Cartographie du SI et corrélation d alertes pour la détection d intrusions
|
|
- Christine Cloutier
- il y a 8 ans
- Total affichages :
Transcription
1 Cartographie du SI et corrélation d alertes pour la détection d intrusions Etat de l art 07 Février 2005 RESPONSABLES France Telecom : Hervé DEBAR ENST Bretagne : Frédéric CUPPENS AUTEUR Diala ABIHAIDAR
2 INTRODUCTION LES IDS LES APPROCHES DE DETECTION COMPARAISONS DES APPROCHES ET DE LEURS LIMITES LA DETECTION QUALIFIEE DE «STATEFUL» VERSUS «STATELESS» LA CORRELATION D ALERTES ET LA CARTOGRAPHIE LA CARTOGRAPHIE DES RESEAUX LA DEFINITION DE LA CARTOGRAPHIE LES APPROCHES EXISTANTES L architecture à agents dédiés L approche active L approche passive TAXONOMIE DES OUTILS EXISTANTS NeVO RNA Snort EttercapNG Nessus Scotty/Tkined Nmap Checkos et SIRC P0f OSSIM SYNTHESE SUR LES OUTILS EXISTANTS LA CORRELATION D ALERTES ET LES PERSPECTIVES LES TECHNIQUES DE CORRELATION LES PERSPECTIVES...14 CONCLUSION...15 BIBLIOGRAPHIE...16 ANNEXE A OUTILS UTILISES DANS OSSIM...17 ANNEXE B CARACTERISATION D UNE MACHINE PAR OSSIM
3 Introduction De nos jours, le monde de la communication et du multimédia est en perpétuelle mutation. De nouvelles technologies émergentes, telles la Voix sur IP, Internet, , intranet, extranet et le commerce «Business to Business», forcent les entreprises à ouvrir leurs portes informatiques au reste du monde afin de rester compétitives. Malheureusement, cette ouverture vers l extérieur augmente sensiblement les risques liés à la sécurité de l entreprise. Assurer la sécurité informatique revient à garantir l intégrité et la confidentialité des données, la disponibilité, la non répudiation auxquelles s ajoute l authentification si on considère la sécurité sur l ensemble du réseau informatique. Tout système informatique peut être la cible d une menace qui cherchera à exploiter ses vulnérabilités. Une étape d analyse complète du système à protéger doit être faite pour détecter ses vulnérabilités et prendre certaines contre-mesures indispensables pour la prévention des attaques malveillantes. La deuxième étape consiste en une surveillance dite dynamique qui revient à surveiller le réseau, une fois la prévention faite, pour détecter d éventuelles intrusions. Dans le cadre de l observation des intrusions sur un réseau informatique il s avère évident qu il est nécessaire d automatiser la tâche vu l énorme volume de données à traiter. Ceci est confié aux outils de détections d intrusions (IDS, Intrusion Detection System). Cependant force est de constater que de nombreuses intrusions sont non détectées ou bien certaines sont détectées alors qu elles ne compromettent pas le système en question. Les IDS présentent certainement des lacunes que l on cherche depuis toujours à combler. Une corrélation d alerte peut paraître une solution pour réduire le nombre de fausses alertes. Une connaissance cartographique peut parfois apporter des informations exploitables par le processus de corrélation. Cette étude bibliographique est divisée en trois grandes parties. La première consistera à étudier les IDS pour voir pourquoi ils s avèrent insuffisants pour une gestion optimale de la sécurité du réseau. La deuxième partie traitera de la cartographie. Les différentes techniques et les différents outils de cartographie seront étudiés pour montrer leurs avantages et leurs points faibles ainsi que les différentes informations qu ils sont capables de fournir sur le réseau. La dernière partie sera consacrée à la corrélation d alertes ; une présentation rapide des méthodes existantes débouchera sur les perspectives. 2
4 1. Les IDS Les IDS sont des outils automatiques de surveillance de trafic destinés à détecter toute activité anormale ou suspecte supposée être une tentative de violation de la politique de sécurité mise en œuvre. Les IDS sont classés sous deux catégories : les HIDS (Host based Intrusion Detection System) et les NIDS (Network based Intrusion Detection System). Les HIDS assurent la sécurité au niveau des machines hôtes. Ils détectent tout accès ou modifications non autorisés de fichiers. Ils utilisent des modules logiciels implantés sur les machines hôtes à surveiller qui lisent les fichiers de log pour collecter les informations utiles dans des traces d audit. Les NIDS quant à eux assurent la sécurité des réseaux en enregistrant des données observées sur le trafic réseau. Ils nécessitent des machines dédiées placées dans des endroits bien précis (à la sortie d un firewall, devant un serveur Web ). Ils capturent et lisent les paquets IP circulant sur le réseau (Sniffing) Les approches de détection Nous avons vu que le rôle principal de l IDS est de détecter des intrusions. Reste à savoir comment il va pouvoir le faire, en d autres termes qu est-ce qu un IDS cherchera à savoir. Deux approches de détections existent [2]: l approche comportementale et l approche par scénario. L approche comportementale se base sur l idée de profil d un utilisateur (ou groupe d utilisateurs). Un profil d utilisateur est vu comme étant le trafic réseau relatif, la taille de données échangées, le nombre de connexions par jour établies par cet utilisateur ou vers cet utilisateur Cette approche consiste à comparer le profil de ce dernier à un profil défini au préalable correspondant à un comportement normal et enregistré dans une base de comportements dans le but de détecter des déviations notables. Cette approche cherche donc à détecter une anomalie de comportement. La deuxième approche consiste à analyser les traces d audit système ou les données sur le réseau pour détecter des comportements interdits. Ces derniers sont repérés par certains motifs ou signatures relatifs à des attaques connues et enregistrées dans une base de signatures d attaques. Cette approche cherche donc à détecter des manifestations d attaques. La réponse des IDS suite à une détection d intrusion peut être de deux sortes. Elle peut correspondre à une simple alerte, notification envoyée pour le personnel responsable via un message d alerte sur une console, une mise à jour de rapport d attaques C est une réponse passive. Mais il est aussi possible que l IDS réponde en exerçant une action spécifique comme par exemple déconnecter un utilisateur, fermer des ports, reconfigurer un firewall C est une forme active de réponse et nous avons tendance à parler d IPS (Intrusion Prevention System) Comparaisons des approches et de leurs limites On peut déjà noter quelques faits concernant les deux approches précédentes surtout en ce qui concerne les alertes générées. Ces deux approches peuvent donner lieu à des faux positifs et des faux négatifs. Les faux positifs sont la détection d une intrusion en l absence de celle ci. Les faux négatifs s illustrent par le fait que le système n a pas détecté une intrusion qui a eu lieu. Avec l approche comportementale, il est fort probable de déclencher un grand nombre de faux positifs. En effet les comportements qualifiés de normaux sont généralement appris par le module par une simple observation. Il peut y avoir une déviation normale du système sans que celle-ci représente une intrusion potentielle mais l IDS va déclencher une alerte (faux positif). De même un attaquant peut étaler son attaque dans le temps pour qu elle corresponde à un comportement normal appris par le module. Ceci est source de faux négatifs. Le problème avec la deuxième approche est qu elle se base sur une bonne définition de la politique de sécurité et une prise en compte de toutes les attaques possibles puisque toute 3
5 absence de signature dans la table de signatures pourrait induire un faux négatif. Cette approche demande également une définition précise de la signature sinon il y a un risque de faux positifs qui reste cependant moins important comparé avec la première approche La détection qualifiée de «stateful» versus «stateless» Un autre aspect de comparaison des IDS est la méthode de détection employée par ces différents outils. En ce qui concerne l approche par scénario, la majeure partie des IDS présents sur le marché se contentent d une analyse paquet par paquet sans prendre en considération qu une attaque peut être distribuée sur plusieurs paquets. La détection d intrusion dans ce cas consiste à chercher l existence d une certaine signature d attaque dans un paquet ; si cette dernière existe une alerte est déclenchée sinon le paquet est accepté et un autre paquet est analysé. Cette méthode est qualifiée de «stateless» puisqu elle ne garde pas d information sur l état des différents paquets analysés. Par contre une approche dite «stateful» consiste à garder des traces de chaque paquet analysé même si ce dernier ne comporte pas une signature d attaque. Plusieurs informations relatives aux paquets (valeurs des champs de l entête, certaines informations présentes dans le contenu du paquet ) sont collectées au fur et à mesure de l analyse et ceci durant une fenêtre temporelle fixée (120 secondes dans certains exemples [19]). Ces informations seront exploitées pour grouper les paquets selon les sessions auxquelles ils appartiennent. Les différents groupes seront ensuite analysés pour détecter d éventuel scénario d attaques. Les IDS employant cette méthode sont dits SIDS (Stateful Intrusion Detection System). Ils ont l avantage de pouvoir détecter des attaques (TearDrop Attack, Loki Information Tunneling Attack [19]) difficilement détectables par un IDS dit «stateless». L apport de cette méthode de détection étant la réduction du nombre des faux négatifs puisque de nouvelles attaques sont désormais détectables La corrélation d alertes et la cartographie L autre problème auxquels on s intéresse de nos jours est de trouver un moyen de réduire le nombre d alertes. La meilleure façon de le faire est de corréler les différentes alertes générées par les détecteurs d intrusions. De plus, les alertes générées par les IDS peuvent être conformes aux signatures définies et illustrent des attaques sans pour autant que ces dernières ne soient effectives. Prenons l exemple d une machine Unix avec un serveur Web Apache et un IDS signalant une attaque sur Microsoft IIS. Cette attaque n a pas réellement d effet sur la machine. On définit un degré de fiabilité associé à une alerte d IDS qui illustre à quel point on est certain à sa réception, de l existence d une attaque potentielle. Il est évident que si l IDS n est pas très fiable ceci implique l existence de pas mal de faux positifs. Ce genre de faux positifs générés par les IDS peut être réduit si ces derniers ont une meilleure connaissance des équipements du réseau. Il existe des modules de cartographie qu on détaillera ci-après capables de connaître ce genre d information exploitable pour une réduction du taux de fausses alertes. Ceci est l un des buts de la cartographie de réseaux. 