécuter, il lui faut un environnement agent installé au niveau de la machine destinataire. On voit bien deux limites de cette technique la première étant la nécessité d une plateforme dédiée qui n est pas tolérante au facteur d échelle ; elle devient difficile à mettre en œuvre si le nombre de machine à auditer est très grand. La deuxième limite est l échange de trafic réseau non négligeable entre les agents et leurs moniteurs L approche active Cette approche consiste à interagir avec la machine distante à surveiller en lui envoyant des paquets pour obtenir une réponse. L analyse des réponses donnera les informations recherchées surtout en ce qui concerne le type d OS et sa version ainsi que les services utilisés et leurs versions. Cette approche est réalisée via l envoi de messages ICMP ou TCP (avec certaines combinaisons de drapeaux et d option) pour forcer la machine à répondre. Pour la détermination de l OS existant sur la machine distante il suffit de récupérer un paquet TCP/IP forgé par cette machine. Ceci fournit des informations sur le système d exploitation. En effet, chaque OS (Linux, Unix, Windows ) a sa façon unique d implémenter les paquets TCP. Ces paquets contiennent des informations nécessaires à la détermination de l OS et qui sont essentiellement les champs TTL, Don t Fragment, taille initiale du paquet TOS, port source et les options TCP comme la taille de la fenêtre (Window Size), MSS Size, options Nop et SACK... L inconvénient de cette méthode est qu elle génère des paquets sur le réseau qui peuvent créer des instabilités pour le système audité. A ceci s ajoute le fait qu avec cette approche on ne peut détecter en temps réel tous les changements qui ont eu lieu sur le réseaux puisque toutes les informations sont apprises par des scans. Entre deux scans successifs il y a des changements qui ne peuvent pas être détectés. Par conséquent se pose la question de la durée de validité de l information. Enfin cette méthode n est pas adaptée pour les grands réseaux car elle prendrait beaucoup de temps pour caractériser toutes les machines L approche passive Cette approche a besoin des mêmes informations de la part de la machine distante que celles demandées par l approche active [16]. Par contre elle n est pas basée sur l envoi de messages. Elle consiste en une simple écoute du réseau. Les messages circulant sur le réseau vont être analysés pour déduire les caractéristiques des machines émettrices (OS, services,...). Cette approche optimale du point de vue charge du réseau ne permet pas par contre de détecter toutes les machines existantes sur un réseau. En effet s il n y a eu aucun échange de 5

7 messages entre cette machine et une autre sur le réseau on ne peut détecter sa présence, ce qui n est pas le cas avec l approche active qui teste la machine pour voir si elle est active ou pas. On surmonte aussi avec cette méthode l obstacle du scan actif qui peut être rejeté par l hôte ou par un équipement intermédiaire. Une solution pour pallier les différents inconvénients de chaque approche serait de combiner les approches selon les besoins. C est ce qui est mis en œuvre dans certains outils de cartographie (à l exemple d EttercapNG) Taxonomie des outils existants Les outils peuvent être classés [6] dans différentes catégories. Suivant les fonctionnalités offertes nous avons essentiellement les catégories suivantes : Explorateur du réseau : prise d empreinte active ou passive d OS, détermination des hôtes/firewalls/services, balayage des ports, exploration géographique de réseaux. Exemple : Nmap, NeVO, RNA, Ettercap. Observateur : capture (active ou passive) et analyse d information réseau (entête et données, protocole ), analyse du trafic réseau. Exemple : Ethereal, Ettercap, TCPDump, Ntop. Détecteur de sécurité : scanning et recherche de vulnérabilités. Exemple : Nessus. Outils de prise d empreintes d applications : analyse des services pour déterminer les applications et leurs versions. Exemple : THC-Amap. Il existe un grand nombre d outils utilisés qui fournissent des renseignements sur le réseau surveillé. Nous en détaillons quelques-uns ci après : NeVO NeVO (Network Vulnerability Observer) est un outil commercial en versions Windows et UNIX. A la manière d un IDS, NeVO fait de l écoute passive sur le réseau en observant les paquets qui y circulent. Il identifie les protocoles de communication utilisés entre les différents équipements, les applications qui tournent sur chacun ainsi que les vulnérabilités existantes qui peuvent être exploitées. Il identifie les Web proxies et les traite en tant que tels. Il établit pour chaque serveur une liste de tous les ports actifs et les observe pour enregistrer les machines qui ont dialogué avec lui via ce port ainsi que le service accédé. NeVO a l avantage d observer des sessions complètes tout au long du temps et plusieurs sessions en parallèle. Chaque session est observée pendant toute sa durée jusqu à ce qu une attaque soit détectée. Il est par contre évident que le plus vulnérable des serveurs ne peut être détecté par NeVO que s il existe une communication établie avec lui. Ceci est un inconvénient non seulement de NeVO mais de tout outil d écoute passive puisqu il n émet aucun paquet et se contente d observer le réseau. NeVO, en observant les paquets SYN, peut fournir des informations concernant le type d OS existant sur les machines actives du réseau. Un des avantages de NeVO comme de tout autre outil passif est qu il peut détecter les vulnérabilités non seulement du côté du serveur -comme le font les outils actifs- mais aussi du côté client. Il permet de détecter les applications (le browser Web par exemple Internet Explorer) qui existent du côté client et identifie les vulnérabilités correspondantes. Ceci est fait grâce à un mécanisme de signature basé sur des expressions régulières «regex» appliquées aux paquets et qui permettent une recherche de motif (pattern matching) relatif à une vulnérabilité connue. Des exemples de signatures existent dans la référence [4]. Avec ces expressions on a la possibilité d observer des paquets corrélés entre eux (requête/réponse). Suite à la détection d un certain motif dans un paquet il est possible de chercher un autre motif dans des paquets qui l ont précédé. Comme NeVO a la caractéristique de faire une étude multi événementielle, il est dit «stateful». 6

8 RNA RNA (Real-time Network Awareness) [3] est un outil commercial qui surveille les serveurs, routeurs, PCs Il englobe toutes les fonctionnalités d outils de cartographie qu on a énuméré au début du paragraphe. Il s agit d un explorateur de réseau puisqu il fournit des informations sur les adresses MAC, les OS et leurs versions, les services et leurs versions ainsi que les ports actifs de chaque équipement sur le réseau. Il fournit des informations sur le nombre de hop, paramètres MTU, TTL Il est complètement passif et écoute le réseau pour avoir des informations sur le flot, type et volume de trafic. C est aussi un détecteur de sécurité puisqu il a l aptitude d associer à chaque machine une base de vulnérabilités correspondant au type d OS existant et d évaluer selon cette base toutes les attaques qui arrivent pour déterminer leur impact. Enfin il est capable de détecter automatiquement tous les changements concernant l introduction de nouveaux services ou éléments. Il détecte aussi les comportements anormaux ou constituant une violation de la politique de sécurité appliquée. Ces comportements sont analysés en tenant compte des vulnérabilités existantes pour déterminer le risque correspondant à une attaque possible. De ce fait RNA constitue un module idéal pour la corrélation d alertes Snort Snort est un NIDS téléchargeable gratuitement et qui peut tourner sur toutes les plateformes (Linux, BSD, Solaris/Sun et MAC OS...) [13]. Facile à installer et à mettre en œuvre, Snort va faire de l écoute passive du réseau et générer des fichiers «logs». Il est basé sur libpcap qui enregistre les données circulant sur le réseau en mode promiscous. Il utilise des règles de détection d intrusion très simples basées sur des signatures pour faire du «pattern matching». Snort a la caractéristique de pouvoir non seulement analyser les entêtes des paquets mais aussi les données de la couche applicative ce qui le dote du pouvoir de détection d attaque du type débordement du buffer ou scanning CGI. Il fournit des fonctionnalités d alerte en temps réel dues à la simplicité de ses règles. Il fait une analyse de protocole et peut faire de la prise d empreinte d OS EttercapNG EttercapNG tourne sur Windows, FreeBSD, Solaris, MAC OS, Linux C est un outil gratuit très utilisé et facilement téléchargeable donc à la portée de tous [5]. EttercapNG peut découvrir et identifier des hôtes de façon active ou en se contentant d une écoute passive du réseau. Dans son mode passif il peut déterminer les machines actives du réseau, les différents OS en exploitant les paquets SYN et SYN+ACK, les ports ouverts (paquet SYN+ACK) et les versions de services hébergés par les serveurs, la nature de la machine hôte (simple hôte, routeur, passerelle ) et même une distance estimée en nombre de hops jusqu à la machine. Sa recherche de motifs se fait avec des expressions régulières «regex». En mode actif il envoie des requêtes ARP pour toute adresse IP du réseau (en regardant une adresse IP et le netmask) et reçoit toutes les réponses. Par conséquent il établit la liste des machines actives du réseau. Ainsi il est possible d identifier même les machines qui n ont pas encore dialogué. EttercapNG est doté d un cache DNS pour la collecte des informations sur les noms des machines acquises en mode passif. Une caractéristique d Ettercap est sa possibilité d intercepter des paquets émis, les exploiter pour en tirer le maximum d information et même les modifier. Pour comprendre comment ceci est possible, il faut noter que ARP est un protocole qui comme tout outil informatique contient des vulnérabilités. Une machine accepte de recevoir une réponse ARP même si elle n a pas demandé de requêtes et insère la réponse dans sa table ARP. Ettercap va exploiter ceci pour envoyer des réponses ARP à des machines qu il veut intercepter en précisant à chacune l adresse MAC qui est relative à la machine sur laquelle il tourne. Il fait ceci des deux côtés et maintient la correspondance MAC/IP pour pouvoir renvoyer les 7

