Sécurité Des Réseaux Informatiques: A.Battou

Sécurité des réseaux informatiques
A.BATTOU
SMI6
A.BATTOU Sécurité des réseaux informatiques SMI6 1 / 91

Se protéger et non attaquer

Introduction
avantages considérables...mais... ! ! !
Equation Group, The Shadow Brokers, ...
WannaCry, NotPetya, Petrwarp,...
Elections présidentielles
Impact de la cybercriminalité sur les entreprises

Systèmes cibles

Intentions / motivations cyberattaques

Exemple de scénarii
Vos clefs restent elles sur votre porte ?

I Ne pas fermer sa session dans un ordinateur
I Laisser boite mail ouverte
Votre vigilance est elle suffisante ?
I Virus, site malveillant
I Réception mail

Objectifs
Sensibilisation à la problématique de la sécurité informatique en général et des

réseaux en particulier.
Pouvoir prévenir les problèmes (prévention)
Pouvoir évaluer et détecter les menaces (détection)
Pouvoir faire face en cas d’attaque ou de sinistre (réaction)

Sommaire
1 Concepts de base
2 Menaces (Attaques et vulnérabilités)
3 Attaques réseau
4 Mesures de prévention/Détection

Définitions
Système d’information (SI)

Ensemble organisé de ressources : matériel, logiciel, personnel, données,
procédures permettant d’acquérir, traiter, stocker, communiquer des
informations (sous forme de données, textes, images, sons,. . . ) dans les
organisations.
Système informatique
Ensemble des moyens informatiques et de télécommunication ayant pour
finalité d’élaborer, traiter, stocker, acheminer, présenter ou détruire des
données.
La sécurité des systèmes d’information (SSI)

L’ensemble des moyens techniques, organisationnels, juridiques et humains
nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité
d’un système d’information.

Définitions
La sécurité informatique
l’ensemble des outils, des techniques et méthodes pour garantir que seules les
personnes ou autres systèmes autorisés interviennent sur le système et ont
accès aux données, sensibles ou non.
Sécuriser un SI ?
Analyser les risques et protéger les biens contre les menaces et les
vulnérabilités

Définitions
Menace
Une circonstance qui a le potentiel de causer des dommages ou de perte
Les principales menaces

Définitions
Vulnérabilité
Une faiblesse du système informatique qui peut être utilisé pour causer des
dommages.
Trois familles de vulnérabilités :

Vulnérabilités liées aux domaine physique : accès aux salles informatiques
non sécurisé
Vulnérabilités liées aux domaines organisationnels : manque d’intelligence
entre la chaise et le clavier, etc.
Vulnérabilités liées aux domaines technologiques : pas de mise à jours, etc.

Définitions
Risque
la probabilité qu’une menace se produit, conduisant à une attaque sur
l’équipement
Destruction de données : Comptabilité, Données clients, Conception,

Production, etc.
Perte de marchés : Vol ou divulgation d’information (Recherche et
développement, Fichier clients, etc.), Dégradation de l’image
(Modification du site web, Divulgation d’informations (vraies puis
fausses), Perte de confiance
Perte de temps et donc d’argent : Arrêt de la production Recherche des
causes Remise en état
Risques juridiques : attaque par rebond, confidentialité des données

Architecture de sécurité
Aspect Humain Aspect Réglementaire

Formation Normes
Compétence Législation
surveillance Autorisation de chiffrement
etc. etc.
Aspect organisationnel et Aspect Technique et

économique Opérationnel
Responsabilités Sécurité Physique
Gestion Sécurité environnementale
Budget Sécurité télécom
etc. etc.