2. La Cartographie des réseaux 2.1. La définition de la cartographie Les systèmes informatiques présentent plusieurs failles et sont la cible des attaquants qui exploitent certaines vulnérabilités existantes. La connaissance des caractéristiques du système d exploitation ainsi que les services et leurs versions, permet d avoir une meilleure approche de la détermination des vulnérabilités exploitables. La cartographie d un réseau concerne aussi bien son niveau physique que son niveau applicatif. On distingue deux aspects principaux de la cartographie [1]: son aspect topologique qui désigne la structure du réseau informatique. La topologie est aussi bien physique (équipements, interconnexions physiques entre les équipements à l exemple 4
6 d Ethernet) que logique (adressage, routage). L autre aspect de la cartographie est l aspect applicatif qui désigne l ensemble des composants logiciels du système. Le but principal de la cartographie est d avoir le plus de renseignements possibles sur le réseau qui pourront aider à avoir une connaissance en profondeur des différents composants ainsi que des vulnérabilités correspondantes. Les informations recherchées par les différents outils de cartographie existants diffèrent d un outil à un autre mais nous pouvons citer : l OS et sa version, le nom de la machine, son adresse MAC ou IP, le serveur hébergé et sa version etc Les approches existantes Différentes approches de cartographie existent [14]. L approche à agents dédiés, les approches active et passive L architecture à agents dédiés Une des façons de collecter des informations sur une machine serait d utiliser le principe des agents (utilisé par certains IDS). Un agent logiciel est un code exécutable qui peut être dédié ou mobile. Un agent dédié reste sur une seule machine alors qu un agent mobile peut se déplacer d une machine sur laquelle il s exécute pour se terminer sur une deuxième [15]. Dans les deux cas, pour pouvoir s exécuter, il lui faut un environnement agent installé au niveau de la machine destinataire. On voit bien deux limites de cette technique la première étant la nécessité d une plateforme dédiée qui n est pas tolérante au facteur d échelle ; elle devient difficile à mettre en œuvre si le nombre de machine à auditer est très grand. La deuxième limite est l échange de trafic réseau non négligeable entre les agents et leurs moniteurs L approche active Cette approche consiste à interagir avec la machine distante à surveiller en lui envoyant des paquets pour obtenir une réponse. L analyse des réponses donnera les informations recherchées surtout en ce qui concerne le type d OS et sa version ainsi que les services utilisés et leurs versions. Cette approche est réalisée via l envoi de messages ICMP ou TCP (avec certaines combinaisons de drapeaux et d option) pour forcer la machine à répondre. Pour la détermination de l OS existant sur la machine distante il suffit de récupérer un paquet TCP/IP forgé par cette machine. Ceci fournit des informations sur le système d exploitation. En effet, chaque OS (Linux, Unix, Windows ) a sa façon unique d implémenter les paquets TCP. Ces paquets contiennent des informations nécessaires à la détermination de l OS et qui sont essentiellement les champs TTL, Don t Fragment, taille initiale du paquet TOS, port source et les options TCP comme la taille de la fenêtre (Window Size), MSS Size, options Nop et SACK... L inconvénient de cette méthode est qu elle génère des paquets sur le réseau qui peuvent créer des instabilités pour le système audité. A ceci s ajoute le fait qu avec cette approche on ne peut détecter en temps réel tous les changements qui ont eu lieu sur le réseaux puisque toutes les informations sont apprises par des scans. Entre deux scans successifs il y a des changements qui ne peuvent pas être détectés. Par conséquent se pose la question de la durée de validité de l information. Enfin cette méthode n est pas adaptée pour les grands réseaux car elle prendrait beaucoup de temps pour caractériser toutes les machines L approche passive Cette approche a besoin des mêmes informations de la part de la machine distante que celles demandées par l approche active [16]. Par contre elle n est pas basée sur l envoi de messages. Elle consiste en une simple écoute du réseau. Les messages circulant sur le réseau vont être analysés pour déduire les caractéristiques des machines émettrices (OS, services,...). Cette approche optimale du point de vue charge du réseau ne permet pas par contre de détecter toutes les machines existantes sur un réseau. En effet s il n y a eu aucun échange de 5
7 messages entre cette machine et une autre sur le réseau on ne peut détecter sa présence, ce qui n est pas le cas avec l approche active qui teste la machine pour voir si elle est active ou pas. On surmonte aussi avec cette méthode l obstacle du scan actif qui peut être rejeté par l hôte ou par un équipement intermédiaire. Une solution pour pallier les différents inconvénients de chaque approche serait de combiner les approches selon les besoins. C est ce qui est mis en œuvre dans certains outils de cartographie (à l exemple d EttercapNG) Taxonomie des outils existants Les outils peuvent être classés [6] dans différentes catégories. Suivant les fonctionnalités offertes nous avons essentiellement les catégories suivantes : Explorateur du réseau : prise d empreinte active ou passive d OS, détermination des hôtes/firewalls/services, balayage des ports, exploration géographique de réseaux. Exemple : Nmap, NeVO, RNA, Ettercap. Observateur : capture (active ou passive) et analyse d information réseau (entête et données, protocole ), analyse du trafic réseau. Exemple : Ethereal, Ettercap, TCPDump, Ntop. Détecteur de sécurité : scanning et recherche de vulnérabilités. Exemple : Nessus. Outils de prise d empreintes d applications : analyse des services pour déterminer les applications et leurs versions. Exemple : THC-Amap. Il existe un grand nombre d outils utilisés qui fournissent des renseignements sur le réseau surveillé. Nous en détaillons quelques-uns ci après : NeVO NeVO (Network Vulnerability Observer) est un outil commercial en versions Windows et UNIX. A la manière d un IDS, NeVO fait de l écoute passive sur le réseau en observant les paquets qui y circulent. Il identifie les protocoles de communication utilisés entre les différents équipements, les applications qui tournent sur chacun ainsi que les vulnérabilités existantes qui peuvent être exploitées. Il identifie les Web proxies et les traite en tant que tels. Il établit pour chaque serveur une liste de tous les ports actifs et les observe pour enregistrer les machines qui ont dialogué avec lui via ce port ainsi que le service accédé. NeVO a l avantage d observer des sessions complètes tout au long du temps et plusieurs sessions en parallèle. Chaque session est observée pendant toute sa durée jusqu à ce qu une attaque soit détectée. Il est par contre évident que le plus vulnérable des serveurs ne peut être détecté par NeVO que s il existe une communication établie avec lui. Ceci est un inconvénient non seulement de NeVO mais de tout outil d écoute passive puisqu il n émet aucun paquet et se contente d observer le réseau. NeVO, en observant les paquets SYN, peut fournir des informations concernant le type d OS existant sur les machines actives du réseau. Un des avantages de NeVO comme de tout autre outil passif est qu il peut détecter les vulnérabilités non seulement du côté du serveur -comme le font les outils actifs- mais aussi du côté client. Il permet de détecter les applications (le browser Web par exemple Internet Explorer) qui existent du côté client et identifie les vulnérabilités correspondantes. Ceci est fait grâce à un mécanisme de signature basé sur des expressions régulières «regex» appliquées aux paquets et qui permettent une recherche de motif (pattern matching) relatif à une vulnérabilité connue. Des exemples de signatures existent dans la référence [4]. Avec ces expressions on a la possibilité d observer des paquets corrélés entre eux (requête/réponse). Suite à la détection d un certain motif dans un paquet il est possible de chercher un autre motif dans des paquets qui l ont précédé. Comme NeVO a la caractéristique de faire une étude multi événementielle, il est dit «stateful». 6
