Sécurité réseau en pratique. Ainsi font font. Attention. Plan. Comment font les pirates Scanner Exploiter Ecouter Comment sécuriser

Dimension: px
Commencer à balayer dès la page:

Download "Sécurité réseau en pratique. Ainsi font font. Attention. Plan. Comment font les pirates Scanner Exploiter Ecouter Comment sécuriser"

Transcription

1 Sécurité réseau en pratique Ainsi font font. 1 3 Plan Attention Comment font les pirates Scanner Exploiter Ecouter Comment sécuriser Utilisation des outils décrits plus loin est ILLEGALE! Interdiction FORMELLE d utiliser ces outils ailleurs que dans les salles prévues pour cet usage Ils peuvent servir à sécuriser un réseau et à le pirater Ne JAMAIS les utiliser ailleurs que sur un LAN privé Charte informatique 2 4

2 Attention Outils d audit=outils d attaques=armes Pas les pointer sur des cibles réelles Prendre toutes les précautions Demander l autorisation de l admin et FAI Pas dans le cadre de la fac Perpétrer des actes de piratage est répréhensible Peut vous coûter votre carrière C est TRES sérieux Synthèse Identifier la cible Collecter des infos Lancer l attaque Couvrir ses traces Maintenir l accès 5 7 How hackers do it Identifier la cible Inspiré de «How hackers do it: Tricks, Tools, and Techniques» A. Noordergraaf, Sun Blueprints May 2002 Actualisé pour la partie «outils» Un bon hacker (bidouilleur) programme un outil pour scanner (explorer) le réseau Il le rend public sur Internet Des script kiddies (novices) le téléchargent et s en servent pour trouver des systèmes vulnérables ou des points d accès 6 8

3 Identifier la cible Dans le monde réel, cible est choisie en fonction du gain potentiel Majorité des attaques ciblées au hasard selon les opportunités détectées par les scanners de vulnérabilité Nécessaire de se protéger même si l attaque ne rapporte rien au pirate! Outils de base Nslookup/dig Résolution de noms de domaine Ping Vérifier quelles sont les machines en ligne Trouver les adresses de broadcast Traceroute Combien de routeurs jusqu à la cible? à la main par envoi de paquets tcp en changeant le TTL 9 11 Identifier la cible Connaître c est faire la moitié du chemin Si les défenses sont connues, plus facile de planifier l attaque Moyens Détection de l hôte (ping) Recherche des services (port scan, banner grabbing) Détection de la topologie Traceroute, wardialing, wardriving Détection d OS par son fingerprint Sources publiques (whois, dns, web, annuaires) Social engineering 10 Outils de base Finger collecte les informations sur les utilisateurs Finger donne des infos sur alice pour un hote donné donne des infos sur tous les utilisateurs connectés 12

4 Outils de base Netcat ou nc Outil multifonctions (aussi appelé TCP/IP swiss army knife) utilisable à différentes fins Entre autres: récupérer les bannières des serveurs (banner grabbing) nc -v -n host.target 22 renvoie la version de ssh qui tourne sur la machine (SSH-1.99-OpenSSH_5.1) Description Nmap ("Network Mapper") is a free open source utility for network exploration or security auditing. It was designed to rapidly scan large networks, although it works fine against single hosts. Nmap uses raw IP packets in novel ways to determine what hosts are available on the network, what services (application name and version) those hosts are offering, what operating systems (and OS versions) they are running, what type of packet filters/firewalls are in use, and dozens of other characteristics. Nmap runs on most types of computers and both console and graphical versions are available. Nmap is free software, available with full source code under the terms of the GNU GPL Vulnérabilités : nmap Port scanner Nmap fait partie des port scanners Un port scanner peut parcourir une grande plage d adresses IP et retourner les ports ouverts (= services) et les version d OS 14 16

5 OS detection Techniques standard Connexion smtp, snmp ou telnet pour examiner les réponses du serveur Plus efficace (dans nmap) le TCP/IP stack fingerprinting qui identifie la réponse du système à des paquets TCP avec des flags particuliers Stealth mode Attaquant doit récupérer les réponses à ses requêtes Il va donc devoir utiliser son IP comme src Si requête repérée, on remonte à son IP Stealth mode est plus discret; scanner empêche partiellement fonctionnement log Modes de fonctionnement Vanilla Tentative de connexion sur tous les ports Strobe Ciblé sur certains ports spéciaux Fragment packets Limitation à des paquets fragmentés (permet de traverser certains fw) UDP: recherche ports udp Sweep: connexion sur le même port d un ou des PC FTP bounce: scanner se fait passer pour serveur ftp pour paraître légitime 18 Collecte d informations Travailler de façon systématique en notant tout Objectif Avoir une meilleure connaissance du réseau attaqué que son admin (en tout cas, plus à jour) 20

6 Collecte d informations Pour déterminer: Son nom de domaine, Si la machine est en vie (ping, arp) Quels ports sont ouverts Pour chaque port Quels services offerts Quel serveur, version, service pack Quel OS La machine est-elle multi-homed Service ouvert plus indicatif? Vulnérabilités Une fois à l intérieur: Trouver les utilisateurs, les mots de passe à casser Les fichiers intéressants Les connexions réseau actives Les tables de cache arp Les indications sur d autres machines Vulnérabilités Obtenir un accès Le novice utilise ensuite une liste d adresses IP vulnérables pour accéder au système Selon les faiblesses il peut éventuellement créer/utiliser un compte ou un accès privilégié Il l utilise pour obtenir de nouveaux privilèges et pirater d autres systèmes reliés à celui qu il vient de pénétrer Exemple: se faire passer pour une machine du réseau attaqué 22 24

7 Fait partie de la panoplie des sniffers Un sniffer est un programme qui lit tout le trafic sur le LAN en passant l interface réseau en mode de «promiscuité» Ainsi, la carte réseau transmet au sniffer tout le trafic réseau D autres sniffers existent comme snoop (WIN) qui permet de récupérer des mots de passe transmis pour une connexion telnet, ftp, imap,pop 25 Outil d'audit : crack Erreurs d'unix : /etc/passwd lisible par tous, même si non inversible Même algorithme de chiffrement sur toutes les machines Par combinaison (sans dictionnaire), la puissance actuelle des machines permet de découvrir des mots de passe jusqu'à plusieurs caractères Crack à partir de mots de dictionnaires : Ajoute des mots venant d'informations dans /etc/passwd (nom,...) Crée de nouveaux mots (cle+, Cle, elc,...) Chiffre chaque mot et compare le résultat avec la chaîne dans /etc/ passwd Mémorise les mots de passe testés 27 Howto Un peu de psychologie Un utilisateur se connecte sur un serveur imap (pas imaps) Sur un serveur pop par telnet ou ftp Quelques outils d observation passive Et le tour est joué Ensuite 26 Outil d'audit : crack Configurable : Nouvelles règles pour générer de nouveaux mots Ajout de dictionnaires (ciblés linguistiquement) Peut travailler sur plusieurs fichiers passwd Peut envoyer un message aux utilisateurs La première exécution est très longue Crack a beaucoup de succès sur les serveurs FTP anonymes => Utiliser shadow password => utiliser régulièrement crack et envoyer un message aux utilisateurs fautifs 28