9 messages à leur vraie destination. Ainsi chaque fois que les machines veulent dialoguer les messages sont interceptés puis renvoyés à la destination correspondante après leur étude. L exemple suivant (tiré du fichier Readme de EttercapNG) illustre ce phénomène : Machine 1: MAC: 01:01:01:01:01:01 IP: Machine 2: MAC: 02:02:02:02:02:02 IP: Machine Ettercap : MAC: 03:03:03:03:03:03 IP: Il envoie des réponses ARP pour Machine 1 disant que se trouve à 03:03:03:03:03:03 Machine 2 disant que se trouve à 03:03:03:03:03:03 Ainsi les machines sont empoisonnées et vont envoyer leurs paquets à lui. Quand il reçoit des paquets de la Machine 1, il les enverra à 02:02:02:02:02:02 et de la Machine 2 à 01:01:01:01:01:01. Du fait qu EttercapNG est capable de s intercaler au milieu de la communication il permet de déchiffrer des sessions SSH1 et ceci en interceptant les paquets en début de session et en remplaçant la clé publique du serveur par une clé générée par lui. Ainsi il récupère les paquets du client chiffrés par la clé générée et prendra la clé de session qui s y trouve. Il sera facile après d observer tout le trafic. Il offre la possibilité de collecter des mots de passe telnet, ftp, mysql Il peut observer le trafic de données sécurisées dans http SSL même si la connexion est faite via un proxy THC- Amap C est un outil qui permet d identifier les applications et les services même lorsqu ils ne sont pas sur leur port par défaut. A chaque fois qu une application (client) se connecte sur un serveur il y a un échange initial de paquets «handshake exchange». Amap profite de ce comportement en envoyant de façon active des requêtes sur les ports. Il va prendre le premier paquet renvoyé et comparer sa signature à une base de signatures de réponses pour déterminer le service correspondant. Cet outil est un nouvel outil gratuit qui est toujours en période de test et facilement téléchargeable sur le site [7] Nessus Le projet «Nessus» a démarré en 1998, sous la direction de Renaud Deraison qui voulait fournir un outil de balayage puissant, gratuit et facile à gérer. Nessus est un outil qui emploie une méthode active pour la cartographie du réseau et le balayage des ports. L avantage évident d une telle approche est l abondance d informations recueillie par le système, l inconvénient est le surplus de trafic «inutile» sur le réseau. Deux versions existent pour cet outil, l une pour les systèmes basés sur Unix (Mac OS X, FreeBSD, Linux, Solaris, etc..) et une autre pour les plateformes Windows, appelée NeWT (NeWT 2.0). Il est utile de mentionner que la version Windows, bien qu elle soit gratuite, n est cependant ni transférable ni sous licenciable et n est destinée qu à un usage strictement personnel. Nessus est le seul outil à offrir la possibilité de faire des contrôles de sécurité locaux, en plus des contrôles à distance conventionnels. Cette caractéristique se résume en la capacité de Nessus, à partir de sa version 2.1, de se connecter sur le hôte à distance. Il peut ainsi évaluer les patchs manquant sur une plateforme donnée et les dernières mises à jour disponibles pour protéger le système. Nessus a aussi l avantage de faire de la reconnaissance de services intelligente (Smart Service Recognition) : Nessus ne part pas du principe que les outils ciblés respectent les numéros de port désignés par l IANA, ce qui veut dire qu il peut repérer un serveur FTP s exécutant sur un port non standard ou un serveur Web utilisant un port autre que 80. Nessus a été le premier outil à offrir cette possibilité et a été maintes fois copié depuis. Une autre caractéristique très utile de Nessus est le recensement de tuples de service. Si un hôte exécute plusieurs instances d un même service, Nessus identifiera et testera chaque instance de ce service 8

10 indépendamment. Cet outil a aussi la capacité de tester des services basés sur SSL tels https, smtps, imaps Enfin, Nessus donne le choix entre deux modes de balayage : Un audit de sécurité normal, dit non destructif, et un mode exhaustif où il essaie d identifier et d exploiter les vulnérabilités du système audité, ce qui risquerait d entraîner un «crash» complet de l hôte cible, mais permettant d avoir des informations nettement plus pertinentes sur le système en question. Un atout fort de cet outil est la panoplie de programmes et d applications complémentaires qui sont développées autour de celui-ci : des programmes facilitant l interaction avec la base de données, des programmes centralisant la gestion de plusieurs domaines d administration (the Lightning Console), des applications permettant d intégrer les logs provenant de plusieurs sources (the Thunder Log) entre autres. Nessus est fort aussi de son langage de formalisation de tests de sécurité, le Nessus Attack Scripting Language (NASL), qui permet facilement la création de nouveaux plug-ins. Ces scripts ne représentent aucun danger pour la machine sur laquelle Nessus tourne, puisqu ils sont exécutés dans un environnement confiné, au-dessus d une machine virtuelle. Les rapports de sécurité peuvent être générés en HTML, XML, LaTex, ou texte ASCII. Une caractéristique importante de Nessus est la possibilité d y intégrer d autres outils tels Nmap, Hydra ou Nikto pour améliorer ses capacités de «scanning». Enfin, un site Web très instructif [8], une abondance de publications, des plug-ins régulièrement disponibles et une base d utilisateurs énorme permet de faire de Nessus un outil incontournable quand on parle de cartographie et d évaluation de vulnérabilités Scotty/Tkined Scotty/Tkined est un outil permettant la surveillance de réseau en utilisant des API (Application Programming Interface) de haut niveau [17]. L innovation de ce programme se trouve dans le fait qu il est à base de Tcl (Tool Command Language), ce qui facilite sa portabilité sur tous genres de plateformes. Il se scinde en deux packages principaux : le premier, Tnm Tcl Extension, fournit l accès aux sources d information de gestion de réseau. Le second, Tkined (Tcl/tK-based Interactive Network EDitor), est l éditeur de réseau, fournissant un environnement graphique facile à gérer et comprendre à la fois. Tnm Tcl Extension supporte les protocoles suivants: 1. SNMP (SNMPv1, SNMPv2c, SNMPv2u) 2. ICMP (echo, mask, timestamp et les requêtes udp/icmp de traceroute) 3. DNS 4. HTTP (côtés serveur et client) 5. RPC SUN (portmapper, mount, rstat, etherstat, services pcnfs) 6. NTP (version 3) 7. UDP La distribution de Scotty/Tkined comporte aussi quelques exemples de scripts illustrant la façon de rédiger des scripts pour automatiser les tâches de gestion et contrôles spécifiques au site ou réseau de l utilisateur. Cet outil comporte un défaut qui n est pas des moindres : Scotty fait réellement de la surveillance de réseau et non pas de la découverte et reconnaissance d hôtes ; c est l utilisateur qui dessine, à l aide de Tkined, le réseau à monitorer, Scotty ne prenant pas l initiative d identifier les hôtes dans un réseau donné. Un autre défaut, moins important, est le fait que Scotty est plutôt destiné à s exécuter sous des plateformes Unix. Une version récente a été développée pour les systèmes Windows NT mais elle est, toutefois, encore criblée de bugs Nmap Nmap (Network Mapper) est un outil gratuit [9], disponible sous licence GNU GPL, servant à l exploration de réseaux et à l audit sécuritaire. Il utilise une méthode active de recherche d informations. Cet outil est aussi bien adapté à des tests sur des centaines de 9