8 RNA RNA (Real-time Network Awareness) [3] est un outil commercial qui surveille les serveurs, routeurs, PCs Il englobe toutes les fonctionnalités d outils de cartographie qu on a énuméré au début du paragraphe. Il s agit d un explorateur de réseau puisqu il fournit des informations sur les adresses MAC, les OS et leurs versions, les services et leurs versions ainsi que les ports actifs de chaque équipement sur le réseau. Il fournit des informations sur le nombre de hop, paramètres MTU, TTL Il est complètement passif et écoute le réseau pour avoir des informations sur le flot, type et volume de trafic. C est aussi un détecteur de sécurité puisqu il a l aptitude d associer à chaque machine une base de vulnérabilités correspondant au type d OS existant et d évaluer selon cette base toutes les attaques qui arrivent pour déterminer leur impact. Enfin il est capable de détecter automatiquement tous les changements concernant l introduction de nouveaux services ou éléments. Il détecte aussi les comportements anormaux ou constituant une violation de la politique de sécurité appliquée. Ces comportements sont analysés en tenant compte des vulnérabilités existantes pour déterminer le risque correspondant à une attaque possible. De ce fait RNA constitue un module idéal pour la corrélation d alertes Snort Snort est un NIDS téléchargeable gratuitement et qui peut tourner sur toutes les plateformes (Linux, BSD, Solaris/Sun et MAC OS...) [13]. Facile à installer et à mettre en œuvre, Snort va faire de l écoute passive du réseau et générer des fichiers «logs». Il est basé sur libpcap qui enregistre les données circulant sur le réseau en mode promiscous. Il utilise des règles de détection d intrusion très simples basées sur des signatures pour faire du «pattern matching». Snort a la caractéristique de pouvoir non seulement analyser les entêtes des paquets mais aussi les données de la couche applicative ce qui le dote du pouvoir de détection d attaque du type débordement du buffer ou scanning CGI. Il fournit des fonctionnalités d alerte en temps réel dues à la simplicité de ses règles. Il fait une analyse de protocole et peut faire de la prise d empreinte d OS EttercapNG EttercapNG tourne sur Windows, FreeBSD, Solaris, MAC OS, Linux C est un outil gratuit très utilisé et facilement téléchargeable donc à la portée de tous [5]. EttercapNG peut découvrir et identifier des hôtes de façon active ou en se contentant d une écoute passive du réseau. Dans son mode passif il peut déterminer les machines actives du réseau, les différents OS en exploitant les paquets SYN et SYN+ACK, les ports ouverts (paquet SYN+ACK) et les versions de services hébergés par les serveurs, la nature de la machine hôte (simple hôte, routeur, passerelle ) et même une distance estimée en nombre de hops jusqu à la machine. Sa recherche de motifs se fait avec des expressions régulières «regex». En mode actif il envoie des requêtes ARP pour toute adresse IP du réseau (en regardant une adresse IP et le netmask) et reçoit toutes les réponses. Par conséquent il établit la liste des machines actives du réseau. Ainsi il est possible d identifier même les machines qui n ont pas encore dialogué. EttercapNG est doté d un cache DNS pour la collecte des informations sur les noms des machines acquises en mode passif. Une caractéristique d Ettercap est sa possibilité d intercepter des paquets émis, les exploiter pour en tirer le maximum d information et même les modifier. Pour comprendre comment ceci est possible, il faut noter que ARP est un protocole qui comme tout outil informatique contient des vulnérabilités. Une machine accepte de recevoir une réponse ARP même si elle n a pas demandé de requêtes et insère la réponse dans sa table ARP. Ettercap va exploiter ceci pour envoyer des réponses ARP à des machines qu il veut intercepter en précisant à chacune l adresse MAC qui est relative à la machine sur laquelle il tourne. Il fait ceci des deux côtés et maintient la correspondance MAC/IP pour pouvoir renvoyer les 7
9 messages à leur vraie destination. Ainsi chaque fois que les machines veulent dialoguer les messages sont interceptés puis renvoyés à la destination correspondante après leur étude. L exemple suivant (tiré du fichier Readme de EttercapNG) illustre ce phénomène : Machine 1: MAC: 01:01:01:01:01:01 IP: Machine 2: MAC: 02:02:02:02:02:02 IP: Machine Ettercap : MAC: 03:03:03:03:03:03 IP: Il envoie des réponses ARP pour Machine 1 disant que se trouve à 03:03:03:03:03:03 Machine 2 disant que se trouve à 03:03:03:03:03:03 Ainsi les machines sont empoisonnées et vont envoyer leurs paquets à lui. Quand il reçoit des paquets de la Machine 1, il les enverra à 02:02:02:02:02:02 et de la Machine 2 à 01:01:01:01:01:01. Du fait qu EttercapNG est capable de s intercaler au milieu de la communication il permet de déchiffrer des sessions SSH1 et ceci en interceptant les paquets en début de session et en remplaçant la clé publique du serveur par une clé générée par lui. Ainsi il récupère les paquets du client chiffrés par la clé générée et prendra la clé de session qui s y trouve. Il sera facile après d observer tout le trafic. Il offre la possibilité de collecter des mots de passe telnet, ftp, mysql Il peut observer le trafic de données sécurisées dans http SSL même si la connexion est faite via un proxy THC- Amap C est un outil qui permet d identifier les applications et les services même lorsqu ils ne sont pas sur leur port par défaut. A chaque fois qu une application (client) se connecte sur un serveur il y a un échange initial de paquets «handshake exchange». Amap profite de ce comportement en envoyant de façon active des requêtes sur les ports. Il va prendre le premier paquet renvoyé et comparer sa signature à une base de signatures de réponses pour déterminer le service correspondant. Cet outil est un nouvel outil gratuit qui est toujours en période de test et facilement téléchargeable sur le site [7] Nessus Le projet «Nessus» a démarré en 1998, sous la direction de Renaud Deraison qui voulait fournir un outil de balayage puissant, gratuit et facile à gérer. Nessus est un outil qui emploie une méthode active pour la cartographie du réseau et le balayage des ports. L avantage évident d une telle approche est l abondance d informations recueillie par le système, l inconvénient est le surplus de trafic «inutile» sur le réseau. Deux versions existent pour cet outil, l une pour les systèmes basés sur Unix (Mac OS X, FreeBSD, Linux, Solaris, etc..) et une autre pour les plateformes Windows, appelée NeWT (NeWT 2.0). Il est utile de mentionner que la version Windows, bien qu elle soit gratuite, n est cependant ni transférable ni sous licenciable et n est destinée qu à un usage strictement personnel. Nessus est le seul outil à offrir la possibilité de faire des contrôles de sécurité locaux, en plus des contrôles à distance conventionnels. Cette caractéristique se résume en la capacité de Nessus, à partir de sa version 2.1, de se connecter sur le hôte à distance. Il peut ainsi évaluer les patchs manquant sur une plateforme donnée et les dernières mises à jour disponibles pour protéger le système. Nessus a aussi l avantage de faire de la reconnaissance de services intelligente (Smart Service Recognition) : Nessus ne part pas du principe que les outils ciblés respectent les numéros de port désignés par l IANA, ce qui veut dire qu il peut repérer un serveur FTP s exécutant sur un port non standard ou un serveur Web utilisant un port autre que 80. Nessus a été le premier outil à offrir cette possibilité et a été maintes fois copié depuis. Une autre caractéristique très utile de Nessus est le recensement de tuples de service. Si un hôte exécute plusieurs instances d un même service, Nessus identifiera et testera chaque instance de ce service 8
10 indépendamment. Cet outil a aussi la capacité de tester des services basés sur SSL tels https, smtps, imaps Enfin, Nessus donne le choix entre deux modes de balayage : Un audit de sécurité normal, dit non destructif, et un mode exhaustif où il essaie d identifier et d exploiter les vulnérabilités du système audité, ce qui risquerait d entraîner un «crash» complet de l hôte cible, mais permettant d avoir des informations nettement plus pertinentes sur le système en question. Un atout fort de cet outil est la panoplie de programmes et d applications complémentaires qui sont développées autour de celui-ci : des programmes facilitant l interaction avec la base de données, des programmes centralisant la gestion de plusieurs domaines d administration (the Lightning Console), des applications permettant d intégrer les logs provenant de plusieurs sources (the Thunder Log) entre autres. Nessus est fort aussi de son langage de formalisation de tests de sécurité, le Nessus Attack Scripting Language (NASL), qui permet facilement la création de nouveaux plug-ins. Ces scripts ne représentent aucun danger pour la machine sur laquelle Nessus tourne, puisqu ils sont exécutés dans un environnement confiné, au-dessus d une machine virtuelle. Les rapports de sécurité peuvent être générés en HTML, XML, LaTex, ou texte ASCII. Une caractéristique importante de Nessus est la possibilité d y intégrer d autres outils tels Nmap, Hydra ou Nikto pour améliorer ses capacités de «scanning». Enfin, un site Web très instructif [8], une abondance de publications, des plug-ins régulièrement disponibles et une base d utilisateurs énorme permet de faire de Nessus un outil incontournable quand on parle de cartographie et d évaluation de vulnérabilités Scotty/Tkined Scotty/Tkined est un outil permettant la surveillance de réseau en utilisant des API (Application Programming Interface) de haut niveau [17]. L innovation de ce programme se trouve dans le fait qu il est à base de Tcl (Tool Command Language), ce qui facilite sa portabilité sur tous genres de plateformes. Il se scinde en deux packages principaux : le premier, Tnm Tcl Extension, fournit l accès aux sources d information de gestion de réseau. Le second, Tkined (Tcl/tK-based Interactive Network EDitor), est l éditeur de réseau, fournissant un environnement graphique facile à gérer et comprendre à la fois. Tnm Tcl Extension supporte les protocoles suivants: 1. SNMP (SNMPv1, SNMPv2c, SNMPv2u) 2. ICMP (echo, mask, timestamp et les requêtes udp/icmp de traceroute) 3. DNS 4. HTTP (côtés serveur et client) 5. RPC SUN (portmapper, mount, rstat, etherstat, services pcnfs) 6. NTP (version 3) 7. UDP La distribution de Scotty/Tkined comporte aussi quelques exemples de scripts illustrant la façon de rédiger des scripts pour automatiser les tâches de gestion et contrôles spécifiques au site ou réseau de l utilisateur. Cet outil comporte un défaut qui n est pas des moindres : Scotty fait réellement de la surveillance de réseau et non pas de la découverte et reconnaissance d hôtes ; c est l utilisateur qui dessine, à l aide de Tkined, le réseau à monitorer, Scotty ne prenant pas l initiative d identifier les hôtes dans un réseau donné. Un autre défaut, moins important, est le fait que Scotty est plutôt destiné à s exécuter sous des plateformes Unix. Une version récente a été développée pour les systèmes Windows NT mais elle est, toutefois, encore criblée de bugs Nmap Nmap (Network Mapper) est un outil gratuit [9], disponible sous licence GNU GPL, servant à l exploration de réseaux et à l audit sécuritaire. Il utilise une méthode active de recherche d informations. Cet outil est aussi bien adapté à des tests sur des centaines de 9