8 Crack : extrait de résultat Feb 21 13:32:47 Crack v4.1f: The Password Cracker, (c) Alec D.E. Muffett, 1992 Feb 21 13:32:48 Loaded 17 password entries with 17 different salts: 100% Feb 21 13:32:48 Loaded 240 rules from 'Scripts/ dicts.rules'. Feb 21 13:32:48 Starting pass 1 - password information Feb 21 13:33:38 Guessed dupont (/bin/ksh in./ passwd) [dupont9] f5em4jkrapyaq Feb 21 13:34:36 Starting pass 2 - dictionary words Feb 21 13:34:36 Applying rule '!?Al' to file 'Dicts/ bigdict.z' Feb 21 21:18:39 Applying rule '28!?Al$9' to file 'Dicts/bigdict.Z' Feb 21 21:24:37 Guessed durant (/bin/ksh in./ passwd) [tomate.] DQywOoXMwQFiI 29 Connexion sécurisé Par la transmission d une clé secrète dans une enveloppe digitale Une enveloppe digitale contient une clé secrète chiffrée par un chiffre à clé publique Certificat est une garantie de la relation identité, clé publique. 31 Plus fort: connexion imaps MI(T)M Le réseau est plus sûr Plus de telnet, ftp, pop, imap Seul accès imaps Comment faire??? MI(T)M! 30 32

9 Arp spoofing Description d ettercap Ettercap is a suite for man in the middle attacks on LAN. It features sniffing of live connections, content filtering on the fly and many other interesting tricks. It supports active and passive dissection of many protocols (even ciphered ones) and includes many feature for network and host analysis Un outil pour ça Et Fred dispose maintenant peut-être d un couple login/password valide D ailleurs, ettercap permet aussi théoriquement de récupérer des mots de passe ssh1 entre autres choses D autres outils plus spécifiques font la même chose 34 36

10 Encore plus fort Tout est raisonnablement sécurisé sauf l OS de certaines machines. Que fait le pirate? Il s attaque à la machine la plus faible La sécurité du système est celle de son maillon le plus faible Outils d'audit : ISS Internet Security Scanner Audit de sécurité d'un réseau de machines : à distance, essai des failles de sécurité connues des applications réseau ISS teste : Les comptes sync, guest, lp,... ( mot de passe?) Le port 25 (quelle version de Sendmail?) Certains alias dangereux (uudecode,...) FTP anonymes (peut on créer un répertoire?) rexd (nombreux trous) NIS (cherche le nom de domaine) ; NFS (répertoires exportés?) Les utilisateurs connectés Outil très dangereux dans certaines mains Outils d audit Les précurseurs Exemple ISS ISS SATAN COPS export list for : /usr/local/tex (everyone) /usr/lib/x11/ncd (everyone) /usr/local/x11r5 (everyone) /tempo /local_home /home meltemi,busar (everyone) (everyone) toto chose.truc:pts/1 Oct 5 07:13 2 titi chose.truc:pts/2 Oct 4 15: :21 tata chose.truc:pts/2 Oct 4 15: : machine.truc.edu 38 40

11 Outils d'audit : SATAN Outil d'audit : COPS Mêmes objectifs et mêmes méthodes que ISS Interface client web Beaucoup de bruit médiatique : pas de catastrophe Aurait pus être beaucoup plus dangereux On peut passer régulièrement SATAN et ISS sur son réseau Peut sceller certains fichiers Création d'un fichier résultat ou envoi d'un message Peut être exécuté sans être root Configurable : fichiers à sceller, objets dont l'accès est à vérifier, dictionnaires On peut : ajouter ses propres vérifications, le mettre dans le CRON Problèmes : messages succincts, pas de MAJ récente => Faire passer COPS sur toute nouvelle machine installée et régulièrement sur les autres COPS Exemple Computer Oracle and Password System Audit de sécurité d'une machine Unix Ensemble de programmes qui vérifient ou détectent : Les permissions de certains fichiers, répertoires, devices Les mots de passe "pauvres" Le contenu des fichiers passwd et group Les programmes lancés dans /etc/rc.local et par cron Les fichiers SUID root L'accès à certains fichiers utilisateurs (homedir,.profile,.cshrc,...) L'installation correcte de FTP anonyme Certains trous de sécurité ("+" dans hosts.equiv, montages NFS, "." dans PATH de root)... **** cron.chk **** **** home.chk **** Warning! User uucp's home directory /var/ spool/uucppublic is mode 03777! **** passwd.chk **** Warning! Password file, line 10, no password: sync::1:1::/:/bin/sync Warning! Password file, line 11, user sysdiag has uid = 0 and is not root sysdiag:*:0:1:old System **** user.chk **** **** misc.chk **** Warning! /bin/uudecode creates setuid files! **** ftp.chk **** Warning! /etc/ftpusers should exist! 42 44

12 Comment le trouver Premier pas: cibler Au moyen d un scanner de vulnérabilité Par analyse des ports d entrée, le scanner de vulnérabilité trouve l hôte ou le service le plus faible C est ce que fait nessus Description Puis scanner The "Nessus" Project aims to provide to the internet community a free, powerful, up-to-date and easy to use remote security scanner. A security scanner is a software which will audit remotely a given network and determine whether someone (or something - like a worm) may break into it, or misuse it in some way. Unlike many other security scanners, Nessus does not take anything for granted. That is, it will not consider that a given service is running on a fixed port - that is, if you run your web server on port 1234, Nessus will detect it and test its security. Nessus is very fast, reliable and has a modular architecture that allows you to fit it to your needs. Nessus works on Unix-like systems (MacOS X, FreeBSD, Linux, Solaris and more) and a Windows version called NeWT is available

13 Attaque du maillon faible Et pour le wifi? Par des rootkits Un rootkit est un terme qui décrit un ensemble de scripts et d exécutables réunis ensemble qui permet à un pirate de cacher ses agissements et d obtenir un accès privilégié au système. On procède de même Cibler Attaquer Tâches d un rootkit Modification des logs Modification des outils système pour rendre la détection d un piratage plus difficile Création d une trappe d accès cachée Utilisation du système comme point d entrée sur les autres hôtes du réseau Cibler Kismet is an layer2 wireless network detector, sniffer, and intrusion detection system. It will work with any wireless card which supports raw monitoring (rfmon) mode, and can sniff b, a, and g traffic. Kismet identifies networks by passively collecting packets and detecting standard named networks, detecting (and given time, decloaking) hidden networks, and infering the presence of nonbeaconing networks via data traffic