Objectif de la sécurité informatique

Confidentialité
Rendre l’information inintelligible à d’autres personnes que les seuls

acteurs de la transaction : seuls l’expéditeur et le destinataire doivent
“comprendre” le contenu du message.
I L’expéditeur crypte (ou chiffre) un message.
I Le destinataire décrypte (ou déchiffre) le message

Authentification
Assurer l’identité d’une entité, c’est-à-dire de garantir à chacun des

correspondants que son partenaire est bien celui qu’il croit être afin
d’autoriser l’accès de cette entité à des ressources (systèmes, réseaux,
applications...).
I L’authentification permet donc de valider l’authenticité de l’entité en
question.
I Elle protège de l’usurpation d’identité
Les entités à authentifier peuvent être :
I une personne
I un programme qui s’exécute (processus)
I une machine dans un réseau (serveur ou routeur)

Intégrité
Conserver l’intégrité de l’information : l’information ne doit être ni

modifiée, ni détruite sans autorisation.
Ce principe regroupe un ensemble de fonctionnalités mises en œuvre afin
de s’assurer de leur intégrité.
I Utilisation de fonctions de hachage (CRC-32, MD5, SHA-1)

Non répudiation
C’est la garantie qu’aucun des correspondants ne pourra nier la

transaction.
Non répudiation de l’origine :
I prouve que les données ont été envoyées
I Ex : Signature
Non répudiation de l’arrivée :
I prouve que les données ont été reçue
I Ex : accusé de réception

Accès et disponibilité :
les services et matériels doivent être accessible et disponible aux utilisateurs en

temps voulu

Sommaire
1 Concepts de base
3 Attaques réseau

Attaques
Attaque
exploitation d’une faille d’un système à des fins inconnues par la victime et
généralement préjudiciables
Deux types d’attaques :

Attaques passives : Ce type d’attaque ne modifient pas le comportement
du système, et peuvent ainsi passer inaperçues.
I Objectifs : obtention d’informations sur un système, sur un utilisateur ou
un projet(Ecoute, Injection de code, Usurpation d’identité, Intrusion, Abus
de droits)
Attaques actives : Ce type d’attaque modifient le contenu des
informations du système ou le comportement du système. Elles sont en
général plus critique que les passives.
I Objectifs : Objectifs : (1)modification ou destruction de données ou de
configurations(2)perturbation d’un échange par le réseau, d’un service ou
d’un accès à un service.

Description des attaques




Type d’attaqueurs
Hacker : un spécialiste dans la maîtrise de la sécurité informatique et

donc des moyens de déjouer cette sécurité
Les chapeaux blancs ou white hat : professionnels de la sécurité
informatique effectuant des tests d’intrusions en accord avec leurs clients
et la législation en vigueur afin de qualifier le niveau de sécurité de
systèmes.
Les chapeaux bleus ou blue hat : consultants en sécurité
informatique chargés de vérifier l’absence de bogues et de corriger
d’éventuels exploits avant le lancement d’un système d’exploitation sur le
marché (Microsoft).
Les chapeaux noirs ou black hat : créateurs de virus, cyber-espions,
cyber-terroristes ou cyber-escrocs, agissant la plupart du temps hors-la-loi
dans le but soit de nuire, de faire du profit ou d’obtenir des informations.

Type d’attaqueurs
Les chapeaux gris ou grey hat : s’ils n’hésitent pas à pénétrer dans les
systèmes sans y être autorisés, ils n’ont pas de mauvaises intentions. C’est
souvent l’« exploit informatique» qui les motive, une façon de faire la
preuve de leur agilité.
Les script kiddies« gamins qui utilisent des scripts » : sans grande
compétence, ceux-ci piratent surtout par désir de se faire remarquer, en
utilisant des programmes codés par d’autres..
Les hacktivistes : agissant afin de défendre une cause, ils n’hésitent pas
à transgresser la loi pour attaquer des organisations afin de les paralyser
ou d’obtenir des informations.

Méthodologie des attaques

Collectes d’information
Collectes d’information
Connaitre le système cible en rassemblant le maximum d’informations
concernant les infrastructures de communication du réseau cible.
Comment ?
Social engineering ou ingénierie sociale : technique de manipulation

psychologique humaine qui sert à obtenir des informations d’une personne
ciblé.
Interrogation des services : (ex :nslookup, dig , etc.)

Balayage réseau
Balayage réseau
scanner le réseau pour identifier quelles sont les adresses IP actives sur le
réseau, les ports ouverts correspondant à des services accessibles, et le système
d’exploitation utilisé par ces serveurs.
Comment ?
Scanner de vulnérabilité/Analyseur réseau (ex nmap) : utilitaire permettant

de réaliser un audit de sécurité d’un réseau en :
Envoyer des requêtes successives sur les différents ports
Analyser les réponses afin de déterminer les ports actifs et par conséquent
les services fonctionnant sur un hôte distant.
Analyser la structure des paquets TCP-IP reçus pour déterminer système
d’exploitation et les versions des applications associées.

