Thèse professionnelle pour l obtention du titre de Manager des systèmes d information. Pare-feu pour la sécurisation périphérique des entreprises

Dimension: px
Commencer à balayer dès la page:

Download "Thèse professionnelle pour l obtention du titre de Manager des systèmes d information. Pare-feu pour la sécurisation périphérique des entreprises"

Transcription

1 Thèse professionnelle pour l obtention du titre de Manager des systèmes d information Pare-feu pour la sécurisation périphérique des entreprises Par Mathieu Schmitt

2

3 Je remercie chaleureusement : Messieurs Fabien Serurier et Sébastien Guérin, mes deux tuteurs, pour leur soutien, leur écoute et leurs conseils durant mes cinq années d étude passées à l Exia de Nancy ; Dans le cadre de ma maîtrise, mon Directeur de Recherche Monsieur Guy Begin, pour sa collaboration dans la rédaction de ce mémoire ; Mes parents pour leur accompagnement tout au long de ma scolarité, leur soutien moral et leur combativité ; Toutes les personnes qui ont de près ou de loin par des actes, des paroles, contribuées à la pérennité de mon parcours dans l enseignement supérieur.

4 Résumé La sécurité d un réseau informatique est un sujet essentiel dans la préservation de la pérennité d une entreprise.le pare-feu y joue un rôle prépondérant dans la mesure où il contribue à la sécurisation de la périphérie de l entreprise.de nombreuses menaces distribuées sur toutes les couches du modèle OSI requièrent une vigilance accrue de la part des pare-feux. La configuration d un tel système doit passer par l écriture, la mise en pratique et le respect d une politique de stratégie de sécurité : elle est la continuité des politiques plus globales de l entreprise en terme de sécurité. Les pare-feux fonctionnent grâce à une utilisation d ACL (Access Control Liste) qui sont des fichiers de script contenant un ensemble séquentiel d instructions lues de haut en bas par l IOS du firewall. Elles sont configurables en fonction de différents paramètres comme la direction du flux, le protocole ou encore l interface. Le constructeur Cisco a mis en place sur son IOS deux types d ACL : Les ACL standards et les ACL étendues se différenciant chacune en fonction de plusieurs critères. Notons que les ACL étendues sont plus complètes. Netfilter est le firewall du kernel Linux, il propose des fonctions similaires à celles de Cisco. Netfilter manipule les tables Filter, Nat et Mangle. Une étude de cas permettra de mieux saisir les subtilités technologiques d un tel processus. Il existe différents types de technologies de pare-feux qui implémentent ces ACL. Les pare-feux à filtrage simple de paquet analysent les en-têtes des paquets indépendamment les uns des autres ; ils équipent les matériels réseaux à faible coût. Le filtrage de paquet à état garde comme son nom l indique, un état entre les différents paquets au moyen de la journalisation. Le filtrage applicatif gère les protocoles de la couche 7 du modèle OSI. Ceux-ci sont très efficaces cependant des règles pour chaque protocole doivent être mises en place. D un point de vue de la topologie réseau d entreprise, il existe plusieurs types d architecture. Le premier type fait intervenir un routeur filtrant entre un réseau intègre et non intègre. Le deuxième type utilise un hôte bastion qui permet d analyser tout le trafic en provenance de l extérieur et/ou du réseau interne de l entreprise. Les pare-feux de niveau application se placent en dual d un routeur filtrant et jouent par exemple le rôle de proxy web. Une architecture DMZ permet de cloisonner des réseaux en fonction des différents niveaux de sécurité. La mise en place du firewall au sein de l architecture réseau appelle à une parfaite maintenance ; donc un monitoring efficace et de la veille technologique s avèrent nécessaires. Nous présentons en deuxième volet les pare-feux intégrant la détection d intrusion car ceux-ci prennent une place considérable avec l expansion du Web et du cloud computing. La détection d intrusion vise à monitorer les évènements se produisant dans une large mesure dans un réseau d entreprise. Nous connaissons deux familles de système de détection d intrusion : l une basée sur la signature, l autre sur les anomalies. Les IDS se placent à plusieurs endroits dans le réseau en fonction de la portion de réseau qui exige une surveillance. Pour ce faire, deux modes de surveillance sont à notre disposition : le mode actif qui bloque directement le trafic réseau en cas d attaque, et le mode passif qui duplique le trafic réseau. L utilisation des IDPS apporte son lot de difficultés aux utilisateurs : Souci de compréhension, d exploitation de journaux par l importance de leur volume. Pour cela, le clustering ( étape de l extraction de connaissances) permettra de regrouper des données issues elle-mêmes d un ensemble de données en groupes homogènes inconnues initialement, en fonction de leur similarité. Il existe plusieurs méthodes de clustering : le clustering hiérarchique organise les données en arbre pour plus de lisibilité ; le clustering par partition se fonde sur des critères pré- établis pour créer les clusters. D autres méthodes existent, citons celle qui s appuie sur la densité ou celle qui se fonde sur les grilles.

5 Le clustering associé à la détection d intrusion passe par des processus d agrégation de flux, de classement et de classification. Le clustering aide à trouver de nouvelles formes d attaques. Mots-clés : sécurité des réseaux, pare-feu, règle d accès, détection d intrusion, architecture, extraction de connaissances, dataming, clustering, cloud computing. 2

6 Abstract The security of the corporate network is vital to preserve its challenges. The firewall plays a major role in securing the edge of the enterprise. There are many threats distributed across all layers of the OSI model to which the firewall should be careful. The configuration of this system must go through the writing, implementation and enforcement of a policy of security strategy : It is the continuity of the broader policies of the company in terms of safety. Firewalls work by using ACLs (Access Control List) which is a script file containing a sequential instruction read from the top to the bottom by the IOS firewall. They are configurable depending on various parameters such as flow direction, protocol or interface. The manufacturer Cisco has introduced its two types of IOS ACLs : standard and extended ACLs which differ according to several criteria. Extended ACLs are more complete. Netfilter is the firewall of the Linux kernel and provides features similar to those of Cisco. Netfilter handles tables Filter, Nat and Mangle. A case study will better understand the subtleties of such a technological process. There are different types of firewall technologies that implement these ACLs. Firewalls "simple packet filtering" analyzes the headers of packets independently of each other, they equip the network at low cost. Packet filtering in state custody, as its name indicates a state between packets using logging. Application filtering manages the protocols of layer 7 of the OSI model. They are very effective, however, the rules for each protocol must be implemented. From a viewpoint of the corporate network topology, there are several types of architecture. The first involves a filtering router between a network and integrates non-integrated. Another uses a bastion host that can analyze all traffic from the outside and / or the company s internal network. Firewalls level of enforcement is placed in a dual filtering router and plays the role of such web proxy. DMZ architecture allows partitioning of networks based on different security levels. After setting up the firewall within the network architecture, we need to keep it. Effective monitoring and technology watch is required. We present in the second part firewalls including intrusion detection because they take up considerable space with the expansion of Web and cloud computing. Intrusion detection monitors events that occurs largely in a corporate network. There are two families of intrusion detection systems : signature-based and anomaly-based. The IDS is placed at different locations in the network depending on the portion of network to monitor. Precisely, two monitoring modes exist, the current mode blocking direct network traffic in case of attack and passive mode duplicating network traffic. Nevertheless, the problems of IDPS directly involves the human capacity to understand and exploit the huge amount of log files. Thus, the clustering step of knowledge extraction, will consolidate data from her own a data set into homogeneous groups initially unknown, according to their similarity. There are several clustering methods. The hierarchical clustering tree organizes data for readability. Partition by clustering based on preestablished criteria to create clusters. There are other methods such as those based on density or on the grids. Clustering associated with intrusion detection through aggregation processes of flow, grading and classification. Clustering helps find new form of attack. Key-words : Network security, firewall, ACL, intrusion detection, architecture, KDD, datamining, clustering, cloud computing.

7

8 Préambule Le groupe EXIA-CESI à Villers-les-Nancy m accueille depuis cinq années consécutives dans leur département informatique pour une formation de Manager des Systèmes d Information. Un échange bilatéral entre mon établissement d origine et l UQAM à Montréal me donne l opportunité de suivre en parallèle une maîtrise à l étranger. Je suis fier et honoré de vous présenter in fine une thèse dont le thème est considéré aujourd hui comme étant la pierre angulaire de la sécurité d un réseau informatique : le pare-feu Je fonde l espoir que vous aurez autant de plaisir à parcourir ces quelques feuillets que j ai eu de volonté et d enthousiasme à les rédiger. Les entreprises doivent faire face à un accroissement constant des menaces intrusives, des personnes qui les profèrent pour un gain alléchant. A partir de cette constatation, la sécurité dans le domaine informatique devient alors "LA" priorité pour permettre aux sociétés de prospérer en toute quiétude. Mon ouvrage dresse le tableau des technologies de pare-feux existantes avec leurs avantages et leurs faiblesses. Une vue détaillée de toutes les technologies associées au domaine du Firewalling guidera le lecteur de facto dans son choix qui correspondra au mieux à son cas personnel. Les derniers pare-feux intègrent des outils de détection d intrusion. Mon étude sur les besoins de l entreprise dans ce domaine soulève un problème de taille : Le nombre de logs générés devient trop conséquent pour être exploité par l homme. Je me suis évertué à trouver la réponse à cette problématique, ce sujet m interpelle d autant que je viens d effectuer en simultané de récents travaux dans la recherche informatique. Nous nous efforcerons donc à présenter ce concept en détail pour obtenir les solutions adéquates. Enfin, le cloud computing est LE "buzz word" depuis trois années environ. Nous verrons si les habitudes d utilisation des firewall doivent changer lorsqu ils sont mis en production dans un environnement à fort taux de virtualisation. Je souhaite à toutes et à tous une bonne lecture, et de ne pas être : "celui qui se perd dans ce qu il lit, mais celui qui s y trouve" Paul Valéry i

9 Table des matières Préambule Table des matières i ii 1 Introduction et problématiques v I État de l art 1 2 Sécurité des réseaux A propos du modèle OSI et TCP/IP Les menaces Politique de stratégie de sécurité Maintenir un pare-feu Monitoring Veille technologique Mise à jour du système Filtrage de paquet Généralités sur le fonctionnement des ACL Cisco Généralités ACL standard ACL étendue ACL nommée-étendue Netfilter Généralités Table Filter Table Nat Etude de cas Architecture des pare-feux Screening router / Packet filtering router Screened host / Bastion host Dual-homed Host Pare-feu de niveau application ii

10 5.4.1 Proxy Reverse-Proxy Screened subnet / DMZ Technologies des pare-feux Système de filtrage Généralités Filtrage simple de paquets Filtrage de paquets avec état Filtrage applicatif NAT VPN Pare-feu intégrant la détection d intrusion Généralités Famille de systèmes de détection d intrusion Place de l IDPS dans le réseau Problématiques liées à l exploitation des journaux d évènements générés par les IDPS II Étude 1 : Quelles solutions le clustering de données apportent quant à l exploitation efficace de journaux d évènements générés par les IDPS? 37 7 Le clustering, outil d aide à la détection d intrusion Présentation de l extraction de données Pourquoi l extraction de données? Étape de l extraction de données Le datamining, étape de l extraction de connaissances Méthodes de datamining Le clustering de données, étape de l extraction de connaissances Le clustering hiérarchique Généralités Méthodes agglomératives et divisives Méthodes de mesure entre deux clusters Algorithme BIRCH Le clustering par partition Généralités Fonctionnement Les méthodes heuristiques Autres méthodes de clustering Méthode s appuyant sur la densité Méthode basée sur les grilles Application du clustering à la détection d intrusion Généralités Stratégie d étiquetage des données simples Application du clustering pour la détection d anomalies Intégration de la méthode du clustering dans l architecture de sécurité Sélection de caractéristiques, agrégation, classification et classement Clusterer iii

11 9 Solution proposée : architecture physique et logique pour une exploitation efficace des logs et la prévention des faux positifs Généralités Architecture physique Architecture logique Prémices Choix d un algorithme Modification de l algorithme de clustering III Étude 2 : Le cloud vient-il transcender l utilisation des firewall? Définition du Cloud Computing Types de Cloud Computing Services dans le nuage Solution proposée : Préconisations quant au déploiement d un pare-feu dans un environnement virtualisé 66 IV Bilan de la thèse 68 Les firewall dans le contexte émergent du cloud computing 69 Conclusion 69 Table des figures 70 Bibliographie 72 Appendices 74 A Fichier de script 75 iv

12 Chapitre 1 Introduction et problématiques Toute entreprise qui veut progresser et s implanter durablement sur le marché actuel nécessite une bonne cohésion interne. Les réseaux informatiques contribuent pour une très grande part à cette cohésion, ils constituent l épine dorsale de la communication. Les techniques d intrusion sont de plus en plus sophistiquées, cependant, leur mise en œuvre de plus en plus aisée. Une étude réalisée en février 2009 et publiée par l éditeur de logiciels McAfee, révèle que la cybercriminalité occasionnerait une perte de milliards de dollars aux entreprises chaque année! L homme et sa sécurité doivent constituer la première préoccupation de toute aventure technologique. Albert Einstein Les entreprises actuelles sont majoritairement dotées d un réseau local et d un accès à internet qui nécessitent une bonne protection face aux intrusions extérieures. Il va de soi qu une telle ouverture sur le monde entraîne automatiquement une affluence massive de personnes malveillantes, internes ou externes à l entreprise : le poncif "Les attaques proviennent de l extérieur" n est pas un mythe. Mais le mythe serait de croire que les méchants sont toujours à l extérieur. Le firewall est indispensable puisque : il isole le réseau en bâtissant un périmètre de sécurité autour du système d information ; il filtre les entrées et les sorties conformément à la politique de sécurité. Il reste cependant aux portes de l Intranet et ignore ce qui s y passe. Les systèmes d information contemporains ne sont plus des places fortes imprenables. Nous pouvons les comparer à des pays, des ports ou des aéroports dépourvus de frontières et où l on peut pénétrer sans infraction ; sans compter pour le "criminel" la possibilité de s octroyer une place sensible. Nous devons par conséquent sécuriser bien plus que le périmètre de sécurité extérieur de l entreprise. Les employés sont-ils des méchants quand l occasion fait le larron? Pas tous, bien sûr, mais il faut garder à l esprit qu au moins 60 % des attaques réussies ont pour origine l intérieur du réseau. Les visées néfastes sont nombreuses et dangereuses pour la sécurité. Un pare-feu constitue le rempart adéquat face à ces abus croissants ; en effet, sa mise en place permet une analyse des flux réseaux et un blocage des services indésirables. Il est tout à fait possible d appliquer ses propres règles de filtrage définies dans la stratégie de sécurité de l entreprise grâce notamment à l utilisation d ACL 1. Ces ACL sont des scripts qui définissent une liste d adresses et de ports autorisés ou non-autorisés à circuler. Le firewall 2 est aussi vulnérable dans le sens où il représente le premier hôte visible de l extérieur. Il se présente sous la forme d un outil logiciel ou matériel qui possède au minimum deux interfaces réseaux. 1. ACL = Access Control List (Contrôle d accès par liste). Nous nous servirons de cet acronyme par la suite pour simplifier la lecture 2. Firewall = Pare-feu ; nous utiliserons les deux termes par la suite. v

13 PLAN DE NOTRE THESE I Élaboration d un état de l art sur les pare-feux par une étude approfondie du filtrage de paquet, des technologies de pare-feux, leur intégration dans l architecture de l entreprise. Nous répondrons aux questions suivantes : Quelles sont les technologies de Firewall? Pour quelles raisons un pare-feu est-il nécessaire, quelle topologie adopter? Quels sont les différents types de contrôle d accès par liste? De quelle manière devonsnous les configurer? Quelles sont les solutions de pare-feux existantes? Comment maintenir un pare-feu? II Étude des systèmes de détection d intrusion greffés en qualité de service sur ces firewall. Nous constatons que les fichiers de logs générés par les IDPS sont trop volumineux pour être exploités par l être humain. Nos problématiques d étude dès lors consistent à répondre pertinemment aux questions suivantes : De quelle manière automatiser le traitement de gros volumes de données générés par les IDPS? L exploration de données correspond-elle à la solution attendue? Nous trouverons les réponses apportées à ces questions dans l étude 1 (II). III Les firewall dans le cloud computing. Nous développerons deux questions primordiales : Le cloud computing sonne-t-il le glas des firewall? Comment les firewall peuvent-ils s adapter à ce nouveau concept émergeant? Nous donnerons une réponse à ces questions dans l étude 2 (III). Conclusion de notre thèse vi

