Professional Documents
Culture Documents
DEA d'Informatique
Coopration dans les sciences de traitement de l'information
Prpar par
Responsable
Zoubir Mammeri
Jury
Bilal Chebaro
Ali Awada
Kablan Barbar
Mots-cls : Systme embarqu - Attaques - Infrastructure critique rseaux de capteur - WiFi - Pare feu - IDS - connectivit - VPN - ADSL IPSEC -scurit - QoS - Internet -Satellite Rsum
Ce mmoire consiste traiter la connectivit dans les infrastructures critiques en utilisant plusieurs technologies et services. Il traite encore les mthodes qui offrent un haut dbit et les dispositifs et les protocoles qui assurent la scurit contre les attaques et les menaces.
Key words : Embedded system - Attacks - critical infrastructure - sensor networks - WiFi - Firewall - IDS - connectivity - VPN - ADSL - IPSEC Security - QoS - Internet - Satellite Abstract
This dissertation discusses the connectivity in critical infrastructures using several technologies and services. It also treats the methods which offer high data flow as well as the devices and the protocols which ensure the safety against attacks and the threats.
Remerciements
Ce travail a t effectu au sein de l'Institut de Recherche en informatique de Toulouse. Je remercie mon encadrant, Monsieur le professeur Zoubir Mammeri de lUniversit Paul Sabatier, responsable de lquipe ASTRE, pour ses encouragements, ses remarques constructives, pour mavoir accueilli dans son quipe de recherche et pour avoir assurer la direction de ce stage. Je remercie tous les membres de lquipe ASTRE. Je remercie Monsieur Jean-Paul Bahsoun, Professeur et Directeur du dpartement informatique de lIRIT et de lUPS pour ses encouragements et ses conseils. Je remercie Monsieur Bilal Chebaro, Docteur lUniversit libanaise, pour son encadrement durant mon stage au Liban, sa patience, ses remarques et ses conseils. Un grand remerciement mes parents pour leur support et leur croyance en moi. A toute personne qui a contribu la ralisation de ce mmoire, je dis : Merci.
Table des matires 1.7.2 IPSec .................................................................................................................... 22 1.7.3 Filtre de paquet (FP) ............................................................................................ 22 1.7.4 La scurit et la qualit de service ....................................................................... 22 Chapitre 2 : Technologies et services pour la connectivit 2.1 Introduction................................................................................................................. 25 2.2 Les dispositifs de connectivit des rseaux ................................................................ 25 2.2.1 Introduction.......................................................................................................... 25 2.2.2 Les avantages de lextension dun rseau local ................................................... 25 2.2.2 Les diffrents dispositifs de la connectivit......................................................... 26 2.3 La mise en place d'un serveur proxy........................................................................... 29 2.3.1 Introduction.......................................................................................................... 29 2.3.2 Le principe de fonctionnement d'un proxy .......................................................... 30 2.3.3 Les fonctionnalits d'un serveur proxy ................................................................ 30 2.3.3.1 Le filtrage...................................................................................................... 30 2.3.3.2 L'authentification .......................................................................................... 30 2.5 Mettre en place des caches web distribus ............................................................. 30 2.6 Les protocoles TCP/IP et Internet............................................................................... 31 2.6.1 TCP/IP.................................................................................................................. 31 2.6.1.1 Dfinition ...................................................................................................... 31 2.6.1.2 Adressage IP ................................................................................................. 31 2.6.1.3 IPv6 ............................................................................................................... 32 Chapitre 3 : Connectivit dans les infrastructures critiques 3.1 Introduction................................................................................................................. 34 3.2 Un dbit lev et le technologie multiplexage en longueur donde........................ 34 3.3 ADSL ...................................................................................................................... 35 3.3.1 Introduction.......................................................................................................... 35 3.3.2 La technologie ADSL .......................................................................................... 35 3.3.3 Loffre ADSL....................................................................................................... 36 3.3.3.1 Loffre NETISSIMO I .................................................................................. 36 3.3.3.2 Loffre NETISSIMO II ................................................................................. 