14 Attaquer Filtrage de ports aircrack is an WEP and WPA-PSK keys cracking program that can recover keys once enough data packets have been captured. It implements the standard FMS attack along with some optimizations like KoreK attacks, thus making the attack much faster compared to other WEP cracking tools. In fact, aircrack is a set of tools for auditing wireless networks. Contrôle de frontière Contrôle de transit Contrôle des frontières Sécuriser Problème principal des intranets connectés à Internet Solution : coupe-feu (firewall) combine: filtres de paquets serveurs proxy mécanismes cryptographiques (IP tunneling) diminuer le nombre de points d entrée 54 56

15 Filtres de paquets Fonction assurée par les agents de distribution (routeurs ou hôtes dédiés) principe de contrôle redistribuer, effacer et/ou tracer chaque paquet basé sur les informations de l en tête du paquet adresse d origine et de destination direction (entrée/sortie) par rapport au réseau local type d application (port IP) implémentations principales sur TCP/IP Iptables/netfilter netfilter and iptables are building blocks of a framework inside the Linux 2.4.x and 2.6.x kernel. This framework enables packet filtering, network addresss [and port] translation (NA[P]T) and other packet mangling. It is the re-designed and heavily improved successor of the previous Linux 2.2.x ipchains and Linux 2.0.x ipfwadm systems. netfilter is a set of hooks inside the Linux kernel that allows kernel modules to register callback functions with the network stack. A registered callback function is then called back for every packet that traverses the respective hook within the network stack. iptables is a generic table structure for the definition of rulesets. Each rule within an IP table consists out of a number of classifiers (iptables matches) and one connected action (iptables target). netfilter, iptables and the connection tracking as well as the NAT subsystem together build the whole framework Ports services les plus connus RFC "ASSIGN NUMBERS" (RFC1700 ou plus récent) et /etc/ services ftp-data 20 (TCP) telnet 23 (TCP) whois 43 (TCP) bootp 67 (UDP) finger 79 (TCP) http 80 (TCP) rpc portmap 111 (UDP et TCP) ntp (Time) 123 (UDP) snmp trap 162 (UDP) rsh (rcp, rdist) 514 (TCP) syslog 514 (UDP) uucp 540 (TCP) nfs 2049 (UDP ou TCP) 58 ftp-commandes 21 (TCP) smtp 25 (TCP) DNS 53 (UDP et TCP) tftp 69 (UDP) pop3 (Eudora) 110 (TCP) pop2 109 (TCP) nntp (News) 119 (TCP) snmp 161 (UDP) rlogin 513 (TCP) printer (lpr) 515 (TCP) rip 520 (UDP) archie 1525 (UDP) X (TCP) Règles de filtrage Chaîne = liste ordonnée de règles. Chaque règle exprime une condition Si la règle ne s'applique pas au paquet, on consulte la règle suivante. Une fois épuisé l'ensemble des règles, le noyau applique la politique par défaut de la chaîne ( {ACCEPT DROP}) qui est habituellement DROP pour un système sécurisé. 60

16 Instructions sur les chaînes créer une nouvelle chaîne (-N) effacer une chaîne vide (-X) changer la politique par défaut (-P) afficher les règles d'une chaîne (-L) vider toutes les règles (-F) réinitialiser les compteurs de paquets et d'octet de toutes les règles d'une chaîne (-Z) Examen d un paquet En cas de forwarding vers une autre interface, le paquet traverse FORWARD s'il est accepté, il poursuit son chemin. Si le forwarding n'est pas activé ou si on ne sait pas comment transmettre ce paquet, il est supprimé Examen d un paquet Examen d un paquet S'il est destiné à la machine, le paquet traverse INPUT. S'il est autorisé à poursuivre son chemin (décision ACCEPT), il est traité par le processus local à qui il est destiné. En revanche, si la décision est DROP, le paquet est supprimé. 62 Enfin, un programme exécuté par la machine peut également envoyer des paquets traités par OUTPUT. Si la chaîne accepte ces paquets, ils continuent leur chemin vers l'interface réseau à laquelle ils sont destinés. 64

17 Méthode du Ack bit (established) Dans un datagramme TCP un "Ack bit" accuse réception du datagramme précédent Dans le datagramme d'ouverture de session TCP, ce bit n'est pas positionné En bloquant le premier datagramme toute session TCP est impossible Donc, en filtrant les datagrammes TCP entrants sans "Ack bit", on bloque les connexions TCP entrantes (tout en autorisant les connexions sortantes) Langage routeur : "Ack bit" = "established" Fonctionnement bonjour bonjour, je suis Bob; Cert B prouve-le De B (H(c est Bob)) voici notre secret : Ch B (K) Ch K (sûr?,mac(sûr?)) Fonctionnement The OpenSSL Project is a collaborative effort to develop a robust, commercial-grade, full-featured, and Open Source toolkit implementing the Secure Sockets Layer (SSL v2/v3) and Transport Layer Security (TLS v1) protocols as well as a fullstrength general purpose cryptography library. The project is managed by a worldwide community of volunteers that use the Internet to communicate, plan, and develop the OpenSSL toolkit and its related documentation. OpenSSL is based on the excellent SSLeay library developed by Eric A. Young and Tim J. Hudson. The OpenSSL toolkit is licensed under an Apachestyle licence, which basically means that you are free to get and use it for commercial and non-commercial purposes subject to some simple license conditions. bonjour bonjour, je suis Bob; Cert B prouve-le De B (H(c est Bob)) voici notre secret : Ch B (K) Ch K (sûr?,mac(sûr?)) Transmission de clé publique 66 68

18 Fonctionnement Fonctionnement bonjour bonjour bonjour, je suis Bob; Cert B prouve-le De B (H(c est Bob)) Authentification par signature bonjour, je suis Bob; Cert B prouve-le De B (H(c est Bob)) voici notre secret : Ch B (K) Ch K (sûr?,mac(sûr?)) voici notre secret : Ch B (K) Ch K (sûr?,mac(sûr?)) Echange sécurisé+intégrité Fonctionnement bonjour bonjour, je suis Bob; Cert B prouve-le De B (H(c est Bob)) voici notre secret : Ch B (K) Ch K (sûr?,mac(sûr?)) Enveloppe digitale OpenSSH est une version LIBRE de la suite d'outils du protocole SSH de connexion réseau utilisé par un nombre croissant de personnes sur l'internet. De nombreux utilisateurs de telnet, rlogin, ftp et autres programmes identiques ne réalisent pas que leur mot de passe est transmis non chiffré à travers l'internet. OpenSSH chiffre tout le trafic (mots de passe inclus) de façon à déjouer les écoutes réseau, les prises de contrôle de connexion, et autres attaques. De plus, OpenSSH fournit toute une palette de possibilités de tunnellisation et de méthodes d'authentification