14 Première partie État de l art 1

15 Chapitre 2 Sécurité des réseaux 2.1 A propos du modèle OSI et TCP/IP Le modèle OSI est un modèle théorique de communication entre les ordinateurs et proposé par l organisation ISO. Celui-ci est composé de 7 couches, chacune d entre elles joue un rôle très précis. Ce modèle est à l origine du protocole TCP / IP. Figure 2.1: Confrontation du modèle OSI et TCP / IP Dans ce dossier, nous nous intéresserons successivement aux couches : Réseau (3) ; Transport (4) ; Applications (5, 6, et 7). La couche réseau est la clef de voûte du protocole dans la mesure où c est elle qui réalise l interconnexion des réseaux distants. Elle s appuie sur l adresse IP (IPv4 / IPv6). La couche transport connaît deux implémentations : le protocole TCP orienté connexion, le protocole UDP sans connexion, Le résultat escompté est de permettre aux entités paires de soutenir une conversation. La couche transport s appuie sur la notion de port. La couche application contient tous les protocoles de haut niveau (HTTP, SSH, FTP,...). 2

16 2.2 Les menaces L efficacité d un firewall passe par une configuration adéquate. En effet, un firewall dont la configuration est inadaptée est aussi inutile que l inexistence d un pare-feu. L IP spoofing consiste à modifier tous les paquets en leur faisant croire qu ils proviennent d une adresse dite de confiance. Nous avons la possibilité de nous protéger sûrement par une mise en place de VPN (Ex : IPSec) 6.3. Les attaques de type Déni de service (DoS) floodent le matériel par un blocage de tous les accès légitimes. Il est malheureusement très difficile de s en prémunir efficacement. Les attaques par port scanning constituent une pré-attaque, par exemple en découvrant les ports ouverts (via nmap ou Nessus dans le cas présent.) Il suffit alors de bloquer temporairement les adresses dans le but de ne renvoyer aucune information au scanner. Les exploits utilisent les vulnérabilités connues des logiciels installés. Ces attaques restent difficiles à contrecarrer ce qui en fait une préoccupation majeure. La mise à jour des systèmes et la veille technologique sont des solutions envisagées pour pallier à cette problématique. 3. 3

17 2.3 Politique de stratégie de sécurité La sécurité du système d information englobe un ensemble de règles relevant du management. Les flux autorisés ou non-autorisés requièrent une stratégie sécuritaire au sein de l organisation. Cette politique doit être prise en amont dans la mesure où nous devons définir quelles ressources et quels services nécessitent une protection. De plus, les entreprises recèlent de données sensibles et vitales. En général, le coût de protection doit être inférieur au coût de récupération après sinistre [15]. Ces règles visent les objectifs suivants : Intégrité : garantir que les données sont bien celles que nous croyons être ; Confidentialité : seules les personnes autorisées ont accès aux ressources ; Disponibilité : garantir l accès à un service ou aux ressources ; Non répudiation : garantir qu une transaction ne peut être niée ; Authentification : seules les personnes autorisées ont accès aux ressources. Pour respecter la plupart de ces objectifs 1, la mise en place d un pare-feu est souvent indispensable. Deux cas de figure se présentent : 1 Nous interdisons tout par défaut à savoir que tout ce qui n est pas explicitement permis est interdit. 2 Nous autorisons tout par défaut (sauf ce qui est considéré comme dangereux) : Tout ce qui n est pas explicitement interdit est autorisé. Le premier cas propose la solution la plus sûre et la plus confortable pour l administrateur de la sécurité. Néanmoins, elle limite considérablement les droits des usagers. Cette solution reste la plus usitée. L installation de ce genre d outil nécessite un audit des services auprès desquels les utilisateurs puisent les informations dont ils ont besoin. La deuxième solution passe impérativement par une analyse des risques des applications. Ainsi, par déduction nous appliquons les interdictions et autorisons le reste. Cette solution est néanmoins peu recommandable mais offre une facilité d accès aux utilisateurs. Ce livrable s avère donc vitale et doit répondre aux questions suivantes : Quelles ressources essayez-vous de protéger? Quelles services avez-vous besoin de protéger? Quel est le niveau d importance de la ressource? Quelles mesures pouvez-vous mettre en application pour protéger vos biens d une façon rentable et de manière opportune? Quelle est la probabilité d une menace? 1. Notons toutefois que les pare-feux ne protègent pas des attaques provenant de l intérieur de notre réseau. De plus, il ne gère pas l authentification des données sources, ni l intégrité des données. 4

18 Chapitre 3 Maintenir un pare-feu 3.1 Monitoring Le monitoring conserve une place prépondérante dans le maintien des firewall. En effet, il nous éclaire sur la santé du pare-feu, les types d attaque dont il aurait pu être la victime, son bon fonctionnement, également sur les services fournis par le firewall aux utilisateurs en fonction de leur demande. Pour cet usage, l utilisation d un IDS est indispensable. Un IDS 1 surveille le système et signale les évènements sortants du cadre défini par la politique de l entreprise. Ces systèmes relèvent les problèmes dans des journaux de logs. Un fichier de logs reprend par exemple toutes les connexions suspectes qui se sont produites garantissant l imputabilité ; nous pouvons précisément déceler le : qui a fait quoi?, quand?, comment? 3.2 Veille technologique Avant la mise à jour du système, nous sommes vivement amenés à nous documenter et nous tenir informer des nouvelles avancées dans le domaine qui nous occupe. Quotidiennement, de nouveaux bugs, exploits, failles, etc... sont découverts et prêts à être exploités. Le maintien des systèmes requiert un travail considérable, très approfondi de la part des administrateurs. Il existe différents moyens de se tenir informer pour maintenir ses propres performances : Les mailing listes ; Les newsgroupes ; Les sites internet ; Les forums professionnels. 3.3 Mise à jour du système La mise à jour du système est incontournable. L administrateur est en mode veille technologique permanente, il collecte des informations rapidement et les maîtrise. Il est inutile en effet de patcher à tort et à travers. Quelques règles fondamentales sont à respecter : Ne pas se précipiter pour installer une correction ou une difficulté sauf si la gravité du problème laisse supposer le contraire. Laissons le soin à d autres personnes pour effectuer des tests sur le patch et dressons la liste des nouveaux bugs qui apparaissent ; Ne pas patcher les problèmes qui nous sont inconnus un effet boule de neige s en suivrait avec l apparition de nouveaux problèmes ; Prendre garde à l interdépendance des patchs. En effet, des corrections apportées suite à des problèmes réels sont parfois dépendantes de corrections antérieures et produisent un effet domino et totalement contradictoire. 1. Intrusion Detection System 5

19 Chapitre 4 Filtrage de paquets 4.1 Généralités sur le fonctionnement des ACL Le filtrage de paquet (ou filtrage de paquet statique) contrôle l accès à un réseau (ou sousréseau). Il permet l analyse des paquets entrants et sortants. En fonction de critères prédéfinis, il va les transmettre ou les arrêter. A ce titre, le filtrage s effectue en entrée ou en sortie d interface. Le filtrage de paquet se réalise au niveau de la couche 3 (réseau) et 4 (transport) du modèle OSI. Ainsi, le filtrage par ACL s appuie sur la vérification des éléments suivants : Adresse IP Source, Destination ; Port Source, Destination. Une ACL est donc un ensemble séquentiel d instructions binaires (autorisation / refus) qui s appliquent aux adresses IP et aux protocoles de couche supérieure. Ces instructions se trouvent dans un fichier de script qui est lu, ligne par ligne, de haut en bas. En cas de correspondance avec un motif, le paquet est autorisé ou refusé. Par défaut, la plupart des implémentations de pare-feux possèdent une instruction finale appelée instruction "implicite" qui va supprimer le paquet s il ne correspond à aucune des règles établies précédemment dans le script. Nous devons donc nécessairement placer les chaînes les plus spécifiques en haut de la liste. Par ailleurs, les ACL effectuent les tâches suivantes : Elles limitent le trafic réseau pour accroître les performances. Dans cette optique, chaque liste de contrôle d accès doit être placée à l endroit où elle offrira le plus grand impact sur les performances ; Elles contrôlent le flux de trafic ; Elles fournissent un niveau de sécurité de base pour l accès au réseau. Un hôte ne pourra par exemple accéder qu à une certaine portion du réseau : nous pouvons configurer une ACL en vue de contrôler l accès à un réseau ou à un sous-réseau ; Elles déterminent le type de trafic à acheminer ou à bloquer sur les interfaces ; Elles gèrent les différents services autorisés ou non-autorisés. Certains hôtes peuvent avoir accès au service HTTP, d autres au service FTP,... Nous pouvons configurer les ACL pour les appliquer au trafic entrant ; les paquets sont traités avant d être dirigés ou non-dirigés vers la bonne interface de sortie. Le diagramme d activité 4.1 nous éclaire sur la manière dont les paquets entrants sur une interface sont traités par le pare-feu ou le routeur filtrant. 6

20 Figure 4.1: Fonctionnement des ACL en entrée d interface. Le diagramme d activité 4.2 indique la façon dont les ACL sont traitées en sortie. Figure 4.2: Fonctionnement des ACL en sortie d interface. Pour les deux types de traitement, l en-tête IP du paquet sera vérifiée pour s assurer si elle correspond bien à une règle de filtrage. Dans le cas d une absence de correspondance, la prochaine règle sera testée. Pour les paquets matchant avec la règle, le système peut optionnellement inscrire un évènement dans les journaux de logs ou d alertes. Ensuite, une décision de suppression ou de passage est prise. Si un paquet ne correspond à aucune action, il peut être supprimé (deny implicite) conformément à la règle "Tout ce qui n est pas expressément autorisé est supprimé." Chaque fabricant propose sa propre version déclinaison des ACL. Il existe trois types d ACL Cisco que nous développons ci-après de façon plus détaillée : 7

21 ACL Standard : uniquement sur les IP sources ; ACL Étendue : sur pratiquement tous les champs d en-tête IP, TCP et UDP ; ACL nommée-étendue : une ACL étendue à laquelle nous rajoutons un nom. Enfin, les mécanismes de Netfilter se fondent également sur le système des ACL avec quelques petites différences. Ce framework utilise le logiciel libre iptables pour la configuration de chaînes et de règles

22 4.2 Cisco Généralités Nous avons choisi la marque Cisco car elle est éprouvée en matière de sécurité et le temps de réactivité en cas de faille sur leur IOS est remarquable. Nous optons également pour quelques marques différentes et éprouvées de coupe-feux dans le cas où votre réseau en possède plusieurs. Effectivement, si une faille est exploitée sur un pare-feu de la marque X, cela empêchera les autres (Y, Z) d être contaminés par les mêmes symptômes. Cisco définit une bonne pratique de configuration pour les ACL, la règle des trois "P" : Une ACL par protocole ; Une ACL par direction ; Une ACL par interface. Le pare-feu lit séquentiellement toutes les instructions de haut en bas, l ordre des conditions est donc vital ACL standard Les contrôles d accès par liste standard se placent près de la destination du flux à gérer. En effet, la destination du paquet et les ports concernés ne sont pas inclus. Le schéma 4.3 nous montre le réseau d une entreprise avec une composition de sous-réseaux. Figure 4.3: Schéma simplifié d un réseau d entreprise 9

23 La forme des chaînes appliquées aux ACL standard cisco se présente ainsi : Routeur(config)#access-list numéro-liste-accès [deny permit] \ remark source [masque-générique-source] Nous devons attribuer aux ACL un numéro compris entre 1 et 99 et entre 1300 et 1999 (numéroliste-accès). Les mots-clés deny et permit ont pour fonction d autoriser ou non-autoriser un paquet matchant le motif. L adresse IP source dans le header du paquet IP est comparée à la clause source de la commande access-list. L adresse et le masque générique sont des valeurs de 32 bits écrites en notation décimale. Nous ne devons pas confondre le masque générique avec le masque de sous-réseau. Dans cette étude de cas, nous montrons comment autoriser le réseau à accéder à Internet et comment refuser l accès internet au réseau Sous un environnement Cisco IOS, voici les étapes à suivre pour configurer cette ACL standard : Firewall(config)#access-list 1 permit Firewall(config)#access-list 1 deny Firewall(config)#interface serial0/1 Firewall(config-if)#ip access-group 1 out Nous appliquons ici l ACL à l interface serial0/1 puisque c est l interface la plus proche de la destination du trafic à manager. Nous devons être très rigoureux dans la documentation du réseau afin d éviter des chaînes contradictoires ou doubles qui engendreraient une panne du réseau. 10

24 4.2.3 ACL étendue Les ACL étendues filtrent les paquets IP en fonction de plusieurs critères : le type de protocole ; l adresse IP source / destination ; les ports TCP ou UDP sources / destination ; les informations optionnelles liées au protocole. Dans un souci d efficacité optimale, nous sommes tenus de les placer le plus près possible de la source de trafic à monitorer. Le flux est ainsi filtré et ne traverse pas tout le réseau. La chaîne doit se présenter sous la forme suivante : Routeur(config)#access-list numéro-liste-accès [deny permit] [masque-générique-destination] opérateur por Nous attribuons impérativement un numéro compris entre 100 et 199 et entre 2000 et 2699 (numéro-liste-accès). Les clauses deny et permit n ont pas changé de signification en comparaison aux ACL standards. Protocole peut représenter n importe quelles valeurs désignées ci-dessous : ip ; tcp ; udp ; icmp. Les correspondent respectivement à l adresse source du flux et à l adresse de destination du flux. Il en est de même pour le masque générique. Les composantes Opérateur et port sont utilisés pour comparer des numéros de port, des services ou des noms de contact. Pour les protocoles TCP et UDP, la composante opérateur peut adopter les valeurs suivantes : lt (less than = moins que) ; eq (equal to = égal à) ; gt (greater than = plus grand que) ; neq (not equal to = non égal à). La valeur port est un mot-clef ou une valeur décimale correspondant au port de destination du protocole spécifié. 11

25 Par exemple, selon le schéma 4.3 l administrateur système veut imposer la politique suivante : Les hôtes du réseau ne doivent pas avoir accès aux ressources FTP du réseau : Router1(config)#access-list 101 deny tcp à eq 21 Router1(config)#access-list 101 deny tcp à eq 20 Router1(config)#access-list permit ip any any Router1(config)#interface fa0/0 Router1(config-if)#ip access-group 101 in Il existe d autres types d ACL étendues que nous décrirons ci-dessous. ACL Dynamiques Ces ACL s opposent aux utilisateurs qui envisagent de traverser un routeur tout en partant du principe que : les usagers n usitent pas Telnet ou SSH pour se connecter au routeur ; les usagers n ont pas été authentifiés. Ces ACL ne fonctionnent que pour le trafic IP. Nous les utiliserons lorsqu un utilisateur distant ou un groupe d utilisateurs souhaitent accéder à un hôte sur le réseau via Internet. L ACL authentifie l utilisateur et autorise un accès limité dans le temps par le biais du routeur pare-feu. L authentification passe par l emploi d un serveur AAA, TACACS+ ou encore un autre serveur de sécurité avant de permettre l accès. Ces verrous présentent les avantages suivants : Utilisation de mécanismes d authentification des utilisateurs ; Gestion simplifiée sur les réseaux de grande taille (MAN, WAN, Internet) ; Traitement réduit du routeur ; Limitation des infractions par les pirates ; Création d un accès utilisateur dynamique via le coupe-feu, sans compromettre les autres restrictions de sécurité. 12