Balayage réseau : exemple de manipulation nmap

Balayage réseau : exemple de manipulation nmap

Gagner l’intrusion
Gagner l’accès
s’introduire dans le réseau. Pour ce, le pirate a besoin d’accéder à des comptes
valides sur les machines qu’il a recensées.
Comment ?
L’ingénierie sociale : contacter directement certains utilisateurs du réseau

(par mail ou par téléphone) afin de leur soutirer des informations
concernant leur identifiant de connexion et leur mot de passe.
Consultation de l’annuaire ou bien des services de messagerie ou de
partage de fichiers, permettant de trouver des noms d’utilisateurs valides
Attaques par force brute (brute force cracking) : essayer de façon
automatique différents mots de passe sur une liste de compte (par
exemple l’identifiant, éventuellement suivi d’un chiffre, ou bien le mot de
passe password, ou passwd, etc).

Installation d’une porte dérobée(backdoors)
Porte dérobée
un petit bout de code introduit en général par le pirate pour pouvoir ouvrir
un accès dérobé sur un système informatique et ainsi prendre le contrôle de
celui-ci quand il le désire.
Comment ?
Des outils utilisés par des constructeurs de matériels informatiques à

l’état neuf (exple : smartphone Samsung Galaxy, routeur D-Link)
Back Orifice : est un logiciel client/serveur d’administration et de prise de
contrôle à distance de machines utilisant le système
d’exploitation Windows
Zeus est un cheval de Troie destiné à voler des informations. Exemple de
manipulation

Nettoyage des traces
Nettoyage des traces

dissimulation de processus informatiques ou de fichiers afin de cacher l’activité
des logiciels malveillants et éviter de se faire repérer.
comment ?
supprimer les fichiers logs

cacher ou crypter des fichiers utilisés (fichiers d’installations).
exemple d’outils : Reverse WWWShell, Covert TCP, etc.

Sommaire
1 Concepts de base
3 Attaques réseau

La base des attaques réseau
Man In the Middle – MITM

Détournement de flux
Encapsulation d’IP dans d’autres protocoles.
Déni de service

Attaque de l’homme du milieu
Principe
se placer entre deux acteurs, souvent un client et un serveur, en se faisant
passer pour un des acteurs.
L’intérêt est de lire les données échangées et éventuellement les modifier.

comment ?
I Détournement du flux entre le client et le serveur. La méthode la plus
utilisée est l’ARP Spoofing,
I Sniffing (ou l’écoute). Soit avec un simple logiciel comme Wireshark, ou
plus éloboré avec Ettercap.
I etc.

des techniques permettant de rediriger le flux réseau vers un client, vers un
serveur, ou vers une autre machine.
Exemple de méthodes :
I ARP-Poisoning
I TCP/UDP Hijacking

ARP-Poisoning
Rappel :
les protocoles ARP (Address Resolution Protocol) permet de faire
correspondre une adresse MAC à une adresse IP donnée et RARP (Reverse
Address Resolution Protocol)permet l’inverse

ARP-Poisoning/ARP-Spoofing
Rappel :
les protocoles ARP (Address Resolution Protocol) permet de faire
correspondre une adresse MAC à une adresse IP donnée et RARP (Reverse
Address Resolution Protocol)permet l’inverse
Le protocole ARP émet un datagramme particulier par diffusion à toutes

les stations du réseau et qui contient entre autre l’adresse IP à convertir.
La station qui se reconnaît retourne un message (réponse ARP) à
l’émetteur avec son adresse MAC.
L’émetteur dispose alors de l’adresse physique du destinataire et ainsi la
couche liaison de données peut émettre les trames directement vers cette
adresse physique.
Les adresses résolues sont placées dans un cache ce qui évite de déclencher
plusieurs requêtes lorsque plusieurs datagramme doivent être envoyés.