11 milliers de cibles qu à des tests visant un hôte particulier. Nmap comprend plus de 500 empreintes dans sa base. Il exploite les paquets IP «bruts» (TCP et UDP) de façons innovantes pour tenter, entre autres, de découvrir les hôtes existant sur un certain réseau, déterminer les services offerts par ceux-ci (nom de l application et sa version) via un balayage de ports, les différents OS sur lesquels ils tournent, les différents genres de filtres et de parefeu mis en place. Nmap est portable sur une grande variété de systèmes d exploitation : Linux, Windows, FreeBSD, OpenBSD, Solaris, IRIX, Mac OS X, HP-UX, NetBSD, Sun OS, Amiga De même, deux types d interface sont possibles : interface graphique et console de commande classique. Un point fort que cet outil partage avec Nessus est l abondance de documentation constamment mise à jour et traduite en plusieurs langues. Quelques propriétés intéressantes de Nmap sont : Calcul dynamique du délai : faute d imposer explicitement un certain délai entre les transmissions consécutives de paquets vers un même hôte, Nmap essaie de trouver le meilleur intervalle de temps à implémenter, intervalle qui s adapte dynamiquement à un changement de comportement éventuel de la cible. Retransmission de paquets : certains scanners n envoient qu une seule fois un paquet vers une cible, ne prenant pas en compte ainsi la possibilité de pertes de paquets dans le réseau. Ceci pourrait générer des faux négatifs. Nmap est conçu pour renvoyer un certain nombre de fois un paquet à un port qui ne répond pas. Balayage parallèle de ports : nmap exécute plusieurs balayages de ports simultanément, réduisant ainsi le temps de scan total d un hôte. Ceci permet d optimiser les performances. Balayage flexible de ports: une certaine plage de ports cibles peut être spécifiée, réduisant ainsi le temps total de l audit. Détection d un hôte hors service : avant de procéder à un balayage de ports coûteux en temps, Nmap s assure que la cible est bel et bien en service. Cependant, le fait qu il ait recours à des méthodes actives d audit, de prise d empreinte et de balayage fait qu il n est pas approprié à nos besoins. Curieusement, Microsoft a décidé de ne plus permettre à Nmap d être exécuté sur sa plateforme : Windows SP2 ne permet plus d envoyer des paquets TCP sur des sockets RAW Checkos et SIRC Ces deux outils partagent bon nombre de lignes de code, Checkos étant basé sur SIRC. Ce sont deux outils de prise d empreinte plutôt rudimentaires, plaçant une cible sous l une de quatre catégories : Linux, 4.4BSD, Win95 ou Unknown, en ayant recours à de simples tests sur les flags des paquets TCP [12]. Une chose que Checkos ajoute, est la vérification de la bannière telnet, qui est utile mais qui possède l inconvénient de ne pas être très crédible puisqu'un nombre croissant de personnes désactivent ces bannières ; de plus beaucoup de systèmes fournissent peu d'information et il est facile de "mentir" dans ses bannières P0f P0f est un outil de prise d empreinte passive qui propose quatre modes différents de fingerprinting [10]: Incoming connection fingerprinting (SYN mode, mode par défaut): pour identifier l OS installé sur un hôte qui se connecte à notre plateforme, Outgoing connection fingerprinting (SYN+ACK mode): pour déterminer le système d exploitation de l hôte sur lequel on se connecte, Outgoing connection refused fingerprinting (RST+ mode): pour une prise d empreinte d un système qui rejette notre trafic, Established connection fingerprinting (stray ACK mode): pour examiner des sessions en cours sans interférence de sa part. 10

12 Un outil de prise d empreinte passive ne peut jamais fournir de résultats aussi précis et exhaustifs qu un autre utilisant la méthode active. Cependant, il peut parfois surmonter certains obstacles que peut rencontrer un outil de prise d empreinte active : P0f réussit à contourner les pare-feu quand d autres outils tel que Nmap n y arrivent pas. Il comporte aussi des métriques qui n existent que dans cet outil, ou du moins qui y ont été mises en œuvre pour la première fois (Non-zero ACK in initial SYN, Non-zero "unused" TCP fields, Non-zero urgent pointer in SYN, Non-zero second timestamp, WSS to MSS/MTU correlation checks, EOL presence and trailing option data, Data payload in control packets, SEQ number equal to ACK number, Zero SEQ number). Jusqu à ce jour, p0f ne dispose pas d un module intégré de connectivité aux bases de données. Un module extérieur, p0f_db, est utilisé dans cet objectif. P0f tourne sous tous genres de systèmes d exploitation : NetBSD, FreeBSD, OpenBSD, Mac OS X, Linux (2.0 et plus), Solaris, Windows La version 2 de cet outil a été réécrite afin d ajouter de la flexibilité aux signatures et pour implémenter des contrôles sur des caractéristiques subtiles des paquets et, par conséquent, améliorer la précision de la prise d empreinte OSSIM OSSIM (Open Source Security Information Management) illustre une mise en œuvre de la cartographie pour améliorer la détection d intrusions. Son principal atout est que OSSIM n est pas un outil en tant que tel mais regroupe un grand nombre d outils «open source» existants pour offrir une meilleure gestion de la sécurité du réseau. OSSIM offre un environnement centralisé de monitorat et de gestion de toutes les informations délivrées par les différents outils qu il gère. Avec OSSIM il est possible de définir des règles de sécurité relatives à la politique de sécurité adoptée, de connaître la cartographie du réseau et de corréler les différents outils pour optimiser la supervision (réduire les faux positifs par exemple). On cherche à exploiter les caractéristiques des différents outils déjà existants pour collecter le plus d information nécessaire pour une meilleure vision du réseau. OSSIM garantit l interopérabilité des différents outils. Il possède trois caractéristiques principales : Intégration : OSSIM regroupe et intègre sur une même plateforme plusieurs outils de sécurité (Snort, Nessus, POf, Nmap ) (voir Annexe A) offrant des fonctionnalités de gestion de réseau (audit, pattern matching, détection d anomalies ) Corrélation : OSSIM offre la possibilité de corréler les alertes et de réduire par conséquent le nombre de faux positifs. Analyse de vulnérabilités : OSSIM offre des fonctionnalités qui permettent une bonne inspection des mesures de sécurité du réseau. L usage de Nessus par exemple va permettre à OSSIM de faire un inventaire de toutes les vulnérabilités existantes et donner une idée sur la situation du réseau. OSSIM est capable de fournir sur chaque équipement les informations suivantes : OS, adresse MAC, nom Netbios ou DNS, ports ouverts ainsi que versions et type de services sur ces ports et enfin des informations sur l usage du réseau (le trafic par connexion, par jour )(Voir Annexe B). Toutes ces informations sont collectées de façon active et passive. Il peut aussi détecter automatiquement tout changement de ces différents paramètres et le signale si nécessaire. 11