26 ACL Réflexives Ces ACL créent automatiquement des entrées temporaires en fonction des informations sur la session de couche supérieure. Elles permettent ainsi de se prémunir contre les attaques de type DDoS, ou de mystification car le routeur filtrant gère le trafic de session de manière dynamique. Lorsque le routeur détecte une nouvelle connexion, il ajoute une entrée à une ACL provisoire pour autoriser les réponses. Découvrons les étapes à respecter sur un routeur cisco pour autoriser le trafic ICMP entrant et sortant : nous autorisons uniquement le trafic TCP initié à l intérieur du réseau ( /16 1 ) de l entreprise4.3 : Étape 1 : Configuration de l ACL en sortie Firewall(config)#ip access-list extended OUTBOUNDFILTERS Firewall(config-ext-nacl)#permit tcp any reflect TCPTRAFFIC Firewall(config-ext-nacl)#permit icmp any reflect ICMPTRAFFIC Étape 2 : Configuration de l ACL en entrée Firewall(config)#ip access-list extended INBOUNDFILTERS Firewall(config-ext-nacl)#evaluate TCPTRAFFIC Firewall(config-ext-nacl)#evaluate ICMPTRAFFIC Étape 3 : Application des ACL à l interface serial0/1 Firewall(config)#interface serial0/1 Firewall(config-if)#ip access-group INBOUNDFILTERS in Firewall(config-if)#ip access-group OUTBOUNDFILTERS out ACL basées sur le temps Une plage horaire définit certains moments de la journée ou de la semaine au cours desquels les ACL sont implémentées ACL nommée-étendue Les ACL nommées sont simplement des ACL standards ou étendues auxquelles nous avons ajouté un nom : il est ainsi plus simple d identifier la fonction de l ACL si votre firewall en possède un grand nombre. 1. Nous pouvons englober deux réseaux IP en travaillant sur les masques de sous-réseau. Nous définissons ensuite un masque générique. Vous pouvez consulter la ressource [13] pour plus d informations. 13

27 4.3 Netfilter Généralités Netfilter est le firewall du kernel linux (2.4 et supérieur) ; Il surveille tous les paquets réseaux. Netfilter gère la pile IP du système et peut [1] : Imposer au système de supprimer le paquet (drop) ; Indiquer au kernel que le paquet est accepté auquel cas il poursuit son travail ; Modifier le paquet puis le rendre au kernel. Ces différents cas de figure s appellent des hooks 2. Le système d exploitation stoppe le processus et exécute une portion de code. Netfilter manipule des tables qui sont des ensembles de chaînes composées elles-mêmes de règles. Il existe trois types de tables : Filter : qui filtre les paquets réseaux ; Nat : qui s emploie à la traduction d adresses ; Mangle : qui s emploie à la qualité de service (QOS). Nous ne l aborderons pas dans le cadre de cet ouvrage. Nous détaillerons ci-dessous le rôle de la table Filter et Nat. Ces règles représentent des ACL qui vérifient les paquets et qui sont en mesure de scruter : Les paquets marqués par la table Mangle ; Le nombre de paquets ; L interface source / destination. en plus des critères énumérés en 4.1. Iptables est une commande que seul le super utilisateur "root" a la faculté de lancer. Elle dialogue avec Netfilter afin de contrôler les règles. Cette commande a la capacité de : Ajouter des règles ; Supprimer des règles ; Modifier des règles ; Afficher les règles. Nous préconisons la consultation du manuel iptables ; lister tous les paramètres de la commande ne serait pas judicieux. 2. hook = interruption 14

28 4.3.2 Table Filter La table filter sert à filtrer (comme son nom l indique) les paquets. Pour ce faire, cette table utilise trois chaînes distinctes 4.4 : Input : pour le contrôle des paquets à destination des services ; Output : pour le contrôle des paquets en provenance des services ; Forward : pour le filtrage des paquets qui passent d une interface réseau à une autre. Ces paquets ne passent jamais par les règles Input et Output. Implicitement, tout ce qui n est pas explicitement autorisé est refusé. Dans ce sens, nous pouvons travailler en deux temps : Tout interdire puis n autoriser que les flux conformément à la stratégie de l entreprise. Figure 4.4: Filtrage de paquet avec la table Filter. 15

29 4.3.3 Table Nat La table Nat 6.2 transforme le serveur en passerelle Internet. Dans cet optique, elle utilise trois chaînes : Prerouting : dès leur arrivée sur le coupe-feu, les paquets sont modifiés afin de faire du NAT ; Output : Les paquets sortants des processus locaux sont modifiés (cas identique rencontré avec la table filter) et ce avant routage ; Postrouting : modification des paquets qui sont sur le point de quitter le système. Figure 4.5: Filtrage de paquet avec la table Nat. 16

30 4.3.4 Etude de cas Contexte Notre petite entreprise de 20 salariés a récemment été attaquée. Le stress est à son comble : toutes nos données sont irrécupérables et le serveur Web est hors service. Nous avons été mandaté par notre Direction pour trouver une solution afin d éviter à nouveau ce genre d ennui. Conscients du problème, nous décidons dans un premier temps de définir une politique de sécurité par la mise en place d un pare-feu. (Nous nous occuperons ici uniquement de cet aspect, la tâche dans son ensemble se révèle gargantuesque!) Prérequis Nous avons réalisé un audit du réseau et recensé les différents services dans un schéma 4.6. Figure 4.6: Schéma de principe Nous décidons de mettre le serveur Web dans une DMZ et de rendre les services Samba et FTP uniquement accessibles depuis le LAN. Le service du Net doit être ouvert aux employés. L installation d une distribution Unix est nécessaire. Nous utiliserons ici la dernière distribution Debian 6.0 Squeeze (noyau ). Configurations Il faudra être "root" pour lancer les diverses commandes (commande sudo). Nous nous servirons de l éditeur de texte "vim" pour écrire le script que nous appellerons iptables_rules. Nous définirons ensuite les chaînes à ajouter à notre fichier de script. Nous utiliserons pour cela le logiciel iptables. Nous devrons dans un premier temps vider la table de règles via la commande iptables -F. Ensuite, nous configurerons les politiques par défaut et enfin les différents services (SSH, HTTP, TCP,...) et nous achèverons notre travail par l établissement d une DMZ permettant de cloisonner le serveur HTTP du reste du réseau. Nous offrirons aux utilisateurs l accès au réseau externe par la mise en place de la fonction de nat. 17

31 Enfin, après chaque redémarrage du système, les règles ne sont plus appliquées. A ce titre, nous aurons à charge d exécuter les commandes suivantes : #Copie le script iptables_rules dans /etc/init.d : cp iptables_rules /etc/init.d/ #Applique le script à tous les niveaux de démarrage. update-rc.d iptables_rules defaults Si vous ne souhaitez plus exécuter le script au démarrage, vous devrez exécuter les commandes suivantes : #Supprime le script rm i /etc/init.d/iptables_rules #Supprime le script des tous les niveaux de démarrage. update-rc.d iptables_rules remove L intégralité du script est disponible et commenté en annexe A. Pour plus d informations sur la commande iptables, veuillez vous référer au manuel (commande man iptables). 18

32 Chapitre 5 Architecture des pare-feux 5.1 Screening router / Packet filtering router Les routeurs basés sur l architecture à filtrage de paquet permettent d échanger des flux d informations entre un réseau intègre et non-intègre. On qualifie d intègre, un réseau auquel nous pouvons nous fier (LAN), réseau fiable face à la multitude de menaces que nous pouvons retrouver sur Internet par exemple (Untrusted Network). La figure 5.1 explique ce concept. Figure 5.1: Topologie d un réseau utilisant un routeur à filtrage de paquets. Les firewall à filtrage de paquets garantissent les fonctions ci-après : Listes et objets. Les réseaux et les services peuvent être représentés par des objets regroupés dans les ACL. Accès total aux données. Les firewall peuvent filtrer les adresses et les informations d en-tête de PDU des couches 2 à 7 du modèle OSI. Les règles sont donc plus intelligentes car elles sont basées sur des informations plus complètes. Indépendance des protocoles. Les définitions à haut-niveau déterminent de nouveaux protocoles et de nouvelles applications, rendant le filtrage plus générique et flexible. Audit et alerte. Nous pouvons inscrire les paquets dans des fichiers de logs et relayer les alertes, via le protocole SNMP, vers les outils de monitoring appropriés. Optimisation. Des techniques comme la mise en cache ou les tables de hachage (fonction rapide par définition) permettent d unifier plusieurs instances d un même objet et ainsi accéder aux données de manière plus efficace. Le coupe-feu peut devenir un point de congestion en cas de trafic important. Il représente l unique point de sécurité de l entreprise et devient irrémédiablement la cible des pirates, ce qui le rend sacrificiel en cas de problème conséquent. 19

33 5.2 Screened host / Bastion host Le trafic qui provient du réseau externe (Untrusted) est redirigé vers l hôte bastion ou le firewall garant de la sécurité du réseau intègre. Les flux issus du réseau interne passent par cette hôte bastion ou font le choix de sortir directement vers le réseau externe sans être analysés par le bastion 5.2. Un hôte bastion est un type de firewall qui est critique pour la sécurité de l entreprise, dans la mesure où il centralise tous les contrôles de sécurité. Par conséquent, il doit être parfaitement renforcé. Figure 5.2: Topologie d un réseau utilisant un hôte bastion Nous devons veiller à rediriger vers l hôte bastion tout le trafic reçu de l extérieur. Cette politique se met en place via la configuration de routes statiques. Ainsi, un pirate devra d abord pénétrer la passerelle internet avant de se confronter au firewall. 20

34 5.3 Dual-homed Host Cette hôte est implanté entre le réseau de confiance et le réseau non-intègre 5.3. Figure 5.3: Topologie d un réseau utilisant une passerelle internet. Ce type d architecture permet d héberger des services liés à des applications usitées dans l entreprise. Le transfert direct vers une interface est contré, puis forcé à se diriger vers une application ou un proxy s exécutant sur le firewall. C est la configuration la plus basique utilisée sur les pare-feux. Comprenons que le routage doit être désactivé sur ces pare-feux pour qu il ne puisse fonctionner qu en mode store-and-forward 1. L hôte offre ainsi une isolation du trafic entre les réseaux directement connectés ; chacun d entre eux pouvant accéder directement aux applications hébergées sur ce coupe-feu. Notons que l utilisation d applications de type "forward" implique un trafic non acheminable aussi longtemps que le daemon ne fonctionne pas. Nous sommes dans un cas typique de la politique "Tout ce qui n est pas explicitement autorisé est interdit". 5.4 Pare-feu de niveau application Cette hôte autorise la connection à différents sous-réseaux et s attribue différents rôles comme réaliser du proxy ou du reverse proxy. Il fait du trafic store-and-forward, et, est configuré pour comprendre les flux au niveau de la couche application (7) du modèle OSI. Pour chaque service géré, le coupe-feu possède l application adéquate ce qui permet en outre une sécurité optimale. Figure 5.4: Topologie d un réseau utilisant un appareil de firewalling logiciel. 1. Stocker et transférer 21

35 5.4.1 Proxy Le proxy 2 propose de jouer les médiateurs entre un poste client et un serveur. Dès qu il reçoit une requête de type Call (et après avoir vérifié si cette requête est bien valide) le proxy transfère la requête au bon serveur. Le serveur mandataire joue un double jeu : Celui de serveur pour les requêtes entrantes et celui de client pour les requêtes à transmettre (de type forward). Aussitôt la session établie, le proxy peut jouer le rôle de relais entre le client et le serveur. Ainsi, chaque donnée est interceptée par le firewall, ce dernier possède tous les pouvoirs sur la session, il est capable de stocker les informations dans des journaux par exemple! En résumé, ce type de serveur accepte de : mettre en cache les requêtes des clients internes vers une même source du réseau externe ; réaliser de la journalisation des requêtes ; cacher l adresse IP du client appartenant au réseau non-intègre. Figure 5.5: Application proxy jouant le rôle de client et de serveur. Il peut donc procurer anonymat et filtrage. Les entreprises utilisent fréquemment le proxy pour contrôler les flux sortants émis par leurs employés vers l internet e.g. le proxy HTTP Squid Reverse-Proxy Le proxy inverse ou reverse-proxy rend possible l ajout de certaines fonctionnalités lucratives en toute transparence pour l utilisateur. Il nous donne les moyens de : réaliser du balançage de flux en entrée vers différents serveurs ; terminer des communications sécurisées ou décrypter des messages chiffrés ; pratiquer du cache d informations. 2. appelé aussi serveur mandataire. 22

36 5.5 Screened subnet / DMZ Une architecture DMZ 3 permet le cloisonnement de réseaux dans la mesure où l entreprise possède habituellement plusieurs sous-réseaux avec des règles de sécurité différentes. En effet, certains services réseaux internes se soumettent à une transparence vis-à-vis de l entreprise et du monde extérieur. Nous y trouverons par exemple les serveurs : FTP public ; Messagerie ; Web. La figure 5.6 illustre ce cas précis. Figure 5.6: Topologie d un réseau utilisant une DMZ Nous appelons hôte bastion les serveurs appartenant à la DMZ ; notre hôte joue le rôle d avant-poste dans le réseau de l entreprise. La création d une zone tampon est nécessaire afin de ne pas compromettre la sécurité interne de la société. Quand bien même la DMZ bénéficierait d une protection accrue, des attaques seraient toujours possibles via les ports ouverts. Si un hôte de cette zone était démasqué, l intrus n aurait accès qu aux machines la composant. Il est donc vitale de ne pas stocker des serveurs hébergeant des données sensibles dans ce sous-réseau. 3. DeMilitarized Zone : Ce nom provient de la zone coréenne démilitarisée. 23

37 La politique de sécurité utilisée sur la DMZ se présente généralement comme suit[5] : "Trafic du réseau externe vers la DMZ autorisé ; Trafic du réseau externe vers le réseau interne interdit ; Trafic du réseau interne vers la DMZ autorisé ; Trafic du réseau interne vers le réseau externe autorisé ; Trafic de la DMZ vers le réseau interne interdit ; Trafic de la DMZ vers le réseau externe interdit." Prenons le cas d une entreprise qui ne possède qu un seul firewall et qui se fait démasquer. Dès cet instant l ensemble du réseau géré par ce firewall perd sa totale intégrité. Dès lors, l ajout d un firewall en redondance s avère judicieux et nécessaire. La meilleure approche serait l utilisation de deux coupe-feux similairement à la figure 5.6. Nous serions tenus de configurer le routeur de passerelle (routeur filtrant) avec des routes statiques de façon à diriger tout le trafic vers le premier coupe-feu. Cette topologie est excellente car un attaquant potentiel devrait dans un premier temps pénétrer le premier routeur filtrant et se confronter ensuite au premier firewall. Un second pare-feu protège le réseau lan interne accroissant davantage la sécurité (avec en sus l utilisation d un autre pare-feu filtrant 4 ). Figure 5.7: Chemin d accès du trafic pour le réseau de la figure 5.6. Notons que ce type de topologie ne protège pas systématiquement des attaque internes. En cas d intrusion, il est possible de sacrifier un firewall de façon à garantir l intégrité des réseaux sous-jacents. 4. Ce deuxième routeur filtrant est appelé "Choke" 24

38 Chapitre 6 Technologies des pare-feux 6.1 Système de filtrage Généralités Nous venons de définir les règles de filtrage dans notre documentation du réseau, nous les implémenterons par la suite dans le routeur ou le pare-feu. Il existe trois types de routeur filtrant que nous détaillerons ci-dessous. 25

39 6.1.2 Filtrage simple de paquets Le système de filtrage simple (ou stateless) analyse les en-têtes des paquets indépendamment les uns des autres. Ces paquets sont échangés entre un hôte du réseau interne et une machine extérieure. Le pare-feu analyse chaque datagramme qui transite entre les deux protagonistes, et systématiquement, les en-têtes IP suivantes : Adresse IP source / de destination ; Type de paquet (TCP, UDP, ICMP) ; Numéro de port. Figure 6.1: Filtrage par adresse IP [7]. Figure 6.2: Filtrage par protocole [7]. Cette méthode, la plus simple, opère au niveau de la couche 3 (réseau) et 4 (transport). Ce type de filtrage néanmoins n offre pas que des avantages. En effet, nous sommes tenus de configurer une grande quantité d ACL afin que le coupe-feu présente une réelle protection : nous devons autoriser toutes les connexions TCP avec un port supérieur à 1024, ce qui laisse une multitude de possibilités pour un pirate potentiel. Par ailleurs, ce type de filtrage est très vulnérable aux attaques de types IP Spoofing / Flooding ou DOS! Les pare-feux de médiocre qualité proposent ce genre de filtrage au détriment d une journalisation ou encore de l état des paquets. Les possibilités sont donc très limitées, la puissance sacrifiée ; il ne convient définitivement pas à une entreprise soucieuse d avoir un niveau élevé de sécurité. 26