ARP-Poisoning/ARP-Spoofing
Principe :
rediriger le trafic réseau d’une ou plusieurs machines vers machine du pirate,
en corrompant le cache ARP

Rappel : fonctionnement d’une connexion TCP
Connexion par « Three Way

Handshake » ;
Échange entre deux processus ;
Fermeture :
I Friendly close [flag FIN] ;
I Lors d’une erreur (par
exemple interruption d’un
des processus) [flag RST]
L’authentification s’effectue à
l’ouverture de la session
TCP Hijacking
Cette attaque fonctionne en devinant les numéros de séquences

Les technique utilisée pour les détournements de session TCP (TCP
Hijacking) :
I Attaque à l’aveugle : consiste à envoyer des paquets à l’aveugle (blind
attack ), sans recevoir de réponse, en essayant de prédire les numéros de
séquence.
I Ecoute passive : permet une fois que le pirate intercepte l’entête TCP , il
peut connaître le numéro de séquence attendu par le serveur, le nombre
accusé de réception, les ports et les protocoles utilisés. Ainsi, le pirate peut
forger le paquet et l’envoyer au serveur avant que le client.
Exemple d’attaque ?
I IP spoofing
I injection du code

UDP Hijacking
UDP n’utilise pas les numéros de séquence des paquets pour la

synchronisation : il est plus facile de détourner la session UDP que TCP.
Le pirate peut simplement forger une réponse à une requête UDP d’un
client UDP avant la réponse du serveur.

Encapsulation d’IP dans d’autres protocoles
Rappel : Parcours d’un paquet dans une pile TCP/IP

Rappel : Encapsulation

Objectif : transiter les données d’un service bloqué par un pare feu par un
port autorisé
Comment ? : encapsuler des données d’un protocole réseau au sein d’un
autre, situé dans la même couche, ou dans une couche du niveau
supérieur.
Ce type d’encapsulation peut être la base de nombreuses attaques réseaux.
Exemple :

Déni de service (Dos)/ Deni de service distribué (DDos)
Dos
Attaque aboutissant à l’indisponibilté du service ou de la machine visée
DDos
Le "Distributed denial-of-service" ou déni de service distribué est un type
d’attaque très évolué visant à faire planter ou à rendre muette une machine en
la submergeant de trafic inutile. Plusieurs machines à la fois sont à l’origine de
cette attaque.
Exemple de méthodes :
SYN Flooding
UDP Flooding
Smurfing
Ping of death
Bombes e-mail
etc.
Déni de service (Dos)/ Deni de service distribué (DDos)
SYN flooding / Inondation de SYN
Principe :
envoyer massivement des demandes de connexion (flag SYN à 1) vers la
machine cible avec des adresses source aléatoire.
La machine cible renvoie les SYN-ACK en réponse à chaque SYN reçu
Aucun ACK c’est renvoyé pour établir la connexion : ces connexions
semi-ouvertes consomment des ressources mémoire
Au bout d’un moment, la machine cible est saturée et ne peut plus
accepter de connexions

Déni de service (Dos)/Deni de service distribué (DDos)
SYN flooding/Inondation de SYN
Les numéros de séquence initiaux x et y sont choisis “aléatoirement”.

Un timer est déclenché après l’envoi d’un SYN.
Si une réponse tarde trop à arriver (>75s), la connexion est abandonnée.

SYN flooding/Inondation de SYN

Inondation de paquet UDP/ (UDP flooding)
Principe
: générer une grande quantité de paquets UDP à destination d’une machine ou
entre deux machines
Utilise le fait que UDP(contrairement à TCP) ne possède pas de

mécanisme de contrôle de congestion
Entraine une congestion du réseau et une saturation des ressources des
hôtes victimes
Les paquets UDP sont prioritaires sur les paquets TCP ;
La totalité de la bande passante peut être saturée : effondrement de la
totalité du réseau.