11 milliers de cibles qu à des tests visant un hôte particulier. Nmap comprend plus de 500 empreintes dans sa base. Il exploite les paquets IP «bruts» (TCP et UDP) de façons innovantes pour tenter, entre autres, de découvrir les hôtes existant sur un certain réseau, déterminer les services offerts par ceux-ci (nom de l application et sa version) via un balayage de ports, les différents OS sur lesquels ils tournent, les différents genres de filtres et de parefeu mis en place. Nmap est portable sur une grande variété de systèmes d exploitation : Linux, Windows, FreeBSD, OpenBSD, Solaris, IRIX, Mac OS X, HP-UX, NetBSD, Sun OS, Amiga De même, deux types d interface sont possibles : interface graphique et console de commande classique. Un point fort que cet outil partage avec Nessus est l abondance de documentation constamment mise à jour et traduite en plusieurs langues. Quelques propriétés intéressantes de Nmap sont : Calcul dynamique du délai : faute d imposer explicitement un certain délai entre les transmissions consécutives de paquets vers un même hôte, Nmap essaie de trouver le meilleur intervalle de temps à implémenter, intervalle qui s adapte dynamiquement à un changement de comportement éventuel de la cible. Retransmission de paquets : certains scanners n envoient qu une seule fois un paquet vers une cible, ne prenant pas en compte ainsi la possibilité de pertes de paquets dans le réseau. Ceci pourrait générer des faux négatifs. Nmap est conçu pour renvoyer un certain nombre de fois un paquet à un port qui ne répond pas. Balayage parallèle de ports : nmap exécute plusieurs balayages de ports simultanément, réduisant ainsi le temps de scan total d un hôte. Ceci permet d optimiser les performances. Balayage flexible de ports: une certaine plage de ports cibles peut être spécifiée, réduisant ainsi le temps total de l audit. Détection d un hôte hors service : avant de procéder à un balayage de ports coûteux en temps, Nmap s assure que la cible est bel et bien en service. Cependant, le fait qu il ait recours à des méthodes actives d audit, de prise d empreinte et de balayage fait qu il n est pas approprié à nos besoins. Curieusement, Microsoft a décidé de ne plus permettre à Nmap d être exécuté sur sa plateforme : Windows SP2 ne permet plus d envoyer des paquets TCP sur des sockets RAW Checkos et SIRC Ces deux outils partagent bon nombre de lignes de code, Checkos étant basé sur SIRC. Ce sont deux outils de prise d empreinte plutôt rudimentaires, plaçant une cible sous l une de quatre catégories : Linux, 4.4BSD, Win95 ou Unknown, en ayant recours à de simples tests sur les flags des paquets TCP [12]. Une chose que Checkos ajoute, est la vérification de la bannière telnet, qui est utile mais qui possède l inconvénient de ne pas être très crédible puisqu'un nombre croissant de personnes désactivent ces bannières ; de plus beaucoup de systèmes fournissent peu d'information et il est facile de "mentir" dans ses bannières P0f P0f est un outil de prise d empreinte passive qui propose quatre modes différents de fingerprinting [10]: Incoming connection fingerprinting (SYN mode, mode par défaut): pour identifier l OS installé sur un hôte qui se connecte à notre plateforme, Outgoing connection fingerprinting (SYN+ACK mode): pour déterminer le système d exploitation de l hôte sur lequel on se connecte, Outgoing connection refused fingerprinting (RST+ mode): pour une prise d empreinte d un système qui rejette notre trafic, Established connection fingerprinting (stray ACK mode): pour examiner des sessions en cours sans interférence de sa part. 10
12 Un outil de prise d empreinte passive ne peut jamais fournir de résultats aussi précis et exhaustifs qu un autre utilisant la méthode active. Cependant, il peut parfois surmonter certains obstacles que peut rencontrer un outil de prise d empreinte active : P0f réussit à contourner les pare-feu quand d autres outils tel que Nmap n y arrivent pas. Il comporte aussi des métriques qui n existent que dans cet outil, ou du moins qui y ont été mises en œuvre pour la première fois (Non-zero ACK in initial SYN, Non-zero "unused" TCP fields, Non-zero urgent pointer in SYN, Non-zero second timestamp, WSS to MSS/MTU correlation checks, EOL presence and trailing option data, Data payload in control packets, SEQ number equal to ACK number, Zero SEQ number). Jusqu à ce jour, p0f ne dispose pas d un module intégré de connectivité aux bases de données. Un module extérieur, p0f_db, est utilisé dans cet objectif. P0f tourne sous tous genres de systèmes d exploitation : NetBSD, FreeBSD, OpenBSD, Mac OS X, Linux (2.0 et plus), Solaris, Windows La version 2 de cet outil a été réécrite afin d ajouter de la flexibilité aux signatures et pour implémenter des contrôles sur des caractéristiques subtiles des paquets et, par conséquent, améliorer la précision de la prise d empreinte OSSIM OSSIM (Open Source Security Information Management) illustre une mise en œuvre de la cartographie pour améliorer la détection d intrusions. Son principal atout est que OSSIM n est pas un outil en tant que tel mais regroupe un grand nombre d outils «open source» existants pour offrir une meilleure gestion de la sécurité du réseau. OSSIM offre un environnement centralisé de monitorat et de gestion de toutes les informations délivrées par les différents outils qu il gère. Avec OSSIM il est possible de définir des règles de sécurité relatives à la politique de sécurité adoptée, de connaître la cartographie du réseau et de corréler les différents outils pour optimiser la supervision (réduire les faux positifs par exemple). On cherche à exploiter les caractéristiques des différents outils déjà existants pour collecter le plus d information nécessaire pour une meilleure vision du réseau. OSSIM garantit l interopérabilité des différents outils. Il possède trois caractéristiques principales : Intégration : OSSIM regroupe et intègre sur une même plateforme plusieurs outils de sécurité (Snort, Nessus, POf, Nmap ) (voir Annexe A) offrant des fonctionnalités de gestion de réseau (audit, pattern matching, détection d anomalies ) Corrélation : OSSIM offre la possibilité de corréler les alertes et de réduire par conséquent le nombre de faux positifs. Analyse de vulnérabilités : OSSIM offre des fonctionnalités qui permettent une bonne inspection des mesures de sécurité du réseau. L usage de Nessus par exemple va permettre à OSSIM de faire un inventaire de toutes les vulnérabilités existantes et donner une idée sur la situation du réseau. OSSIM est capable de fournir sur chaque équipement les informations suivantes : OS, adresse MAC, nom Netbios ou DNS, ports ouverts ainsi que versions et type de services sur ces ports et enfin des informations sur l usage du réseau (le trafic par connexion, par jour )(Voir Annexe B). Toutes ces informations sont collectées de façon active et passive. Il peut aussi détecter automatiquement tout changement de ces différents paramètres et le signale si nécessaire. 11
13 Concernant l architecture, nous pouvons voir OSSIM comme un composant à trois couches : BD Interaction avec l utilisateur : définitions des variables de sécurité Serveur Protocole propriétaire Console interface Web Corrélation, analyse de vulnérabilités Capteurs IDS, détection d anomalie, monitorat temps réel Figure 1 : Architecture d OSSIM vu comme un composant à 3 niveaux En ce qui concerne les capteurs, ils incluent des outils de détection d intrusions basés sur le principe de signatures ainsi que des outils de détection d anomalie. La supervision du réseau se fait en temps réel. OSSIM permet de faire une corrélation d alerte en provenance des différents capteurs pour ne garder que celles pertinentes et constituant une attaque potentielle pour le système d exploitation existant. Pour cela il maintient à jour des tables de correspondance alertes/versions et alertes/vulnérabilités. Enfin il faut préciser que OSSIM demande une plateforme Linux et a des fonctionnalités limitées sur BSD, MacosX, Solaris Synthèse sur les outils existants On a essayé dans cette partie de faire une taxonomie de tous les outils existants en essayant de les comparer. Le but final est de rechercher celui qui collecte le plus d informations sur le réseau, exploitables ultérieurement, tout en étant le plus efficace possible (en terme de déploiement et de charge réseau). Il faut noter que NeVO et RNA sont les deux seuls outils commerciaux qu on a cités. Ces outils sont bien connus dans le domaine de la cartographie puisqu ils fournissent beaucoup de renseignements sur les différents équipements du réseau. D autres outils qui sont aussi intéressants (à l exemple de Bro, Siphon, Queso) n ont pas été traités ici. Parmi les outils dont nous avons parlé il y en a qui étaient plus riches que d autres en terme de connaissance du réseau mais qui d un autre côté présentaient un certain nombre d inconvénients. L idéal serait de pouvoir grouper certains d entre eux pour essayer de profiter de leur richesse sans pour autant accumuler leurs inconvénients. Enfin OSSIM semble être une façon de tirer profit de certains outils existants pour aller en profondeur dans la connaissance du réseau. La connaissance du réseau va du plus bas niveau (adresses MAC, topologie) jusqu à un niveau supérieur d abstraction concernant les vulnérabilités auxquelles les équipements existants pourraient être assujettis. En pratique la connaissance de telles informations est indispensable pour un administrateur de réseau pour détecter les vulnérabilités au niveau des applications de certaines machines de son réseau et par conséquent offrir les patchs correspondants. Mais aussi ces informations sont très utiles en terme d optimisation du processus de détection d intrusions. Comme on l a vu la cartographie peut aussi être exploitée au moment de la corrélation d alertes pour réduire le grand nombre d alertes qui reste le problème majeur des IDS. 12