40 6.1.3 Filtrage de paquets avec état Le filtrage de paquets avec état (dynamique ou Statefull) qui agit au niveau des couches 3 et 4 d OSI représente une amélioration du filtrage stateless énoncé ci-dessus. En effet, le travail du coupe-feu consiste non seulement à la simple analyse de paquet, mais également à conserver une trace des sessions et des connexions dans ses propres logs internes. Ces opérations lui permettent d assurer un suivi des transactions. Le coupe-feu est ainsi parfaitement apte à tenir compte de l état des anciens paquets pour appliquer les règles de filtrage et donc réagir en cas de protocole suspect. En résumé, un flux de retour est autorisé dans le seul cas où le pare-feu a détecté un paquet similaire dans l autre direction. Figure 6.3: Pare-feu en mode Statefull [7]. Ainsi, il n est pas vulnérable aux attaques de types IP Spoofing et SYN Flood. Cette technologie de pare-feu agit en toute transparence et offre une bonne protection, elle peut donc se prévaloir d être la plus répandue. Néanmoins, le problème le plus important concerne le filtrage de paquets FTP (Port 21) : la gestion de ce trafic nécessite des applications spécifiques supplémentaires. Nous devons en effet gérer l état des deux connexions ou encore l authentification. 27

41 6.1.4 Filtrage applicatif Le filtrage applicatif permet "comme son nom l indique" de gérer les protocoles de la couche 7 Application du modèle OSI. Dans cette perspective, le firewall a une obligation d analyse : celle des PDU 1 de la couche application avec le protocole approprié comme le montre la figure 6.4. Par exemple, si un PDU se présente avec une en-tête HTTP, nous sommes contraints d utiliser un proxy HTTP pour l examiner (Squid, Apache,...). Figure 6.4: Pare-feu en mode applicatif [7]. Ces pare-feux permettent une analyse fine, leur efficacité demande cependant une puissance considérable. Par ailleurs, en raison du nombre de protocoles de couche 7, nous nous voyons dans l impossibilité de tout contrôler. Si un utilisateur nécessite une application, nous devons trouver un compromis entre sécurité et équilibre du réseau. Ceci sous-entend que seuls les services les plus importants seront pris en charge. Enfin, certains protocoles propriétaires peuvent poser des problèmes : Comment filtrer quelque chose qui n a pas publiquement été définie? 1. Protocole Data Unit, est l unité de données pour une couche 28

42 6.2 NAT La NAT est l acronyme de Network Adress Translation. Cette technologie a vu le jour suite au nombre toujours plus décroissant d adresses IPv4. Elle fait correspondre un intranet à une seule (voire quelques) adresse publique routable sur internet. 2 Il existe différents types de NAT : Nat Statique : Un ensemble d adresses locales et globales est mappée de manière biunivoque et permanente. Ex : Serveur Web Nat Dynamique : Un ensemble d adresses internes est transféré dans un plus petit ensemble d adresses externes. Se sont les numéros de port qui vont permettre d identifier la traduction en place. [24] Même si ce système assure la sécurité du réseau et augmente la souplesse des connexions vers le réseau public, les traductions s effectuent au détriment des performances. Toutefois la possibilité nous est donnée de configurer des ACL sur les interfaces concernées et d autoriser ainsi certaines portions de l intranet à se faire traduire ou non. Le logiciel iptables d unix permet grâce à la politique FORWARD de contrôler la destination des paquets au sein d un LAN. Par exemple, ces règles accordent aux systèmes, derrière un pare-feu, l accès au réseau interne : iptables -A FORWARD -i eth0 -j ACCEPT iptables -A FORWARD -o eth0 -j ACCEPT 6.3 VPN Un VPN offre une grande fiabilité et une sécurité optimale entre différents réseaux distants reliés entre eux par internet. Le manque de confidentialité sur internet pose des problèmes de sécurité. Pour pallier à ce manquement sécuritaire, nous préconisons l utilisation du chiffrement, véritable garant du bon fonctionnement du mécanisme des firewall : un tunnel est ainsi créé entre le client et le serveur. L IETF définit un standard IPSEC pour le protocole IP offrant à la fois confidentialité et intégrité. Après authentification mutuelle via l échange de clé (Protocole IKE), les deux parties négocient les paramètres de sécurité. IPSec fonctionne sur deux modes : Un mode transport et un mode tunnel. Le mode transport chiffre uniquement la partie de données (ou payload) du paquet. En mode tunnel, c est tout le paquet IP qui est chiffré. Ce dernier est encapsulé dans un nouveau paquet IP. Notons toutefois que seuls les pare-feux haut de gamme supportent les VPN. La technologie MPLS développée par l IETF (rfc3031) permet de créer des VPN non plus au niveau application mais au niveau des couches liaison et réseau (couche 2.5). 2. Pour plus d informations, consulter la RFC Address Allocation for Private Internets 29

43 6.4 Pare-feu intégrant la détection d intrusion Généralités Les pare-feux de dernière génération, les firewall Cisco par exemple, intègrent des outils très avancés de détection d intrusion comme les IDS (Intrusion Detection System). Par définition, la détection d intrusion est le processus qui vise à monitorer les évènements se produisant sur un ordinateur ou un réseau dans le but de les analyser pour noter les possibles incidents qui viennent à l encontre de la politique de sécurité mise en place par l entreprise. Nous noterons ici la nécessité de lire et d exploiter les journaux d évènements de manière efficace. Ces violations peuvent prendre plusieurs formes : Logiciel malveillant : chevaux de trois, vers, virus,... Attaquant qui obtient des accès super utilisateur vers une machine du réseau, Mauvais usage des droits des utilisateurs. Ainsi, la quasi-totalité des dimensions sécuritaires sont impactées 2.3 : 1. Intégrité, 2. Confidentialité, 3. Disponibilité, en cas de mauvaise configuration/politique de détection d intrusion! Nous devons néanmoins prendre garde au "faux-positifs".. Pour exemple, un utilisateur lambda qui accidentellement se connecte à un service du réseau sans autorisation. Selon la NIST, "un IDS est un logiciel qui automatise le processus de détection d intrusion. Un IPS (intrusion prévention system) est un logiciel qui possède toutes les capacités d un IDS et qui stoppe tout type d intrusion."[16]. Nous affirmons qu un IPS est un système pro-actif alors qu un IDS permet simplement de journaliser les événements qui apparaissent sur le réseau. De manière générale, ces deux systèmes sont complémentaires et agissent de concert en composant un même service nommé IDPS. Le prix entre ces deux systèmes augmente de façon significative. 30

44 6.4.2 Famille de systèmes de détection d intrusion Les systèmes de détection d intrusion se divisent en deux familles : 1. Détection qui s appuie sur les signatures, 2. Détection qui s appuie sur les anomalies. Détection s appuyant sur la signature Cette méthode utilise les signatures définies comme motif préconfiguré et prédéterminé par un expert du domaine. Un système fondé sur la signature monitore le trafic réseau pour matcher avec ces signatures. Dès qu un motif est détecté, l IDS reporte l anomalie, un IDP peut s attribuer les actions appropriées. Ce système comporte néanmoins quelques lacunes : 1. Ces systèmes identifient exclusivement les problèmes connus 3 et sont incapables de détecter une situation complexe et inconnue même rencontrée au préalable sur le réseau, 2. Les signatures nécessitent une mise à jour régulière et pointue d où l intérêt d une veille technologique approfondie. (3). Détection fondée sur les anomalies Cette méthode construit un modèle de fonctionnement d un réseau en condition normale d utilisation : c est ce que nous appelons un "profil". Ces profils sont utilisés pour détecter de nouveaux motifs qui transgressent de façon significative le mode normal de fonctionnement d un réseau. De tels écarts de conduite méritent une attention particulière : il s agit d une intrusion ou d un comportement qu il faudra ajouter au profil. Notons ici que la détection fondée sur les anomalies réagit de manière proactive. Le datamining peut apporter sa contribution dans la détection des intrusions de différentes manières telles que proposées en Notons l analogie avec un antivirus qui lui aussi n est pas pro-actif. Ce dernier préfère travailler avec une base de données des principales vulnérabilités. 31

45 6.4.3 Place de l IDPS dans le réseau Mode actif Un réseau d entreprises qui intègre un IDPS est composé de capteurs 4, de consoles, d une ou plusieurs bases de données. Les capteurs permettent d analyser et de monitorer l activité du réseau sur un ou plusieurs segments. La question que nous devons soulever est bien la suivante : Où disposer ces capteurs dans le réseau? Le déploiement d un IDPS en mode actif offre à ces capteurs la possibilité de stopper des attaques par blocage direct du trafic réseau. Ces capteurs sont placés stratégiquement au niveau des divisions réseaux (figure 6.5) typiquement entre un réseau intègre i.e. le réseau LAN et un réseau non intègrei.e internet. Figure 6.5: Place d un IDPS en mode actif dans le réseau[16] 4. Selon Wikipédia, "un capteur est une interface entre un processus physique et une information manipulable" 32

46 Adoptons maintenant une démarche plus scientifique par analyse du schéma 6.6 : Figure 6.6: Emplacement des capteurs dans un réseau simplifié d une entreprise Si l entreprise décide de placer son firewall + IDPS à la position indiquée par la pastille 1 sur le schéma 6.6 : l ensemble du trafic en provenance et à destination de l internet serait analysé. Ce mode de protection très optimale doit néanmoins rester en adéquation avec les besoins sécuritaires de l entreprise. En effet, citons pour exemple le niveau de protection que l entreprise envisage de porter à ses données. Il en résulte une puissance computationnelle très conséquente : Le firewall doit donc se doter d un processeur et d une mémoire cache très performants. Par ailleurs, le temps de latence augmenterait de façon significative sur l ensemble du réseau de l entreprise.. Nous recommandons ce genre de protection aux entreprises qui nécessitent un besoin vital de sécuriser leurs données hébergées sur un serveur du réseau LAN. Le RSSI décide de placer l IDPS en position 2, seul le trafic Web de la DMZ en provenance et à destination du réseau LAN serait analysé. Le réseau LAN sera dépourvue de cette sécurité. Nous recommandons ce genre de protection aux entreprises désireuses de loger leur cœur de métier principalement sur un site Web hébergé dans la DMZ par exemple. 33

47 Le RSSI décide de placer l IDPS en position 3, seul le trafic WEB, LAN et en provenance / à destination du Lan sera analysé. La puissance computationnelle requise dans cette position serait moindre par rapport à la position 1. Nous recommandons ce type de protection aux entreprises ayant un besoin vital de sécuriser leurs données hébergées sur un serveur du réseau LAN. La protection des communications de l IDPS implique l utilisation d un VLAN de management. Mode passif L observation d une copie actuelle du réseau se fait par l intermédiaire d un IDPS en mode passif. (figure 6.7) : aucun trafic "véritable" ne circule par ses capteurs. Dans la majorité des cas, ils sont déployés pour pouvoir monitorer efficacement les points clés du réseau (DMZ, points sensibles du réseau, divisions des réseaux,...). Figure 6.7: Place d un IDPS en mode passif dans le réseau[16] 34

48 Les capteurs analysent le trafic comme suit : Spannig Port : La grande majorité des commutateurs possèdent un port capable de discerner le trafic qui y circule. En plaçant un capteur passif à cet endroit, l administrateur est donc capable de monitorer tout le trafic réseau. Les meilleures pratiques de configuration sont requises pour donner au port les moyens de monitorer efficacement le trafic, Tap Réseau : il autorise une connexion directe entre un capteur et un réseau physique. Cette interface Tap fournit au capteur une copie de l ensemble du trafic réseau. Notons que la mise en place d une interface de ce type provoque des latences réseau, IDS à balançage de lien (load balancer) : Ce système permet la réception d une copie du trafic réseau d une ou plusieurs interfaces tap et/ou Spanning port agrégeant ainsi le trafic de quelques réseaux comme le montre la figure 6.7. Plusieurs configurations sont disponibles en fonction des besoin des entreprises. La première envoie la totalité du trafic à plusieurs capteurs IDPS et garantit ainsi la haute-disponibilité et le monitoring concurrentiel des mêmes activités réseaux. La deuxième sépare dynamiquement le trafic au travers de plusieurs IDPS en intégrant une composante de volume des données. La dernière sépare le trafic au travers de différents capteurs IDPS en fonction de métriques : adresse IP, protocoles, etc... 35

49 6.5 Problématiques liées à l exploitation des journaux d évènements générés par les IDPS Les journaux d activité générés sont tout simplement gargantuesques. Une journée d activité réseau normale montre que les fichiers de logs dépassent les millions d occurrence ; une analyse par l être humain est donc inutile. De plus, dans l article "A Clustering Algorithm for Intrusion Detection" de Qiang Wang & al., les auteurs annoncent que la plupart des IDPS génèrent de nombreux faux-positifs. Voici les problématiques auxquelles nous tenterons de répondre tout au long de l étude 1 : Quels mécanismes mettrent en place afin de minimiser l analyse des données issues des fichiers de logs générés par les IDPS? L exploration de données peut-elle être le remède à ce problème? Nous verrons ci-après l extraction de connaissances qui prélève des connaissances à partir d un gros volume de données (chapitre 7.1).Le volume du flot de données associé à la vitesse de commutation au sein des réseaux (suivant la Loi de Moore) éclate de manière singulière. Face à ce constat, nous devons apporter de nouveaux outils qui soient capables de traiter de telles volumes d informations. Le datamining composante de l extraction de données fournit une méthode efficiente ; le clustering permet le traitement de volumes considérables et un bilan des principaux avantages liés à la détection d intrusions. A ce stade, la recherche n en est qu à son balbutiement ; nous jugeons opportun d intégrer cette composante à notre thèse et de la présenter dans un chapitre complet. Nous aborderons ce sujet en 7. 36

50 Deuxième partie Étude 1 : Quelles solutions le clustering de données apporte-t-il à une l exploitation efficace de journaux d évènements générés par les IDPS? 37

51 Chapitre 7 Le clustering, outil d aide à la détection d intrusion Dans ce chapitre, nous présentons l extraction de connaissances et plus particulièrement l une de ses composantes essentielles, le dataming. De façon précise, le datamining est un remarquable outil d extraction de connaissances à partir de gros volumes de données, en exemple : les volumes de données fournis par un réseau et analysé par un firewall. 7.1 Présentation de l extraction de données Pourquoi l extraction de données? Auparavant, l analyse et l interprétation des données se réalisaient manuellement dans de nombreux domaines : travail fastidieux, coûteux, avec des résultats subjectifs. De plus, des décisions stratégiques, des conclusions étaient émises à partir de ces résultats. La taille des BDD explose littéralement sur le nombre de champs, sur le nombre d enregistrements : l analyse manuelle devient impossible pour l homme d où le recours à l automatisation du moins partielle de l analyse. Cette dernière permet de gagner en compétitivité, efficacité, qualité de service dans le domaine des affaires, dans le milieu scientifique. L extraction de données est la réponse à toute problématique du traitement de volumes considérables de données. Le datamining concerne l application d algorithmes de recherche de motifs. Figure 7.1: Les étapes de l extraction de connaissances 38