Smurfing/attaque par réflexion
principe
Une attaque par réflexion consiste à envoyer des paquets à des serveur
broadcast en utilisant l’adresse IP de la victime comme adresse IP source : on
parle alors d’usurpation d’adresse IP. Les réponses de ces serveurs à la victime
induisent la génération d’un trafic non sollicité à destination de cette dernière.
Conséquences
Perte de la bande passante
Ralentissement système
Perte du réseau
Blocage système
Crash système

Smurfing/attaque par réflexion
Un ping (message ICMP ECHO)

est envoyé à une adresse Les machines répondent alors par
de broadcast en mettant comme un message ICMP ECHO REPLY
adresse source IP1 en direction de la cible

Mesures de prévention et de détection

Mesures de prévention/Détection
Mieux vaut prévenir que guérir
Prévention (souhaitable) Détection (obligatoire)

Cryptographie le plus rapidement possible
Serveurs d’Authentification alertes
d’Accès traçabilité / log
Firewall/DMZ IDS (Intrusion Detection
IPS (Intrusion Prévention System)
System) honey pots
Réseaux privés virtuels (VPN)
Scan de vulnérabilité

Cryptographie
Cryptographie : La cryptographie est l’ensemble des techniques qui
permettent de rendre un message inintelligible.
Cryptanalyse : la science qui consiste à tenter de déchiffrer un message
ayant été chiffré sans posséder la clé de chiffrement
Chiffrement : Ensemble de procédés et ensemble de symboles (lettres,
nombres, signes, etc.) employés pour remplacer les lettres du message à
chiffrer.
Déchiffrement :le procédé consistant à retrouver le texte original en
possédant la clé de (dé)chiffrement
Décryptage : consiste à retrouver le texte original à partir d’un
message chiffré sans posséder la clé de (dé)chiffrement

Service de la cryptographie
La cryptographie permet d’assurer

la confidentialité des données : personne n’a le droit de lire les
données.
L’intégrité : personne ne pourra modifier les données.
L’authenticité : personne ne pourra contrefaire l’origine des données.

Un peu d’histoire
Grèce antique : La scytale utilisée à Sparte :
I Algorithme : Texte écrit sur un ruban enroulé autour d’un bâton

I Clé : diamètre du bâton
Le chiffrement de la substitution par décalage / Chiffre -code de César
I Chaque lettre correspond à la lettre n fois plus loin dans l’alphabet
Pour N=5 , A=F , B=G, etc
I Facilement déchiffrable lorsque la langue est connue
I Exemple : montrer qu’il est très aisé de décrypter le message suivant (écrit
en français) :
pk buay gosk inkxy kzajogtzy

Cryptage par clé
Il existe deux catégories de chiffrement

Symétrique (Utilisation d’une clé secrète)
I Les deux entités partagent une clé secrète
I La clé sert au chiffrement et au déchiffrement
Asymétrique (Utilisation de clés publiques)

I Une clé sert à chiffrer , l’autre à déchiffrer
I Il n’y a pas de relation directe entre les 2 clés

Cryptographie symétrique
Exemple d’algorithme à clé symétrique : DES, AES, Browfish Etc.

Caractéristiques du chiffrement symétrique
Avantages :
I Système rapide pour l’implémentation matérielle
I Clés relativement courtes (64, 128, etc.)
Inconvénients :
I Gestion des clés difficiles (plusieurs clés)
I Transmission de clé ( échange d’un secret =point faible)

Data Encryption Standard (DES ) :
I Publié en 1977 par IBM Corp
I Chiffrement par bloc de 64 bits
I Utilise une clé de longueur fixe
F 56 bits générés aléatoirement dans une clé de 64 bits
F 8 bits servant à la parité (8, 16, 24, 32, 40, 48, 56)
I Schéma de Feistel à 16 tours
I DES n’est pas fiable et peu performant : cassé en 22h en 1999
I Désormais remplacé par Advanced Encryption Standard (AES)

Principe de fonctionnement

Fonction Feistel
F(D0, K0)= P(S(E(D0) XOR K0))

E : expansion S : substitution P : permutation
Cryptographie symétrique : AES
Advanced Encryption Standard remplace DES

Standard du gouvernement américain
Utilise l’algorithme de Rijndael
Chiffrement par blocs
La longueur de la clé et des blocs sont des multiples de 32 bits
La clé peut être 128 bits, 192 bits ou bien 256 bits
Les blocs de données sont fixé à 128 bits
Nombre de cycle entre 10, 12 et 14
Pour les curieux http ://people.eku.edu/styere/Encrypt/JS-AES.html

Principe de fonctionnement

Cryptage asymétrique
Exemple d’algorithme à clé asymétrique : RSA, DSA Etc.

