Sécurité réseau en pratique. Ainsi font font. Attention. Plan. Comment font les pirates Scanner Exploiter Ecouter Comment sécuriser

Dimension: px
Commencer à balayer dès la page:

Download "Sécurité réseau en pratique. Ainsi font font. Attention. Plan. Comment font les pirates Scanner Exploiter Ecouter Comment sécuriser"

Transcription

1 Sécurité réseau en pratique Ainsi font font. 1 3 Plan Attention Comment font les pirates Scanner Exploiter Ecouter Comment sécuriser Utilisation des outils décrits plus loin est ILLEGALE! Interdiction FORMELLE d utiliser ces outils ailleurs que dans les salles prévues pour cet usage Ils peuvent servir à sécuriser un réseau et à le pirater Ne JAMAIS les utiliser ailleurs que sur un LAN privé Charte informatique 2 4

2 Attention Outils d audit=outils d attaques=armes Pas les pointer sur des cibles réelles Prendre toutes les précautions Demander l autorisation de l admin et FAI Pas dans le cadre de la fac Perpétrer des actes de piratage est répréhensible Peut vous coûter votre carrière C est TRES sérieux Synthèse Identifier la cible Collecter des infos Lancer l attaque Couvrir ses traces Maintenir l accès 5 7 How hackers do it Identifier la cible Inspiré de «How hackers do it: Tricks, Tools, and Techniques» A. Noordergraaf, Sun Blueprints May 2002 Actualisé pour la partie «outils» Un bon hacker (bidouilleur) programme un outil pour scanner (explorer) le réseau Il le rend public sur Internet Des script kiddies (novices) le téléchargent et s en servent pour trouver des systèmes vulnérables ou des points d accès 6 8

3 Identifier la cible Dans le monde réel, cible est choisie en fonction du gain potentiel Majorité des attaques ciblées au hasard selon les opportunités détectées par les scanners de vulnérabilité Nécessaire de se protéger même si l attaque ne rapporte rien au pirate! Outils de base Nslookup/dig Résolution de noms de domaine Ping Vérifier quelles sont les machines en ligne Trouver les adresses de broadcast Traceroute Combien de routeurs jusqu à la cible? à la main par envoi de paquets tcp en changeant le TTL 9 11 Identifier la cible Connaître c est faire la moitié du chemin Si les défenses sont connues, plus facile de planifier l attaque Moyens Détection de l hôte (ping) Recherche des services (port scan, banner grabbing) Détection de la topologie Traceroute, wardialing, wardriving Détection d OS par son fingerprint Sources publiques (whois, dns, web, annuaires) Social engineering 10 Outils de base Finger collecte les informations sur les utilisateurs Finger donne des infos sur alice pour un hote donné donne des infos sur tous les utilisateurs connectés 12

4 Outils de base Netcat ou nc Outil multifonctions (aussi appelé TCP/IP swiss army knife) utilisable à différentes fins Entre autres: récupérer les bannières des serveurs (banner grabbing) nc -v -n host.target 22 renvoie la version de ssh qui tourne sur la machine (SSH-1.99-OpenSSH_5.1) Description Nmap ("Network Mapper") is a free open source utility for network exploration or security auditing. It was designed to rapidly scan large networks, although it works fine against single hosts. Nmap uses raw IP packets in novel ways to determine what hosts are available on the network, what services (application name and version) those hosts are offering, what operating systems (and OS versions) they are running, what type of packet filters/firewalls are in use, and dozens of other characteristics. Nmap runs on most types of computers and both console and graphical versions are available. Nmap is free software, available with full source code under the terms of the GNU GPL Vulnérabilités : nmap Port scanner Nmap fait partie des port scanners Un port scanner peut parcourir une grande plage d adresses IP et retourner les ports ouverts (= services) et les version d OS 14 16

5 OS detection Techniques standard Connexion smtp, snmp ou telnet pour examiner les réponses du serveur Plus efficace (dans nmap) le TCP/IP stack fingerprinting qui identifie la réponse du système à des paquets TCP avec des flags particuliers Stealth mode Attaquant doit récupérer les réponses à ses requêtes Il va donc devoir utiliser son IP comme src Si requête repérée, on remonte à son IP Stealth mode est plus discret; scanner empêche partiellement fonctionnement log Modes de fonctionnement Vanilla Tentative de connexion sur tous les ports Strobe Ciblé sur certains ports spéciaux Fragment packets Limitation à des paquets fragmentés (permet de traverser certains fw) UDP: recherche ports udp Sweep: connexion sur le même port d un ou des PC FTP bounce: scanner se fait passer pour serveur ftp pour paraître légitime 18 Collecte d informations Travailler de façon systématique en notant tout Objectif Avoir une meilleure connaissance du réseau attaqué que son admin (en tout cas, plus à jour) 20

6 Collecte d informations Pour déterminer: Son nom de domaine, Si la machine est en vie (ping, arp) Quels ports sont ouverts Pour chaque port Quels services offerts Quel serveur, version, service pack Quel OS La machine est-elle multi-homed Service ouvert plus indicatif? Vulnérabilités Une fois à l intérieur: Trouver les utilisateurs, les mots de passe à casser Les fichiers intéressants Les connexions réseau actives Les tables de cache arp Les indications sur d autres machines Vulnérabilités Obtenir un accès Le novice utilise ensuite une liste d adresses IP vulnérables pour accéder au système Selon les faiblesses il peut éventuellement créer/utiliser un compte ou un accès privilégié Il l utilise pour obtenir de nouveaux privilèges et pirater d autres systèmes reliés à celui qu il vient de pénétrer Exemple: se faire passer pour une machine du réseau attaqué 22 24

7 Fait partie de la panoplie des sniffers Un sniffer est un programme qui lit tout le trafic sur le LAN en passant l interface réseau en mode de «promiscuité» Ainsi, la carte réseau transmet au sniffer tout le trafic réseau D autres sniffers existent comme snoop (WIN) qui permet de récupérer des mots de passe transmis pour une connexion telnet, ftp, imap,pop 25 Outil d'audit : crack Erreurs d'unix : /etc/passwd lisible par tous, même si non inversible Même algorithme de chiffrement sur toutes les machines Par combinaison (sans dictionnaire), la puissance actuelle des machines permet de découvrir des mots de passe jusqu'à plusieurs caractères Crack à partir de mots de dictionnaires : Ajoute des mots venant d'informations dans /etc/passwd (nom,...) Crée de nouveaux mots (cle+, Cle, elc,...) Chiffre chaque mot et compare le résultat avec la chaîne dans /etc/ passwd Mémorise les mots de passe testés 27 Howto Un peu de psychologie Un utilisateur se connecte sur un serveur imap (pas imaps) Sur un serveur pop par telnet ou ftp Quelques outils d observation passive Et le tour est joué Ensuite 26 Outil d'audit : crack Configurable : Nouvelles règles pour générer de nouveaux mots Ajout de dictionnaires (ciblés linguistiquement) Peut travailler sur plusieurs fichiers passwd Peut envoyer un message aux utilisateurs La première exécution est très longue Crack a beaucoup de succès sur les serveurs FTP anonymes => Utiliser shadow password => utiliser régulièrement crack et envoyer un message aux utilisateurs fautifs 28