52 7.1.2 Étape de l extraction de données L extraction de données qui est en constante évolution permet d extraire des connaissances à partir des données et comprend une multitude d étapes dont le datamining. Toutes ces étapes décrites ci-après sont essentielles à la bonne interprétation des données (7.1) : 1. Compréhension du domaine d étude pour dégager le but du processus de l extraction de données ; 2. Création d un jeu de données cible : sélection de données ou d un sous-ensemble de variables ; 3. Suppression et prétraitement des données : Suppression des données inutiles, collecte des informations, choix stratégique sur les données manquantes, Réduction et transformation des données : recherche de caractéristiques, réduction du nombre de variables, représentation invariable ; 5. Choix des fonctions de fouilles de données (résumé, classification, régression, regroupement,... ) ; 6. Choix des algorithmes pour la fouille ; 7. Le datamining qui recherche des motifs exploitables ; 8. Évaluation des motifs de fouille et visualisation du motif ou du modèle extrait ; 9. Exploitation de la connaissance découverte. Notons que le processus peut boucler entre deux étapes si les résultats obtenus ne sont pas concluants (figure 7.1) Le datamining, étape de l extraction de connaissances Le choix de l algorithme de datamining est souvent sujet à de multiples itérations. La découverte de connaissances doit son existence à la vérification et à la découverte. Tandis que la vérification évalue la véracité de l hypothèse utilisateur, la découverte s attèle à la recherche de motifs et se subdivise en deux : 1. La prédiction (motif à la recherche de futurs comportements) ; 2. La description (représentation de motifs compréhensibles). La fouille de données doit ajuster les modèles aux données observées, ou en dégager des motifs. Ces modèles jouent le rôle de connaissance inférée : quelque soit l issue, le jugement «subjectif» de l homme est requis. Deux procédés mathématiques sont nécessaires à la préparation des données : La statistique (non déterministe sur le modèle) qui est le processus le plus utilisé et la logique (purement déterministe). Les outils de datamining sont basés sur quelques techniques fondamentales : Polynôme, kernel, fonctions booléenes,... Les algorithmes diffèrent principalement de part leur critère d ajustement. 39

53 7.1.4 Méthodes de datamining Le datamining peut être prédictif ou descriptif. Bien que la limite entre les deux méthodes soit imprécise, l utilisation d une variété de fonctions de datamining valident les objectifs à atteindre par les deux méthodes : La classification s emploie à apprendre une fonction qui classifie l élément en une des multiples classes prédéfinies (classifier les tendances du marché... ) ; La régression est l apprentissage d une fonction qui associe un élément de données à une variable de prédiction à valeurs réelles (estimer les chances de survie d un patient en fonction de diagnostics) ; Le regroupement (clustering) a pour but d identifier un ensemble fini de catégories ou de groupes pour décrire les données (regrouper des populations avec les mêmes habitudes d achats) ; La récapitulation trouve des descriptions compactes pour un sous-ensemble de données et est souvent appliquée dans la génération automatique de rapports et l exploration interactive de données analysées ; La modélisation de dépendances (niveau structurel et quantitatif) est axée sur la recherche de modèles décrivant significativement les dépendances entre variables. Par exemple, les réseaux de dépendances probabilistes s occupent de modéliser le génome humain ; Le changement et la détection d écarts se focalisent sur la découverte des changements les plus significatifs dans les données. 7.2 Le clustering de données, étape de l extraction de connaissances Clustering, apprentissage non supervisé, regroupement automatique sont des expressions communes auxquelles nous devons nous familiariser ; elles convergent toutes dans la même direction et font référence à des méthodes qui se singularisent par : un regroupement de données issues elles-mêmes d un ensemble de données, en groupes homogènes inconnus initialement, en fonction de leur similarité. La littérature nous fait découvrir l existence de nombreux algorithmes de clustering et à notre grand dam l inexistence d une technique universelle de regroupement. Cependant, l organisation de ces algorithmes passe par différentes méthodes retenues en fonction de leur approche en matière de traitement des données : Les méthodes de clustering hiérarchiques étudiées en 7.3, Les méthodes de clustering par partitions étudiées en 7.4, Les autres méthodes de clustering étudiées en Basées sur les grilles, + Basées sur la densité. Les cinq étapes du regroupement de données sont représentées sur la figure

54 Figure 7.2: Étapes du clustering 7.3 Le clustering hiérarchique Généralités Les méthodes de regroupement hiérarchique ont pour vocation de grouper les données sous forme hiérarchique c est-à-dire sous forme d arbre ou "Dendrogramme" composés de clusters : En plus d être visuelle, cette représentation trouve toute son utilité dans le résumé des données. La figure 7.4b montre un tel dendogramme. Ainsi le nœud au top de l arbre constitue l ensemble des données de la base. Un parcours de l arbre vers le bas nous montre des clusters de plus en plus spécifiques à un groupe d objets ; objets qui se caractérisent par une notion de similitude Méthodes agglomératives et divisives Deux méthodes diamétralement opposées se distinguent par leur capacité à créer de tels arbres : 1. La première méthode appelée méthode agglomérative débute au bas de l arbre bottom. Il y a autant de clusters que de données présentent dans la base. A mesure que nous remontons dans l arbre, les objets se regroupent en formant leurs propres clusters, ces clusters fusionnent itérativement prenant ainsi de l ampleur jusqu à atteindre le nœud racine (top) 1. Les algorithmes BIRCH ou AGNES sont le parfait reflet de cette méthode (figure 7.3). 2. La deuxième méthode appelée divisive prend sa source au noeud racine et place tous les objets dans un seul et unique cluster. Cette méthode divise successivement les clusters en sous-clusters de plus petite taille 2. L algorithme DIANA est un exemple de cette méthode (figure 7.3). 1. Nous sommes en présence du concept de généralisation si chère au paradigme objet 2. Notons l analogie avec le design pattern de spécialisation propre au concept de programmation orientée objet 41

55 Figure 7.3: Méthodes divisive et agglomérative La réalisation de l une ou l autre de ces étapes rend impossible un retour en arrière, ce qui confère une certaine rigidité à ces méthodes hiérarchiques. Un point positif se dégage cependant : un gain d économie en terme de mémoire centrale. Puisque nous venons de définir les axiomes qui régissent les algorithmes hiérarchiques, allons plus loin dans nos investigations et posons nous la question : De quelle manière pouvons nous mesurer la distance entre deux clusters? Méthodes de mesure entre deux clusters Pour ce faire, nous utiliserons principalement quatre mesures qui se fondent sur la distance entre clusters (mesure de liaison) : 1. La distance minimum : les algorithmes qui s appuient sur ce concept s intitulent Algorithme de clustering du plus proche voisin. "Si le processus de clustering est terminé quand la distance entre les clusters les plus proches excède la valeur définie par l utilisateur, cet algorithme est aussi appelé "Algorithme à simple lien"."[14]. La figure 7.4b illustre ce concept. Par ailleurs, un algorithme de type agglomératif qui utilise cette mesure de distance pour la construction d un arbre est appelé "minimal Spanning Tree Algorithm", 2. La distance maximum : les algorithmes qui adoptent cette technique se nomment Algorithme de clustering du voisin le plus éloigné. Contrairement à l algorithme à simple lien, dans le cas où le processus est achevé lorsque la distance maximale entre les clusters les plus proches excède la valeur définie par l utilisateur, cet algorithme sera qualifié d algorithme à lien complet. La figure 7.4c nous en donne un exemple. 3. La distance au milieu et 4. la distance moyenne : Ces deux distances cherchent un compromis par rapport aux deux distances extrêmes présentées ci-dessus ; elles se caractérisent à la fois par une sensibilité aux données bruitées et aux valeurs aberrantes. Notons que la distance au milieu se calcule facilement alors que le calcul de la distance moyenne s avère plus complexe voire même impossible dans certains cas. 42

56 (a) Un jeu de données (b) Algorithme de clustering utilisant la méthode à simple lien. (c) Algorithme de clustering utilisant la méthode à lien complet Figure 7.4: Clustering hiérarchique ayant recours aux algorithmes à lien simple et à lien complet[14] Algorithme BIRCH BIRCH est l acronyme de "Balanced Iterative Reducing and Clustering using Hierarchies". Son fonctionnement se singularise par une division en quatre phases dont deux sont optionnelles : 1. Phase 1 : Dans un premier temps, l algorithme scanne la base de données pour construire un arbre de type CF-Tree (figure 7.5) placé dans la mémoire centrale de l ordinateur. Cet arbre qui permet de conserver la structure des données est composé de deux facteurs : Le facteur de branchement β qui correspond au nombre d enfants pour chaque noeud et le seuil noté T qui indique le diamètre maximal du sous-cluster. L arbre est construit dynamiquement en fonction de l insertion des objets, ce qui en fait un algorithme incrémental. Un objet est inséré dans la feuille la plus proche. Si le diamètre du sous-cluster après insertion de l objet est supérieur au seuil T la feuille est alors séparée, 2. Phase 2 (Optionnelle) : L algorithme peut condenser l arbre CF en un plus petit, 3. Phase 3 : L algorithme applique un algorithme de clustering pour regrouper les feuilles de l arbre CF. Les données bruitées sont élaguées et les unités denses sont fusionnées pour former de plus gros clusters, 4. Phase 4 (Optionnelle) : Cette phase raffine les clusters pour améliorer leur qualité cette étape cependant requiert un nouveau passage sur la base de données. Figure 7.5: Une structure CF-Tree [14] Dans la ressource bibliographique [28], Tian Zhang & Al affirment que la force de leur algorithme réside dans les points suivants : 43

57 Chaque décision se prend sans scannage systématique de toutes les données favorisant ainsi un gain de puissance computationnelle non négligeable, L espace de données n est pas uniforme, ainsi BIRCH ne donne pas la même pondération à chaque point : Les clusters ainsi créés sont plus précis, Toute la mémoire disponible est utilisée pour créer des clusters de bonne qualité et ainsi minimiser le coût des entrées-sorties. BIRCH offre une bonne flexibilité puisqu il laisse à l utilisateur la possibilité de renseigner les valeurs de seuil et le nombre de clusters, cependant il devient un handicap pour un utilisateur non- expert. La qualité des clusters créés est dépendante des valeurs d entrée. BIRCH ne s apprêtent pas efficacement aux clusters de forme non sphérique car il adopte des valeurs telles que le diamètre et le radius pour le calcul des bornes du cluster. 44

58 7.4 Le clustering par partition Généralités Grouper les données de façon optimale pour un critère de partitionnement donné et un nombre de groupes (clusters) défini par avance, tel est l objectif que se fixent les méthodes de regroupement par partitionnement Fonctionnement Nous disposons principalement de deux procédés efficaces pour la création de partitions. La première méthode consiste à déceler l "optimum global" pour un ensemble de données. Plus précisément, elle construit toutes les partitions possibles, évalue par la suite la qualité de chaque groupe et retient enfin la meilleure partition. L inconvénient de cette technique réside dans le fait que le nombre de partitions possibles augmente de manière exponentielle, ce qui est trop onéreux en matière d utilisation de ressources pour être facilement utilisé. La seconde méthode est celle de la méthode heuristique. Elle permet d acquérir au moins une bonne partition qui n est cependant pas nécessairement la partition "optimale". Elle nous épargne néanmoins l énumération exhaustive de toutes les partitions possibles ; elle est donc reconnue en tant que principale méthode utilisée Les méthodes heuristiques Comme nous venons de le décrire, les méthodes heuristiques ne décèlent pas systématiquement la partition "optimale". Plusieurs moyens existent cependant pour obtenir une bonne partition proche de la partition "optimale" : première technique : elle représente chaque groupe (cluster) par son centre (nous parlons de centroïde). L algorithme K-means exploite cette méthode. deuxième technique : elle représente chaque groupe par un objet qui correspond au membre le plus proche du centre (nous parlons de médoïde). Les algorithmes K-medoids et PAM (Partition Around Medoids) se servent de cette méthode. K-means Dans un premier temps, l utilisateur va choisir le nombre de groupes qu il souhaite obtenir. L algorithme partitionne ensuite les objets en autant de groupes non vides que l utilisateur souhaitait en obtenir. Une fois la création des groupes achevée, nous pouvons calculer leur centre. Nous affectons chaque objet au groupe dont le "centre" est le plus proche. L algorithme recommence les deux dernières étapes autant de fois qu il est nécessaire jusqu à qu il n y ait plus de changements à opérer dans les groupes. Nous parlons dans ce cas de groupes stables ; la fin du travail de l algorithme correspond à ce que nous appelons un optimum local. Nous trouvons un intérêt dans le travail de cet algorithme par sa capacité à regrouper efficacement les données. Il souffre néanmoins de quelques faiblesses : Cet algorithme n est utilisable que lorsque la moyenne est définie, ce qui pose des problèmes à certains types de données, notamment les données non numériques. Nous devons sélectionner le nombre de groupes à l avance. Il est très sensible aux données bruitées et aux valeurs aberrantes puisque la moyenne sera impactée. 45

59 Figure 7.6: Fonctionnement d une itération de l algorithme K-means Cet algorithme ne détecte que des groupes de forme convexe. 46

60 K-medoids et PAM Cet algorithme par son fonctionnement se rapproche de l algorithme K-means. Nous choisissons un nombre de groupes et nous calculons le centre de chacun de ces groupes. Cependant, ce centre n est plus considéré en tant que point de référence à conserver. En effet le centre du groupe correspond, dans cet algorithme, à l objet du groupe le plus proche du centre calculé (le centre est donc un objet "réel" et non plus un point "fictif"). Nous affectons ensuite les objets (hors objets considérés comme centre de groupe) au groupe dont l objet central est le plus limitrophe. Ces opérations se répètent jusqu à la parfaite stabilisation des groupes. Figure 7.7: Calcul du centre par l algorithme K-medoids L algorithme K-medoids présente un avantage sur l algorithme K-means par sa plus grande robustesse, en effet il est beaucoup moins affecté par les données bruités. L inconvénient cependant réside dans sa performance, qui n égale pas celle de l algorithme K-means. Il conviendra donc parfaitement pour de petits jeux de données mais ne s affirmera pas sur un nombre plus conséquent de données. Pour pallier à cette problématique, une solution a été trouvée. Cette solution est l algorithme CLARA qui est un algorithme fonctionnant en parallèle avec PAM. CLARA correspond à une méthode d échantillonnages. CLARA CLARA signifie Clustering LARge Application. Retenons l idée principale qui se dégage de cet algorithme : Nous allons appliquer la méthode PAM à un échantillon de données. Pour ce faire, plusieurs échantillons sont extraits d un grand ensemble de données ; Chaque échantillon ainsi prélevé sera soumis à la méthode PAM. Nous sélectionnons ensuite le meilleur résultat. Cette combinaison de deux algorithmes présente un intérêt évident : nous faisons appel à l efficacité de PAM pour travailler sur de grands ensembles de points. Sa performance a cependant des limites car elle est tributaire de la taille et de la quantité des échantillons. Pour pallier à ce problème d échantillons, il est possible d utiliser une variante de CLARA appelée CLARANS. En effet, CLARANS améliore la qualité du travail par rapport à CLARA grâce à sa capacité à récupérer les échantillons de manière aléatoire (et non plus choisis par des Hommes), et différents à chaque étape. 47

61 7.5 Autres méthodes de clustering Cette section présentera deux autres méthodes permettant d effectuer du clustering à savoir la méthode basée sur la densité et la méthode basée sur les grilles Méthode s appuyant sur la densité Cette méthode est un remède à la problématique récurrente des méthodes hiérarchiques et des méthodes par partition : ceux-ci gèrent bien les clusters de forme sphérique, beaucoup moins les clusters de forme arbitraire (figure 7.8). Pour régir au mieux ces formes aléatoires, "il est nécessaire de considérer un cluster comme étant une région homogène de haute densité entourée de régions de faible densité"[3] comme le démontre concrètement la figure 7.9. De plus, cette méthode est capable de gérer le bruit qui peut exister dans les données. Figure 7.8: BDD ayant des formes particulières L algorithme DBSCAN (Density-Based Spatial Clustering of Applications with Noise) est l algorithme le plus connu. Il contient trois données d entrée : 1. D : le jeu de données contenant n objet, 2. ɛ : le rayon, 3. MinP ts : Le nombre minimum de points qui doit être contenu dans le rayon ɛ pour que la zone soit considérée comme dense. Tout d abord, DBSCAN marque chaque objet contenu dans D comme non-visité. L algorithme fonctionne ensuite en deux étapes. En premier lieu, pour chaque objet p sélectionné aléatoirement, l algorithme le marque comme visité. Il teste ensuite si le voisinage décrit par le rayon ɛ et ayant pour centre l objet p contient au moins MinP ts objets. Si ce n est pas le cas, l objet est marqué comme étant du bruit. Sinon deux alternatives se présentent : soit l objet est rajouté à un cluster, soit un nouveau cluster est crée. L algorithme continue de cette manière aussi longtemps que subsistent des objets non-visités. Figure 7.9: Résultats des regroupements effectués par DBSCAN L utilisateur spécifie les valeurs MinP ts et ɛ, ce qui peut paraître complexe. Ces deux dernières valeurs étant globales, elles sont incapables de traiter des clusters de densités différentes. 48