19 Protection contre La suite logicielle OpenSSH inclus les programmes ssh qui remplace telnet et rlogin, scp qui remplace rcp, et sftp qui remplace ftp. De plus sshd est inclus, constituant la partie serveur du package, ainsi que d'autres utilitaires tels que ssh-add, ssh-agent, ssh-keygen, ssh-keysign, sshkeyscan, et sftp-server. OpenSSH supporte les protocoles SSH 1.3, 1.5 et 2.0. IP Spoofing une machine distante prétend qu un paquet IP provient d une autre IP source routing : idem précédent DNS spoofing interception de clairs/crypto manipulation de données d hôtes intermédiaires Description de ssh Programme permettant de se connecter de façon sécure à une machine distante et d exécuter une commande sur cette machine But : remplacement de rsh et rlogin Méthode : en chiffrant les communications TCP/IP X11 Etapes principales Authentification mutuelle des machines Par RSA de l utilisateur chiffrement de la session mécanisme à clé secrète à choisir DES, 3DES, IDEA, blowfish, arcfour, sans

20 4 modes d authentification analogue à.rhosts en authentifiant l hôte par RSA en authentifiant l utilisateur par RSA (avec une autorité de certification) Authentification hôte IP header AH TCP data De S (h(m)) Clé secrète de la source Source S Cible C On ajoute une authentification RSA Elle vérifie la clé d hôte du client en utilisant un protocole Authentification 1 Si l hôte de l utilisateur est sur la machine distante dans /etc/hosts.equiv /etc/shosts.equiv ou s il existe un fichier.rhosts ou.shosts la connexion de l utilisateur est autorisée Forme normalement interdite car insécure 78 Authentification hôte (suite) La cible C recevant De S (h (M)) peut alors vérifier l origine du message avec la clé publique de la source. La clé publique est dans /etc/ssh_known_hosts $HOME/.ssh/known_hosts IP header AH TCP data De S (h(m)) 80

21 Authentification hôte (fin) Après ces vérifications, le login est autorisé. Remédie aux trous de sécurité : IP spoofing DNS spoofing routing spoofing A supprimer : hosts.equiv,.rhosts, rlogin, rsh pour des raisons de sécurité. Génération de clés L utilisateur crée un couple (clé publique/clé privée) par ssh_keygen privée dans.ssh/identity publique dans.ssh/identity.pub qu on retrouve sur la machine distante dans.ssh/authorized_keys analogue au.rhosts Authentification utilisateur Le serveur connaît la clé publique de l utilisateur. Il génère un nombre aléatoire r et l envoie chiffré avec la clé publique de l utilisateur : défi pour l utilisateur celui-ci est le seul à pouvoir déchiffrer r Il retourne r au serveur Authentification par certificat Le serveur demande un certificat à l utilisateur. L utilisateur peut obtenir son certificat auprès d un serveur d authentification Peut également fonctionner avec des cartes à puce 82 84

22 Sinon Si toutes ces méthodes échouent, ssh demande un mot de passe à l utilisateur Le mot de passe transite chiffré sur le réseau En ajoutant de l information dans le paquet, il est possible de déjouer une attaque par rejeu. Et ce n est pas tout Snort is an open source network intrusion detection system, capable of performing real-time traffic analysis and packet logging on IP networks. It can perform protocol analysis, content searching/ matching and can be used to detect a variety of attacks and probes, such as buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts, and much more. Snort uses a flexible rules language to describe traffic that it should collect or pass, as well as a detection engine that utilizes a modular plugin architecture. Snort has a real-time alerting capability as well, incorporating alerting mechanisms for syslog, a user specified file, a UNIX socket, or WinPopup messages to Windows clients using Samba's smbclient. Snort has three primary uses. It can be used as a straight packet sniffer like tcpdump(1), a packet logger (useful for network traffic debugging, etc), or as a full blown network intrusion detection system Connexion Mise en place d un outil de sécurité dit «honeypot» Machine réelle attaques - simulées (nessus) Quand l identité a été acceptée par le serveur, celui-ci exécute la requête de l utilisateur Toutes les communications sont chiffrées en remplacement de TCP/IP par IPSec. Machine virtuelle avec services Internet attaquables Log des attaques: -à la main -automatiques - réelles Exploitation: avoir des informations sur les techniques de piratage 86 88

23 Et quand tout a échoué. Il faut avoir fait des sauvegardes. Pouvoir tout réinstaller et sans perte C est le plan de reprise règles de sécurité Sécuriser les points faibles Opérer en profondeur Bien gérer les cas d erreur Principe du strict minimum Cloisonner Rester simple Encourager le secret Il est difficile de garder un secret Rester méfiant Utiliser les ressources de la communauté 90

SECURITE. Figure 1. Incident réseau, source CERT. Nombre. Sécurité

SECURITE. Figure 1. Incident réseau, source CERT. Nombre. Sécurité SECURITE Ce cours est très inspiré des textes diffusés par l unité réseau du CNRS (www.urec.fr). La sécurité est une chose essentielle sur le réseau Internet. Elle est associée très étroitement aux lois

Plus en détail

RÉSEAUX ET SÉCURITÉ INFORMATIQUES

RÉSEAUX ET SÉCURITÉ INFORMATIQUES RÉSEAUX ET SÉCURITÉ INFORMATIQUES MICKAËL CHOISNARD UNIVERSITÉ DE BOURGOGNE Cours MIGS 2 novembre 2015 INTRODUCTION La sécurité de ma machine, je m'en fous : y'a rien de précieux sur ma machine... personne

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Fonctionnement de Iptables. Exercices sécurité. Exercice 1 Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis.

Plus en détail

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications Tunnels et VPN 20/02/2008 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement

Plus en détail

TP4 : Firewall IPTABLES

TP4 : Firewall IPTABLES Module Sécurité TP4 : Firewall IPTABLES Ala Rezmerita François Lesueur Le TP donnera lieu à la rédaction d un petit fichier texte contenant votre nom, les réponses aux questions ainsi que d éventuels résultats

Plus en détail

Exemple d intrusion dans un réseau

Exemple d intrusion dans un réseau Exemple d intrusion dans un réseau Cédric Blancher - blancher@cartel-info.fr Daniel Polombo - polombo@cartel-info.fr 11 décembre 2001 Plan 1 Introduction et présentation du réseau ciblé Pénétration du

Plus en détail

Devoir Surveillé de Sécurité des Réseaux

Devoir Surveillé de Sécurité des Réseaux Année scolaire 2008-2009 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Autorisés Note : Ce sujet comporte deux parties. La partie A est une étude

Plus en détail

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Sécurité des réseaux Firewalls

Sécurité des réseaux Firewalls Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et