8 Crack : extrait de résultat Feb 21 13:32:47 Crack v4.1f: The Password Cracker, (c) Alec D.E. Muffett, 1992 Feb 21 13:32:48 Loaded 17 password entries with 17 different salts: 100% Feb 21 13:32:48 Loaded 240 rules from 'Scripts/ dicts.rules'. Feb 21 13:32:48 Starting pass 1 - password information Feb 21 13:33:38 Guessed dupont (/bin/ksh in./ passwd) [dupont9] f5em4jkrapyaq Feb 21 13:34:36 Starting pass 2 - dictionary words Feb 21 13:34:36 Applying rule '!?Al' to file 'Dicts/ bigdict.z' Feb 21 21:18:39 Applying rule '28!?Al$9' to file 'Dicts/bigdict.Z' Feb 21 21:24:37 Guessed durant (/bin/ksh in./ passwd) [tomate.] DQywOoXMwQFiI 29 Connexion sécurisé Par la transmission d une clé secrète dans une enveloppe digitale Une enveloppe digitale contient une clé secrète chiffrée par un chiffre à clé publique Certificat est une garantie de la relation identité, clé publique. 31 Plus fort: connexion imaps MI(T)M Le réseau est plus sûr Plus de telnet, ftp, pop, imap Seul accès imaps Comment faire??? MI(T)M! 30 32

9 Arp spoofing Description d ettercap Ettercap is a suite for man in the middle attacks on LAN. It features sniffing of live connections, content filtering on the fly and many other interesting tricks. It supports active and passive dissection of many protocols (even ciphered ones) and includes many feature for network and host analysis Un outil pour ça Et Fred dispose maintenant peut-être d un couple login/password valide D ailleurs, ettercap permet aussi théoriquement de récupérer des mots de passe ssh1 entre autres choses D autres outils plus spécifiques font la même chose 34 36

10 Encore plus fort Tout est raisonnablement sécurisé sauf l OS de certaines machines. Que fait le pirate? Il s attaque à la machine la plus faible La sécurité du système est celle de son maillon le plus faible Outils d'audit : ISS Internet Security Scanner Audit de sécurité d'un réseau de machines : à distance, essai des failles de sécurité connues des applications réseau ISS teste : Les comptes sync, guest, lp,... ( mot de passe?) Le port 25 (quelle version de Sendmail?) Certains alias dangereux (uudecode,...) FTP anonymes (peut on créer un répertoire?) rexd (nombreux trous) NIS (cherche le nom de domaine) ; NFS (répertoires exportés?) Les utilisateurs connectés Outil très dangereux dans certaines mains Outils d audit Les précurseurs Exemple ISS ISS SATAN COPS export list for : /usr/local/tex (everyone) /usr/lib/x11/ncd (everyone) /usr/local/x11r5 (everyone) /tempo /local_home /home meltemi,busar (everyone) (everyone) toto chose.truc:pts/1 Oct 5 07:13 2 titi chose.truc:pts/2 Oct 4 15: :21 tata chose.truc:pts/2 Oct 4 15: : machine.truc.edu 38 40

11 Outils d'audit : SATAN Outil d'audit : COPS Mêmes objectifs et mêmes méthodes que ISS Interface client web Beaucoup de bruit médiatique : pas de catastrophe Aurait pus être beaucoup plus dangereux On peut passer régulièrement SATAN et ISS sur son réseau Peut sceller certains fichiers Création d'un fichier résultat ou envoi d'un message Peut être exécuté sans être root Configurable : fichiers à sceller, objets dont l'accès est à vérifier, dictionnaires On peut : ajouter ses propres vérifications, le mettre dans le CRON Problèmes : messages succincts, pas de MAJ récente => Faire passer COPS sur toute nouvelle machine installée et régulièrement sur les autres COPS Exemple Computer Oracle and Password System Audit de sécurité d'une machine Unix Ensemble de programmes qui vérifient ou détectent : Les permissions de certains fichiers, répertoires, devices Les mots de passe "pauvres" Le contenu des fichiers passwd et group Les programmes lancés dans /etc/rc.local et par cron Les fichiers SUID root L'accès à certains fichiers utilisateurs (homedir,.profile,.cshrc,...) L'installation correcte de FTP anonyme Certains trous de sécurité ("+" dans hosts.equiv, montages NFS, "." dans PATH de root)... **** cron.chk **** **** home.chk **** Warning! User uucp's home directory /var/ spool/uucppublic is mode 03777! **** passwd.chk **** Warning! Password file, line 10, no password: sync::1:1::/:/bin/sync Warning! Password file, line 11, user sysdiag has uid = 0 and is not root sysdiag:*:0:1:old System **** user.chk **** **** misc.chk **** Warning! /bin/uudecode creates setuid files! **** ftp.chk **** Warning! /etc/ftpusers should exist! 42 44

12 Comment le trouver Premier pas: cibler Au moyen d un scanner de vulnérabilité Par analyse des ports d entrée, le scanner de vulnérabilité trouve l hôte ou le service le plus faible C est ce que fait nessus Description Puis scanner The "Nessus" Project aims to provide to the internet community a free, powerful, up-to-date and easy to use remote security scanner. A security scanner is a software which will audit remotely a given network and determine whether someone (or something - like a worm) may break into it, or misuse it in some way. Unlike many other security scanners, Nessus does not take anything for granted. That is, it will not consider that a given service is running on a fixed port - that is, if you run your web server on port 1234, Nessus will detect it and test its security. Nessus is very fast, reliable and has a modular architecture that allows you to fit it to your needs. Nessus works on Unix-like systems (MacOS X, FreeBSD, Linux, Solaris and more) and a Windows version called NeWT is available

13 Attaque du maillon faible Et pour le wifi? Par des rootkits Un rootkit est un terme qui décrit un ensemble de scripts et d exécutables réunis ensemble qui permet à un pirate de cacher ses agissements et d obtenir un accès privilégié au système. On procède de même Cibler Attaquer Tâches d un rootkit Modification des logs Modification des outils système pour rendre la détection d un piratage plus difficile Création d une trappe d accès cachée Utilisation du système comme point d entrée sur les autres hôtes du réseau Cibler Kismet is an layer2 wireless network detector, sniffer, and intrusion detection system. It will work with any wireless card which supports raw monitoring (rfmon) mode, and can sniff b, a, and g traffic. Kismet identifies networks by passively collecting packets and detecting standard named networks, detecting (and given time, decloaking) hidden networks, and infering the presence of nonbeaconing networks via data traffic