62 7.5.2 Méthode basée sur les grilles Principes et challenges techniques Les algorithmes de clustering basés sur les grilles se conforment aux trois étapes suivantes : 1. Diviser l espace en cellules rectangulaires afin d obtenir une grille composée de cellules de taille équivalente. La figure 7.10 montre une telle grille, 2. Supprimer les cellules de basse densité c est-à- dire que les cellules qui possèdent une densité de points élevés s apparentent à des clusters, à contrario les cellules à peu de points à du bruit, 3. Combiner les cellules adjacentes ayant une forte densité pour former des clusters. Figure 7.10: Grille à deux dimensions pour la recherche de clusters La force de l approche par grille permet d obtenir un temps linéaire pour l assignement des points aux cellules : la complexité est donc de O(n), où n représente le nombre de points de données. Nous devons nécessairement nous arrêter un petit moment afin de méditer sur la problématique suivante : Puisque les cellules présentent une taille rectangulaire et fixe, elles ne viennent pas épouser systématiquement la forme du cluster. Une approche naïve consisterait à augmenter le nombre de cellules dans un but de précision. Le temps d exécution augmenterait de façon significative et plus encore en présence d un grand nombre de dimensions, occasionnant par la même un problème de sur-partitionnement. Abordons une autre difficulté liée à l utilisation de ces méthodes fondées sur les grilles, celle de la haute dimensionnalité des données : une augmentation des données entraîne systématiquement un surcroît impressionnant du nombre de cellules. A contrario, la création d une grille pourvue de peu de cellules peut engendrer des trous dans le cluster, le résultat ainsi obtenu ne serait donc pas significatif : c est bien là tout le problème du sous-partitionnement. Noircissons le tableau des difficultés et parlons de celle rencontrée lors de la recherche de clusters dans un espace à pleine dimension. Comme précisé dans [?],"si nous rajoutions de nombreuses variables additionelles à chaque point d un cluster de la figure 7.10 et que ces points soient uniformément répartis, la majorité des points se retrouveraient dans une cellule séparée de cet espace à haute dimension. Ainsi, les clusters de points devraient exister uniquement dans des 49

63 sous-espaces ; sous-espaces augmentant exponentiellement en fonction de la dimensionnalité de l espace". Avec ce cas, nous regrettons d être à nouveau confrontés à la problématique de la haute dimensionnalité des données. Les principaux challenges techniques sont à présent posés, penchons-nous maintenant sur les algorithmes s appuyant sur les grilles et observons leur comportement face aux problèmes énoncés tantôt. Principaux algorithmes : Grille statique STING - STatistical INformation Grid est un algorithme qui ne s appuie pas sur la musique :-) mais bien sur les grilles. Découvrons son intérêt : la disposition des cellules suit un ordonnancement hiérarchique. Ainsi donc, une cellule à haut niveau est partitionnée dans un nombre de cellules plus petites, au niveau inférieur, comme nous pouvons le constater sur la figure Les informations statistiques de chaque cellule sont pré-calculées et stockées en tant que paramètre statistique. Les paramètres du niveau i se calculent aisément à partir du i 1. Figure 7.11: Structure hiérarchique pour l algorithme STING[14] Nous détectons ainsi très facilement des valeurs telles que le max, le min, le type de distribution. STING utilise une approche de type Top-Down : l algorithme démarre avec un niveau i pré-sélectionné, souvent avec un petit nombre de cellules. Il supprime ensuite les cellules nonpertinentes (inférieures à un niveau de confidence donnée). À la fin de l examen du niveau i, STING passe au niveau plus bas i 1, jusqu à ce que le niveau le plus bas soit atteint. L avantage de STING réside dans sa complexité O(k) où k est le nombre de cellules du niveau le plus bas. Comme dit précédemment, les informations statistiques de chaque cellule sont stockées rendant les calculs dépendants des requêtes. Par ailleurs,nous pouvons paralléliser les calculs sans difficulté en raison de la structure en grille. Enfin, STING ne réalise qu un unique passage sur la BDD lors du calcul des paramètres statistiques, la complexité lors de cette étape est de O(n) où n représente le nombre d objets. Dès l instant où nous avons la certitude que la structure hiérarchique est bien en place, la complexité est amenée à O(g) (où g représente le nombre de cellules, valeur plus petite que n). Toutefois, la qualité des clusters dépend entièrement du niveau de granularité des cellules, problématique soulevé en De plus, les clusters peuvent être de mauvaise qualité en dépit d une vitesse d exécution élevée : Une relation spatiale entre les enfants et leurs cellules voisines est inexistante lors de la création de la cellule parente. 50

64 CLIQUE - CLustering In QUEst est qualifié d algorithme qui se fonde à la fois sur la densité et sur les grilles. Il identifie de manière automatique les sous-espaces contenus dans des espaces à haute-dimensionnalité de données. Ainsi, par essence, CLIQUE partitionne dans un premier temps chaque dimension dans le même nombre d intervalles de longueur égale. Il s inspire ici de l algorithme Apriori : une k d cellule ne peut être dense si une de ses (k 1) d projection ne l est. Dans un deuxième temps, CLIQUE utilise la densité de chaque cellule contenue dans chaque sous-espace pour la création des clusters. Une cellule est dite dense si le nombre de points de données dans cette cellule excède un certain seuil. L algorithme définit un cluster comme étant un ensemble de cellules hautement denses connectées au sein d un même sous-espace. Les avantages de CLIQUE sont multiples. Cet algorithme permet entre autres de déceler automatiquement des sous-espaces dans un espace à haute dimensionnalité. De plus, il croît linéairement avec la taille des données ; de la même façon, il se comporte tout aussi bien visà-vis de l accroissement du nombre de dimensions. Il présente néanmoins quelques problèmes : obtenir un cluster de bonne qualité dépend du réglage de la taille de la grille et du seuil de densité ; or, ces valeurs s utilisent au travers de toutes les dimensions. Nous relevons un point de contradiction entre la simplicité de la méthode et la dimensionnalité des données à analyser. Principale algorithme : Grille adaptative MAFIA (Merging of Adaptative Finite Intervals (Algorithm)) est un algorithme qui utilise les grilles adaptatives 7.12b : celles-ci réduisent les calculs et améliorent la qualité des clusters. En effet, l algorithme propose dans chaque dimension une technique de calcul adaptatif d intervalles finis appelés "bins" en anglais ; ces intervalles fusionnent ensuite et explorent des clusters dans une plus grande dimension. MAFIA se différencie ici et améliore considérablement l algorithme CLIQUE. Retenons une autre divergence entre les deux algorithmes : MAFIA ne fait pas appel aux valeurs d entrée fournies par l utilisateur, la force des clusters qui sont à découvrir dans le jeu de données suffit à le satisfaire, MAFIA fournit une concentration optimale sur des espaces de données possédant le plus de points et par déduction la plus grande probabilité de détenir des clusters. MAFIA procure une taille d intervalle adaptatif pour partitionner la dimension en fonction de la distribution des données dans cette dimension. (a) (b) Figure 7.12: Différence entre les grilles de type statique (7.12a) et adaptative (7.12b). 51

65 En premier lieu, l algorithme opère une passe sur toutes les données et crée un histogramme qui détermine le nombre minimum de "bins" pour une dimension. Puis, les intervalles finis présentant un histogramme de valeurs similaires et qui sont contiguës font l objet d une fusion en vue de la création de plus larges intervalles (bins). Les "bins" et les cellules à faible densité sont élagués pour réduire les calculs. MAFIA détient un atout dans le sens où les limites des intervalles finis ne sont pas rigides : les clusters formés sont plus précis dans chaque dimension ce qui implique une amélioration très significative de la qualité des résultats du clustering. Une comparaison entre CLIQUE et MAFIA aboutit à la conclusion suivante : la technique employée par MAFIA rend cet algorithme 40 à 50 fois plus rapide que son homologue. De plus, MAFIA introduit la notion de parallélisme permettant d obtenir un algorithme évolutif pour de grandes bases de données. 52

66 Chapitre 8 Application du clustering à la détection d intrusion 8.1 Généralités Comme vu précédemment, les bases de données de journalisation regorgent d un nombre incalculable d alertes ; l être humain en tant que tel se voit dans l impossibilité de traiter manuellement ces informations. Statistiquement, 99 % environ des alertes dans les gros réseaux correspondent à des faux-positifs ; l approche non-supervisé prend ici toute sa signification : le clustering de données permettra donc de se prémunir de ces alertes Stratégie d étiquetage des données simples Observons une stratégie de labélisation : Les études réalisées dans différents articles de recherche montrent que le clustering de données fait appel à toute son efficacité dans la détection d anomalies sur un réseau d entreprises. Comme nous venons de le constater auparavant, l approche traditionnelle est spécifiquement fondée sur une stratégie d étiquetage. Le problème majeur réside donc dans le fait que le nombre d activités malicieuses représente 1 % de l activité normale du réseau. De facto une détection des attaques massives devient très complexe. Une deuxième stratégie d étiquetage différente de celle énoncée mesure les propriétés des clusters pour interpréter leur nature. Des index de qualité des cluster sont utiliser pour contrôler les méthodes de clustering pour la présence d attaque massive. Ainsi, voici une stratégie de labélisation : 1. Les vecteurs d attaque qui correspondent à une attaque massive créent des clusters très compacts puisque les clusters formés sont très similaires. Le cluster d une telle attaque est représenté sur la figure 8.1a, 2. Les attaques autonomes sont très dissimilaires les unes par rapport aux autres et forment un cluster plus disparate comme le montre la figure 8.1c. Une analyse des valeurs aberrantes prend un caractère inévitable, 3. Enfin, les activités normales du réseau créent des clusters plus compacts que des attaques en mode autonome. La figure 8.1b montre cela. La primordialité réside dans le choix d un bon algorithme et dans l expérience de l utilisateur. Ce dernier en effet doit posséder des compétences égales en matière de sécurité réseau et de datamining. 53

67 (a) Attaque massive (b) Activité normale (c) Attaque autonome Figure 8.1: Stratégie de labélisation des activités réseau[14] 8.2 Application du clustering pour la détection d anomalies Intégration de la méthode du clustering dans l architecture de sécurité Nous trouvons dans une grande entreprise des centaines d utilisateurs internes, des collaborateurs externes à cette entreprise, des serveurs web publics,... L approche de la topologie présentée par la figure 8.2 permet l instrumentalisation de la détection d intrusions par le datamining. Nous prenons en exemple tout au long de ce chapitre l expérience apportée par l entreprise MITRE [17] en terme de dataming. Figure 8.2: Topologie réseau générale [17] 54

68 Le trafic réseau est analysé en permanence (présenté en 6.4) en se basant sur les IDS basées signatures. L ensemble du trafic en provenance des capteurs est expédié périodiquement dans un serveur central pour analyse, les données sont insérées par la suite dans une base de données de type SQL. Le système central du workflow, le processing (8.3) permet entre autres : Le chargement des données, Le filtrage, L agrégation, La classification, Le classement pour le support de l analyse de données. Figure 8.3: Processus de dataming dans un système de détection d intrusion [17] Selon les schémas 8.3 et 8.4, un enregistrement en provenance d un senseur aboutit sur le système d aggrégation d évènement, puis sur HOMER (Heuristic for Obvious Mapping Episode Recognition) et accède enfin au système BART (Back-end Analysis and Review of Tagging). Ensuite, les résultats sont envoyés au classifier et au clusterer pour analyse. La sous-section suivante explique ces étapes dans le détail. Figure 8.4: Agrégation, HOMER, BART dans les pare-feux à détection d intrusion [17] 55

69 8.2.2 Sélection de caractéristiques, agrégation, classification et classement HOMER HOMER simple filtre de classification, tague les évènements en agrégats par l intermédiaire de simples heuristiques. Dans le cas où le nombre d adresses de destination dépasse un seuil défini par l utilisateur, l évènement est mappé comme incident. Toutes les alertes équivalentes sont associées à cet incident et résumées : les analystes échapperont à une vérification de chaque incident relevé. Ainsi, lorsqu une adresse IP source communique avec un grand nombre de machines extérieures au réseau d entreprise durant une période très courte, celles-ci seront résumées et ne nécessiteront pas de révision à l échelle humaine. BART BART génère des scores relatives aux évènements en provenance des capteurs de l IDS et agrégés par le système HOMER. BART occasionne une élévation du niveau de criticité d un évènement système et une alerte préventive aux analystes en charge de la sécurité du réseau. Le système BART fait partie du domaine spécifiant des métrique basé sur la signature pour la détection d intrusion. Il vérifie les preuves qu il collecte pour relever tous les comportements suspects et s appuient sur trois métriques compris entre 1 et 99, 99 représentant le cas le plus grave : 1. Couverture : Toutes les alertes d un épisode (agrégat d évènements) visent un jeu d adresses IP de destination. Si chaque évènement couvre toutes les adresses IP de destination de l épisode, il faut alors considérer l épisode comme un simple mapping. Par contre, si un évènement particulier est dirigé contre un petit sous-ensemble d adresses IP de destination, il est plus que probable qu une vulnérabilité soit détectée. La métrique suivante permet de calculer cela : c = 99(1 mine(n destip ) N destip ) où E représente le jeu d évènement unique d un incident, mine(n destip ) représente le nombre minimum distinct d adresses IP de destination pour un événement, N destip représente le nombre total d adresses IP de l incident. 2. Popularité : Si une cible particulière est significativement populaire, c est à dire ciblée avec un large pourcentage d évènements dans un incident c est que celle-ci fait certainement l objet d une attaque. La métrique suivante est utilisée : où D est un jeu d adresses IP de destination unique de l incident, maxd(n r ) représente le nombre maximum d enregistrements associés avec n importe quel IP de destination de l incident, et n d est le nombre moyen d enregistrement par adresse IP de destination pour l incident. 3. Unicité : Un nombre d enregistrements est associé à chaque évènement unique d un incident. Le nombre moyen d enregistrements pour chaque évènement doit sensiblement être 56

70 le même. Si un évènement particulier possède moins d enregistrements que la moyenne, nous pouvons supposer qu il subit une attaque. La métrique suivante permet d associer un classement à l incident : c = 99(1 mine(n r) N r ) où E représente un jeu d évènement unique dans l incident, mine(n r ) est le nombre minimum d enregistrements pour une alerte unique dans un incident, et N r est le nombre total d enregistrements contenu dans l incident. A la fin du calcul des métriques, BART attribue une sévérité à l incident par combinaison des trois métriques précédentes (couverture, popularité, unicité)8.2.2 : s = 100(1 c p u ) Classifier BART s est engagé à noter les incidents, nous devons vérifier que ceux-ci ne soient pas de faux-positifs. Le classifier doit apprendre automatiquement en se fondant sur de nombreuses situations pour pouvoir : 1. Filtrer les faux positifs, 2. Supporter les mises à jour instrumentales comme nouveau type d attaque. Notre approche sur le classifier n ira pas au-delà de ce petit développement car il appartient au domaine de l apprentissage supervisé, sujet non retenu pour notre thèse Clusterer Le classifier décrit ci-dessus donne des résultats honorables, cependant, des attaques indétectables peuvent nous échapper notamment dans le cas de nouvelles apparitions. L apprentissage non-supervisé i.e. le clustering peut dès lors s avérer très utile. Le clustering est capable de déceler de nouveaux types d anomalies au contraire des outils traditionnels qui en sont incapables. C est ce que nous verrons dans le chapitre 7. 57