14 3. La corrélation d alertes et les perspectives Le besoin d algorithmes de corrélation découle en premier lieu, comme on l a déjà fait remarquer, du nombre d alertes à traiter. Ce nombre est en général très grand et complique la tache de l opérateur de sécurité. Ce dernier doit réagir face à certaines alertes mais pas à d autres qui s avèrent être redondantes ou bien correspondre à des fausses alertes (faux positifs). Le but actuel est de réduire ce nombre d alertes et de ne faire parvenir à l opérateur de sécurité que les alertes pertinentes qui demanderont éventuellement une intervention. On cherche aussi à préciser le degré de priorité relatif de chaque alerte pour optimiser la tâche de traitement. Réduire le nombre d alertes ne veut en aucun cas dire la désactivation immédiate d une alerte ce qui pourrait induire une non détection d une attaque éventuelle. L idée principale derrière la réduction du volume d alertes est de faire une analyse automatique des différentes alertes pour en déduire celles qui, dans la configuration actuelle du système d information à superviser, ne constituent pas un risque majeur et ne demandent pas une intervention immédiate de l opérateur de sécurité. Dans de nombreux cas, le processus de corrélation d alertes va éliminer les alertes surnuméraires en générant une alerte synthétique regroupant plusieurs alertes. Pour optimiser le traitement des alertes il faut améliorer leur sémantique; une bonne corrélation repose d abord sur une bonne expressivité et une richesse de l alerte en terme d informations. Ceci veut dire que chaque alerte doit contenir un nombre minimal d information pour pouvoir aboutir à une bonne corrélation. Notons que la sémantique de l alerte obtenue par corrélation doit contenir une définition précise de l attaque encourue, des risques auxquels est confronté le système en question ainsi qu une classification par niveau de priorité pour le traitement ultérieur des alertes. Une amélioration consiste à sélectionner les contre-mesures pour faire face à la menace. Toutes ces améliorations, comme vous pouvez le remarquer, demandent une certaine connaissance topologique du réseau surveillé ainsi qu une connaissance des vulnérabilités des différents systèmes pour pouvoir déterminer les menaces et les contre-mesures. Choses que le système de détection d intrusion, seul, ne peut savoir. D où l intérêt d avoir des outils de cartographie qui fourniront ces différentes informations. La corrélation d alertes peut aussi bien concerner des alertes en provenance d un seul équipement de détection, que des alertes en provenance de différents équipements dans le cas d une supervision distribuée du réseau. Ce dernier cas pose le problème de la représentation des données collectées par les alertes. En effet les systèmes de détections étant dans la plupart des cas hétérogènes, l échange de donnée d alertes nécessaire dans le processus de corrélation doit se faire en utilisant un format standard de représentation de ces données. Plusieurs travaux sur le modèle de représentation des données d alertes ont eu lieu donnant naissance à différents modèles de description d alerte. Citons M2D2 [21] qui est un modèle intégrant des informations relatives à la topologie et prenant en compte les vulnérabilités des machines sur le réseau. La partie suivante se consacre aux différentes techniques de corrélation existantes pour faire ressortir les différents points non encore abordés ou qui peuvent être améliorés Les techniques de corrélation Plusieurs techniques de corrélation ont été mises en place durant les dernières années. Une de ces techniques est celle utilisée dans le détecteur EMERALD et dite corrélation bayesienne [20] qui repose sur l agrégation. Cette approche consiste à dégager des similarités entre les différents attributs communs à un sous ensemble d alertes. Ces attributs sont l adresse de l attaquant, l adresse de la cible, l identifiant de la sonde générant l alerte, la date d occurrence et le type d attaque. Une méta-alerte est ensuite créée. Elle aura comme attributs l union des différents attributs des alertes de l ensemble constitué par les alertes considérées similaires. L inconvénient de cette méthode est que d après la définition des types d attaques, une alerte ne peut appartenir qu à un seul type d attaque. En plus aucune information sur la 13
15 cartographie du réseau n est exploitée et ceci ne permettra pas une optimisation du processus de corrélation. D autres approches comme celle de Lambda [22] et CRIM [23] reposent sur une description d un scénario d attaque dans un langage basé sur la logique. Une attaque est décrite comme une succession d évènements. Chaque événement est décrit par des préconditions et des post-conditions. Les pré-conditions doivent être remplies pour que l attaque puisse avoir lieu et les post-conditions doivent être vérifiées par chaque évènement pour pouvoir affirmer qu une attaque est en_train de se produire. Dans ce cadre, la corrélation consiste donc à lier les post-conditions d un évènement (détecté par une alerte) aux préconditions de l évènement suivant du scénario décrit. Ceci demande la description préalable dans ce langage d un grand nombre d évènements. Même si dans ce cadre il est possible d intégrer des informations de type cartographiques dans les conditions, ceci n a pas encore été mis en œuvre. Il existe cependant une approche qui est utilisée dans l outil OWL [20] et qui prend en compte, dans le processus de corrélation, des informations en provenance des outils d audit de vulnérabilité. Ceci est une étape vers une exploitation d informations autres que celles directement connues par les outils de détections d intrusions. Elle permet, quand une alerte se produit et signalant l existence d une attaque qui exploite une certaine vulnérabilité, de vérifier à partir des informations recueillies dans les outils d audit si cette vulnérabilité existe effectivement et quelles sont les menaces engendrées sur le système. Ainsi il serait possible de générer une nouvelle alerte et de lui attribuer un niveau de priorité en fonction de la gravité de la situation. Cependant il n y a aucun autre moyen de vérifier si vraiment le système est compromis. De plus, les outils d audit détectent la présence de vulnérabilité et non pas son absence. Cette dernière information pourrait être utile pour une élimination d alertes correspondant à l exploitation d une vulnérabilité non existante au niveau du système. Le problème reste à trouver un moyen ou un outil permettant d avoir une telle information. Une autre technique de corrélation est basée sur les chroniques [24]. Cette approche est surtout utile pour une réduction du nombre d alertes correspondant à une attaque à caractère répétitif dans le temps (les vers). Cette technique introduit une notion d horodatage qui consiste à reconnaître un flux ordonné et borné temporellement. Prenons l exemple d une attaque constituée de la propagation d un certain virus. Ce dernier, pour se propager, réalise un certain nombre de requêtes (le ver NIMDA à titre d exemple [20]). Cette technique va permettre de suivre et de corréler les alertes relatives à chacune de ces requêtes durant un certain espace temporel. Si cette suite d alertes a eu lieu, une alerte correspondant à la tentative de propagation de ce virus est générée. Cette technique demande un travail d écriture relativement important. Elle ne prend pas en compte non plus les caractéristiques du système attaqué. Il est fort probable que même si l attaque a eu lieu le système ne soit pas compromis puisqu il ne présente pas de vulnérabilité à ce genre précis d attaques. D où encore une fois une nécessité d intégration de nouvelles données dans ce modèle Les perspectives D après cette brève description des techniques existantes on peut déjà noter qu il existe toujours des lacunes dans chacune de ces méthodes. Ces lacunes pourraient être comblées si d autres informations plus précises sur les différents systèmes du réseau peuvent être recueillies. On peut même se demander si on ne pouvait pas descendre un rang dans la détection d intrusion. Au lieu de chercher à corréler des alertes pourquoi ne pas optimiser le processus de détection lui-même en essayant de faire un suivi des activités d un attaquant dans le temps. Ceci est déjà vu dans ce que l on a appelé l approche «stateful» de la détection. Ce qui ne va pas sans problème de stockage de données mais pourra, en définissant les signatures ou les scénarii de façon à y corréler des informations en provenance des outils de cartographie, réduire peut-être le nombre d alertes générées. Le problème est que l attaquant pourra essayer de faire exploser la sonde stateful en initialisant un grand nombre d attaques sans jamais les terminer, un peu comme dans un syn-flooding. 14