13 Concernant l architecture, nous pouvons voir OSSIM comme un composant à trois couches : BD Interaction avec l utilisateur : définitions des variables de sécurité Serveur Protocole propriétaire Console interface Web Corrélation, analyse de vulnérabilités Capteurs IDS, détection d anomalie, monitorat temps réel Figure 1 : Architecture d OSSIM vu comme un composant à 3 niveaux En ce qui concerne les capteurs, ils incluent des outils de détection d intrusions basés sur le principe de signatures ainsi que des outils de détection d anomalie. La supervision du réseau se fait en temps réel. OSSIM permet de faire une corrélation d alerte en provenance des différents capteurs pour ne garder que celles pertinentes et constituant une attaque potentielle pour le système d exploitation existant. Pour cela il maintient à jour des tables de correspondance alertes/versions et alertes/vulnérabilités. Enfin il faut préciser que OSSIM demande une plateforme Linux et a des fonctionnalités limitées sur BSD, MacosX, Solaris Synthèse sur les outils existants On a essayé dans cette partie de faire une taxonomie de tous les outils existants en essayant de les comparer. Le but final est de rechercher celui qui collecte le plus d informations sur le réseau, exploitables ultérieurement, tout en étant le plus efficace possible (en terme de déploiement et de charge réseau). Il faut noter que NeVO et RNA sont les deux seuls outils commerciaux qu on a cités. Ces outils sont bien connus dans le domaine de la cartographie puisqu ils fournissent beaucoup de renseignements sur les différents équipements du réseau. D autres outils qui sont aussi intéressants (à l exemple de Bro, Siphon, Queso) n ont pas été traités ici. Parmi les outils dont nous avons parlé il y en a qui étaient plus riches que d autres en terme de connaissance du réseau mais qui d un autre côté présentaient un certain nombre d inconvénients. L idéal serait de pouvoir grouper certains d entre eux pour essayer de profiter de leur richesse sans pour autant accumuler leurs inconvénients. Enfin OSSIM semble être une façon de tirer profit de certains outils existants pour aller en profondeur dans la connaissance du réseau. La connaissance du réseau va du plus bas niveau (adresses MAC, topologie) jusqu à un niveau supérieur d abstraction concernant les vulnérabilités auxquelles les équipements existants pourraient être assujettis. En pratique la connaissance de telles informations est indispensable pour un administrateur de réseau pour détecter les vulnérabilités au niveau des applications de certaines machines de son réseau et par conséquent offrir les patchs correspondants. Mais aussi ces informations sont très utiles en terme d optimisation du processus de détection d intrusions. Comme on l a vu la cartographie peut aussi être exploitée au moment de la corrélation d alertes pour réduire le grand nombre d alertes qui reste le problème majeur des IDS. 12

14 3. La corrélation d alertes et les perspectives Le besoin d algorithmes de corrélation découle en premier lieu, comme on l a déjà fait remarquer, du nombre d alertes à traiter. Ce nombre est en général très grand et complique la tache de l opérateur de sécurité. Ce dernier doit réagir face à certaines alertes mais pas à d autres qui s avèrent être redondantes ou bien correspondre à des fausses alertes (faux positifs). Le but actuel est de réduire ce nombre d alertes et de ne faire parvenir à l opérateur de sécurité que les alertes pertinentes qui demanderont éventuellement une intervention. On cherche aussi à préciser le degré de priorité relatif de chaque alerte pour optimiser la tâche de traitement. Réduire le nombre d alertes ne veut en aucun cas dire la désactivation immédiate d une alerte ce qui pourrait induire une non détection d une attaque éventuelle. L idée principale derrière la réduction du volume d alertes est de faire une analyse automatique des différentes alertes pour en déduire celles qui, dans la configuration actuelle du système d information à superviser, ne constituent pas un risque majeur et ne demandent pas une intervention immédiate de l opérateur de sécurité. Dans de nombreux cas, le processus de corrélation d alertes va éliminer les alertes surnuméraires en générant une alerte synthétique regroupant plusieurs alertes. Pour optimiser le traitement des alertes il faut améliorer leur sémantique; une bonne corrélation repose d abord sur une bonne expressivité et une richesse de l alerte en terme d informations. Ceci veut dire que chaque alerte doit contenir un nombre minimal d information pour pouvoir aboutir à une bonne corrélation. Notons que la sémantique de l alerte obtenue par corrélation doit contenir une définition précise de l attaque encourue, des risques auxquels est confronté le système en question ainsi qu une classification par niveau de priorité pour le traitement ultérieur des alertes. Une amélioration consiste à sélectionner les contre-mesures pour faire face à la menace. Toutes ces améliorations, comme vous pouvez le remarquer, demandent une certaine connaissance topologique du réseau surveillé ainsi qu une connaissance des vulnérabilités des différents systèmes pour pouvoir déterminer les menaces et les contre-mesures. Choses que le système de détection d intrusion, seul, ne peut savoir. D où l intérêt d avoir des outils de cartographie qui fourniront ces différentes informations. La corrélation d alertes peut aussi bien concerner des alertes en provenance d un seul équipement de détection, que des alertes en provenance de différents équipements dans le cas d une supervision distribuée du réseau. Ce dernier cas pose le problème de la représentation des données collectées par les alertes. En effet les systèmes de détections étant dans la plupart des cas hétérogènes, l échange de donnée d alertes nécessaire dans le processus de corrélation doit se faire en utilisant un format standard de représentation de ces données. Plusieurs travaux sur le modèle de représentation des données d alertes ont eu lieu donnant naissance à différents modèles de description d alerte. Citons M2D2 [21] qui est un modèle intégrant des informations relatives à la topologie et prenant en compte les vulnérabilités des machines sur le réseau. La partie suivante se consacre aux différentes techniques de corrélation existantes pour faire ressortir les différents points non encore abordés ou qui peuvent être améliorés Les techniques de corrélation Plusieurs techniques de corrélation ont été mises en place durant les dernières années. Une de ces techniques est celle utilisée dans le détecteur EMERALD et dite corrélation bayesienne [20] qui repose sur l agrégation. Cette approche consiste à dégager des similarités entre les différents attributs communs à un sous ensemble d alertes. Ces attributs sont l adresse de l attaquant, l adresse de la cible, l identifiant de la sonde générant l alerte, la date d occurrence et le type d attaque. Une méta-alerte est ensuite créée. Elle aura comme attributs l union des différents attributs des alertes de l ensemble constitué par les alertes considérées similaires. L inconvénient de cette méthode est que d après la définition des types d attaques, une alerte ne peut appartenir qu à un seul type d attaque. En plus aucune information sur la 13

15 cartographie du réseau n est exploitée et ceci ne permettra pas une optimisation du processus de corrélation. D autres approches comme celle de Lambda [22] et CRIM [23] reposent sur une description d un scénario d attaque dans un langage basé sur la logique. Une attaque est décrite comme une succession d évènements. Chaque événement est décrit par des préconditions et des post-conditions. Les pré-conditions doivent être remplies pour que l attaque puisse avoir lieu et les post-conditions doivent être vérifiées par chaque évènement pour pouvoir affirmer qu une attaque est en_train de se produire. Dans ce cadre, la corrélation consiste donc à lier les post-conditions d un évènement (détecté par une alerte) aux préconditions de l évènement suivant du scénario décrit. Ceci demande la description préalable dans ce langage d un grand nombre d évènements. Même si dans ce cadre il est possible d intégrer des informations de type cartographiques dans les conditions, ceci n a pas encore été mis en œuvre. Il existe cependant une approche qui est utilisée dans l outil OWL [20] et qui prend en compte, dans le processus de corrélation, des informations en provenance des outils d audit de vulnérabilité. Ceci est une étape vers une exploitation d informations autres que celles directement connues par les outils de détections d intrusions. Elle permet, quand une alerte se produit et signalant l existence d une attaque qui exploite une certaine vulnérabilité, de vérifier à partir des informations recueillies dans les outils d audit si cette vulnérabilité existe effectivement et quelles sont les menaces engendrées sur le système. Ainsi il serait possible de générer une nouvelle alerte et de lui attribuer un niveau de priorité en fonction de la gravité de la situation. Cependant il n y a aucun autre moyen de vérifier si vraiment le système est compromis. De plus, les outils d audit détectent la présence de vulnérabilité et non pas son absence. Cette dernière information pourrait être utile pour une élimination d alertes correspondant à l exploitation d une vulnérabilité non existante au niveau du système. Le problème reste à trouver un moyen ou un outil permettant d avoir une telle information. Une autre technique de corrélation est basée sur les chroniques [24]. Cette approche est surtout utile pour une réduction du nombre d alertes correspondant à une attaque à caractère répétitif dans le temps (les vers). Cette technique introduit une notion d horodatage qui consiste à reconnaître un flux ordonné et borné temporellement. Prenons l exemple d une attaque constituée de la propagation d un certain virus. Ce dernier, pour se propager, réalise un certain nombre de requêtes (le ver NIMDA à titre d exemple [20]). Cette technique va permettre de suivre et de corréler les alertes relatives à chacune de ces requêtes durant un certain espace temporel. Si cette suite d alertes a eu lieu, une alerte correspondant à la tentative de propagation de ce virus est générée. Cette technique demande un travail d écriture relativement important. Elle ne prend pas en compte non plus les caractéristiques du système attaqué. Il est fort probable que même si l attaque a eu lieu le système ne soit pas compromis puisqu il ne présente pas de vulnérabilité à ce genre précis d attaques. D où encore une fois une nécessité d intégration de nouvelles données dans ce modèle Les perspectives D après cette brève description des techniques existantes on peut déjà noter qu il existe toujours des lacunes dans chacune de ces méthodes. Ces lacunes pourraient être comblées si d autres informations plus précises sur les différents systèmes du réseau peuvent être recueillies. On peut même se demander si on ne pouvait pas descendre un rang dans la détection d intrusion. Au lieu de chercher à corréler des alertes pourquoi ne pas optimiser le processus de détection lui-même en essayant de faire un suivi des activités d un attaquant dans le temps. Ceci est déjà vu dans ce que l on a appelé l approche «stateful» de la détection. Ce qui ne va pas sans problème de stockage de données mais pourra, en définissant les signatures ou les scénarii de façon à y corréler des informations en provenance des outils de cartographie, réduire peut-être le nombre d alertes générées. Le problème est que l attaquant pourra essayer de faire exploser la sonde stateful en initialisant un grand nombre d attaques sans jamais les terminer, un peu comme dans un syn-flooding. 14