14 Attaquer Filtrage de ports aircrack is an WEP and WPA-PSK keys cracking program that can recover keys once enough data packets have been captured. It implements the standard FMS attack along with some optimizations like KoreK attacks, thus making the attack much faster compared to other WEP cracking tools. In fact, aircrack is a set of tools for auditing wireless networks. Contrôle de frontière Contrôle de transit Contrôle des frontières Sécuriser Problème principal des intranets connectés à Internet Solution : coupe-feu (firewall) combine: filtres de paquets serveurs proxy mécanismes cryptographiques (IP tunneling) diminuer le nombre de points d entrée 54 56

15 Filtres de paquets Fonction assurée par les agents de distribution (routeurs ou hôtes dédiés) principe de contrôle redistribuer, effacer et/ou tracer chaque paquet basé sur les informations de l en tête du paquet adresse d origine et de destination direction (entrée/sortie) par rapport au réseau local type d application (port IP) implémentations principales sur TCP/IP Iptables/netfilter netfilter and iptables are building blocks of a framework inside the Linux 2.4.x and 2.6.x kernel. This framework enables packet filtering, network addresss [and port] translation (NA[P]T) and other packet mangling. It is the re-designed and heavily improved successor of the previous Linux 2.2.x ipchains and Linux 2.0.x ipfwadm systems. netfilter is a set of hooks inside the Linux kernel that allows kernel modules to register callback functions with the network stack. A registered callback function is then called back for every packet that traverses the respective hook within the network stack. iptables is a generic table structure for the definition of rulesets. Each rule within an IP table consists out of a number of classifiers (iptables matches) and one connected action (iptables target). netfilter, iptables and the connection tracking as well as the NAT subsystem together build the whole framework Ports services les plus connus RFC "ASSIGN NUMBERS" (RFC1700 ou plus récent) et /etc/ services ftp-data 20 (TCP) telnet 23 (TCP) whois 43 (TCP) bootp 67 (UDP) finger 79 (TCP) http 80 (TCP) rpc portmap 111 (UDP et TCP) ntp (Time) 123 (UDP) snmp trap 162 (UDP) rsh (rcp, rdist) 514 (TCP) syslog 514 (UDP) uucp 540 (TCP) nfs 2049 (UDP ou TCP) 58 ftp-commandes 21 (TCP) smtp 25 (TCP) DNS 53 (UDP et TCP) tftp 69 (UDP) pop3 (Eudora) 110 (TCP) pop2 109 (TCP) nntp (News) 119 (TCP) snmp 161 (UDP) rlogin 513 (TCP) printer (lpr) 515 (TCP) rip 520 (UDP) archie 1525 (UDP) X (TCP) Règles de filtrage Chaîne = liste ordonnée de règles. Chaque règle exprime une condition Si la règle ne s'applique pas au paquet, on consulte la règle suivante. Une fois épuisé l'ensemble des règles, le noyau applique la politique par défaut de la chaîne ( {ACCEPT DROP}) qui est habituellement DROP pour un système sécurisé. 60

16 Instructions sur les chaînes créer une nouvelle chaîne (-N) effacer une chaîne vide (-X) changer la politique par défaut (-P) afficher les règles d'une chaîne (-L) vider toutes les règles (-F) réinitialiser les compteurs de paquets et d'octet de toutes les règles d'une chaîne (-Z) Examen d un paquet En cas de forwarding vers une autre interface, le paquet traverse FORWARD s'il est accepté, il poursuit son chemin. Si le forwarding n'est pas activé ou si on ne sait pas comment transmettre ce paquet, il est supprimé Examen d un paquet Examen d un paquet S'il est destiné à la machine, le paquet traverse INPUT. S'il est autorisé à poursuivre son chemin (décision ACCEPT), il est traité par le processus local à qui il est destiné. En revanche, si la décision est DROP, le paquet est supprimé. 62 Enfin, un programme exécuté par la machine peut également envoyer des paquets traités par OUTPUT. Si la chaîne accepte ces paquets, ils continuent leur chemin vers l'interface réseau à laquelle ils sont destinés. 64

17 Méthode du Ack bit (established) Dans un datagramme TCP un "Ack bit" accuse réception du datagramme précédent Dans le datagramme d'ouverture de session TCP, ce bit n'est pas positionné En bloquant le premier datagramme toute session TCP est impossible Donc, en filtrant les datagrammes TCP entrants sans "Ack bit", on bloque les connexions TCP entrantes (tout en autorisant les connexions sortantes) Langage routeur : "Ack bit" = "established" Fonctionnement bonjour bonjour, je suis Bob; Cert B prouve-le De B (H(c est Bob)) voici notre secret : Ch B (K) Ch K (sûr?,mac(sûr?)) Fonctionnement The OpenSSL Project is a collaborative effort to develop a robust, commercial-grade, full-featured, and Open Source toolkit implementing the Secure Sockets Layer (SSL v2/v3) and Transport Layer Security (TLS v1) protocols as well as a fullstrength general purpose cryptography library. The project is managed by a worldwide community of volunteers that use the Internet to communicate, plan, and develop the OpenSSL toolkit and its related documentation. OpenSSL is based on the excellent SSLeay library developed by Eric A. Young and Tim J. Hudson. The OpenSSL toolkit is licensed under an Apachestyle licence, which basically means that you are free to get and use it for commercial and non-commercial purposes subject to some simple license conditions. bonjour bonjour, je suis Bob; Cert B prouve-le De B (H(c est Bob)) voici notre secret : Ch B (K) Ch K (sûr?,mac(sûr?)) Transmission de clé publique 66 68

18 Fonctionnement Fonctionnement bonjour bonjour bonjour, je suis Bob; Cert B prouve-le De B (H(c est Bob)) Authentification par signature bonjour, je suis Bob; Cert B prouve-le De B (H(c est Bob)) voici notre secret : Ch B (K) Ch K (sûr?,mac(sûr?)) voici notre secret : Ch B (K) Ch K (sûr?,mac(sûr?)) Echange sécurisé+intégrité Fonctionnement bonjour bonjour, je suis Bob; Cert B prouve-le De B (H(c est Bob)) voici notre secret : Ch B (K) Ch K (sûr?,mac(sûr?)) Enveloppe digitale OpenSSH est une version LIBRE de la suite d'outils du protocole SSH de connexion réseau utilisé par un nombre croissant de personnes sur l'internet. De nombreux utilisateurs de telnet, rlogin, ftp et autres programmes identiques ne réalisent pas que leur mot de passe est transmis non chiffré à travers l'internet. OpenSSH chiffre tout le trafic (mots de passe inclus) de façon à déjouer les écoutes réseau, les prises de contrôle de connexion, et autres attaques. De plus, OpenSSH fournit toute une palette de possibilités de tunnellisation et de méthodes d'authentification