16 Pour optimiser les informations recueillies par les outils d audit de vulnérabilité, il serait intéressant aussi de pouvoir dresser un bilan des différents services actifs sur une machine donnée en leur associant les informations sur leurs versions et vulnérabilités pour pouvoir réduire de façon optimale le nombre de fausses alertes. C est à ce niveau que va se situer le travail durant le stage ; on va essayer d élaborer à partir des différents outils dont on dispose, un moyen d extraction d informations pertinentes qui pourraient nous être utiles pour l amélioration du processus de corrélation. Quelles sont les informations demandées? Comment les prendre en compte dans le mécanisme de corrélation? Toutes ces questions sont ouvertes et on espère apporter quelques réponses. Conclusion Actuellement la demande en matière de sécurité est de plus en plus importante. Les attaques quant à elles, sont devenues inévitables et les outils de détection présentent certaines limites. La tendance à optimiser ces derniers va de pair avec la recherche de nouvelles sources de données exploitables. La corrélation d alertes est un domaine prometteur. Beaucoup de travaux sont actuellement en cours pour élaborer de nouvelles méthodes et de nouveaux outils permettant d optimiser le processus de détection d intrusions. Un autre domaine de recherche est en_train de progresser, celui de la cartographie de réseaux qui, on l espère, va venir en aide aux techniques de corrélation d alertes. C est dans cette voie de recherche que va s effectuer notre stage avec l espoir de pouvoir apporter des réponses à certaines questions qui se posent toujours dans ce domaine 15
17 Bibliographie [1] H. Debar, Etat de l art sur la cartographie de sites, techniques de corrélation a_priori et les techniques de corrélation explicite, draft 0.1, [2] B. Mukherjee, L.Heberlein, K.Levitt, Network Intrusion Detection, IEEE Network, May/June [3] Site Web de RNA [4] R.Deraison, R.Gula, T.Hayton, Passive Vulnerability Scanning Intoduction to NeVO, Tenable Network Security, August [5] Site Web d EthercapNG [6] J.Melton, Gail-Joon Ahn, Application Penetration Testing: Concepts and Taxonomy, [7] Site THC [8] Site Web Nessus [9] Site Web Nmap [10] Site Web p0f [11] Site Web OSSIM [12] Site Web SIRC/Checkos [13] Martin Roesch, Snort-Lightweight Intrusion Detection for Networks, Stanford Telecommuniactions,Inc. November 7-12, [14] R.Deraison, R.Gula, Blended Security Assessments, Combining Active, Passive and Host Assessment Techniques, Tenable Network Security, July [15] W.Jansen, P.Mell, T.Karygiannis, D.Marks, Mobile Agents in Intrusion Detection And Response, National Institute for Standards and Technology Gaithersburg, [16] B.Dayioglu, A.Ozgit, Use of Passive Network Mammping to Enhance Signature Quality of Misuse Network Intrusion Detection Systems, Proceedings of the 16 th International Symposium on Computer and Information Sciences, November [17] Site Web Scotty/Tkined [18] Yohann Thomas, Acquisition passive de la cartographie d un réseau, rapport de stage de fin d études, France Telecom R&D Caen, Juin [19] S. Krishnamurthy, A. Sen, Stateful Intrusion Detection System (SIDS), Proceedings of the 2 nd International Information Warfare and Security Conference, Perth, Australia, November [20] H. Debar, Détection d intrusions vers un usage réel des alertes, rapport d habilitation à diriger des recherches. [21] B. Morin, L. Mé, H. Debar, M. Ducassé, M2D2 : A Formal Data Model for IDS Alert Correlation, Proceedings of the 5 th symposium on Recent Advances in Intrusion Detection (RAID 2002), Zurich, Switzerland, October [22] F.Cuppens, R.Ortalo, LAMBDA : A Language to Model a Database for Detection of Attacks, Third International Workshop on Recent Advances in Intrusion Detection (RAID 2000), Toulouse, Octobre [23] F. Cuppens et A. Miège. Alert correlation in a cooperative intrusion detection framework. IEEE Symposium on Research in Security and Privacy, Oakland, Mai [24] B.Morin, H.Debar, Correlation of Intrusion Symptoms: an Application of Chronicles, Proceedings of the 6 th symposium on Recent Advances in Intrusion Detection (RAID 2003),Carnegie Mellon University, Pittsburg, Septembre
18 ANNEXES Annexe A Outils utilisés dans OSSIM La table ci-dessus a été retirée du site de OSSIM. 17
19 Annexe B Caractérisation d une machine par OSSIM Windows Linux 18
20 Moniteur de session TCP Détection de changement d OS 19
Sécurité des réseaux Les attaques
Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques
Plus en détailFirewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1
Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité
Plus en détail2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.
2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement
Plus en détailSECURIDAY 2013 Cyber War
Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Formateurs: 1. Trabelsi NAJET
Plus en détailLINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation
Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance
Plus en détailCours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -
Cours de sécurité Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - 1 Plan pare-feux Introduction Filtrage des paquets et des segments Conclusion Bibliographie 2 Pare-Feux Introduction
Plus en détailFiche Technique. Cisco Security Agent
Fiche Technique Cisco Security Agent Avec le logiciel de sécurité de point d extrémité Cisco Security Agent (CSA), Cisco offre à ses clients la gamme de solutions de protection la plus complète qui soit
Plus en détailFigure 1a. Réseau intranet avec pare feu et NAT.
TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L
Plus en détailNmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité
Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité 1. Présentation Nmap est un outil open source d'exploration réseau et d'audit de sécurité, utilisé pour scanner de grands
Plus en détailNetCrunch 6. Superviser
AdRem NetCrunch 6 Serveur de supervision réseau Avec NetCrunch, vous serez toujours informé de ce qui se passe avec vos applications, serveurs et équipements réseaux critiques. Documenter Découvrez la
Plus en détailIntroduction. Adresses
Architecture TCP/IP Introduction ITC7-2: Cours IP ESIREM Infotronique Olivier Togni, LE2I (038039)3887 olivier.togni@u-bourgogne.fr 27 février 2008 L Internet est basé sur l architecture TCP/IP du nom
Plus en détailMSP Center Plus. Vue du Produit
MSP Center Plus Vue du Produit Agenda A propos de MSP Center Plus Architecture de MSP Center Plus Architecture Central basée sur les Probes Architecture Centrale basée sur l Agent Fonctionnalités démo
Plus en détailServices Réseaux - Couche Application. TODARO Cédric
Services Réseaux - Couche Application TODARO Cédric 1 TABLE DES MATIÈRES Table des matières 1 Protocoles de gestion de réseaux 3 1.1 DHCP (port 67/68)....................................... 3 1.2 DNS (port
Plus en détailProtection des protocoles www.ofppt.info
ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Protection des protocoles DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2
Plus en détailOutils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad
Outils d'analyse de la sécurité des réseaux HADJALI Anis VESA Vlad Plan Introduction Scanneurs de port Les systèmes de détection d'intrusion (SDI) Les renifleurs (sniffer) Exemples d'utilisation Conclusions
Plus en détailDIGITAL NETWORK. Le Idle Host Scan
DIGITAL NETWORK Siège : 13 chemin de Fardeloup 13600 La Ciotat Siret : 43425494200015 APE : 722 Z www.digital network.org www.dnsi.info Laboratoires : 120 Avenue du Marin Blanc, ZI Les Paluds, 13685 Aubagne
Plus en détailLinux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch
Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2
Plus en détailRéseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux
Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs
Plus en détailRappels réseaux TCP/IP
Rappels réseaux TCP/IP Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 1 /27 Au menu Modèle
Plus en détailCisco Certified Network Associate
Cisco Certified Network Associate Version 4 Notions de base sur les réseaux Chapitre 3 01 Quel protocole de la couche application sert couramment à prendre en charge les transferts de fichiers entre un
Plus en détailMASTER SIS PRO : logique et sécurité DÉTECTION D INTRUSIONS. Odile PAPINI, LSIS. Université de Toulon et du Var. papini@univ-tln.
MASTER SIS PRO : logique et sécurité DÉTECTION D INTRUSIONS Odile PAPINI, LSIS. Université de Toulon et du Var. papini@univ-tln.fr Plan Introduction Généralités sur les systèmes de détection d intrusion
Plus en détailDenyAll Detect. Documentation technique 27/07/2015
DenyAll Detect Documentation technique 27/07/2015 Sommaire 1. A propos de ce document... 3 1.1 Objet... 3 1.2 Historique... 3 1.3 Contexte... 3 2. Liste des tests... 4 2.1 Découverte réseau (scan de ports)...
Plus en détailDevoir Surveillé de Sécurité des Réseaux
Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La
Plus en détailSujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.
UFC CENTRE DE BAB EZZOUAR EXEMPLES DE SUJETS POUR LE PROJET DE FIN D ETUDE OPSIE PROPOSES PAR M. NACEF (ENSEIGNANT) Sujet 1 : Management des risques par la méthode MEHARI. Type : étude, audit. MEHARI est
Plus en détailSurveillance stratégique des programmes malveillants avec Nessus, PVS et LCE
Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE 19 mars 2013 (Révision 3) Sommaire Présentation 3 Nessus 3 Détection des programmes malveillants... 3 Détection des réseaux
Plus en détailSécurité et Firewall
TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette
Plus en détailRetour d expérience sur Prelude
Retour d expérience sur Prelude OSSIR Paris / Mathieu Mauger Consultant Sécurité (Mathieu.Mauger@intrinsec.com) Guillaume Lopes Consultant Sécurité (Guillaume.Lopes@Intrinsec.com) @Intrinsec_Secu 1 Plan
Plus en détailCompromettre son réseau en l auditant?