Cryptage asymétrique
Résout le problème de la distribution de la clé

Les deux clés forment une paire
Impossible de trouver la clé privée en partant de la clé publique

Sécuriser l’échange de la clé publique n’est pas nécessaire
La clé privée n’est pas transmise
Ce système permet deux choses majeures :
I d’assurer la confidentialité
I d’assurer de l’authenticité de l’expéditeur

RSA
RSA : algorithme a été décrit en 1977 par Ronald Rivest, Adi

Shamir et Leonard Adleman
Le système le plus répandu et le plus utilisé
Utilise des longueurs de clé arbitraire Longueur standard de 512 bits
RSA est lent comparé à la cryptographie symétrique
Utilisé pour chiffrer une clé secrète plutôt que le message
La clé chiffrée est alors la clé de session

Fonctionnement RSA

Principe (1)
Soit M le message à chiffrer et C le message chiffré.

Pour chiffrer le message, on calcule :
C = M e modulo n.
Pour déchiffrer on calcule :
M = C d modulo n.
La clé publique est :
le couple (e,n)
La clé privée est :
le couple (d,n).

Comment procède-t-on pour former les couples (e,n) et (d,n).
On choisit au hasard 2 grands nombres premiers p et q.
On calcule n = p.q
On pose j = (p-1).(q-1)
On sélectionne e tel que : e et j soient premiers entre eux avec 1 < e < j .
On calcule d tel que : e.d = 1 mod j (e et d sont inverses l’un de l’autre
modulo j)

Exemple
Soit p = 47 ,q = 59 et e = 17
Utiliser l’algorithme RSA pour chiffrer et déchiffrer le message
M = 01000010

Exemple
Soint p = 47 ,q = 59 et e = 17
Utiliser l’algorithme RSA pour chiffrer et déchiffrer le message
M = 01000010
On calcule n = p ∗ q = 47 ∗ 59 = 2773
On calcule alors, d tel que d.e = 1mod(p − 1)(q − 1), soit d = 157.
Clef publique : (e, n) = (17, 2773)
Clef privé : d = 157.
Chiffrement du message M = 01000010 = 66 :
C = (M e mod(n)) = (6617mod(2773)) = 872
Déchiffrement de C : (C d mod(n)) = (872157mod(2773)) = 66

Inconvénient RSA
Complexité algorithmique de la méthode :recherche de nombres premiers

de grande taille, et choix de clés très longue
Réalisation des opérations modulo n.
I Problème d’implémentation sur les équipements disposants de faible
puissance de calcul (ex : cartes bancaire, stations mobiles, etc.)
I La méthode est officiellement sûre si des contraintes de longueur des clés et
d’usage sont respectées.
Solution : Utilisation de RSA pour l’échange des clés secrètes de session
d’un algorithme symétrique

La fonction de hachage
Fonction de hachage ou fonction de condensation, permet à partir d’un

texte de longueur quelconque, de calculer une chaîne de taille inférieure et
fixe appelé condensé ou empreinte (message digest ou hash en anglais)
Une fonction de hachage est :
I à sens unique, c’est à dire qu’à partir du message haché, il est impossible
de retrouver le message original.
I sans collisions, impossibilité de trouver deux messages distincts ayant la
même valeur de condensé. La moindre modification du message entraîne la
modification de l’empreinte.
I Le message haché est de taille fixe (16 ou 20 octets)
Exemples :
I MD5 (Message Digest 5 - Rivest1991-RFC 1321) : calcul une empreinte de
128 bits.
I SHA-1 (Secure Hash Algorithm 1 - NIST1994) : plus sûr que MD5 -
empreinte de 160 bits

La fonction de hachage
Utilisée seule, elle permet de vérifier l’intégrité d’un message.

Associé à un chiffrement symétrique, elle permet le calcul du
MAC(Message Authentification de Code) pour assurer
I Intégrité des données
I Authentification de la source
Associé à un chiffrement asymétrique, elle permet le calcul de signatures,
pour assurer :
I Intégrité des données
I Authentification de la source
I Non-répudiation de la source

firewall
Un système parefeu (firewall)

un dispositif conçu pour examiner et éventuellement bloquer les échanges
de données entre réseaux.
C’est un élément de sécurité d’un réseau composé de matériels et de

logiciel et qui peut être :
I un ordinateur
I un routeur
I un matériel propriétaire
Il comporte au minimum les interfaces réseau suivante :
I une interface pour le réseau à protéger (réseau interne) ;
I une interface pour le réseau externe.