19 Protection contre La suite logicielle OpenSSH inclus les programmes ssh qui remplace telnet et rlogin, scp qui remplace rcp, et sftp qui remplace ftp. De plus sshd est inclus, constituant la partie serveur du package, ainsi que d'autres utilitaires tels que ssh-add, ssh-agent, ssh-keygen, ssh-keysign, sshkeyscan, et sftp-server. OpenSSH supporte les protocoles SSH 1.3, 1.5 et 2.0. IP Spoofing une machine distante prétend qu un paquet IP provient d une autre IP source routing : idem précédent DNS spoofing interception de clairs/crypto manipulation de données d hôtes intermédiaires Description de ssh Programme permettant de se connecter de façon sécure à une machine distante et d exécuter une commande sur cette machine But : remplacement de rsh et rlogin Méthode : en chiffrant les communications TCP/IP X11 Etapes principales Authentification mutuelle des machines Par RSA de l utilisateur chiffrement de la session mécanisme à clé secrète à choisir DES, 3DES, IDEA, blowfish, arcfour, sans

20 4 modes d authentification analogue à.rhosts en authentifiant l hôte par RSA en authentifiant l utilisateur par RSA (avec une autorité de certification) Authentification hôte IP header AH TCP data De S (h(m)) Clé secrète de la source Source S Cible C On ajoute une authentification RSA Elle vérifie la clé d hôte du client en utilisant un protocole Authentification 1 Si l hôte de l utilisateur est sur la machine distante dans /etc/hosts.equiv /etc/shosts.equiv ou s il existe un fichier.rhosts ou.shosts la connexion de l utilisateur est autorisée Forme normalement interdite car insécure 78 Authentification hôte (suite) La cible C recevant De S (h (M)) peut alors vérifier l origine du message avec la clé publique de la source. La clé publique est dans /etc/ssh_known_hosts $HOME/.ssh/known_hosts IP header AH TCP data De S (h(m)) 80

21 Authentification hôte (fin) Après ces vérifications, le login est autorisé. Remédie aux trous de sécurité : IP spoofing DNS spoofing routing spoofing A supprimer : hosts.equiv,.rhosts, rlogin, rsh pour des raisons de sécurité. Génération de clés L utilisateur crée un couple (clé publique/clé privée) par ssh_keygen privée dans.ssh/identity publique dans.ssh/identity.pub qu on retrouve sur la machine distante dans.ssh/authorized_keys analogue au.rhosts Authentification utilisateur Le serveur connaît la clé publique de l utilisateur. Il génère un nombre aléatoire r et l envoie chiffré avec la clé publique de l utilisateur : défi pour l utilisateur celui-ci est le seul à pouvoir déchiffrer r Il retourne r au serveur Authentification par certificat Le serveur demande un certificat à l utilisateur. L utilisateur peut obtenir son certificat auprès d un serveur d authentification Peut également fonctionner avec des cartes à puce 82 84

22 Sinon Si toutes ces méthodes échouent, ssh demande un mot de passe à l utilisateur Le mot de passe transite chiffré sur le réseau En ajoutant de l information dans le paquet, il est possible de déjouer une attaque par rejeu. Et ce n est pas tout Snort is an open source network intrusion detection system, capable of performing real-time traffic analysis and packet logging on IP networks. It can perform protocol analysis, content searching/ matching and can be used to detect a variety of attacks and probes, such as buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts, and much more. Snort uses a flexible rules language to describe traffic that it should collect or pass, as well as a detection engine that utilizes a modular plugin architecture. Snort has a real-time alerting capability as well, incorporating alerting mechanisms for syslog, a user specified file, a UNIX socket, or WinPopup messages to Windows clients using Samba's smbclient. Snort has three primary uses. It can be used as a straight packet sniffer like tcpdump(1), a packet logger (useful for network traffic debugging, etc), or as a full blown network intrusion detection system Connexion Mise en place d un outil de sécurité dit «honeypot» Machine réelle attaques - simulées (nessus) Quand l identité a été acceptée par le serveur, celui-ci exécute la requête de l utilisateur Toutes les communications sont chiffrées en remplacement de TCP/IP par IPSec. Machine virtuelle avec services Internet attaquables Log des attaques: -à la main -automatiques - réelles Exploitation: avoir des informations sur les techniques de piratage 86 88

23 Et quand tout a échoué. Il faut avoir fait des sauvegardes. Pouvoir tout réinstaller et sans perte C est le plan de reprise règles de sécurité Sécuriser les points faibles Opérer en profondeur Bien gérer les cas d erreur Principe du strict minimum Cloisonner Rester simple Encourager le secret Il est difficile de garder un secret Rester méfiant Utiliser les ressources de la communauté 90

SECURITE. Figure 1. Incident réseau, source CERT. Nombre. Sécurité

SECURITE. Figure 1. Incident réseau, source CERT. Nombre. Sécurité SECURITE Ce cours est très inspiré des textes diffusés par l unité réseau du CNRS (www.urec.fr). La sécurité est une chose essentielle sur le réseau Internet. Elle est associée très étroitement aux lois

Plus en détail

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad Outils d'analyse de la sécurité des réseaux HADJALI Anis VESA Vlad Plan Introduction Scanneurs de port Les systèmes de détection d'intrusion (SDI) Les renifleurs (sniffer) Exemples d'utilisation Conclusions

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2

Plus en détail

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Fonctionnement de Iptables. Exercices sécurité. Exercice 1 Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis.

Plus en détail

RÉSEAUX ET SÉCURITÉ INFORMATIQUES

RÉSEAUX ET SÉCURITÉ INFORMATIQUES RÉSEAUX ET SÉCURITÉ INFORMATIQUES MICKAËL CHOISNARD UNIVERSITÉ DE BOURGOGNE Cours MIGS 2 novembre 2015 INTRODUCTION La sécurité de ma machine, je m'en fous : y'a rien de précieux sur ma machine... personne

Plus en détail

Sécurité des réseaux Les attaques

Sécurité des réseaux Les attaques Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques

Plus en détail

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications Tunnels et VPN 20/02/2008 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement

Plus en détail

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists).