Compromettre son réseau en l auditant? Renaud Deraison Directeur de la Recherche Tenable Network Security 1 Introduction Devant la recrudescence de failles et la crainte de vers de toutes sortes, ainsi
Plus en détailAudits de sécurité, supervision en continu Renaud Deraison
Audits de sécurité, supervision en continu Renaud Deraison Bio (en deux phrases) Auteur du logiciel Nessus (1998 -) Co-fondateur de Tenable Network Security, Inc. (Maryland, 2002 -) Tenable La société
Plus en détailLIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités
Mise en œuvre d un programme efficace de gestion des vulnérabilités Sommaire Les défis de la gestion des vulnérabilités 3 Identification des principales faiblesses 3 Développement d un programme efficace
Plus en détailDHCP et NAT. Cyril Rabat cyril.rabat@univ-reims.fr. Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 2012-2013
DHCP et NAT Cyril Rabat cyril.rabat@univ-reims.fr Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 22-23 Cours n 9 Présentation des protocoles BOOTP et DHCP Présentation du NAT Version
Plus en détailExpérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet
Expérience d un hébergeur public dans la sécurisation des sites Web, CCK Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet Plan Introduction Sécurisation des sites Web hébergés a Conclusion Introduction
Plus en détailIndicateur et tableau de bord
Agenda Indicateur et tableau de bord «La sécurité n est pas une destination mais un voyage» 1. Jean-François DECHANT & Philippe CONCHONNET jfdechant@exaprobe.com & pconchonnet@exaprobe.com +33 (0) 4 72
Plus en détailPACK SKeeper Multi = 1 SKeeper et des SKubes
PACK SKeeper Multi = 1 SKeeper et des SKubes De plus en plus, les entreprises ont besoin de communiquer en toute sécurité avec leurs itinérants, leurs agences et leurs clients via Internet. Grâce au Pack
Plus en détailHaka : un langage orienté réseaux et sécurité
Haka : un langage orienté réseaux et sécurité Kevin Denis, Paul Fariello, Pierre Sylvain Desse et Mehdi Talbi kdenis@arkoon.net pfariello@arkoon.net psdesse@arkoon.net mtalbi@arkoon.net Arkoon Network
Plus en détailSécurité des réseaux Firewalls
Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et
Plus en détailFirewall Net Integrator Vue d ensemble
Net Integration Technologies, Inc. http://www.net-itech.com Julius Network Solutions http://www.julius.fr Firewall Net Integrator Vue d ensemble Version 1.00 TABLE DES MATIERES 1 INTRODUCTION... 3 2 ARCHITECTURE
Plus en détailSécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)
Sécuriser son réseau Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR) Plan Rappel IP Techniques et outils Réseaux Outils réseaux ( sniffer,scanner ) Translation d adresse
Plus en détailLa Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet
REALSENTRY TM Gestion, Performance et Sécurité des infrastructures Web La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet L authentification
Plus en détailL annuaire et le Service DNS
L annuaire et le Service DNS Rappel concernant la solution des noms Un nom d hôte est un alias assigné à un ordinateur. Pour l identifier dans un réseau TCP/IP, ce nom peut être différent du nom NETBIOS.
Plus en détailTest d un système de détection d intrusions réseaux (NIDS)
Test d un système de détection d intrusions réseaux (NIDS) La solution NETRANGER CISCO SECURE IDS Par l Université de Tours Thierry Henocque Patrice Garnier Environnement du Produit 2 éléments Le produit
Plus en détailWindows Internet Name Service (WINS)
Windows Internet Name Service (WINS) WINDOWS INTERNET NAME SERVICE (WINS)...2 1.) Introduction au Service de nom Internet Windows (WINS)...2 1.1) Les Noms NetBIOS...2 1.2) Le processus de résolution WINS...2
Plus en détail18 TCP Les protocoles de domaines d applications
18 TCP Les protocoles de domaines d applications Objectifs 18.1 Introduction Connaître les différentes catégories d applications et de protocoles de domaines d applications. Connaître les principaux protocoles
Plus en détailLa sécurité périmètrique multi-niveaux. Un white paper de Daniel Fages CTO ARKOON Network Security dfages@arkoon.net
La sécurité périmètrique multi-niveaux Un white paper de Daniel Fages CTO ARKOON Network Security dfages@arkoon.net SOMMAIRE Ce document a pour objectif de décrire les différents types de risques liés
Plus en détailSÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE
PUBLICATION CPA-2011-102-R1 - Mai 2011 SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE Par : François Tremblay, chargé de projet au Centre de production automatisée Introduction À l
Plus en détailTP : Introduction à TCP/IP sous UNIX
1 Introduction TP : Introduction à TCP/IP sous UNIX Le but de cette séance est de vous familiariser au fonctionnement de la pile TCP/IP sous UNIX. Les systèmes UNIX (Linux, FreeBSD, Solaris, HPUX,...)
Plus en détailIntérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT
Administration Réseau Niveau routage Intérêt du NAT (Network Address Translation) Possibilité d utilisation d adresses privées dans l 4 2 1 Transport Réseau Liaison Physique Protocole de Transport Frontière
Plus en détailZABBIX est distribué sous licence GNU General Public License Version 2 (GPL v.2).
Nom du projet : Zabbix Description : ZABBIX est un logiciel open source créé par Alexei Vladishev. Zabbix permet de surveiller le statut de divers services réseau, serveurs et autres matériels réseau.
Plus en détailDétection d'intrusions et analyse forensique
Détection d'intrusions et analyse forensique Yann Berthier & Jean-Baptiste Marchand Hervé Schauer Consultants Agenda Agenda Préambule IDS / IPS : principes - limites Au delà des IDS Conclusion Démonstrations
Plus en détailRapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2011/14 Fonctionnalités
Plus en détailMettre en place un accès sécurisé à travers Internet
Mettre en place un accès sécurisé à travers Internet Dans cette partie vous verrez comment configurer votre serveur en tant que serveur d accès distant. Dans un premier temps, les méthodes pour configurer
Plus en détailTutoriel sur Retina Network Security Scanner
Département de Mathématiques Informatique Master 2 RIP filière «Réseaux» Cours «Sécurité des réseaux et des contenus multimédia» Responsable du module : Mr Osman SALEM Tutoriel sur Retina Network Security
Plus en détailLe service d audit de vunérabilité de Qualys recommandé par la rédaction de 01 Réseaux
N 139 / Mai 2004 / 4,60 L ÉVÉNEMENT Sun et Microsoft TENDANCE Le retour des ateliers de génie logiciel Les standards MDA reprennent les grands principes des AGL et pourraient opérer une percée fracassante.
Plus en détailDécouverte de réseaux IPv6
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Découverte de réseaux IPv6 Nicolas Collignon
Plus en détailSpécialiste Systèmes et Réseaux
page 1/5 Titre professionnel : «Technicien(ne) Supérieur(e) en Réseaux Informatiques et Télécommunications» inscrit au RNCP de niveau III (Bac + 2) (J.O. du 19/02/2013) 24 semaines + 8 semaines de stage
Plus en détailLe scan de vulnérabilité
4 Le scan de vulnérabilité Sommaire Le scan de vulnérabilité de base Scan avec NeXpose L assistant "nouveau site" Le nouvel assistant pour les scans manuels Scan avec Nessus Scanners de vulnérabilité spécialisés
Plus en détailThreat Management déploiement rapide de contre-mesures
diffusion libre Threat Management déploiement rapide de contre-mesures J. Viinikka, E. Besson 13 décembre 2011 6cure notre métier : éditeur de solutions de lutte intelligente contre les menaces informatiques
Plus en détailLes RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)
Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks) TODARO Cédric Table des matières 1 De quoi s agit-il? 3 1.1 Introduction........................................... 3 1.2 Avantages............................................
Plus en détailRESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual
RESEAUX TCP/IP: NOTIONS AVANCEES Preparé par Alberto EscuderoPascual Objectifs... Répondre aux questions: Quelles aspects des réseaux IP peut affecter les performances d un réseau Wi Fi? Quelles sont les
Plus en détailConstat. Nicole DAUSQUE, dausque@urec.cnrs.fr CNRS/UREC
Utilisation de produits de simulation d intrusions Nicole DAUSQUE, dausque@urec.cnrs.fr CNRS/UREC Bon nombre des 1 250 unités du CNRS communiquent sur l Internet pour l ordinaire : messagerie électronique,
Plus en détailSmart Notification Management
Smart Notification Management Janvier 2013 Gérer les alertes, ne pas uniquement les livrer Chaque organisation IT vise à bien servir ses utilisateurs en assurant que les services et solutions disponibles
Plus en détailStandard. Manuel d installation
Standard Manuel d installation 1 2 3 4 5 Vérifications avant l installation Installation Création d utilisateurs et Configuration rapide Exemples d utilisation et paramètres Annexe Lisez attentivement
Plus en détailServeur FTP. 20 décembre. Windows Server 2008R2
Serveur FTP 20 décembre 2012 Dans ce document vous trouverez une explication détaillé étapes par étapes de l installation du serveur FTP sous Windows Server 2008R2, cette présentation peut être utilisée
Plus en détailNotions de sécurités en informatique
Notions de sécurités en informatique Bonjour à tous, voici un article, vous proposant les bases de la sécurité informatique. La sécurité informatique : Vaste sujet, car en matière de sécurité informatique
Plus en détailWhite Paper - Livre Blanc
White Paper - Livre Blanc Développement d applications de supervision des systèmes d information Avec LoriotPro Vous disposez d un environnement informatique hétérogène et vous souhaitez à partir d une
Plus en détailFonctionnement de Iptables. Exercices sécurité. Exercice 1
Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis.