Firewall
Objectif d’un firewall

I Contrôler : Gérer les connexions sortantes à partir du réseau local.
I Sécuriser : Protéger le réseau interne des intrusions venant de l’extérieur.
I Surveiller : tracer le trafic entre le réseau local et internet.
I Journalisation des événements
Un système pare-feu contient un ensemble de règles prédéfinies
permettant
I d’autoriser la connexion (allow) ;
I de bloquer la connexion (deny) ;
I de rejeter la demande de connexion sans avertir l’émetteur (drop).

Firewall
Les règles prédéfinies d’un Firewall dépendent essentiellement de la

politique de sécurité à adopter :
I Politique restrictive : Elle consiste à spécifier les actions qui sont
autorisées. Tout ce qui n’est pas explicitement autorisé est alors interdit.
I Politique permissive : À l’opposé de la restrictive, elle décrit les actions
interdites. Tout ce qui n’est pas explicitement interdit est alors autorisé.
I Politique combinatoire : Contrairement aux deux premières, une
politique combinatoire consiste à définir aussi bien les actions autorisées
que celles interdites.
Trois méthodes de filtrage :
I filtrage simple de paquets (Stateless).
I filtrage dynamique (filtrage de paquet avec état) (Stateful)
I filtrage applicatif

Firewall : filtrage simple de paquet
opère au niveau de la couche réseau du modèle OSI.
il analyse les entêtes de chaque paquet de données (datagramme) échangé
entre une machine du réseau interne et une machine extérieure.
I adresse IP de la machine émettrice ;
I adresse IP de la machine réceptrice ;
I type de paquet (TCP, UDP, ICMP) ;
I numéro de port (le service ou l’application réseau).
I examine chaque paquet indépendamment des autres et le compare à une
liste de règles préconçues.
I Exemple de règles :
limites :
I Ne permet pas l’authentification des utilisateurs ni le filtrage des
applications
I Ce type de filtrage ne résiste pas à certaines attaques de type IP
Firewall : filtrage de paquet dynamique
Il est basé sur l’inspection des couches 3 et 4 du modèle OSI,

fait le suivi des paquets sortants dont il a autorisé la transmission et
n’autorise que le retour des paquets de réponse correspondants.
Ne protège pas contre l’exploitation des failles applicatives, liées aux
vulnérabilités des applications.
opère au niveau de la couche application (couche 7 du modèle OSI)

maintient un journal des évènements très détaillée
Chaque paquet est finement analysé : ralentissement des communication

DMZ
Zone Dé-Militarisé(DMZ)
un sous-réseau séparé du réseau local et isolé de celui-ci et d’Internet (ou d’un
autre réseau) par un pare-feu. Ce sous-réseau contient les machines
susceptibles d’être accédées depuis Internet
Propriétés :
Comporte des machines du réseau interne qui ont besoin d’être accessibles
de l’extérieur (Serveurs : Web, Mail, FTP public) que de l’intérieur.
Possède un niveau de sécurité intermédiaire,
On ne peut y stocker des données critiques de l’entreprise.
les connexions à partir de la DMZ ne sont autorisées que vers l’extérieur

DMZ

DMZ

DMZ
La politique de sécurité mise en œuvre sur la DMZ est généralement la

suivante :
Trafic du réseau externe vers la DMZ autorisé ;
Trafic du réseau externe vers le réseau interne interdit ;
Trafic du réseau interne vers la DMZ autorisé ;
Trafic du réseau interne vers le réseau externe autorisé ;
Trafic de la DMZ vers le réseau interne interdit ;
Trafic de la DMZ vers le réseau externe autorisé.