71 Chapitre 9 Solution proposée : architecture physique et logique pour une exploitation efficace des logs et la prévention des faux positifs 9.1 Généralités Les solutions actuelles adoptent des algorithmes qui ne sont pas forcément adaptés au traitement d un flux. Ces algorithmes travaillent fréquemment sur des bases de données de taille fixe. La solution que nous préconisons met l accent sur les points suivants : La redondance de l architecture physique pour répondre à la contrainte sécuritaire de la haute-disponibilité, L architecture physique de l entreprise qui doit apporter une réponse à la contrainte de sécurisation périphérique, Une exploitation en temps réel des logs pour éviter le goulot d étranglement, La mise en place d une architecture logique qui utilise des algorithmes de clustering rapides et efficaces, capables de supporter l arrivée dynamique de données. Nous choisissons de porter notre solution vers une entreprise de grande taille possédant à la fois un parc de machines critiques et des serveurs web dans une DMZ assurant la visibilité de l entreprise sur l internet. 58

72 9.2 Architecture physique Le schéma 9.1 correspond à l architecture que nous souhaitons mettre en place : Figure 9.1: Architecture proposée Pour la sécurisation périphérique de l entreprise, nous souhaitons mettre en place un routeur filtrant avec quelques règles de filtrages simples (ACL Standard 4.2.2)sur la passerelle internet. Ce concept implique pour le routeur un traitement rapide des paquets : L ACL de taille relativement petite ne devrait pas ralentir le trafic. De plus, nous assisterions à un premier pré-traitement des paquets. Nous ne voulons pas mettre en place de pare-feux avec IDPS en amont du routeur (entre la passerelle internet et le routeur), la quantité du trafic à analyser serait beaucoup trop conséquente. De plus, en cas de saturation du firewall, nous serions en présence d une brèche de sécurité importante au niveau du réseau. Nous envisageons la mise en place d un IDPS au niveau du réseau LAN et de la DMZ. La charge de trafic à analyser se verrait diminuée car déportée vers deux pare-feux distincts. Nous optons également pour la mise en place des ACL étendues (4.2.3) sur ces matériels réseaux pour un 59

73 filtrage paquet des plus fins. En ce qui concerne l organisme de gestion des journaux, nous nous inspirons largement de la solution physique présentée en 8.2 ; celle-ci est robuste et rapide. Nous aurons néanmoins quelques modifications à apporter à l architecture logique. 9.3 Architecture logique Prémices Nous souhaitons mettre en place un algorithme de clustering répondant aux critères suivants : Evolutivité : Capacité à traiter de gros volumes de données comme les journaux générés par l IDPS, Capacité à traiter différents types d attributs : Traiter des attributs de types numériques (port, taille des paquets) et texte (adresse IP, contenu), Regroupement incrémentiel et insensibilité à l ordre d entrée : L algorithme doit pouvoir traiter un flux de données pas forcément constants et dynamique. En effet, dans un réseau il y a toujours des données qui transites, ce n est donc pas une base de données fixe, Capacité à créer des regroupements à partir d importants volumes de données : Traiter des données avec beaucoup de dimensions Choix d un algorithme L algorithme de clustering qui se rapproche le plus de la résolution des ces dudits points et l algorithmes BIRCH (7.3.4). En effet, comme vu, celui-ci est très performant quand il s agit traiter un grand volume de données à haute-dimension. De plus, grâce à l utilisation d un arbre de type CF, l algorithme est capable de traiter un flux de données et ainsi de créér des clusters efficace. C est exactement ce dont nous avons besoin dans notre cas. Enfin, BIRCH est capable de traiter les données bruitées engendrées la plupart du temps par des faux positifs générés par des IDPS. BIRCH n est pas capable de traiter des clusters de forme non sphérique. Nous pourrions utiliser l algorithme par partition K-Means vu en car celui ci est aussi très rapide. Sa complexité est de O(tkn) où t représente le nombre d itération de l algorithme, k le nombre de cluster et n ;e nombre de points de données. Cependant, le nombre de clusters doit être entré par l utilisateur avant que le lancement de l algorithme ce qui peut être contraignant. De plus, celui-ci n est pas capable de découvrir des clusters de forme arbitraire. Nous sommes ici en présence de deux algorithmes efficaces quant au problème proposé. Nous éliminons dors et déjà l algorihme BIRCH pusiqu il faut que toute la base de données tiennent en memoire centrale ce qui est très lourd dans notre cas. De plus, la complexité des algorithmes hiérarchique dont fait partie BIRCH est bien plus important que ceux de la famille par partition. Le seul algorithme en compétition est donc K-means. Cependant, il faut le retravailler puisque le démarrage de l algortihme nécessite deux paramètres d entrée : 1. La base de données D, 60

74 2. Le nombre de clusters. Ajouter la base de données à l algorithme ne nécessite qu un script simple. Cependant, le problème du nombre de cluster à découvrir est problématique. En effet : Comment déterminer ce nombre efficacement sans masquer d autres clusters? Modification de l algorithme de clustering La solution que nous proposons est la suivante : Il faut mixer les algorithmes par partition et ceux basés sur les grilles. L algorithme mafia vu en permet de créer des clusters de très bonnes qualités en utilisant des grilles adaptatives qui préacalcule des histogrammes en fonction de la densité. Cette étape de l algorithme mafia est très rapide. Ainsi, il n est plus nécessaire de fournir le nombre de cluster à l algorithme K-means puisque l algorithme Mafia s en chargerait. L article "Adaptive Grids for Clustering Massive Data Sets"[10], propose le pseudo code suivant pour leur algorithme : Figure 9.2: Algorithme MAFIA de base [10] Comme dit précédemment, il faut que l algorithme s arrête lorsque le nombre de cluster est connu. Ainsi, nous avons juste besoins de connaitre les cellules les plus petites. Nous proposons alors de modifier l algorithme comme suit : Figure 9.3: Algorithme MAFIA modifié Ensuite, il faut et il suffit de récupérer le nombre de candidats dense qui correspond au nombre de cluster et de le fournir en paramètre d entrée à l algorithme BIRCH. 61

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 69 Audit et Sécurité Informatique Chap 2: Firewall et Règles de Filtrage ACL Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2 / 69 Plan

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

TP4 : Firewall IPTABLES

TP4 : Firewall IPTABLES Module Sécurité TP4 : Firewall IPTABLES Ala Rezmerita François Lesueur Le TP donnera lieu à la rédaction d un petit fichier texte contenant votre nom, les réponses aux questions ainsi que d éventuels résultats

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne. Sécurité avancée des réseaux Filtrage des paquets IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.fr Outline Pare-feu & Filtre de Confiance Filtrage de paquets Pare-feu

Plus en détail

TP réseau Les ACL : création d'une DMZ

TP réseau Les ACL : création d'une DMZ 1 But TP réseau Les ACL : création d'une DMZ Le but de se TP est de se familiariser avec l'utilisation des listes de contrôle d'accès étendues. Pour illustrer leur utilisation, vous allez simuler la mise

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Sécurité des réseaux Firewalls

Sécurité des réseaux Firewalls Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et

Plus en détail

Protection contre les menaces Prévention

Protection contre les menaces Prévention Protection contre les menaces Prévention Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Prévention Routeurs Pare-feu Systèmes de prévention d intrusion Conclusions Jean-Marc

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

Le filtrage de niveau IP

Le filtrage de niveau IP 2ème année 2008-2009 Le filtrage de niveau IP Novembre 2008 Objectifs Filtrage : Le filtrage permet de choisir un comportement à adopter vis à vis des différents paquets émis ou reçus par une station.

Plus en détail

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ)

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Objectifs Se connecter au périphérique multi-fonction et afficher les paramètres de sécurité

Plus en détail

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists).

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists). 1 LINUX FIREWALL Introduction Un firewall ou pare-feu est un des composants essentiel à la sécurité informatique d un réseau. Il va permettre d isoler une ou plusieurs machines ou réorienter les requêtes

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

1 Montage de l architecture

1 Montage de l architecture Étude de cas Sécurité des réseaux Xavier Skapin xavier.skapin@univ-poitiers.fr 28-29 Correction Montage de l architecture L objectif de cette étude est de monter une architecture sécurisée selon divers

Plus en détail

Sécurité et Firewall

Sécurité et Firewall TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014 École Supérieure d Économie Électronique Chap 9: Composants et systèmes de sécurité 1 Rhouma Rhouma 21 Juillet 2014 2 tagging et port trunk Création des via les commandes sur switch cisco 1 / 48 2 / 48

Plus en détail

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble ASR4 réseaux Barrière de Sécurité Introduction Serveur de proximité, pare-feu IP, filtrage, architecture 1 Objectif des gardes barrières Protéger un environnement (vis à vis de l extérieur et de l intérieur)

Plus en détail

Sécurisation du réseau

Sécurisation du réseau Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités

Plus en détail

UE31 - M3102 : Services Réseaux

UE31 - M3102 : Services Réseaux UE31 - M3102 : Services Réseaux Enoncé du TP 4 NAT/PAT, Pare-Feu C. Pain-Barre Table des matières 1 Simulateur : Nat/Pat et firewall 2 Exercice 1 (Simulation Nat/Pat et firewall).................................

Plus en détail

TECHNOLOGIE INTERNET TRAVAUX PRATIQUE : NAPT Par ZHANG Tuo E-mail : tuo.zhang@iut-dijon.u-bourgogne.fr

TECHNOLOGIE INTERNET TRAVAUX PRATIQUE : NAPT Par ZHANG Tuo E-mail : tuo.zhang@iut-dijon.u-bourgogne.fr TECHNOLOGIE INTERNET TRAVAUX PRATIQUE : NAPT Par ZHANG Tuo E-mail : tuo.zhang@iut-dijon.u-bourgogne.fr 1. OBJECTIFS DU TP Réaliser et tester le NAT entre différents réseaux. Analyser le fonctionnement

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous-direction scientifique et technique Laboratoire Technologies de l Information

Plus en détail

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI

MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Claire Billaud - 3ème année IS MINI-PROJET : ETUDE D UN MECANISME DE REDIRECTION DE PAGES WEB POUR AUTHENTIFIER UN UTILISATEUR WIFI Page 1 sur 9 Principe : On veut faire en sorte que le réseau interne

Plus en détail

La sécurité des Réseaux Partie 6.1 Les pare-feus

La sécurité des Réseaux Partie 6.1 Les pare-feus La sécurité des Réseaux Partie 6.1 Les pare-feus Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références F. Ia et O. Menager, Optimiser et sécuriser son trafic

Plus en détail

Éléments de Sécurité sous Linux

Éléments de Sécurité sous Linux Éléments de Sécurité sous Linux Objectif: Pare-feu sous GNU/Linux Contenu: Principes de base fonctionnement de Netfilter architecture: DMZ configuration par iptables par Shorewall Principe du pare-feu

Plus en détail

Note technique. Recommandations pour la définition d une politique de filtrage réseau d un pare-feu

Note technique. Recommandations pour la définition d une politique de filtrage réseau d un pare-feu DAT-NT-006/ANSSI/SDE P R E M I E R M I N I S T R E Secrétariat général Paris, le 30 mars 2013 de la défense et de la sécurité nationale N o DAT-NT-006/ANSSI/SDE/NP Agence nationale de la sécurité Nombre

Plus en détail

INF4420: Éléments de Sécurité Informatique

INF4420: Éléments de Sécurité Informatique : Éléments de Module III : Sécurité des réseaux informatiques José M. Fernandez M-3109 340-4711 poste 5433 Où sommes-nous? Semaine 1 Intro Semaines 2, 3 et 4 Cryptographie Semaine 6, 7 Sécurité dans les

Plus en détail

Mise en place d un portail captif avec une distribution pfsense

Mise en place d un portail captif avec une distribution pfsense Mise en place d un portail captif avec une distribution pfsense Présentation : pfsense est une distribution routeur/pare-feu OpenSource basée sur FreeBSD, pouvant être installée sur un simple ordinateur

Plus en détail

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES SECURITE - IPTABLES Conception d'une zone démilitarisée (DeMilitarized Zone: DMZ) Veuillez indiquer les informations suivantes : Binômes Nom Station ou PC D. Essayed-Messaoudi Page 1 sur 9 TP 4 : Sécurité

Plus en détail

TR2 : Technologies de l'internet. Chapitre VIII. Liste de Contrôle d Accès (ACL) ACL Standard et étendues Masque générique ACL nommées

TR2 : Technologies de l'internet. Chapitre VIII. Liste de Contrôle d Accès (ACL) ACL Standard et étendues Masque générique ACL nommées TR2 : Technologies de l'internet Chapitre VIII Liste de Contrôle d Accès (ACL) ACL Standard et étendues Masque générique ACL nommées 1 Listes de contrôle d accès (ACL) Importance croissante de la sécurité

Plus en détail

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage Licence 3 Systèmes et Réseaux II Chapitre V : Filtrage Département IEM / UB Eric.Leclercq@u-bourgogne.fr Bureau G212 Aile des Sciences de l Ingénieur Mise-à-jour : février 2009 (Département IEM / UB) Filtrage

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

Configurer un pare-feu avec NETFILTER

Configurer un pare-feu avec NETFILTER Configurer un pare-feu avec NETFILTER Netfilter est le firewall des distributions linux récentes pris en charge depuis les noyaux 2.4. Il est le remplaçant de ipchains. La configuration se fait en grande

Plus en détail

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Fonctionnement de Iptables. Exercices sécurité. Exercice 1 Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis.

Plus en détail

Mécanismes de sécurité des systèmes. 10 e cours Louis Salvail

Mécanismes de sécurité des systèmes. 10 e cours Louis Salvail Mécanismes de sécurité des systèmes 10 e cours Louis Salvail Objectifs Objectifs La sécurité des réseaux permet que les communications d un système à un autre soient sûres. Objectifs La sécurité des réseaux

Plus en détail

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - Cours de sécurité Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - 1 Plan pare-feux Introduction Filtrage des paquets et des segments Conclusion Bibliographie 2 Pare-Feux Introduction

Plus en détail

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required.

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required. Quelles sont les deux affirmations vraies relatives à la sécurité du réseau? (Choisissez deux réponses.) Protéger un réseau contre les attaques internes constitue une priorité moins élevée car les employés

Plus en détail

Devoir Surveillé de Sécurité des Réseaux

Devoir Surveillé de Sécurité des Réseaux Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La

Plus en détail

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr M1 Informatique Réseaux Filtrage Bureau S3-203 mailto://alexis.lechervy@unicaen.fr Sécurité - introduction Au départ, très peu de sécurité dans les accès réseaux (mots de passe, voyageant en clair) Avec

Plus en détail

PCI (Payment Card Industry) DSS (Data Security Standard )

PCI (Payment Card Industry) DSS (Data Security Standard ) PCI (Payment Card Industry) DSS (Data Security Standard ) Jean-Marc Robert Génie logiciel et des TI PCI-DSS La norme PCI (Payment Card Industry) DSS (Data Security Standard) a été développée dans le but

Plus en détail

Administration réseau Firewall

Administration réseau Firewall Administration réseau Firewall A. Guermouche Cours 5 : Firewall 1/13 Plan Firewall? DMZ Iptables et filtrage Cours 5 : Firewall 2/13 Plan Firewall? DMZ Iptables et filtrage Cours 5 : Firewall 3/13 Pourquoi

Plus en détail

Filtrer les accès. Pare-feu personnel. Pare-feu professionnel

Filtrer les accès. Pare-feu personnel. Pare-feu professionnel 2. Pare-feu 21Pare 2.1 Pare-feu feu:sonrôle Filtrer les accès Entrant et sortant Pare-feu personnel Sur les postes Contrôle couches 1 à 7 Pare-feu professionnel Equipement réseau Couches 1 à 3 2 2.2 Filtrage

Plus en détail

Profil des participants Le cours CCNA Exploration s adresse aux participants du programme Cisco

Profil des participants Le cours CCNA Exploration s adresse aux participants du programme Cisco Présentation et portée du cours : CNA Exploration v4.0 Networking Academy Profil des participants Le cours CCNA Exploration s adresse aux participants du programme Cisco diplômés en ingénierie, mathématiques

Plus en détail

Filtrage IP Statique

Filtrage IP Statique Filtrage IP Statique Filtrage statique: Pourquoi? C'est un des moyens de limiter les flux entre différents réseaux Les concepts du filtrage de paquets(1) Analyse des entêtes d'un paquet : Protocole Adresse

Plus en détail

Adressage de réseaux

Adressage de réseaux Page 1 sur 28 Adressage de réseaux 5.1 Adresses IP et masques de sous-réseau 5.1.1 Rôle de l adresse IP Un hôte a besoin d une adresse IP pour participer aux activités sur Internet. L adresse IP est une

Plus en détail

RÉSEAUX ET SÉCURITÉ INFORMATIQUES

RÉSEAUX ET SÉCURITÉ INFORMATIQUES RÉSEAUX ET SÉCURITÉ INFORMATIQUES MICKAËL CHOISNARD UNIVERSITÉ DE BOURGOGNE Cours MIGS 2 novembre 2015 INTRODUCTION La sécurité de ma machine, je m'en fous : y'a rien de précieux sur ma machine... personne

Plus en détail

Les pare-feux : concepts

Les pare-feux : concepts Les pare-feux : concepts Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (2) 15 mai 2005 Diapositive N 1 /19 C'est quoi

Plus en détail

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1 Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1 Topologie Table d'adressage Périphérique Interface Adresse IP Masque de sous-réseau Passerelle par défaut R1 Objectifs

Plus en détail

Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011

Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011 Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011 Sommaire 1 Un peu de théorie 3 1.1 Qu est-ce qu un reverse proxy?................. 3 1.1.1 Généralités........................