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists). 1 LINUX FIREWALL Introduction Un firewall ou pare-feu est un des composants essentiel à la sécurité informatique d un réseau. Il va permettre d isoler une ou plusieurs machines ou réorienter les requêtes

Plus en détail

SSH, le shell sécurisé

SSH, le shell sécurisé , le shell sécurisé Objectifs : 1. Présenter le protocole et les outils associés Sébastien JEAN Pourquoi 1/2? Les services standards ne supportent que peu de propriétés de sécurité souvent l identification,

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86 Tunnels et VPN 22/01/2009 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement

Plus en détail

Introduction. Adresses

Introduction. Adresses Architecture TCP/IP Introduction ITC7-2: Cours IP ESIREM Infotronique Olivier Togni, LE2I (038039)3887 olivier.togni@u-bourgogne.fr 27 février 2008 L Internet est basé sur l architecture TCP/IP du nom

Plus en détail

Devoir Surveillé de Sécurité des Réseaux

Devoir Surveillé de Sécurité des Réseaux Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Compromettre son réseau en l auditant? R. Deraison - Tenable Network Security

Compromettre son réseau en l auditant? R. Deraison - Tenable Network Security Compromettre son réseau en l auditant? R. Deraison - Tenable Network Security Agenda But de cette présentation Injection de vulnérabilités Empecher l audit Obtention des identifiants Reverse overflow Présentation

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Sécurité des réseaux Firewalls

Sécurité des réseaux Firewalls Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et

Plus en détail

TP4 : Firewall IPTABLES

TP4 : Firewall IPTABLES Module Sécurité TP4 : Firewall IPTABLES Ala Rezmerita François Lesueur Le TP donnera lieu à la rédaction d un petit fichier texte contenant votre nom, les réponses aux questions ainsi que d éventuels résultats

Plus en détail

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE Projet de semestre ITI soir 4ème année Résumé configuration OpenVpn sur pfsense 2.1 Etudiant :Tarek

Plus en détail

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne. Sécurité avancée des réseaux Filtrage des paquets IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.fr Outline Pare-feu & Filtre de Confiance Filtrage de paquets Pare-feu

Plus en détail

Configurer un pare-feu avec NETFILTER

Configurer un pare-feu avec NETFILTER Configurer un pare-feu avec NETFILTER Netfilter est le firewall des distributions linux récentes pris en charge depuis les noyaux 2.4. Il est le remplaçant de ipchains. La configuration se fait en grande

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

TP 1 - Prise de contact avec Snort, scapy

TP 1 - Prise de contact avec Snort, scapy TP 1 - Prise de contact avec Snort, scapy 0. Initialisation du TP Installer les paquets python-scapy, snort, nmap. 1. Présentation de SNORT v2.8.5 La détection d intrusion consiste en un ensemble de techniques

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49 Filtrage dynamique Linux noyau >= 2.4 netfilter : Iptables Cisco propose les CBAC (IOS Firewall) *BSD avec IPFilter Packet filter Beaucoup de Pare Feu utilise du filtrage dynamique Principe Fonctionnement

Plus en détail

TECHNOLOGIE INTERNET TRAVAUX PRATIQUE : NAPT Par ZHANG Tuo E-mail : tuo.zhang@iut-dijon.u-bourgogne.fr

TECHNOLOGIE INTERNET TRAVAUX PRATIQUE : NAPT Par ZHANG Tuo E-mail : tuo.zhang@iut-dijon.u-bourgogne.fr TECHNOLOGIE INTERNET TRAVAUX PRATIQUE : NAPT Par ZHANG Tuo E-mail : tuo.zhang@iut-dijon.u-bourgogne.fr 1. OBJECTIFS DU TP Réaliser et tester le NAT entre différents réseaux. Analyser le fonctionnement

Plus en détail

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Claire Billaud - 3ème année IS MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Page 1 sur 9 Principe : On veut faire en sorte que le réseau interne

Plus en détail

How To connect to TonVPN Max / Comment se connecter à TonVPN Max

How To connect to TonVPN Max / Comment se connecter à TonVPN Max How To connect to TonVPN Max / Comment se connecter à TonVPN Max Note : you need to run all those steps as an administrator or somebody having admin rights on the system. (most of the time root, or using

Plus en détail

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage Licence 3 Systèmes et Réseaux II Chapitre V : Filtrage Département IEM / UB Eric.Leclercq@u-bourgogne.fr Bureau G212 Aile des Sciences de l Ingénieur Mise-à-jour : février 2009 (Département IEM / UB) Filtrage

Plus en détail

Sécurité et Firewall

Sécurité et Firewall TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette

Plus en détail

MPLS, GMPLS et NGN. Sécurité MPLS. Jacques BAUDRON ixtel octobre 2009 jacques.baudron@ixtel.fr. Ingénierie Conseils Services Télécommunications

MPLS, GMPLS et NGN. Sécurité MPLS. Jacques BAUDRON ixtel octobre 2009 jacques.baudron@ixtel.fr. Ingénierie Conseils Services Télécommunications MPLS, GMPLS et NGN Sécurité MPLS Jacques BAUDRON ixtel octobre 2009 jacques.baudron@ixtel.fr 1 Contents Treats Requirements VPN Attacks & defence 3 8 14 19 2 3 Threats Threats Denial of service Resources

Plus en détail

Exemple d intrusion dans un réseau

Exemple d intrusion dans un réseau Exemple d intrusion dans un réseau Cédric Blancher - blancher@cartel-info.fr Daniel Polombo - polombo@cartel-info.fr 11 décembre 2001 Plan 1 Introduction et présentation du réseau ciblé Pénétration du

Plus en détail

Utilisation de ports différents Utilisation de plusieurs adresses IP Utilisation de «host header»

Utilisation de ports différents Utilisation de plusieurs adresses IP Utilisation de «host header» Les sites multiples Utilisation de ports différents Utilisation de plusieurs adresses IP Utilisation de «host header» L exploration de dossier (directory browsing) Dossiers réguliers (folders) vs dossiers

Plus en détail

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud Sophie.Nicoud@urec.cnrs.