36 3.3.3.3 Les fournisseurs daccs Internet proposant lADSL ................................... 36 3.3.4 Conclusion ........................................................................................................... 37 3.4 VPN............................................................................................................................. 37 3.4.1 Introduction.......................................................................................................... 37 3.4.2 Tunnel .................................................................................................................. 37 3.5 Assurer une qualit de service la demande .......................................................... 38 3.5.1 Le rseau multimdia........................................................................................... 38 3.5.1.1 Les conditions de la qualit de service ......................................................... 38 3.5.2 Les solutions de la QoS........................................................................................ 39 3.5.2.1 Les routeurs de priphrie............................................................................. 39 3.5.2.2 Les flux diffrencis de paquets ................................................................... 39 3.5.2.3 La notification explicite ................................................................................ 40
-2-
Table des matires 3.6 Internet par satellite..................................................................................................... 40 3.6.1 Introduction.......................................................................................................... 40 3.6.2 L'quipement ncessaire ...................................................................................... 41 3.6.3 Le fonctionnement ............................................................................................... 41 3.6.4 Les serveurs Proxy............................................................................................... 41 3.6.5 Le Push ........................................................................................................... 42 3.6.6 Les dbits ............................................................................................................. 42 3.6.7 L'avenir ................................................................................................................ 42 Chapitre 4 : Gestion de la scurit 4.1 Introduction................................................................................................................. 44 4.2 Les dispositifs de la scurit ....................................................................................... 44 4.2.1 Les pare-feu ......................................................................................................... 44 4.2.1.1 Dfinition et fonctionnement ........................................................................ 44 4.2.1.2 Les types de firewalls.................................................................................... 45 4.2.2 Les systmes de dtection et de prvention de lintrusion................................... 46 4.3 VPN............................................................................................................................. 47 4.3.1 Introduction.......................................................................................................... 47 4.3.2 IPSec .................................................................................................................... 48 4.3.3 SSL....................................................................................................................... 49 4.3.4 Utilisation de IPsec et SSL .................................................................................. 49 4.4 Un systme VPN bien administr ............................................................................... 49 Conclusion gnrale Bibliographie
-3-
-4-
Introduction Gnrale
-5-
Introduction gnrale
Gnralement la prsence sur Internet est devenue une ralit pour les entreprises et les diffrentes infrastructures et ce quelque soit leur taille ou leur nature. La disponibilit daccs haut dbit permanent autorise chaque entreprise hberger des services Internet et proposer ses collaborateurs laccs au rseau sans contraintes. Donc linstallation de lInternet doit prendre en compte les problmatiques suivants : La connectivit lInternet et les relations avec les ISP (Internet Service Provider) Le routage IP et ladressage La gestion et la traduction dadresse (NAT) Le filtrage et le pare-feu Les services Internet et leur scurisation spcifique La gestion du DNS Le partage de charge La scurisation active des services face aux pannes Les infrastructures critiques sont les installations physiques et des technologies de linformation, les rseaux, les services et les actifs qui, en cas darrt ou de destruction, peuvent avoir des graves incidentes sur la sant ou la scurit des personnes et des biens. Les infrastructures critiques englobent : Les installations et les rseaux dans les secteurs dnergie (notamment les installations de production dlectricit, de ptrole et de gaz, les installations de stockage et les raffineries, les systmes de transport et de distribution) Les technologies des communications et de linformation (les tlcommunications, les systmes de radio diffusion, les logiciels, le matriel informatique et les rseaux, y compris lInternet, etc.) Les