Plus en détail

Sécurité et Firewall

Sécurité et Firewall TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette

Plus en détail

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad Outils d'analyse de la sécurité des réseaux HADJALI Anis VESA Vlad Plan Introduction Scanneurs de port Les systèmes de détection d'intrusion (SDI) Les renifleurs (sniffer) Exemples d'utilisation Conclusions

Plus en détail

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne. Sécurité avancée des réseaux Filtrage des paquets IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.fr Outline Pare-feu & Filtre de Confiance Filtrage de paquets Pare-feu

Plus en détail

Administration réseau Accès aux fichiers distants

Administration réseau Accès aux fichiers distants Administration réseau Accès aux fichiers distants A. Guermouche A. Guermouche Cours 8 : NFS & SMB 1 Plan 1. Introduction 2. NFS 3. SAMBA A. Guermouche Cours 8 : NFS & SMB 2 Plan Introduction 1. Introduction

Plus en détail

Sécurité des réseaux Les attaques

Sécurité des réseaux Les attaques Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques

Plus en détail

SSH et compagnie : sftp, scp et ssh-agent

SSH et compagnie : sftp, scp et ssh-agent SSH et compagnie : sftp, scp et ssh-agent Linux Gazette numéro 64 Matteo Dell Omodarme matt@martine2.difi.unipi.it Le but de cet article est de faire une introduction à quelques programmes utiles dans

Plus en détail

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49 Filtrage dynamique Linux noyau >= 2.4 netfilter : Iptables Cisco propose les CBAC (IOS Firewall) *BSD avec IPFilter Packet filter Beaucoup de Pare Feu utilise du filtrage dynamique Principe Fonctionnement

Plus en détail

Administration réseau Introduction

Administration réseau Introduction Administration réseau Introduction A. Guermouche A. Guermouche Cours 1 : Introduction 1 Plan 1. Introduction Organisation Contenu 2. Quelques Rappels : Internet et le modèle TCP/ Visage de l Internet Le

Plus en détail

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble ASR4 réseaux Barrière de Sécurité Introduction Serveur de proximité, pare-feu IP, filtrage, architecture 1 Objectif des gardes barrières Protéger un environnement (vis à vis de l extérieur et de l intérieur)

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists).

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists). 1 LINUX FIREWALL Introduction Un firewall ou pare-feu est un des composants essentiel à la sécurité informatique d un réseau. Il va permettre d isoler une ou plusieurs machines ou réorienter les requêtes

Plus en détail

Topologies et Outils d Alertesd

Topologies et Outils d Alertesd Topologies et Outils d Alertesd IDS / IDP DEFINITIONS IDS : SDI / Système de détection d intrusion IDP : SPI / Système de protection d intrusion IDS / IDP Statfull matriciels ACTIVITE IDP : Coupe circuit

Plus en détail

INTRUSION SUR INTERNET

INTRUSION SUR INTERNET INTRUSION SUR INTERNET Filière Télécommunication Laboratoire de Transmission de Données Diplômant : Marfil Miguel Professeur : Gérald Litzistorf En collaboration : Banque Pictet, Lanrent Dutheil e-xpert

Plus en détail

M1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015

M1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015 M1101a Cours 4 Réseaux IP, Travail à distance Département Informatique IUT2, UPMF 2014/2015 Département Informatique (IUT2, UPMF) M1101a Cours 4 2014/2015 1 / 45 Plan du cours 1 Introduction 2 Environnement

Plus en détail

Etat des lieux de la sécurité dans Windows XP. Nicolas RUFF nicolas.ruff@edelweb.fr

Etat des lieux de la sécurité dans Windows XP. Nicolas RUFF nicolas.ruff@edelweb.fr Etat des lieux de la sécurité dans Windows XP Améliorations et écueils Nicolas RUFF nicolas.ruff@edelweb.fr page 1 Ordre du jour Authentification Réseau Stratégies de groupe Fichiers Noyau Support Autres

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

TECHNOLOGIE INTERNET TRAVAUX PRATIQUE : NAPT Par ZHANG Tuo E-mail : tuo.zhang@iut-dijon.u-bourgogne.fr

TECHNOLOGIE INTERNET TRAVAUX PRATIQUE : NAPT Par ZHANG Tuo E-mail : tuo.zhang@iut-dijon.u-bourgogne.fr TECHNOLOGIE INTERNET TRAVAUX PRATIQUE : NAPT Par ZHANG Tuo E-mail : tuo.zhang@iut-dijon.u-bourgogne.fr 1. OBJECTIFS DU TP Réaliser et tester le NAT entre différents réseaux. Analyser le fonctionnement

Plus en détail

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86 Tunnels et VPN 22/01/2009 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement

Plus en détail

Administration et sécurité des réseaux. Chapitre 3, Partie 3

Administration et sécurité des réseaux. Chapitre 3, Partie 3 Administration et sécurité des réseaux Chapitre 3, Partie 3 Le Protocole FTP (File Transfer Protocol) 1 Plan Présentation du protocole Fonctionnement Configuration et options 2 Présentation de FTP Fonctionnalités

Plus en détail

Les Protocoles de Transport Introduction à l analyse de trames

Les Protocoles de Transport Introduction à l analyse de trames Les Protocoles de Transport Introduction à l analyse de trames telnet localhost 80 telnet localhost 80 Trying ::1 connected to localhost. Escape character is ^]. Demande de connexion du client Ouverture

Plus en détail

MISE EN PLACE DU FIREWALL SHOREWALL

MISE EN PLACE DU FIREWALL SHOREWALL MISE EN PLACE DU FIREWALL SHOREWALL I INTRODUCTION Administrateur réseau dans une petite entreprise, vous devez, suite à la mise en place d une ligne ADSL, offrir l accès à l internet à tous les utilisateurs

Plus en détail

UE31 - M3102 : Services Réseaux

UE31 - M3102 : Services Réseaux UE31 - M3102 : Services Réseaux Corrigé du TP 4 NAT/PAT, Pare-Feu C. Pain-Barre 1 Simulateur : Nat/Pat et firewall Corrigé de l exercice 1 (Simulation Nat/Pat et firewall) Les fichiers xml contenant les

Plus en détail

SSH, le shell sécurisé

SSH, le shell sécurisé , le shell sécurisé Objectifs : 1. Présenter le protocole et les outils associés Sébastien JEAN Pourquoi 1/2? Les services standards ne supportent que peu de propriétés de sécurité souvent l identification,

Plus en détail

Configurer un pare-feu avec NETFILTER

Configurer un pare-feu avec NETFILTER Configurer un pare-feu avec NETFILTER Netfilter est le firewall des distributions linux récentes pris en charge depuis les noyaux 2.4. Il est le remplaçant de ipchains. La configuration se fait en grande