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud Sophie.Nicoud@urec.cnrs. Tunnels ESIL INFO 2005/2006 Sophie Nicoud Sophie.Nicoud@urec.cnrs.fr Plan Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs 2 Tunnels, pourquoi? Relier deux réseaux locaux à travers

Plus en détail

Protection contre les menaces Prévention

Protection contre les menaces Prévention Protection contre les menaces Prévention Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Prévention Routeurs Pare-feu Systèmes de prévention d intrusion Conclusions Jean-Marc

Plus en détail

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion Atelier IDS Snort Outil de Détection d intrusion Introduction Les systèmes de détection d intrusion ou IDS pour (Intrusion Detection System) sont indispensables pour la sécurité du réseau, ils permettent

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 69 Audit et Sécurité Informatique Chap 2: Firewall et Règles de Filtrage ACL Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2 / 69 Plan

Plus en détail

Mise en place d un portail captif avec une distribution pfsense

Mise en place d un portail captif avec une distribution pfsense Mise en place d un portail captif avec une distribution pfsense Présentation : pfsense est une distribution routeur/pare-feu OpenSource basée sur FreeBSD, pouvant être installée sur un simple ordinateur

Plus en détail

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI Chapitre 2 Vulnérabilités protocolaires et attaques réseaux 1 Définitions Vulnérabilité: Défaut ou faiblesse d un système dans sa conception, sa mise en œuvre ou son contrôle interne pouvant mener à une

Plus en détail

Présentation SSH-SSF. Philippe.Weill@aero.jussieu.fr. 23/10/2002 Présentation SSH-SSF (IPSL) 1

Présentation SSH-SSF. Philippe.Weill@aero.jussieu.fr. 23/10/2002 Présentation SSH-SSF (IPSL) 1 Présentation SSH-SSF Philippe.Weill@aero.jussieu.fr 23/10/2002 Présentation SSH-SSF (IPSL) 1 Plan Notion de réseau, sécurité et cryptographie Rappels sur Telnet, R-commandes et X11 SSF/SSH Qu est ce que

Plus en détail

Protection des protocoles www.ofppt.info

Protection des protocoles www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Protection des protocoles DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2

Plus en détail

Topologies et Outils d Alertesd

Topologies et Outils d Alertesd Topologies et Outils d Alertesd IDS / IDP DEFINITIONS IDS : SDI / Système de détection d intrusion IDP : SPI / Système de protection d intrusion IDS / IDP Statfull matriciels ACTIVITE IDP : Coupe circuit

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

Administration réseau Introduction

Administration réseau Introduction Administration réseau Introduction A. Guermouche A. Guermouche Cours 1 : Introduction 1 Plan 1. Introduction Organisation Contenu 2. Quelques Rappels : Internet et le modèle TCP/ Visage de l Internet Le

Plus en détail

HP Formation Afrique francophone Description de cours

HP Formation Afrique francophone Description de cours HP Formation Afrique francophone Description de cours Sécurité HP-UX 1ère Partie (H3541S) Ce cours examine les failles de sécurité les plus courantes du système HP-UX et étudie les outils et techniques

Plus en détail

UE31 - M3102 : Services Réseaux

UE31 - M3102 : Services Réseaux UE31 - M3102 : Services Réseaux Corrigé du TP 4 NAT/PAT, Pare-Feu C. Pain-Barre 1 Simulateur : Nat/Pat et firewall Corrigé de l exercice 1 (Simulation Nat/Pat et firewall) Les fichiers xml contenant les

Plus en détail

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES SECURITE - IPTABLES Conception d'une zone démilitarisée (DeMilitarized Zone: DMZ) Veuillez indiquer les informations suivantes : Binômes Nom Station ou PC D. Essayed-Messaoudi Page 1 sur 9 TP 4 : Sécurité

Plus en détail

Sujet 110 : Sécurité. ziedbouziri.com 1

Sujet 110 : Sécurité. ziedbouziri.com 1 Sujet 110 : Sécurité 110.1 Effectuer des tâches concernant la sécurité au niveau utilisateurs (Weight 3) 110.2 Configurer la sécurité du système (Weight 3) 110.3 Sécuriser des échanges réseau avec le cryptage

Plus en détail

SÉCURITÉ SYSTÈMES ET RÉSEAUX, NIVEAU 2

SÉCURITÉ SYSTÈMES ET RÉSEAUX, NIVEAU 2 Réseaux et Sécurité SÉCURITÉ SYSTÈMES ET RÉSEAUX, NIVEAU 2 Réf: SEA Durée : 4 jours (7 heures) OBJECTIFS DE LA FORMATION Ce stage avancé vous permettra de mesurer le niveau de sécurité de votre système

Plus en détail

Jean-Luc Archimbaud. Cours sécurité réseau : par où commencer?.

Jean-Luc Archimbaud. Cours sécurité réseau : par où commencer?. Cours sécurité réseau : par où commencer? Jean-Luc Archimbaud To cite this version: Jean-Luc Archimbaud. Cours sécurité réseau : par où commencer?. lieux en France, 1996, pp.41. École d

Plus en détail

Couche réseau : autour d IP. Claude Chaudet

Couche réseau : autour d IP. Claude Chaudet Couche réseau : autour d IP Claude Chaudet 2 ICMP : Signalisation dans IP Positionnement et rôle d'icmp IP est, en soi, un mécanisme simple dédié à l'acheminement de trames Il ne définit pas de messages

Plus en détail

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble ASR4 réseaux Barrière de Sécurité Introduction Serveur de proximité, pare-feu IP, filtrage, architecture 1 Objectif des gardes barrières Protéger un environnement (vis à vis de l extérieur et de l intérieur)

Plus en détail

Les Protocoles de Transport Introduction à l analyse de trames

Les Protocoles de Transport Introduction à l analyse de trames Les Protocoles de Transport Introduction à l analyse de trames telnet localhost 80 telnet localhost 80 Trying ::1 connected to localhost. Escape character is ^]. Demande de connexion du client Ouverture

Plus en détail

Sécurité des systèmes d information les firewalls

Sécurité des systèmes d information les firewalls Sécurité des systèmes d information les firewalls 1 Plan Définition et notions générales L offre Firewall actuelle Conception d une architecture sécurisée par firewall Administration et maintenance 2 Aperçu

Plus en détail

INTRUSION SUR INTERNET

INTRUSION SUR INTERNET INTRUSION SUR INTERNET Filière Télécommunication Laboratoire de Transmission de Données Diplômant : Marfil Miguel Professeur : Gérald Litzistorf En collaboration : Banque Pictet, Lanrent Dutheil e-xpert

Plus en détail

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET LINUX REDHAT, SERVICES RÉSEAUX/INTERNET Réf: LIH Durée : 4 jours (7 heures) OBJECTIFS DE LA FORMATION Ce cours pratique vous permettra de maîtriser le fonctionnement des services réseaux sous Linux RedHat.

Plus en détail

SSH : Secure SHell. Pour l'utilisateur Windows. F. Bongat. Version décembre 2011

SSH : Secure SHell. Pour l'utilisateur Windows. F. Bongat. Version décembre 2011 SSH : Secure SHell Pour l'utilisateur Windows Version décembre 2011 1 F. Bongat Présentation 2 Sécuriser des connexions à distance : Secure Shell SSH permet de sécuriser les communications des réseaux

Plus en détail

DynDNS. Qu est-ce que le DynDNS?