Sécurité Des Réseaux Informatiques: A.Battou

Transféré par

Droits d'auteur :

Formats disponibles

Sécurité Des Réseaux Informatiques: A.Battou

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Sécurité Des Réseaux Informatiques: A.Battou

Transféré par

Droits d'auteur :

Formats disponibles

Sécurité des réseaux informatiques

A.BATTOU Sécurité des réseaux informatiques SMI6 1 / 91

A.BATTOU Sécurité des réseaux informatiques SMI6 2 / 91

A.BATTOU Sécurité des réseaux informatiques SMI6 4 / 91

A.BATTOU Sécurité des réseaux informatiques SMI6 5 / 91

A.BATTOU Sécurité des réseaux informatiques SMI6 6 / 91

Vos clefs restent elles sur votre porte ?

A.BATTOU Sécurité des réseaux informatiques SMI6 7 / 91

Sensibilisation à la problématique de la sécurité informatique en général et des

A.BATTOU Sécurité des réseaux informatiques SMI6 8 / 91

2 Menaces (Attaques et vulnérabilités)

A.BATTOU Sécurité des réseaux informatiques SMI6 9 / 91

Système d’information (SI)

La sécurité des systèmes d’information (SSI)

A.BATTOU Sécurité des réseaux informatiques SMI6 10 / 91

A.BATTOU Sécurité des réseaux informatiques SMI6 11 / 91

Les principales menaces

A.BATTOU Sécurité des réseaux informatiques SMI6 12 / 91

Trois familles de vulnérabilités :

A.BATTOU Sécurité des réseaux informatiques SMI6 13 / 91

Destruction de données : Comptabilité, Données clients, Conception,

A.BATTOU Sécurité des réseaux informatiques SMI6 14 / 91

Aspect Humain Aspect Réglementaire

Aspect organisationnel et Aspect Technique et

A.BATTOU Sécurité des réseaux informatiques SMI6 15 / 91

A.BATTOU Sécurité des réseaux informatiques SMI6 16 / 91

Rendre l’information inintelligible à d’autres personnes que les seuls

A.BATTOU Sécurité des réseaux informatiques SMI6 17 / 91

Assurer l’identité d’une entité, c’est-à-dire de garantir à chacun des

A.BATTOU Sécurité des réseaux informatiques SMI6 18 / 91

Conserver l’intégrité de l’information : l’information ne doit être ni

A.BATTOU Sécurité des réseaux informatiques SMI6 19 / 91

C’est la garantie qu’aucun des correspondants ne pourra nier la

A.BATTOU Sécurité des réseaux informatiques SMI6 20 / 91

les services et matériels doivent être accessible et disponible aux utilisateurs en

A.BATTOU Sécurité des réseaux informatiques SMI6 21 / 91

2 Menaces (Attaques et vulnérabilités)

A.BATTOU Sécurité des réseaux informatiques SMI6 22 / 91

Deux types d’attaques :

A.BATTOU Sécurité des réseaux informatiques SMI6 23 / 91

A.BATTOU Sécurité des réseaux informatiques SMI6 24 / 91

A.BATTOU Sécurité des réseaux informatiques SMI6 25 / 91

A.BATTOU Sécurité des réseaux informatiques SMI6 26 / 91

A.BATTOU Sécurité des réseaux informatiques SMI6 27 / 91

Hacker : un spécialiste dans la maîtrise de la sécurité informatique et

A.BATTOU Sécurité des réseaux informatiques SMI6 28 / 91

A.BATTOU Sécurité des réseaux informatiques SMI6 29 / 91

A.BATTOU Sécurité des réseaux informatiques SMI6 30 / 91

Social engineering ou ingénierie sociale : technique de manipulation

A.BATTOU Sécurité des réseaux informatiques SMI6 31 / 91

Scanner de vulnérabilité/Analyseur réseau (ex nmap) : utilitaire permettant

A.BATTOU Sécurité des réseaux informatiques SMI6 32 / 91

A.BATTOU Sécurité des réseaux informatiques SMI6 33 / 91

A.BATTOU Sécurité des réseaux informatiques SMI6 34 / 91

L’ingénierie sociale : contacter directement certains utilisateurs du réseau

A.BATTOU Sécurité des réseaux informatiques SMI6 35 / 91

Des outils utilisés par des constructeurs de matériels informatiques à

A.BATTOU Sécurité des réseaux informatiques SMI6 36 / 91

Nettoyage des traces