Plus en détail

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion Atelier IDS Snort Outil de Détection d intrusion Introduction Les systèmes de détection d intrusion ou IDS pour (Intrusion Detection System) sont indispensables pour la sécurité du réseau, ils permettent

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

Utilisation de ports différents Utilisation de plusieurs adresses IP Utilisation de «host header»

Utilisation de ports différents Utilisation de plusieurs adresses IP Utilisation de «host header» Les sites multiples Utilisation de ports différents Utilisation de plusieurs adresses IP Utilisation de «host header» L exploration de dossier (directory browsing) Dossiers réguliers (folders) vs dossiers

Plus en détail

Les Attaques en Réseau sous Linux

Les Attaques en Réseau sous Linux Les Attaques en Réseau sous Linux Plan Introduction Partie 1: ARP Spoofing Partie 2: Outils de simulation. Partie 3: Démonstration de l attaque.. Partie 4: Prévention et détection de l attaque. Partie

Plus en détail

SSH : Secure SHell. Pour l'utilisateur Windows. F. Bongat. Version décembre 2011

SSH : Secure SHell. Pour l'utilisateur Windows. F. Bongat. Version décembre 2011 SSH : Secure SHell Pour l'utilisateur Windows Version décembre 2011 1 F. Bongat Présentation 2 Sécuriser des connexions à distance : Secure Shell SSH permet de sécuriser les communications des réseaux

Plus en détail

INF4420: Éléments de Sécurité Informatique

INF4420: Éléments de Sécurité Informatique : Éléments de Module III : Sécurité des réseaux informatiques José M. Fernandez M-3109 340-4711 poste 5433 Où sommes-nous? Semaine 1 Intro Semaines 2, 3 et 4 Cryptographie Semaine 6, 7 Sécurité dans les

Plus en détail

FTPS AVEC UNE APPLIANCE FAST360 EN COUPURE. Table des matières

FTPS AVEC UNE APPLIANCE FAST360 EN COUPURE. Table des matières FTPS AVEC UNE APPLIANCE FAST360 EN COUPURE Table des matières Principes de FTPS... 2 Généralités... 2 FTPS en mode implicite... 2 FTPS en mode explicite... 3 Certificats SSL / TLS... 3 Atelier de tests

Plus en détail

FILTRAGE de PAQUETS NetFilter

FILTRAGE de PAQUETS NetFilter TP RESEAUX MMI Semestre 3 FILTRAGE de PAQUETS NetFilter OBJECTIF : Introduction à Netfilter. Configuration d'un firewall. MATERIELS : (Machines Virtuelles) 1 Serveur Debian avec apache d'installé, 1 Poste

Plus en détail

Le filtrage de niveau IP

Le filtrage de niveau IP 2ème année 2008-2009 Le filtrage de niveau IP Novembre 2008 Objectifs Filtrage : Le filtrage permet de choisir un comportement à adopter vis à vis des différents paquets émis ou reçus par une station.

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 69 Audit et Sécurité Informatique Chap 2: Firewall et Règles de Filtrage ACL Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2 / 69 Plan

Plus en détail

Compromettre son réseau en l auditant? R. Deraison - Tenable Network Security

Compromettre son réseau en l auditant? R. Deraison - Tenable Network Security Compromettre son réseau en l auditant? R. Deraison - Tenable Network Security Agenda But de cette présentation Injection de vulnérabilités Empecher l audit Obtention des identifiants Reverse overflow Présentation

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

SOMMAIRE. Introduction Organisation Les Axes d attaques. Planification du projet Social engineering. Dénis de service. Exploite Conclusion - 2 /28-

SOMMAIRE. Introduction Organisation Les Axes d attaques. Planification du projet Social engineering. Dénis de service. Exploite Conclusion - 2 /28- SOMMAIRE Introduction Organisation Les Axes d attaques Planification du projet Social engineering Dénis de service Exploite Conclusion - 2 /28- INTRODUCTION Sensibilisation à la sécurité des SI Approfondissement

Plus en détail

How To connect to TonVPN Max / Comment se connecter à TonVPN Max

How To connect to TonVPN Max / Comment se connecter à TonVPN Max How To connect to TonVPN Max / Comment se connecter à TonVPN Max Note : you need to run all those steps as an administrator or somebody having admin rights on the system. (most of the time root, or using

Plus en détail

Cible de sécurité CSPN

Cible de sécurité CSPN Cible de sécurité CSPN Dropbear 2012.55 Ref 12-06-037-CSPN-cible-dropbear Version 1.0 Date June 01, 2012 Quarkslab SARL 71 73 avenue des Ternes 75017 Paris France Table des matières 1 Identification 3

Plus en détail

Introduction. Adresses

Introduction. Adresses Architecture TCP/IP Introduction ITC7-2: Cours IP ESIREM Infotronique Olivier Togni, LE2I (038039)3887 olivier.togni@u-bourgogne.fr 27 février 2008 L Internet est basé sur l architecture TCP/IP du nom

Plus en détail

Halte aux hackers. 4 e édition. Stuart McClure Joel Scambray George Kurtz. Groupe Eyrolles, 2003, pour la présente édition, ISBN : 2-7464-0486-9

Halte aux hackers. 4 e édition. Stuart McClure Joel Scambray George Kurtz. Groupe Eyrolles, 2003, pour la présente édition, ISBN : 2-7464-0486-9 Halte aux hackers 4 e édition Stuart McClure Joel Scambray George Kurtz Groupe Eyrolles, 2003, pour la présente édition, ISBN : 2-7464-0486-9 Table des matières Préface....................................................

Plus en détail

GENERALITES. COURS TCP/IP Niveau 1

GENERALITES. COURS TCP/IP Niveau 1 GENERALITES TCP/IP est un protocole inventé par les créateurs d Unix. (Transfer Control Protocol / Internet Protocole). TCP/IP est basé sur le repérage de chaque ordinateur par une adresse appelée adresse

Plus en détail

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique Page 1 sur 5 Article original traduit par Kmeleon, refonte de eks. Provenant de ubuntu-fr.org Netfilter & Iptables Netfilter est un module du noyau Linux (depuis la version 2.4) qui offre la possibilité

Plus en détail

Sensibilisation à la Sécurité sur Internet. vulnérabilités sur Internet

Sensibilisation à la Sécurité sur Internet. vulnérabilités sur Internet Sensibilisation à la Sécurité sur Internet Cours «2» : Menaces et Cours «2» : Menaces et vulnérabilités sur Internet Plan du cours Sécurité locale du PC Sécurité du réseau Sécurité de communication Outils

Plus en détail

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Claire Billaud - 3ème année IS MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Page 1 sur 9 Principe : On veut faire en sorte que le réseau interne

Plus en détail

Julien Iguchi-Cartigny

Julien Iguchi-Cartigny Julien Iguchi-Cartigny Associate Professor, XLIM, University of Limoges, France View Edit History Print Netkit» BasicFirewall Netkit Menu Installation Support sniffing FAQ Labs Lab 1: Introduction Lab