DynDNS. Qu est-ce que le DynDNS? DynDNS. Qu est-ce que le DynDNS? Le DynDNS (Dynamic Domain Name Server) sert à attribuer un nom de domaine à une adresse ip dynamique. Chaque ordinateur utilise une adresse ip pour communiquer sur le réseau.

Plus en détail

Sécurité des Réseaux et d internet. Yves Laloum

Sécurité des Réseaux et d internet. Yves Laloum Sécurité des Réseaux et d internet Yves Laloum CNAM Page 1 1. Menaces et vulnérabilités sur l Internet! Connaître et comprendre les vulnérabilités et les menaces "niveau réseau : sniffers / scanners /

Plus en détail

Retour d expérience sur Prelude

Retour d expérience sur Prelude Retour d expérience sur Prelude OSSIR Paris / Mathieu Mauger Consultant Sécurité (Mathieu.Mauger@intrinsec.com) Guillaume Lopes Consultant Sécurité (Guillaume.Lopes@Intrinsec.com) @Intrinsec_Secu 1 Plan

Plus en détail

Administration et sécurité des réseaux. Chapitre 3, Partie 3

Administration et sécurité des réseaux. Chapitre 3, Partie 3 Administration et sécurité des réseaux Chapitre 3, Partie 3 Le Protocole FTP (File Transfer Protocol) 1 Plan Présentation du protocole Fonctionnement Configuration et options 2 Présentation de FTP Fonctionnalités

Plus en détail

INF4420: Éléments de Sécurité Informatique

INF4420: Éléments de Sécurité Informatique : Éléments de Module III : Sécurité des réseaux informatiques José M. Fernandez M-3109 340-4711 poste 5433 Où sommes-nous? Semaine 1 Intro Semaines 2, 3 et 4 Cryptographie Semaine 6, 7 Sécurité dans les

Plus en détail

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - Cours de sécurité Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - 1 Plan pare-feux Introduction Filtrage des paquets et des segments Conclusion Bibliographie 2 Pare-Feux Introduction

Plus en détail

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1. Routeur Chiffrant Navista Version 2.8.0 Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.0 Cibles de sécurité C.S.P.N Référence : NTS-310-CSPN-CIBLES-1.05

Plus en détail

Exemple de configuration de pare-feu Cisco Secure PIX Firewall avec deux routeurs

Exemple de configuration de pare-feu Cisco Secure PIX Firewall avec deux routeurs Exemple de configuration de pare-feu Cisco Secure PIX Firewall avec deux routeurs Interactif : Ce document propose une analyse personnalisée de votre périphérique Cisco. Contenu Introduction Conditions

Plus en détail

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Filtrage IP MacOS X, Windows NT/2000/XP et Unix Filtrage IP MacOS X, Windows NT/2000/XP et Unix Cette présentation, élaborée dans le cadre de la formation SIARS, ne peut être utilisée ou modifiée qu avec le consentement de ses auteur(s). MacOS/NT/Unix

Plus en détail

Administration réseau Accès aux fichiers distants

Administration réseau Accès aux fichiers distants Administration réseau Accès aux fichiers distants A. Guermouche A. Guermouche Cours 8 : NFS & SMB 1 Plan 1. Introduction 2. NFS 3. SAMBA A. Guermouche Cours 8 : NFS & SMB 2 Plan Introduction 1. Introduction

Plus en détail

Configuration d un PIX

Configuration d un PIX Configuration d un PIX Le PIX de Cisco est équipement de niveau IP qui peut faire à la fois du NAT, NATP et du routage (RIP, OSPF,..). Notre PIX possède deux interfaces réseaux : une connectée sur le réseau

Plus en détail

Commandes de base Administration Systèmes et Réseaux

Commandes de base Administration Systèmes et Réseaux Commandes de base Administration Systèmes et Réseaux TcpDump Sniffing en mode verbeux : > tcpdump -v tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 22:00:11.625995 IP (tos

Plus en détail

Administration avancée sous Linux

Administration avancée sous Linux Administration avancée sous Linux Anthony Busson 1 Plan du cours 1. Compilation (gcc) 2. Gestion des utilisateurs et des groupes 3. Montage des périphériques et des systèmes de fichiers 4. Scripts 5. Archivage

Plus en détail

Partage réseau Unix/Windows. Mise en place d'un serveur Samba

Partage réseau Unix/Windows. Mise en place d'un serveur Samba Partage réseau Unix/Windows Mise en place d'un serveur Samba Partage réseau Unix/Windows Quelques notions sur les réseaux sous Windows "Philosophie" Domaine Implémentation (NetBIOS, SMB) Configuration

Plus en détail

AUTHENTIFICATION DES CLIENTS LINUX SUR UN ANNUAIRE LDAP

AUTHENTIFICATION DES CLIENTS LINUX SUR UN ANNUAIRE LDAP AUTHENTIFICATION DES CLIENTS LINUX SUR UN ANNUAIRE LDAP (source : ClientsHardyHeron et ScribeNG sur le wiki Eole) Généralités Il existe trois grandes familles de Linux : RedHat (dont Mandriva), Debian

Plus en détail

UE31 - M3102 : Services Réseaux

UE31 - M3102 : Services Réseaux UE31 - M3102 : Services Réseaux Corrigé du TP 2 Services SSH et TELNET C. Pain-Barre 1 Introduction à SSH 1.4 Connexion à allegro avec mot de passe Corrigé de l exercice 1 (connexion SSH sur allegro) Pour

Plus en détail

Julien Canet Christos Toyas ESSI3 - SAR SECURITE. Encadrants. B. Martin et J.Y. Tigli

Julien Canet Christos Toyas ESSI3 - SAR SECURITE. Encadrants. B. Martin et J.Y. Tigli SECURITE Encadrants B. Martin et J.Y. Tigli 2001 Table Des Matières 1 Audit et supervision... 4 2 Sécurisation par le biais de la cryptographie... 4 2.1 Les mots de passes jetables : OTP... 4 2.2 Un shell

Plus en détail

Services Réseaux - Couche Application. TODARO Cédric

Services Réseaux - Couche Application. TODARO Cédric Services Réseaux - Couche Application TODARO Cédric 1 TABLE DES MATIÈRES Table des matières 1 Protocoles de gestion de réseaux 3 1.1 DHCP (port 67/68)....................................... 3 1.2 DNS (port

Plus en détail

Master d'informatique E-Secure. Réseaux. Applications de l'internet

Master d'informatique E-Secure. Réseaux. Applications de l'internet Master d'informatique E-Secure Réseaux Applications de l'internet Bureau S3-354 Jean.Saquet@unicaen.fr http : saquet.users.greyc.fr/m2/rezo Client / serveur (1) Beaucoup d'applications sur ce modèle :