16 Pour optimiser les informations recueillies par les outils d audit de vulnérabilité, il serait intéressant aussi de pouvoir dresser un bilan des différents services actifs sur une machine donnée en leur associant les informations sur leurs versions et vulnérabilités pour pouvoir réduire de façon optimale le nombre de fausses alertes. C est à ce niveau que va se situer le travail durant le stage ; on va essayer d élaborer à partir des différents outils dont on dispose, un moyen d extraction d informations pertinentes qui pourraient nous être utiles pour l amélioration du processus de corrélation. Quelles sont les informations demandées? Comment les prendre en compte dans le mécanisme de corrélation? Toutes ces questions sont ouvertes et on espère apporter quelques réponses. Conclusion Actuellement la demande en matière de sécurité est de plus en plus importante. Les attaques quant à elles, sont devenues inévitables et les outils de détection présentent certaines limites. La tendance à optimiser ces derniers va de pair avec la recherche de nouvelles sources de données exploitables. La corrélation d alertes est un domaine prometteur. Beaucoup de travaux sont actuellement en cours pour élaborer de nouvelles méthodes et de nouveaux outils permettant d optimiser le processus de détection d intrusions. Un autre domaine de recherche est en_train de progresser, celui de la cartographie de réseaux qui, on l espère, va venir en aide aux techniques de corrélation d alertes. C est dans cette voie de recherche que va s effectuer notre stage avec l espoir de pouvoir apporter des réponses à certaines questions qui se posent toujours dans ce domaine 15

17 Bibliographie [1] H. Debar, Etat de l art sur la cartographie de sites, techniques de corrélation a_priori et les techniques de corrélation explicite, draft 0.1, [2] B. Mukherjee, L.Heberlein, K.Levitt, Network Intrusion Detection, IEEE Network, May/June [3] Site Web de RNA [4] R.Deraison, R.Gula, T.Hayton, Passive Vulnerability Scanning Intoduction to NeVO, Tenable Network Security, August [5] Site Web d EthercapNG [6] J.Melton, Gail-Joon Ahn, Application Penetration Testing: Concepts and Taxonomy, [7] Site THC [8] Site Web Nessus [9] Site Web Nmap [10] Site Web p0f [11] Site Web OSSIM [12] Site Web SIRC/Checkos [13] Martin Roesch, Snort-Lightweight Intrusion Detection for Networks, Stanford Telecommuniactions,Inc. November 7-12, [14] R.Deraison, R.Gula, Blended Security Assessments, Combining Active, Passive and Host Assessment Techniques, Tenable Network Security, July [15] W.Jansen, P.Mell, T.Karygiannis, D.Marks, Mobile Agents in Intrusion Detection And Response, National Institute for Standards and Technology Gaithersburg, [16] B.Dayioglu, A.Ozgit, Use of Passive Network Mammping to Enhance Signature Quality of Misuse Network Intrusion Detection Systems, Proceedings of the 16 th International Symposium on Computer and Information Sciences, November [17] Site Web Scotty/Tkined [18] Yohann Thomas, Acquisition passive de la cartographie d un réseau, rapport de stage de fin d études, France Telecom R&D Caen, Juin [19] S. Krishnamurthy, A. Sen, Stateful Intrusion Detection System (SIDS), Proceedings of the 2 nd International Information Warfare and Security Conference, Perth, Australia, November [20] H. Debar, Détection d intrusions vers un usage réel des alertes, rapport d habilitation à diriger des recherches. [21] B. Morin, L. Mé, H. Debar, M. Ducassé, M2D2 : A Formal Data Model for IDS Alert Correlation, Proceedings of the 5 th symposium on Recent Advances in Intrusion Detection (RAID 2002), Zurich, Switzerland, October [22] F.Cuppens, R.Ortalo, LAMBDA : A Language to Model a Database for Detection of Attacks, Third International Workshop on Recent Advances in Intrusion Detection (RAID 2000), Toulouse, Octobre [23] F. Cuppens et A. Miège. Alert correlation in a cooperative intrusion detection framework. IEEE Symposium on Research in Security and Privacy, Oakland, Mai [24] B.Morin, H.Debar, Correlation of Intrusion Symptoms: an Application of Chronicles, Proceedings of the 6 th symposium on Recent Advances in Intrusion Detection (RAID 2003),Carnegie Mellon University, Pittsburg, Septembre

18 ANNEXES Annexe A Outils utilisés dans OSSIM La table ci-dessus a été retirée du site de OSSIM. 17

19 Annexe B Caractérisation d une machine par OSSIM Windows Linux 18

20 Moniteur de session TCP Détection de changement d OS 19

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

TP 1 - Prise de contact avec Snort, scapy

TP 1 - Prise de contact avec Snort, scapy TP 1 - Prise de contact avec Snort, scapy 0. Initialisation du TP Installer les paquets python-scapy, snort, nmap. 1. Présentation de SNORT v2.8.5 La détection d intrusion consiste en un ensemble de techniques

Plus en détail

Sécurité des réseaux Les attaques

Sécurité des réseaux Les attaques Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Linux sécurité des réseaux

Linux sécurité des réseaux Linux sécurité des réseaux Rappels et audits réseaux Frédéric Bongat (IPSL) Philippe Weill (SA) 1 Introduction Sécurité des réseaux sous Linux Les réseaux Audit réseau 2 3 TCP/IP : protocoles de communication

Plus en détail

Systèmes de détection Exemples académiques & commerciaux

Systèmes de détection Exemples académiques & commerciaux Systèmes de détection Exemples académiques & commerciaux Système de détection: Propagation de logiciels malveillants Exemple I: MIT, ICSI & Consentry Jean-Marc Robert, ETS Protection contre les menaces

Plus en détail

SECURIDAY 2013 Cyber War

SECURIDAY 2013 Cyber War Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Formateurs: 1. Trabelsi NAJET

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1 Formation A2IMP Acquisition d information sur les autres Frédéric Bongat IPSL Formation A2IMP 1 Idée : corréler des informations via d autres Informations de base Connaître l horodatage (date, heure) des

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

Protection contre les menaces Prévention

Protection contre les menaces Prévention Protection contre les menaces Prévention Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Prévention Routeurs Pare-feu Systèmes de prévention d intrusion Conclusions Jean-Marc

Plus en détail

Fiche Technique. Cisco Security Agent

Fiche Technique. Cisco Security Agent Fiche Technique Cisco Security Agent Avec le logiciel de sécurité de point d extrémité Cisco Security Agent (CSA), Cisco offre à ses clients la gamme de solutions de protection la plus complète qui soit

Plus en détail

MSP Center Plus. Vue du Produit

MSP Center Plus. Vue du Produit MSP Center Plus Vue du Produit Agenda A propos de MSP Center Plus Architecture de MSP Center Plus Architecture Central basée sur les Probes Architecture Centrale basée sur l Agent Fonctionnalités démo

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

Les systèmes de détection d intrusion réseau

Les systèmes de détection d intrusion réseau Claude Duvallet Université du Havre UFR Sciences et Techniques Courriel : Claude.Duvallet@gmail.com Claude Duvallet 1/42 Plan de la présentation 1 Introduction et contexte 2 3 4 Claude Duvallet 2/42 Introduction

Plus en détail

INF4420: Éléments de Sécurité Informatique

INF4420: Éléments de Sécurité Informatique : Éléments de Module III : Sécurité des réseaux informatiques José M. Fernandez M-3109 340-4711 poste 5433 Où sommes-nous? Semaine 1 Intro Semaines 2, 3 et 4 Cryptographie Semaine 6, 7 Sécurité dans les

Plus en détail

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI Chapitre 2 Vulnérabilités protocolaires et attaques réseaux 1 Définitions Vulnérabilité: Défaut ou faiblesse d un système dans sa conception, sa mise en œuvre ou son contrôle interne pouvant mener à une

Plus en détail

IDS snort. Rémi JACHNIEWICZ et Romain GEGOUT 6 décembre 2008

IDS snort. Rémi JACHNIEWICZ et Romain GEGOUT 6 décembre 2008 IDS snort Rémi JACHNIEWICZ et Romain GEGOUT 6 décembre 2008 1 Table des matières 1 Les différents IDS 3 1.1 Les NIDS (Network IDS ou IDS Réseau)..................... 3 1.2 Les HIDS (Host IDS ou IDS Machine)......................