Plus en détailFiltrage IP MacOS X, Windows NT/2000/XP et Unix
Filtrage IP MacOS X, Windows NT/2000/XP et Unix Cette présentation, élaborée dans le cadre de la formation SIARS, ne peut être utilisée ou modifiée qu avec le consentement de ses auteur(s). MacOS/NT/Unix
Plus en détailNouveaux outils de consolidation de la défense périmétrique
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Prévention d'intrusion Nouveaux outils de consolidation de la défense
Plus en détailComment choisir la solution de gestion des vulnérabilités qui vous convient?
Comment choisir la solution de gestion des vulnérabilités qui vous convient? Sommaire 1. Architecture 2. Sécurité 3. Evolutivité et convivialité 4. Précision/Performance 5. Découverte/Inventaire 6. Analyse
Plus en détailLes tests d intrusion dans les réseaux Internet, l outil Nessus
Sujet N A04-03 Les tests d intrusion dans les réseaux Internet, l outil Nessus Dongé Laurent laurent_donge@yahoo.fr Président du jury : Mr. GRESSIER CNAM Paris Département informatique Laurent_donge@yahoo.fr
Plus en détailDécouvrir les vulnérabilités au sein des applications Web
Applications Web Découvrir les vulnérabilités au sein des applications Web Les vulnérabilités au sein des applications Web sont un vecteur majeur du cybercrime. En effet, selon le rapport d enquête 2012
Plus en détailConception et réalisation d uned architecture tolérant les intrusions pour des serveurs Internet
Conception et réalisation d uned architecture tolérant les intrusions pour des serveurs Internet Ayda Saidane, Yves Deswarte,, Vincent Nicomette Tolérance aux fautes et Sûreté de Fonctionnement informatique
Plus en détailINTRUSION SUR INTERNET
INTRUSION SUR INTERNET Filière Télécommunication Laboratoire de Transmission de Données Diplômant : Marfil Miguel Professeur : Gérald Litzistorf En collaboration : Banque Pictet, Lanrent Dutheil e-xpert
Plus en détailVirtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)
Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3) Table des matières 1. Présentation de l atelier 2 1.1.
Plus en détailOmniVista 2700 Application complémentaires pour l OmniVista 2500 Network Management
OmniVista 2700 Application complémentaires pour l OmniVista 2500 Network Management OmniVista 2730 PolicyView Alcatel-Lucent OmniVista 2730 PolicyView avec OneTouch QoS simplifie la tâche complexe de configurer
Plus en détailDr.Web Les Fonctionnalités
Dr.Web Les Fonctionnalités Sommaire Poste de Travail... 2 Windows... 2 Antivirus pour Windows... 2 Security Space... 2 Linux... 3 Mac OS X... 3 Entreprise... 3 Entreprise Suite - Complète... 3 Entreprise
Plus en détailLes IDS et IPS Open Source. Alexandre MARTIN Jonathan BRIFFAUT
Les IDS et IPS Open Source Alexandre MARTIN Jonathan BRIFFAUT Plan Présentation Générale des IDS Les différents type d IDS Les méthodes de détection Présentation Générale des IPS Ou placer un IDS / IPS?
Plus en détailAtelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3)
Atelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3) Table des matières 1. Présentation de l atelier... 2 2. Présentation des outils utilisés... 2 a. GNS3
Plus en détailDIFF AVANCÉE. Samy. samy@via.ecp.fr
DIFF AVANCÉE Samy samy@via.ecp.fr I. RETOUR SUR QUELQUES PROTOCOLES COUCHE FONCTIONS Protocoles 7 Application 6 Présentation 5 Session 4 Transport 3 Réseau 2 Liaison 1 Physique Interface entre l utilisateur
Plus en détailAvantages. Protection des réseaux corporatifs de gestion centralisée
Protégez votre univers Protection des réseaux corporatifs de gestion centralisée Avantages Gestion centralisée de protection des postes de travail des serveurs de fichier Windows et des serveurs de messagerie
Plus en détailTopologies et Outils d Alertesd
Topologies et Outils d Alertesd IDS / IDP DEFINITIONS IDS : SDI / Système de détection d intrusion IDP : SPI / Système de protection d intrusion IDS / IDP Statfull matriciels ACTIVITE IDP : Coupe circuit
Plus en détailCapture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark
Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark Wireshark est un programme informatique libre de droit, qui permet de capturer et d analyser les trames d information qui transitent
Plus en détailRouteur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.
Routeur Chiffrant Navista Version 2.8.0 Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.0 Cibles de sécurité C.S.P.N Référence : NTS-310-CSPN-CIBLES-1.05
Plus en détaillaissez le service en démarrage automatique. Carte de performance WMI Manuel Désactivé Vous pouvez désactiver ce service.
Nom du service par défaut conseillé remarques Accès à distance au Registre Automatique Désactivé Acquisition d'image Windows (WIA) Administration IIS Automatique Désactivé Affichage des messages Automatique
Plus en détailLAB : Schéma. Compagnie C 192.168.10.30 /24 192.168.10.10 /24 NETASQ
LAB : Schéma Avertissement : l exemple de configuration ne constitue pas un cas réel et ne représente pas une architecture la plus sécurisée. Certains choix ne sont pas à prescrire dans un cas réel mais
Plus en détailSécurité des réseaux sans fil
Sécurité des réseaux sans fil Matthieu Herrb CNRS-LAAS matthieu.herrb@laas.fr Septembre 2003 SIARS Toulouse 2003 Plan La technologie sans fils Faiblesses et Attaques Architecture Sécurisation des postes
Plus en détailLe filtrage de niveau IP
2ème année 2008-2009 Le filtrage de niveau IP Novembre 2008 Objectifs Filtrage : Le filtrage permet de choisir un comportement à adopter vis à vis des différents paquets émis ou reçus par une station.
Plus en détailSolution d inventaire automatisé d un parc informatique et de télédistribution OCS INVENTORY NG. EHRHARD Eric - Gestionnaire Parc Informatique
Solution d inventaire automatisé d un parc informatique et de télédistribution OCS INVENTORY NG EHRHARD Eric - Gestionnaire Parc Informatique 1 Possibilités d OCS Inventory. Informations d'inventaire pertinentes.
Plus en détailInfocus < http://www.securityfocus.com/infocus/1796 >
Infocus < http://www.securityfocus.com/infocus/1796 > Detecting Worms and Abnormal Activities with NetFlow, Part 1 by Yiming Gong last updated August 16, 2004 Détection de Vers et d Activités Anormales
Plus en détailSOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS
SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS DES RESEAUX D ENTREPRISE SO Une sécurité réseau déficiente
Plus en détailEtude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria
Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria 1 Philippe Lecler TutoJRES «Sécurité des sites WEB» 4 février 2010 Contexte 2 PCI-DSS : Payment Card Industry Data Security
Plus en détailSécurisation des systèmes
Sécurisation des systèmes Recherche d'informations sur une cible : requête DNS, interrogation whois, utilisation de nmap,... HAFERSAS Nabil ASSOUMANE Abdou 1 PLAN : Généralités Les différentes phases d
Plus en détailFORMATION CN01a CITRIX NETSCALER
FORMATION CN01a CITRIX NETSCALER Contenu de la formation CN01a CITRIX NETSCALER Page 1 sur 6 I. Généralités 1. Objectifs de cours Installation, configuration et administration des appliances réseaux NetScaler
Plus en détailCHAPITRE 3 : INTERVENTIONS SUR INCIDENTS
CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CINQ RECOMMANDATIONS ESSENTIELLES 1 CINQ RECOMMANDATIONS ESSENTIELLES CINQ RECOMMANDATIONS ESSENTIELLES BASÉES SUR UNE ANALYSE DES INCIDENTS OBSERVÉS En 2014, le
Plus en détailAtelier Sécurité / OSSIR
Atelier Sécurité / OSSIR Présentation Produits eeye SecureIIS Retina elorrain@eeye.com & broussel@eeye.com Sommaire Page 2 Qui sommes nous? SecureIIS Protection Web Retina Scanner de Sécurité Questions
Plus en détailChap.9: SNMP: Simple Network Management Protocol
Chap.9: SNMP: Simple Network Management Protocol 1. Présentation 2. L administration de réseau 3. Les fonctionnalités du protocole 4. Les messages SNMP 5. Utilisation de SNMP 1. Présentation En 1988, le
Plus en détail«clustering» et «load balancing» avec Zope et ZEO
IN53 Printemps 2003 «clustering» et «load balancing» avec Zope et ZEO Professeur : M. Mignot Etudiants : Boureliou Sylvain et Meyer Pierre Sommaire Introduction...3 1. Présentation générale de ZEO...4
Plus en détail