Plus en détail

Travaux pratiques 8.5.2 : configuration des listes de contrôle d accès et enregistrement de l activité dans un serveur Syslog

Travaux pratiques 8.5.2 : configuration des listes de contrôle d accès et enregistrement de l activité dans un serveur Syslog Travaux pratiques 8.5.2 : configuration des listes de contrôle d accès et enregistrement de l activité dans un serveur Syslog Nom de l hôte Adresse IP Fast Ethernet 0/0 Adresse IP Serial 0/0/0 Routeur

Plus en détail

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson TER Réseau : Routeur Linux 2 Responsable : Anthony Busson Exercice 1 : Une entreprise veut installer un petit réseau. Elle dispose d un routeur sur Linux. Il doit servir à interconnecter deux réseaux locaux

Plus en détail

Serveurs réseau Linux

Serveurs réseau Linux s o l u t i o n s U n i x L i n u x C R A I G H U N T Serveurs réseau Linux Table des matières Remerciements............................................ Introduction................................................

Plus en détail

SÉCURITÉ SYSTÈMES ET RÉSEAUX, NIVEAU 2

SÉCURITÉ SYSTÈMES ET RÉSEAUX, NIVEAU 2 Réseaux et Sécurité SÉCURITÉ SYSTÈMES ET RÉSEAUX, NIVEAU 2 Réf: SEA Durée : 4 jours (7 heures) OBJECTIFS DE LA FORMATION Ce stage avancé vous permettra de mesurer le niveau de sécurité de votre système

Plus en détail

Devoir Surveillé de Sécurité des Réseaux

Devoir Surveillé de Sécurité des Réseaux Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La

Plus en détail

Mise en place d un portail captif avec une distribution pfsense

Mise en place d un portail captif avec une distribution pfsense Mise en place d un portail captif avec une distribution pfsense Présentation : pfsense est une distribution routeur/pare-feu OpenSource basée sur FreeBSD, pouvant être installée sur un simple ordinateur

Plus en détail

Une architecture de réseau sécurisée avec filtrages

Une architecture de réseau sécurisée avec filtrages Une architecture de réseau sécurisée avec filtrages UREC/CNRS - LAAS/CNRS Mai 2000 L internet a changé... Réseau académique LE réseau (universel) Nombre de machines connectées en France : 1990 3 000 1994

Plus en détail

VPN. Réseau privé virtuel Usages :

VPN. Réseau privé virtuel Usages : VPN Réseau privé virtuel Usages : fournir l'accès à des ressources internes aux clients nomades relier 2 réseaux d'entreprise (sites distants par ex, ou relier 2 labos de maths ;) ( contourner des sécurités)

Plus en détail

Malgré le cryptage effectué par le système, la sécurité d un système unix/linux repose aussi sur une bonne stratégie dans le choix du mot de passe :

Malgré le cryptage effectué par le système, la sécurité d un système unix/linux repose aussi sur une bonne stratégie dans le choix du mot de passe : 0.1 Sécuriser une machine Unix/linux 0.2 Différencier les comptes Créer un compte administrateur et un compte utilisateur, même sur une machine personnelle. Toujours se connecter sur la machine en tant

Plus en détail

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall B.T.S Informatique de Gestion Option Administrateur de Réseaux Locaux d Entreprise Session 2004/2005 EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES Nom et prénom du candidat : TAGLIAFERRI Eric ACTIVITE

Plus en détail

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1 Formation A2IMP Acquisition d information sur les autres Frédéric Bongat IPSL Formation A2IMP 1 Idée : corréler des informations via d autres Informations de base Connaître l horodatage (date, heure) des

Plus en détail

Que désigne l'url donnée au navigateur?

Que désigne l'url donnée au navigateur? Que désigne l'url donnée au navigateur? http://www-poleia.lip6.fr/~jfp/istm/tp6/index.html Le protocole : pourquoi? Parce que la manière d'indiquer une adresse dépend du service postal utilisé... Le serveur

Plus en détail

LE RPV DE NIVEAU RÉSEAU AVEC TINC

LE RPV DE NIVEAU RÉSEAU AVEC TINC LE RPV DE NIVEAU RÉSEAU AVEC TINC L entreprise Ilog est une petite entreprise de services informatiques située à La Défense. Les chefs de projet de l entreprise sont souvent en déplacement à travers toute

Plus en détail

AUCUN DOCUMENT AUTORISÉ. Détailler autant que possible vos réponses, en particulier pour les questions de cours!

AUCUN DOCUMENT AUTORISÉ. Détailler autant que possible vos réponses, en particulier pour les questions de cours! Test du Module M3102 Samedi 10 janvier 2015 Durée : 2 heures IUT Aix-en-Provence Semestre 3 DUT INFO AUCUN DOCUMENT AUTORISÉ Détailler autant que possible vos réponses, en particulier pour les questions

Plus en détail

Configuration d un PIX

Configuration d un PIX Configuration d un PIX Le PIX de Cisco est équipement de niveau IP qui peut faire à la fois du NAT, NATP et du routage (RIP, OSPF,..). Notre PIX possède deux interfaces réseaux : une connectée sur le réseau

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET LINUX REDHAT, SERVICES RÉSEAUX/INTERNET Réf: LIH Durée : 4 jours (7 heures) OBJECTIFS DE LA FORMATION Ce cours pratique vous permettra de maîtriser le fonctionnement des services réseaux sous Linux RedHat.

Plus en détail

Tunnel SSH. 1) Serveur Web et tunnel SSH, console d administration. 2) Toujours utiliser l option tunnel SSH

Tunnel SSH. 1) Serveur Web et tunnel SSH, console d administration. 2) Toujours utiliser l option tunnel SSH Tunnel SSH 1) Serveur Web et tunnel SSH, console d administration Une console de gestion est disponible dans l outil d administration Cette console de gestion vous permet de configurer les services de

Plus en détail

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE Projet de semestre ITI soir 4ème année Résumé configuration OpenVpn sur pfsense 2.1 Etudiant :Tarek

Plus en détail

Sécurité des systèmes d information les firewalls

Sécurité des systèmes d information les firewalls Sécurité des systèmes d information les firewalls 1 Plan Définition et notions générales L offre Firewall actuelle Conception d une architecture sécurisée par firewall Administration et maintenance 2 Aperçu

Plus en détail

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public.