Plus en détail

Couche réseau : autour d IP. Claude Chaudet

Couche réseau : autour d IP. Claude Chaudet Couche réseau : autour d IP Claude Chaudet 2 ICMP : Signalisation dans IP Positionnement et rôle d'icmp IP est, en soi, un mécanisme simple dédié à l'acheminement de trames Il ne définit pas de messages

Plus en détail

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - Cours de sécurité Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - 1 Plan pare-feux Introduction Filtrage des paquets et des segments Conclusion Bibliographie 2 Pare-Feux Introduction

Plus en détail

Les protocoles UDP et TCP

Les protocoles UDP et TCP 3 Les protocoles UDP et TCP TCP comme UDP s exécute au-dessus d IP et se fonde sur les services fournis par ce dernier. TCP (Transport Control Protocol) assure un service de transmission de données fiable

Plus en détail

SOMMAIRE. Introduction Organisation Les Axes d attaques. Planification du projet Social engineering. Dénis de service. Exploite Conclusion - 2 /28-

SOMMAIRE. Introduction Organisation Les Axes d attaques. Planification du projet Social engineering. Dénis de service. Exploite Conclusion - 2 /28- SOMMAIRE Introduction Organisation Les Axes d attaques Planification du projet Social engineering Dénis de service Exploite Conclusion - 2 /28- INTRODUCTION Sensibilisation à la sécurité des SI Approfondissement

Plus en détail

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité 1. Présentation Nmap est un outil open source d'exploration réseau et d'audit de sécurité, utilisé pour scanner de grands

Plus en détail

Chapitre 5 : Protocole TCP/IP

Chapitre 5 : Protocole TCP/IP Chapitre 5 : Protocole TCP/IP 1- IP (Internet Protocol) : Il permet de à des réseaux hétérogène de coopérer. Il gère l adressage logique, le routage, la fragmentation et le réassemblage des paquets. Il

Plus en détail

NetCrunch 6. Superviser

NetCrunch 6. Superviser AdRem NetCrunch 6 Serveur de supervision réseau Avec NetCrunch, vous serez toujours informé de ce qui se passe avec vos applications, serveurs et équipements réseaux critiques. Documenter Découvrez la

Plus en détail

IHM OpIOS. Auteur : Hozzy TCHIBINDA. 08 Mars 2014 Version 1.2. Quelques fonctionnalités utiles. www.openip.fr

IHM OpIOS. Auteur : Hozzy TCHIBINDA. 08 Mars 2014 Version 1.2. Quelques fonctionnalités utiles. www.openip.fr IHM OpIOS Quelques fonctionnalités utiles Auteur : Hozzy TCHIBINDA 08 Mars 2014 Version 1.2 www.openip.fr Table des matières 1 Présentation 2 2 Personnalisation de l OpIOS 3 2.1 Configuration des utilisateurs.................................

Plus en détail

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required.

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required. Quelles sont les deux affirmations vraies relatives à la sécurité du réseau? (Choisissez deux réponses.) Protéger un réseau contre les attaques internes constitue une priorité moins élevée car les employés

Plus en détail

MASTER SIS PRO : logique et sécurité DÉTECTION D INTRUSIONS. Odile PAPINI, LSIS. Université de Toulon et du Var. papini@univ-tln.

MASTER SIS PRO : logique et sécurité DÉTECTION D INTRUSIONS. Odile PAPINI, LSIS. Université de Toulon et du Var. papini@univ-tln. MASTER SIS PRO : logique et sécurité DÉTECTION D INTRUSIONS Odile PAPINI, LSIS. Université de Toulon et du Var. papini@univ-tln.fr Plan Introduction Généralités sur les systèmes de détection d intrusion

Plus en détail

INFO 3020 Introduction aux réseaux d ordinateurs

INFO 3020 Introduction aux réseaux d ordinateurs INFO 3020 Introduction aux réseaux d ordinateurs Philippe Fournier-Viger Département d informatique, U.de M. Bureau D216, philippe.fournier-viger@umoncton.ca Automne 2014 1 Introduction Au dernier cours

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 69 Audit et Sécurité Informatique Chap 2: Firewall et Règles de Filtrage ACL Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2 / 69 Plan

Plus en détail

Évolution de l architecture de réseau avec garde-barrière, VPN, accès distants

Évolution de l architecture de réseau avec garde-barrière, VPN, accès distants JRES 2003 Lille, 20 novembre 2003 Évolution de l architecture de réseau avec garde-barrière, VPN, accès distants Marie-Claude QUIDOZ & Catherine GRENET CNRS/UREC Évolution de l architecture de réseau /

Plus en détail

La sécurité des Réseaux Partie 6.1 Les pare-feus

La sécurité des Réseaux Partie 6.1 Les pare-feus La sécurité des Réseaux Partie 6.1 Les pare-feus Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références F. Ia et O. Menager, Optimiser et sécuriser son trafic

Plus en détail

Compromettre son réseau en l auditant? R. Deraison - Tenable Network Security

Compromettre son réseau en l auditant? R. Deraison - Tenable Network Security Compromettre son réseau en l auditant? R. Deraison - Tenable Network Security Agenda But de cette présentation Injection de vulnérabilités Empecher l audit Obtention des identifiants Reverse overflow Présentation

Plus en détail

I. Premier partie Nmap. 1- Topologie: Nous allons faire un scan sur le Site de Acf 2i. C est une société où j ai effectué un stage pendant six mois.

I. Premier partie Nmap. 1- Topologie: Nous allons faire un scan sur le Site de Acf 2i. C est une société où j ai effectué un stage pendant six mois. 1 I. Premier partie Nmap Nous allons faire un scan sur le Site de Acf 2i. C est une société où j ai effectué un stage pendant six mois. 1- Topologie: 2 2- Sortie nmap Dans cette image nous voyons bien

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 54 Audit et Sécurité Informatique Chap 1: Services, Mécanismes et attaques de sécurité Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2

Plus en détail

Sécurisation en réseau

Sécurisation en réseau Déni de services Sécurisation en réseau Utilisant des bugs exemple Ping of death (Cf. RFC IP) l exploitation des protocoles TCP SYN flooding Envoi seulement le début du 3-way handshake Saturation de la

Plus en détail

Table des matières. 1 Vue d ensemble des réseaux... 5. 2 Transmission des données : comment fonctionnent les réseaux... 23. Introduction...

Table des matières. 1 Vue d ensemble des réseaux... 5. 2 Transmission des données : comment fonctionnent les réseaux... 23. Introduction... Table des matières Introduction 1 Structure du livre 2 Nouveautés par rapport à la 3 e édition 2 Conventions typographiques 3 1 Vue d ensemble des réseaux 5 Qu est-ce qu un réseau? 6 Pourquoi créer un

Plus en détail

Les Attaques en Réseau sous Linux

Les Attaques en Réseau sous Linux Les Attaques en Réseau sous Linux Plan Introduction Partie 1: ARP Spoofing Partie 2: Outils de simulation. Partie 3: Démonstration de l attaque.. Partie 4: Prévention et détection de l attaque. Partie

Plus en détail

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous-direction scientifique et technique Laboratoire Technologies de l Information

Plus en détail

Introduction. Licence MASS L3 Inf f3

Introduction. Licence MASS L3 Inf f3 Le modèle client serveur Introduction Licence MASS L3 Inf f3 Encapsulation : rappel Données Données Application En-tête En-tête Transport UDP Données TCP Données Paquet UDP Segment TCP En-tête IP Données

Plus en détail

PACK SKeeper. Descriptif du Pack SKeeper : Equipements

PACK SKeeper. Descriptif du Pack SKeeper : Equipements PACK SKeeper Destinée aux entreprises et aux organisations de taille moyenne ( 50 à 500 users ) fortement utilisatrices des technologies de l'information (messagerie, site web, Intranet, Extranet,...)