Plus en détail

SSH et compagnie : sftp, scp et ssh-agent

SSH et compagnie : sftp, scp et ssh-agent SSH et compagnie : sftp, scp et ssh-agent Linux Gazette numéro 64 Matteo Dell Omodarme matt@martine2.difi.unipi.it Le but de cet article est de faire une introduction à quelques programmes utiles dans

Plus en détail

GENERALITES. COURS TCP/IP Niveau 1

GENERALITES. COURS TCP/IP Niveau 1 GENERALITES TCP/IP est un protocole inventé par les créateurs d Unix. (Transfer Control Protocol / Internet Protocole). TCP/IP est basé sur le repérage de chaque ordinateur par une adresse appelée adresse

Plus en détail

Les licences Creative Commons expliquées aux élèves

Les licences Creative Commons expliquées aux élèves Les licences Creative Commons expliquées aux élèves Source du document : http://framablog.org/index.php/post/2008/03/11/education-b2i-creative-commons Diapo 1 Creative Commons presents : Sharing Creative

Plus en détail

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique Page 1 sur 5 Article original traduit par Kmeleon, refonte de eks. Provenant de ubuntu-fr.org Netfilter & Iptables Netfilter est un module du noyau Linux (depuis la version 2.4) qui offre la possibilité

Plus en détail

Réseaux : SAMBA Sommaire. 1. Introduction. 2. Fonctionnement des réseaux Microsoft. 3. NetBIOS. 4. Le protocole SMB 5. SAMBA

Réseaux : SAMBA Sommaire. 1. Introduction. 2. Fonctionnement des réseaux Microsoft. 3. NetBIOS. 4. Le protocole SMB 5. SAMBA Réseau SAMBA Sommaire 1. Introduction 2. Fonctionnement des réseaux Microsoft 3. NetBIOS 4. Le protocole SMB 5. SAMBA 2 Introduction Le projet SAMBA est une application réseau permettant des échanges entre

Plus en détail

Couche application. La couche application est la plus élevée du modèle de référence.

Couche application. La couche application est la plus élevée du modèle de référence. Couche application La couche application est la plus élevée du modèle de référence. Elle est la source et la destination finale de toutes les données à transporter. Couche application La couche application

Plus en détail

M1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015

M1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015 M1101a Cours 4 Réseaux IP, Travail à distance Département Informatique IUT2, UPMF 2014/2015 Département Informatique (IUT2, UPMF) M1101a Cours 4 2014/2015 1 / 45 Plan du cours 1 Introduction 2 Environnement

Plus en détail

L annuaire et le Service DNS

L annuaire et le Service DNS L annuaire et le Service DNS Rappel concernant la solution des noms Un nom d hôte est un alias assigné à un ordinateur. Pour l identifier dans un réseau TCP/IP, ce nom peut être différent du nom NETBIOS.

Plus en détail

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité 1. Présentation Nmap est un outil open source d'exploration réseau et d'audit de sécurité, utilisé pour scanner de grands

Plus en détail

Notice du LiveCD Spécialité Réseaux

Notice du LiveCD Spécialité Réseaux Notice du LiveCD Spécialité Réseaux 21 2 Ethereal : Ethereal est un sniffer de réseau, il capture les trames circulant sur le réseau, en permet l'analyse et sépare suivant l'encapsulation les différnetes

Plus en détail

UE31 - M3102 : Services Réseaux

UE31 - M3102 : Services Réseaux UE31 - M3102 : Services Réseaux Enoncé du TP 4 NAT/PAT, Pare-Feu C. Pain-Barre Table des matières 1 Simulateur : Nat/Pat et firewall 2 Exercice 1 (Simulation Nat/Pat et firewall).................................

Plus en détail

Configuration de l'usurpation IP sur le Cache Engine dans une installation transparente avec commutateur de services de contenu

Configuration de l'usurpation IP sur le Cache Engine dans une installation transparente avec commutateur de services de contenu Configuration de l'usurpation IP sur le Cache Engine dans une installation transparente avec commutateur de services de contenu Contenu Introduction Avant de commencer Conventions Conditions préalables

Plus en détail

MISE EN PLACE DU FIREWALL SHOREWALL

MISE EN PLACE DU FIREWALL SHOREWALL MISE EN PLACE DU FIREWALL SHOREWALL I INTRODUCTION Administrateur réseau dans une petite entreprise, vous devez, suite à la mise en place d une ligne ADSL, offrir l accès à l internet à tous les utilisateurs

Plus en détail

Introduction. 1 P a g e. Khalid BOURICHE

Introduction. 1 P a g e. Khalid BOURICHE Introduction Basé sur FreeBSD, pfsense est un logiciel de filtrage de flux (Firewall). Comme iptables sur GNU/Linux, il est réputé pour sa fiabilité. Nous y retrouvons la plupart des fonctionnalités incluses

Plus en détail

(Date : Lundi 27 avril 2009 durée : 3h) Lisez attentivement le sujet en entier avant de commencer, afin de bien assimiler ce qui est attendu.

(Date : Lundi 27 avril 2009 durée : 3h) Lisez attentivement le sujet en entier avant de commencer, afin de bien assimiler ce qui est attendu. Département des Sciences Informatiques Licence 3 I/MI 2008 2009 Réseaux (I601) T.T. Dang Ngoc dntt@u-cergy.fr Examen 1ère session - Réseaux (Date : Lundi 27 avril 2009 durée : 3h) Lisez attentivement le

Plus en détail

Sécurité des réseaux sans fil

Sécurité des réseaux sans fil Sécurité des réseaux sans fil Francois.Morris@lmcp.jussieu.fr 13/10/04 Sécurité des réseaux sans fil 1 La sécurité selon les acteurs Responsable réseau, fournisseur d accès Identification, authentification

Plus en détail

Chapitre 4 PROTOCOLES SÉCURISÉS

Chapitre 4 PROTOCOLES SÉCURISÉS Chapitre 4 PROTOCOLES SÉCURISÉS 52 Protocoles sécurisés Inclus dans la couche application Modèle TCP/IP Pile de protocoles HTTP, SMTP, FTP, SSH, IRC, SNMP, DHCP, POP3 4 couche application HTML, MIME, ASCII

Plus en détail

Sensibilisation à la Sécurité sur Internet. vulnérabilités sur Internet

Sensibilisation à la Sécurité sur Internet. vulnérabilités sur Internet Sensibilisation à la Sécurité sur Internet Cours «2» : Menaces et Cours «2» : Menaces et vulnérabilités sur Internet Plan du cours Sécurité locale du PC Sécurité du réseau Sécurité de communication Outils

Plus en détail