Plus en détail

NON CLASSIFIÉ. Isolement d un serveur d entreprise BlackBerry dans un environnement Microsoft Exchange (ITSG-23)

NON CLASSIFIÉ. Isolement d un serveur d entreprise BlackBerry dans un environnement Microsoft Exchange (ITSG-23) dans un environnement Microsoft Exchange (ITSG-23) Mars 2007 Page intentionnellement laissée en blanc. Mars 2007 Avant-propos Le document dans un environnement Microsoft Exchange (ITSG-23) est NON CLASSIFIÉ

Plus en détail

Malgré le cryptage effectué par le système, la sécurité d un système unix/linux repose aussi sur une bonne stratégie dans le choix du mot de passe :

Malgré le cryptage effectué par le système, la sécurité d un système unix/linux repose aussi sur une bonne stratégie dans le choix du mot de passe : 0.1 Sécuriser une machine Unix/linux 0.2 Différencier les comptes Créer un compte administrateur et un compte utilisateur, même sur une machine personnelle. Toujours se connecter sur la machine en tant

Plus en détail

Iptables. Nat : Cette table effectue le masquerading. Elle est constituée de trois chaînes internes : PREROUTING, OUTPUT et POSTROUTING..

Iptables. Nat : Cette table effectue le masquerading. Elle est constituée de trois chaînes internes : PREROUTING, OUTPUT et POSTROUTING.. I) Introduction : Il existe trois tables : Filter : C est la table par défaut qui permet le filtrage des paquets. Elle ne modifie pas le contenu des paquets. Elle est constituée de trois chaînes : INPUT,

Plus en détail

Session Novembre 2004

Session Novembre 2004 OFPPT Office de la Formation Professionnelle et de la Promotion du Travail Direction Recherche et Ingénierie de la Formation Correction EFF Session Juillet 2012 Filière : Techniques des Réseaux Informatiques

Plus en détail

Mettre en place un accès sécurisé à travers Internet

Mettre en place un accès sécurisé à travers Internet Mettre en place un accès sécurisé à travers Internet Dans cette partie vous verrez comment configurer votre serveur en tant que serveur d accès distant. Dans un premier temps, les méthodes pour configurer

Plus en détail

PPE 3 GESTION DE NOTRE NAT/PARE-FEU AVEC PFSENSE

PPE 3 GESTION DE NOTRE NAT/PARE-FEU AVEC PFSENSE PPE 3 GESTION DE NOTRE NAT/PARE-FEU AVEC PFSENSE Antoine CAMBIEN BTS SIO Option SISR Session 2015 BTS SIO Services Informatiques aux Organisations Session 2014 2015 Nom du candidat : Antoine CAMBIEN Projet

Plus en détail

Partagez plus avec Christie Brio

Partagez plus avec Christie Brio Partagez plus avec Christie Brio Plus de productivité. Plus de travail en équipe. Plus de choix Sommaire Christie Brio Enterprise Guide de déploiement Présentation..2 Où installer le boitier sur le réseau..

Plus en détail

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A TP réseau firewall L objectif de ce TP est de comprendre comment mettre en place un routeur pare-feu (firewall) entre

Plus en détail

FILTRAGE de PAQUETS NetFilter

FILTRAGE de PAQUETS NetFilter TP RESEAUX MMI Semestre 3 FILTRAGE de PAQUETS NetFilter OBJECTIF : Introduction à Netfilter. Configuration d'un firewall. MATERIELS : (Machines Virtuelles) 1 Serveur Debian avec apache d'installé, 1 Poste

Plus en détail

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables Firewall, Virus, Spam Administration Système et Réseaux, Sécurité Firewall, Spam, Virus Philippe Harrand Firewall Généralités Définitions Mise en oeuvre iptables 1 Departement Informatique Pôle Sciences

Plus en détail

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI Chapitre 2 Vulnérabilités protocolaires et attaques réseaux 1 Définitions Vulnérabilité: Défaut ou faiblesse d un système dans sa conception, sa mise en œuvre ou son contrôle interne pouvant mener à une

Plus en détail

IPTABLES Etude d'un système de pare-feu

IPTABLES Etude d'un système de pare-feu IPTABLES Etude d'un système de pare-feu Ce TP consiste à mettre en place un réseau d'entreprise connecté à Internet via un firewall. Cette entreprise dispose d'un serveur Web et SSH qui sert aussi de proxy

Plus en détail

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique Page 1 sur 5 Article original traduit par Kmeleon, refonte de eks. Provenant de ubuntu-fr.org Netfilter & Iptables Netfilter est un module du noyau Linux (depuis la version 2.4) qui offre la possibilité

Plus en détail

Netfilter : le firewall de linux 2.4 et 2.6

Netfilter : le firewall de linux 2.4 et 2.6 Netfilter : le firewall de linux 2.4 et 2.6 Netfilter: le logiciel, IPTABLES: la commande permettant de le configurer netfilter (noyaux 2.4 et premiers noyaux 2.6): filtre à état pour ipv4 filtre de paquet

Plus en détail

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT Administration Réseau Niveau routage Intérêt du NAT (Network Address Translation) Possibilité d utilisation d adresses privées dans l 4 2 1 Transport Réseau Liaison Physique Protocole de Transport Frontière

Plus en détail

Exercice PT 5.2.8 : configuration de listes de contrôle d accès standard Diagramme de topologie

Exercice PT 5.2.8 : configuration de listes de contrôle d accès standard Diagramme de topologie Diagramme de topologie Tous droits réservés. Ce document contient des informations publiques Cisco. Page 1 sur 6 Table d adressage Périphérique Interface Adresse IP Masque de sousréseau S0/0/0 10.1.1.1

Plus en détail

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49 Filtrage dynamique Linux noyau >= 2.4 netfilter : Iptables Cisco propose les CBAC (IOS Firewall) *BSD avec IPFilter Packet filter Beaucoup de Pare Feu utilise du filtrage dynamique Principe Fonctionnement

Plus en détail

Mandataires, caches et filtres

Mandataires, caches et filtres Mandataires, caches et filtres Pascal AUBRY IFSIC - Université de Rennes 1 Pascal.Aubry@univ-rennes1.fr Plan : mandataires caches filtrage serveur de proxy exemple de mise en œuvre Mandataire (proxy) Mandataire

Plus en détail

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ TR2 : Technologies de l'internet Chapitre VI NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ 1 NAT : Network Address Translation Le NAT a été proposé en 1994

Plus en détail

Travaux pratiques 8.5.2 : configuration des listes de contrôle d accès et enregistrement de l activité dans un serveur Syslog

Travaux pratiques 8.5.2 : configuration des listes de contrôle d accès et enregistrement de l activité dans un serveur Syslog Travaux pratiques 8.5.2 : configuration des listes de contrôle d accès et enregistrement de l activité dans un serveur Syslog Nom de l hôte Adresse IP Fast Ethernet 0/0 Adresse IP Serial 0/0/0 Routeur

Plus en détail

Administration réseau Iptables et NAT

Administration réseau Iptables et NAT Administration réseau Iptables et NAT A. Guermouche A. Guermouche Cours 4 : Iptables et NAT 1 Plan 1. Logiciels de filtrage de paquets 2. Ipfwadm 3. Ipchains 4. Iptables A. Guermouche Cours 4 : Iptables

Plus en détail

Pré requis pour les ACLs

Pré requis pour les ACLs M21 Liste d'accès Pré requis pour les ACLs Les listes de contrôle d'accès suppose une connaissance complète des protocoles de la pile TCP/IP (tcp, udp, ip, icmp) des applications courantes (ftp, telnet,

Plus en détail

UE31 - M3102 : Services Réseaux

UE31 - M3102 : Services Réseaux UE31 - M3102 : Services Réseaux Corrigé du TP 4 NAT/PAT, Pare-Feu C. Pain-Barre 1 Simulateur : Nat/Pat et firewall Corrigé de l exercice 1 (Simulation Nat/Pat et firewall) Les fichiers xml contenant les

Plus en détail

TCP/IP, NAT/PAT et Firewall

TCP/IP, NAT/PAT et Firewall Année 2011-2012 Réseaux 2 TCP/IP, NAT/PAT et Firewall Nicolas Baudru & Nicolas Durand 2e année IRM ESIL Attention! Vous devez rendre pour chaque exercice un fichier.xml correspondant à votre simulation.

Plus en détail

TP 11.2.3b Listes de contrôle d'accès étendues pour les zones DMZ (zones démilitarisées) simples

TP 11.2.3b Listes de contrôle d'accès étendues pour les zones DMZ (zones démilitarisées) simples TP 11.2.3b Listes de contrôle d'accès étendues pour les zones DMZ (zones démilitarisées) simples Objectif Au cours de ce TP, vous apprendrez à utiliser des listes de contrôle d'accès étendues pour créer

Plus en détail

Cisco Certified Network Associate

Cisco Certified Network Associate Cisco Certified Network Associate Version 4 Notions de base sur les réseaux Chapitre 6 01 Regardez le schéma d adressage IP illustré. Quel préfixe réseau y est adapté? /24 /16 /20 /27 /25 /28 02 Parmi

Plus en détail

TP Réseaux. Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ)

TP Réseaux. Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ) TP Réseaux Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ) Préambule Nous devons concevoir une zone démilitarisée, c'est à dire une configuration réseau qui permet d'isoler un ensemble de

Plus en détail

Compte rendu PTI #03

Compte rendu PTI #03 Compte- rendu PTI #03 Cette troisième PTI couvre le domaine du paramétrage réseau et de la sécurité du réseau par la mise en place d'un système de filtrage de paquets via Netfilter (iptables) sous GNU/Linux.

Plus en détail

Les Firewalls 03-01-2006. Gérald Masquelier Antoine Mottier Cédric Pronzato

Les Firewalls 03-01-2006. Gérald Masquelier Antoine Mottier Cédric Pronzato Les Firewalls 03-01-2006 Gérald Masquelier Antoine Mottier Cédric Pronzato Plan Pourquoi un firewall? Les différentes catégories de firewall Qualité de service NetFilter Les différents types de firewall

Plus en détail

Profil de protection d un pare-feu industriel

Profil de protection d un pare-feu industriel Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page

Plus en détail

Retour d expérience sur Prelude

Retour d expérience sur Prelude Retour d expérience sur Prelude OSSIR Paris / Mathieu Mauger Consultant Sécurité (Mathieu.Mauger@intrinsec.com) Guillaume Lopes Consultant Sécurité (Guillaume.Lopes@Intrinsec.com) @Intrinsec_Secu 1 Plan

Plus en détail

Linux Firewalling - IPTABLES

Linux Firewalling - IPTABLES Linux Firewalling - IPTABLES Aujourd hui tout le monde sait ce que c est qu un firewall ainsi que son utilité sur un réseau, un serveur ou même un ordinateur personnel. En gros, c est la partie du système

Plus en détail

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier Plan Internet - Outils Nicolas Delestre 1 DHCP 2 Firewall 3 Translation d adresse et de port 4 Les proxys 5 DMZ 6 VLAN À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier 7 Wake On Line

Plus en détail

Administrateur Système et Réseau

Administrateur Système et Réseau Titre professionnel : Reconnu par l Etat de niveau II (Bac), inscrit au RNCP (arrêté du 28/01/09, J.O. n 32 du 07/02/09) (53 semaines) page 1/7 Unité 1 : Gestion du poste de travail 4 semaines Module 1

Plus en détail

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1 Les ACL Cisco Master 2 Professionnel STIC-Informatique 1 Les ACL Cisco Présentation Master 2 Professionnel STIC-Informatique 2 Les ACL Cisco? Les ACL (Access Control Lists) permettent de filtrer des packets

Plus en détail

IPTables Analyse et réalisation

IPTables Analyse et réalisation IPTables Analyse et réalisation Page 1 sur 15 Table des matières IPTables - analyse...3 Qu est-ce que c est?...3 Vocabulaire...3 Chaîne...3 Motif de reconnaissance...3 Cible...3 Policy...3 Policy Accept...3

Plus en détail

Spécialiste Systèmes et Réseaux

Spécialiste Systèmes et Réseaux page 1/5 Titre professionnel : «Technicien(ne) Supérieur(e) en Réseaux Informatiques et Télécommunications» inscrit au RNCP de niveau III (Bac + 2) (J.O. du 19/02/2013) 24 semaines + 8 semaines de stage

Plus en détail

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique Fiche Technique Cisco Secure Access Control Server Solution Engine Cisco Secure Access Control Server (ACS) est une solution réseau d identification complète qui offre à l utilisateur une expérience sécurisée

Plus en détail

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2

Plus en détail

Le laboratoire Galaxy Swiss Bourdin (GSB)

Le laboratoire Galaxy Swiss Bourdin (GSB) Le laboratoire Galaxy Swiss Bourdin (GSB) Page 0 PROJET D ETUDE SUR LA MISE EN PLACE D UN Travail effectué par : LARANT Wilfried LEMAITRE Florian COMOTTI Arnaud Page 1 Table des matières I. Objectif...

Plus en détail

Installation d'un serveur Forefront Threat Management Gateway 2010 (TMG 2010)

Installation d'un serveur Forefront Threat Management Gateway 2010 (TMG 2010) Installation d'un serveur Forefront Threat Management Gateway 2010 (TMG 2010) Par LoiselJP Le 01/05/2013 1 Objectifs Ce document décrit le plus succinctement possible une manière, parmi d'autres, d installer

Plus en détail

Travaux pratiques : configuration et vérification des listes de contrôle d'accès étendues Topologie

Travaux pratiques : configuration et vérification des listes de contrôle d'accès étendues Topologie Travaux pratiques : configuration et vérification des listes de contrôle d'accès étendues Topologie 2014 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 1 / 9

Plus en détail

Cours CCNA 1. Exercices

Cours CCNA 1. Exercices Cours CCNA 1 TD2 Exercices Exercice 1 : Dressez la liste des 5 périphériques finaux, 6 périphériques intermédiaires et 3 formes de support réseau. Périphériques finaux (hôtes): ordinateur de bureau, ordinateur

Plus en détail

Sécurité des systèmes d information les firewalls

Sécurité des systèmes d information les firewalls Sécurité des systèmes d information les firewalls 1 Plan Définition et notions générales L offre Firewall actuelle Conception d une architecture sécurisée par firewall Administration et maintenance 2 Aperçu

Plus en détail