Plus en détail

Introduction. Adresses

Introduction. Adresses Architecture TCP/IP Introduction ITC7-2: Cours IP ESIREM Infotronique Olivier Togni, LE2I (038039)3887 olivier.togni@u-bourgogne.fr 27 février 2008 L Internet est basé sur l architecture TCP/IP du nom

Plus en détail

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad Outils d'analyse de la sécurité des réseaux HADJALI Anis VESA Vlad Plan Introduction Scanneurs de port Les systèmes de détection d'intrusion (SDI) Les renifleurs (sniffer) Exemples d'utilisation Conclusions

Plus en détail

La sécurité, à l'heure actuelle

La sécurité, à l'heure actuelle Plan de l'exposé I) La sécurité, à l'heure actuelle II) Les différentes attaques II) La solution «passive», l'ids IV) La solution «active», l'ips V) Limites des IDS/IPS VI) Bilan et conclusion La sécurité,

Plus en détail

DIGITAL NETWORK. Le Idle Host Scan

DIGITAL NETWORK. Le Idle Host Scan DIGITAL NETWORK Siège : 13 chemin de Fardeloup 13600 La Ciotat Siret : 43425494200015 APE : 722 Z www.digital network.org www.dnsi.info Laboratoires : 120 Avenue du Marin Blanc, ZI Les Paluds, 13685 Aubagne

Plus en détail

Internet. PC / Réseau

Internet. PC / Réseau Internet PC / Réseau Objectif Cette présentation reprend les notions de base : Objectif, environnement de l Internet Connexion, fournisseurs d accès Services Web, consultation, protocoles Modèle en couches,

Plus en détail

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion Atelier IDS Snort Outil de Détection d intrusion Introduction Les systèmes de détection d intrusion ou IDS pour (Intrusion Detection System) sont indispensables pour la sécurité du réseau, ils permettent

Plus en détail

ZABBIX est distribué sous licence GNU General Public License Version 2 (GPL v.2).

ZABBIX est distribué sous licence GNU General Public License Version 2 (GPL v.2). Nom du projet : Zabbix Description : ZABBIX est un logiciel open source créé par Alexei Vladishev. Zabbix permet de surveiller le statut de divers services réseau, serveurs et autres matériels réseau.

Plus en détail

PACK SKeeper Multi = 1 SKeeper et des SKubes

PACK SKeeper Multi = 1 SKeeper et des SKubes PACK SKeeper Multi = 1 SKeeper et des SKubes De plus en plus, les entreprises ont besoin de communiquer en toute sécurité avec leurs itinérants, leurs agences et leurs clients via Internet. Grâce au Pack

Plus en détail

Cisco Certified Network Associate

Cisco Certified Network Associate Cisco Certified Network Associate Version 4 Notions de base sur les réseaux Chapitre 3 01 Quel protocole de la couche application sert couramment à prendre en charge les transferts de fichiers entre un

Plus en détail

White Paper - Livre Blanc

White Paper - Livre Blanc White Paper - Livre Blanc Développement d applications de supervision des systèmes d information Avec LoriotPro Vous disposez d un environnement informatique hétérogène et vous souhaitez à partir d une

Plus en détail

Scans. Introduction. Reconnaissance. Postexploitation et maintien de l accès. Scan. Exploitation

Scans. Introduction. Reconnaissance. Postexploitation et maintien de l accès. Scan. Exploitation 3 Scans Reconnaissance Postexploitation et maintien de l accès Scan Exploitation Introduction Au terme de la phase 1, vous devez avoir développé une solide compréhension de la cible et organisé dans le

Plus en détail

Sécurité et Firewall

Sécurité et Firewall TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette

Plus en détail

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN. UFC CENTRE DE BAB EZZOUAR EXEMPLES DE SUJETS POUR LE PROJET DE FIN D ETUDE OPSIE PROPOSES PAR M. NACEF (ENSEIGNANT) Sujet 1 : Management des risques par la méthode MEHARI. Type : étude, audit. MEHARI est

Plus en détail

Description du datagramme IP :

Description du datagramme IP : Université KASDI MERBAH OUARGLA Faculté des Nouvelles Technologies de l information et de la Communication Département Informatique et Technologies de les Information 1 er Année Master académique informatique

Plus en détail

INF4420: Éléments de Sécurité Informatique

INF4420: Éléments de Sécurité Informatique : Éléments de Module III : Sécurité des réseaux informatiques José M. Fernandez D-6428 340-4711 poste 5433 Où sommes-nous? Semaine 1 Intro Semaines 2, 3 et 4 Cryptographie Semaine 6, 7 Sécurité dans les

Plus en détail

Services Réseaux - Couche Application. TODARO Cédric

Services Réseaux - Couche Application. TODARO Cédric Services Réseaux - Couche Application TODARO Cédric 1 TABLE DES MATIÈRES Table des matières 1 Protocoles de gestion de réseaux 3 1.1 DHCP (port 67/68)....................................... 3 1.2 DNS (port

Plus en détail

Retour d expérience sur Prelude

Retour d expérience sur Prelude Retour d expérience sur Prelude OSSIR Paris / Mathieu Mauger Consultant Sécurité (Mathieu.Mauger@intrinsec.com) Guillaume Lopes Consultant Sécurité (Guillaume.Lopes@Intrinsec.com) @Intrinsec_Secu 1 Plan

Plus en détail

SECURIDAY 2012 Pro Edition

SECURIDAY 2012 Pro Edition SECURINETS CLUB DE LA SECURITE INFORMATIQUE INSAT SECURIDAY 2012 Pro Edition [Détection des alertes IDS/IPS] Chef Atelier : Mériem TOUMI(RT) Fatma GHARIANI (RT) Imène BELKHIR (RT) Insaf BEJAOUI (RT) Naim

Plus en détail

Test d un système de détection d intrusions réseaux (NIDS)

Test d un système de détection d intrusions réseaux (NIDS) Test d un système de détection d intrusions réseaux (NIDS) La solution NETRANGER CISCO SECURE IDS Par l Université de Tours Thierry Henocque Patrice Garnier Environnement du Produit 2 éléments Le produit

Plus en détail

Administrateur Système et Réseau

Administrateur Système et Réseau Titre professionnel : Reconnu par l Etat de niveau II (Bac), inscrit au RNCP (arrêté du 28/01/09, J.O. n 32 du 07/02/09) (53 semaines) page 1/7 Unité 1 : Gestion du poste de travail 4 semaines Module 1

Plus en détail

Les pare-feux : concepts

Les pare-feux : concepts Les pare-feux : concepts Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (2) 15 mai 2005 Diapositive N 1 /19 C'est quoi

Plus en détail

Groupe Analyse. Réalisé par : Master 2. Université Paul Sabatier de Toulouse. Novembre 2004

Groupe Analyse. Réalisé par : Master 2. Université Paul Sabatier de Toulouse. Novembre 2004 Master 2 Groupe Analyse Réalisé par : Arnaud Sébastien Bizouard Paul Delomier Yoann Esquié Jérôme Falguera Anne Laudic Sébastien Salvan Lydie Novembre 2004 Université Paul Sabatier de Toulouse Présentation

Plus en détail

Partagez plus avec Christie Brio

Partagez plus avec Christie Brio Partagez plus avec Christie Brio Plus de productivité. Plus de travail en équipe. Plus de choix Sommaire Christie Brio Enterprise Guide de déploiement Présentation..2 Où installer le boitier sur le réseau..