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. TP 8.1 ÉTUDE D UN FIREWALL OBJECTIFS Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. PRÉ-REQUIS Système d exploitation

Plus en détail

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005 VPN TLS avec Matthieu Herrb 14 Mars 2005 Coordinateurs Sécurité CNRS - 14/3/2005 Pour en finir avec IPSec IPSec : sécurisation au niveau réseau. développé avec IPv6, protocoles spécifiques AH & ESP, modes

Plus en détail

Top 10 des failles internes «Améliorer sa sécurité en se piratant» 23 mars 2010

Top 10 des failles internes «Améliorer sa sécurité en se piratant» 23 mars 2010 Top 10 des failles internes «Améliorer sa sécurité en se piratant» 23 mars 2010 Immeuble ACTYS/1 Avenue l'occitane BP 67303 31673 LABEGE CEDEX contact@itrust.fr Tel: 09.80.08.36.12

Plus en détail

Configuration de l'usurpation IP sur le Cache Engine dans une installation transparente avec commutateur de services de contenu

Configuration de l'usurpation IP sur le Cache Engine dans une installation transparente avec commutateur de services de contenu Configuration de l'usurpation IP sur le Cache Engine dans une installation transparente avec commutateur de services de contenu Contenu Introduction Avant de commencer Conventions Conditions préalables

Plus en détail

Réseaux : SAMBA Sommaire. 1. Introduction. 2. Fonctionnement des réseaux Microsoft. 3. NetBIOS. 4. Le protocole SMB 5. SAMBA

Réseaux : SAMBA Sommaire. 1. Introduction. 2. Fonctionnement des réseaux Microsoft. 3. NetBIOS. 4. Le protocole SMB 5. SAMBA Réseau SAMBA Sommaire 1. Introduction 2. Fonctionnement des réseaux Microsoft 3. NetBIOS 4. Le protocole SMB 5. SAMBA 2 Introduction Le projet SAMBA est une application réseau permettant des échanges entre

Plus en détail

Projet Sécurité. Brute Force SSH and Hydra. Auteur : Youcef BRAIK

Projet Sécurité. Brute Force SSH and Hydra. Auteur : Youcef BRAIK Projet Sécurité Brute Force SSH and Hydra Auteur : Youcef BRAIK Introduction : La sécurité est un des thèmes récurrents de la programmation. Chaque technique ou protocole utilisé dans le développement

Plus en détail

MPLS, GMPLS et NGN. Sécurité MPLS. Jacques BAUDRON ixtel octobre 2009 jacques.baudron@ixtel.fr. Ingénierie Conseils Services Télécommunications

MPLS, GMPLS et NGN. Sécurité MPLS. Jacques BAUDRON ixtel octobre 2009 jacques.baudron@ixtel.fr. Ingénierie Conseils Services Télécommunications MPLS, GMPLS et NGN Sécurité MPLS Jacques BAUDRON ixtel octobre 2009 jacques.baudron@ixtel.fr 1 Contents Treats Requirements VPN Attacks & defence 3 8 14 19 2 3 Threats Threats Denial of service Resources

Plus en détail

Partage réseau Unix/Windows. Mise en place d'un serveur Samba

Partage réseau Unix/Windows. Mise en place d'un serveur Samba Partage réseau Unix/Windows Mise en place d'un serveur Samba Partage réseau Unix/Windows Quelques notions sur les réseaux sous Windows "Philosophie" Domaine Implémentation (NetBIOS, SMB) Configuration

Plus en détail

Les solutions de paiement CyberMUT (Crédit Mutuel) et P@iement CIC. Qui contacter pour commencer la mise en place d une configuration de test?

Les solutions de paiement CyberMUT (Crédit Mutuel) et P@iement CIC. Qui contacter pour commencer la mise en place d une configuration de test? Les solutions de paiement CyberMUT (Crédit Mutuel) et P@iement CIC Qui contacter pour commencer la mise en place d une configuration de test? CyberMUT Paiement - Paiement CIC Commerce Electronique mailto:centrecom@e-i.com

Plus en détail

TP 1 - Prise de contact avec Snort, scapy

TP 1 - Prise de contact avec Snort, scapy TP 1 - Prise de contact avec Snort, scapy 0. Initialisation du TP Installer les paquets python-scapy, snort, nmap. 1. Présentation de SNORT v2.8.5 La détection d intrusion consiste en un ensemble de techniques

Plus en détail

Protocole SSH-2.0. Tuan-Tu, TRAN. Janvier 2009

Protocole SSH-2.0. Tuan-Tu, TRAN. Janvier 2009 Janvier 2009 1 2 Etablissement des clés de session Protection des données échangées 3 Identification par mot de passe Identification par clé publique Identification par hôte 4 Utilisations de Secure Shell

Plus en détail

Installation Windows 2000 Server

Installation Windows 2000 Server Installation Windows 2000 Server 1. Objectif Ce document donne une démarche pour l installation d un serveur Windows 2000, d un serveur DNS et d un contrôleur de domaine (DC), en regard de certains éléments

Plus en détail

Windows Vista et Windows Server 2003... 15. Étude de cas... 41

Windows Vista et Windows Server 2003... 15. Étude de cas... 41 Windows Vista et Windows Server 2003... 15 Windows Vista... 16 Pourquoi Vista?... 16 L initiative pour l informatique de confiance... 17 Le cycle de développement des logiciels informatiques fiables...

Plus en détail

TR2 : Technologies de l'internet. Chapitre VIII. Liste de Contrôle d Accès (ACL) ACL Standard et étendues Masque générique ACL nommées

TR2 : Technologies de l'internet. Chapitre VIII. Liste de Contrôle d Accès (ACL) ACL Standard et étendues Masque générique ACL nommées TR2 : Technologies de l'internet Chapitre VIII Liste de Contrôle d Accès (ACL) ACL Standard et étendues Masque générique ACL nommées 1 Listes de contrôle d accès (ACL) Importance croissante de la sécurité

Plus en détail

1- Installation et première utilisation. Exécuter le fichier d installation. Ceci apparait : Cliquer sur «Next»

1- Installation et première utilisation. Exécuter le fichier d installation. Ceci apparait : Cliquer sur «Next» Splunk L application Splunk permet d explorer, de générer des rapports et d analyser en direct des données en temps réel et historiques sur l ensemble de votre infrastructure, à partir d une seule interface

Plus en détail

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ)

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Objectifs Se connecter au périphérique multi-fonction et afficher les paramètres de sécurité

Plus en détail

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required.

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required. Quelles sont les deux affirmations vraies relatives à la sécurité du réseau? (Choisissez deux réponses.) Protéger un réseau contre les attaques internes constitue une priorité moins élevée car les employés

Plus en détail

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables Firewall, Virus, Spam Administration Système et Réseaux, Sécurité Firewall, Spam, Virus Philippe Harrand Firewall Généralités Définitions Mise en oeuvre iptables 1 Departement Informatique Pôle Sciences

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Internet. PC / Réseau

Internet. PC / Réseau Internet PC / Réseau Objectif Cette présentation reprend les notions de base : Objectif, environnement de l Internet Connexion, fournisseurs d accès Services Web, consultation, protocoles Modèle en couches,

Plus en détail