Plus en détail

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications Tunnels et VPN 20/02/2008 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement

Plus en détail

Administration réseau Introduction

Administration réseau Introduction Administration réseau Introduction A. Guermouche A. Guermouche Cours 1 : Introduction 1 Plan 1. Introduction Organisation Contenu 2. Quelques Rappels : Internet et le modèle TCP/ Visage de l Internet Le

Plus en détail

Profil de protection d un pare-feu industriel

Profil de protection d un pare-feu industriel Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2

Plus en détail

Protection des protocoles www.ofppt.info

Protection des protocoles www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Protection des protocoles DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2

Plus en détail

Mécanismes de sécurité des systèmes. 10 e cours Louis Salvail

Mécanismes de sécurité des systèmes. 10 e cours Louis Salvail Mécanismes de sécurité des systèmes 10 e cours Louis Salvail Objectifs Objectifs La sécurité des réseaux permet que les communications d un système à un autre soient sûres. Objectifs La sécurité des réseaux

Plus en détail

Le scan de vulnérabilité

Le scan de vulnérabilité 4 Le scan de vulnérabilité Sommaire Le scan de vulnérabilité de base Scan avec NeXpose L assistant "nouveau site" Le nouvel assistant pour les scans manuels Scan avec Nessus Scanners de vulnérabilité spécialisés

Plus en détail

Les tests d intrusion dans les réseaux Internet, l outil Nessus

Les tests d intrusion dans les réseaux Internet, l outil Nessus CNAM Paris Département informatique Les tests d intrusion dans les réseaux Internet, l outil Nessus Examen probatoire session de Mai 2004 laurent_donge@yahoo.fr 1 Test d intrusion, l outil Nessus - Mai

Plus en détail

Cible de sécurité CSPN

Cible de sécurité CSPN Cible de sécurité CSPN Dropbear 2012.55 Ref 12-06-037-CSPN-cible-dropbear Version 1.0 Date June 01, 2012 Quarkslab SARL 71 73 avenue des Ternes 75017 Paris France Table des matières 1 Identification 3

Plus en détail

ManageEngine OpUtils 3. Vue d ensemble du produit

ManageEngine OpUtils 3. Vue d ensemble du produit ManageEngine OpUtils 3 Vue d ensemble du produit Agenda Vision général du produit Fonctions clés Les outils dans OpUtils Q & A Synthèse Vue du produit OpUtils est un outil de diagnostique du système et

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

Devoir Surveillé de Sécurité des Réseaux

Devoir Surveillé de Sécurité des Réseaux Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La

Plus en détail

Cisco IDS Network Module pour les routeurs des gammes Cisco 2600, 3600 et 3700

Cisco IDS Network Module pour les routeurs des gammes Cisco 2600, 3600 et 3700 Fiche Technique Cisco IDS Network Module pour les routeurs des gammes Cisco 2600, 3600 et 3700 Cisco IDS Network Module fait partie des solutions intégrées de sécurité de réseau Cisco IDS (système de détection

Plus en détail

Analyse de protocoles binaires avec les N-Grams

Analyse de protocoles binaires avec les N-Grams Analyse de protocoles binaires avec les N-Grams N-Gram against the Machine : On the Feasibility of the N-Gram network Analysis for Binary Protocols Thomas LETAN 26 novembre 2012 Objectifs des auteurs :

Plus en détail

Windows Vista et Windows Server 2003... 15. Étude de cas... 41

Windows Vista et Windows Server 2003... 15. Étude de cas... 41 Windows Vista et Windows Server 2003... 15 Windows Vista... 16 Pourquoi Vista?... 16 L initiative pour l informatique de confiance... 17 Le cycle de développement des logiciels informatiques fiables...

Plus en détail

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE PUBLICATION CPA-2011-102-R1 - Mai 2011 SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE Par : François Tremblay, chargé de projet au Centre de production automatisée Introduction À l

Plus en détail

Sécurité des systèmes informatiques

Sécurité des systèmes informatiques Sécurité des systèmes informatiques Sécurité et procédures Olivier Markowitch Sécurisation matérielle Sécurisation matérielle des stations de travail permission de l accès au clavier ou à l écran tactile

Plus en détail

DUCLOUX Gilles PPE ITESCIA. Activité 2-1 : Option SISR (Joseph Sammartano) KOS INF

DUCLOUX Gilles PPE ITESCIA. Activité 2-1 : Option SISR (Joseph Sammartano) KOS INF DUCLOUX Gilles PPE ITESCIA Activité 2-1 : Option SISR (Joseph Sammartano) KOS INF Table des matières Rôle, intérêt et solutions techniques concernant la mise en place d un réseau intermédiaire (DMZ)..

Plus en détail

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT Administration Réseau Niveau routage Intérêt du NAT (Network Address Translation) Possibilité d utilisation d adresses privées dans l 4 2 1 Transport Réseau Liaison Physique Protocole de Transport Frontière

Plus en détail

Sensibilisation à la Sécurité sur Internet. vulnérabilités sur Internet

Sensibilisation à la Sécurité sur Internet. vulnérabilités sur Internet Sensibilisation à la Sécurité sur Internet Cours «2» : Menaces et Cours «2» : Menaces et vulnérabilités sur Internet Plan du cours Sécurité locale du PC Sécurité du réseau Sécurité de communication Outils

Plus en détail

TP N o 4 de Réseaux Etude des protocoles de la couche transport d Internet UDP et TCP

TP N o 4 de Réseaux Etude des protocoles de la couche transport d Internet UDP et TCP TP N o 4 de Réseaux Etude des protocoles de la couche transport d Internet UDP et TCP Pascal Sicard 1 INTRODUCTION L objectif de ce TP est d observer et de commencer à comprendre le fonctionnement des

Plus en détail

Master Informatique. Master Informatique 1ère année 1 er sem. Anonymat : Numéro à coller. Examen Réparti 1 : ARES 2010-2011

Master Informatique. Master Informatique 1ère année 1 er sem. Anonymat : Numéro à coller. Examen Réparti 1 : ARES 2010-2011 3. Lorsqu une alerte est interceptée sur le serveur web, l application doit envoyer un e-mail aux administrateurs des machines distantes concernées. (a) Pouvez vous rappeler le protocole applicatif utilisé

Plus en détail

Compromettre son réseau en l auditant?

Compromettre son réseau en l auditant? Compromettre son réseau en l auditant? Renaud Deraison Directeur de la Recherche Tenable Network Security 1 Introduction Devant la recrudescence de failles et la crainte de vers de toutes sortes, ainsi

Plus en détail

par BALLAN Emilie et SURANGKANJANAJAI Gaëtan disponible en ligne : http://www.e eck.org/

par BALLAN Emilie et SURANGKANJANAJAI Gaëtan disponible en ligne : http://www.e eck.org/ Dénis de Service et usurpation d'identité par BALLAN Emilie et SURANGKANJANAJAI Gaëtan disponible en ligne : http://www.e eck.org/ PLAN Introduction Dénis de service: Tcp Syn Land Teardrop Smurf Ping de

Plus en détail

Indicateur et tableau de bord

Indicateur et tableau de bord Agenda Indicateur et tableau de bord «La sécurité n est pas une destination mais un voyage» 1. Jean-François DECHANT & Philippe CONCHONNET jfdechant@exaprobe.com & pconchonnet@exaprobe.com +33 (0) 4 72

Plus en détail

Rappels réseaux TCP/IP

Rappels réseaux TCP/IP Rappels réseaux TCP/IP Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 1 /27 Au menu Modèle

Plus en détail

Notice du LiveCD Spécialité Réseaux

Notice du LiveCD Spécialité Réseaux Notice du LiveCD Spécialité Réseaux 21 2 Ethereal : Ethereal est un sniffer de réseau, il capture les trames circulant sur le réseau, en permet l'analyse et sépare suivant l'encapsulation les différnetes

Plus en détail

Cisco Certified Network Associate

Cisco Certified Network Associate Cisco Certified Network Associate Version 4 Notions de base sur les réseaux Chapitre 4 1 D après l en-tête de la couche transport illustré, quelles affirmations parmi les suivantes définissent la session

Plus en détail

Serveur FTP. 20 décembre. Windows Server 2008R2

Serveur FTP. 20 décembre. Windows Server 2008R2 Serveur FTP 20 décembre 2012 Dans ce document vous trouverez une explication détaillé étapes par étapes de l installation du serveur FTP sous Windows Server 2008R2, cette présentation peut être utilisée

Plus en détail

Chapitre 5 : IPSec. SÉcurité et Cryptographie 2013-2014. Sup Galilée INFO3

Chapitre 5 : IPSec. SÉcurité et Cryptographie 2013-2014. Sup Galilée INFO3 Chapitre 5 : IPSec SÉcurité et Cryptographie 2013-2014 Sup Galilée INFO3 1 / 11 Sécurité des réseaux? Confidentialité : Seuls l émetteur et le récepteur légitime doivent être en mesure de comprendre le

Plus en détail