finances (le secteur bancaire) Eau (Rserves, stockage, traitement et rseaux) Transport (aroports, ports, systmes de contrle de trafic) Administration (services de base, installations, rseaux dinformation, actifs et principaux sites et monuments nationaux) Pour bien assurer une bonne interactivit entre les diffrents quipements des infrastructures critiques, il faut offrir un trs haut dbit permettant de fonctionner en temps rel. Aussi, il faut comprendre une chose : le trs haut dbit aujourdhui, 2.5 Gigabits/seconde, sera le dbit normal dici quatre ans. La limitation se fait au niveau des boucles locales, compte tenu du cot envisag dinstallation des connexions. En plus, il est utile de rduire le trafic travers le rseau critique et ainsi damliorer le temps de rponse. Donc, les technologies et les infrastructures critiques lies lInternet sont incontournables pour fournir une bonne qualit de service. On a considr lInternet luimme comme le rseau commun pour livrer tous les types de contenu. Cette vision optimiste na pas encore rempli toutes ses personnes, une des raisons tant que la technologie daccs large bande sur la boucle locale prend plus de temps pour se
-6-
Introduction gnrale dployer que prvu. Mais, l aussi, lvolution vers des services plus interactifs est fortement attendue. La connectivit des systmes critiques aux rseaux doit prendre en compte des besoins et des contraintes de plus en plus varies : monte en dbit en frquence, amlioration de la qualit de service, de la scurit et la sret de fonctionnement, traitement efficace des diffrents type de flux (donnes, voix, images), inter fonctionnement des diffrents constituants des rseaux, besoins particuliers de certains flux La scurit de ces systmes consiste scuriser trois classes de composants : les nuds du rseau (routeurs, commutateurs et entits de gestion), linfrastructure de transport et le trafic qui utilise ce rseau. Les travaux de ce mmoire ont consist tudier la connectivit dans les infrastructures critiques. L'objectif est de prciser la manire laquelle une infrastructure se connecte au rseau surtout Internet en prcisant les diffrents dispositifs et les technologies servant raliser ce but. Ainsi, on tudie les mcanismes et les protocoles permettant de scuriser ces infrastructures contre les attaques et les menaces. Le contexte et l'tude gnrale de quelques aspects font l'objet du premier chapitre de ce mmoire. Les types des attaques menaant les systmes et les infrastructures critiques sont d'abord prsents. Puis une tude gnrale sur l'acquisition des signaux wireless et les rseaux de capteur a t effectue. La cryptographie comme une technique de calcul en temps rel pour assurer la scurit a t reprsente. Aussi, des contraintes ont t cites dans le but d'offrir une scurit en temps rel dans les systmes informatiques critiques. Les systmes embarqus et ses caractristiques ont t tudis afin d'offrir la scurit et la confiance durant leur fonctionnement. Le second chapitre est consacr la description des technologies et des services permettant de faire la connectivit d'un rseau. Les dispositifs utiliss lors de la connectivit sont tout d'abord prsents. Au cours du troisime chapitre nous tudions les technologies spciales permettant de relier une infrastructure critique au rseau. Plusieurs mthodes sont prsentes pour mettre ces infrastructures sur le rseau en offrant tout entirement la scurit et un haut dbit permettant l'interaction en temps rel. Ainsi, nous prsentons la connectivit Internet par satellite. La ralisation et la gestion de la scurit avec des diffrents dispositifs et en utilisant des protocoles scuriss sont menes au quatrime chapitre. Ce mmoire se termine par une conclusion sur les travaux prsents.
-7-
-8-
1.1 Introduction
Le degr dutilisation des systmes et rseaux dinformation et lenvironnement des technologies de linformation dans son ensemble ont volue de faon spectaculaire depuis 1992. Ces volutions offrent des avantages significatifs mais requirent galement que le gouvernement, les entreprises, les autres organisations et les utilisateurs individuels qui dveloppent, possdent, fournissent, grent, maintiennent et utilisent les systmes et rseaux dinformations, portent une bien plus grande attention la scurit. La scurit est un enjeu majeur des technologies numriques modernes. Infrastructure de tlcommunication (GSM, GPRS, UMTS), rseau sans fils (bluetooth, WiFi, WiMax), Internet, systmes dinformations, routeurs, systmes dexploitation, applications informatiques, toutes ces entits prsentent des vulnrabilits : faille de scurit, dfaut de conception ou de configuration. Ces systmes tombent en panne, subissent des erreurs dutilisation et sont attaqus de lextrieur ou de lintrieur par des pirates, des cybercriminels. Une approche globale de la scurit des systmes est essentielle pour protger la vie prive, pour rduire les vulnrabilits des grands systmes dinformations. [MR 06]. LInternet est le support dinfrastructures vitales telles que lnergie, les transports et les activits financires et joue un rle majeur dans la faon dont les entreprises conduisent leurs activits, dont les gouvernements assurent des services aux citoyens et aux entreprises et dont les citoyens communiquent et changent des informations. La nature et le type des technologies constituant linfrastructure des communications et de linformation ont galement sensiblement volu. Le nombre et la nature des dispositifs daccs cette infrastructure se sont multiplis et diversifis pour englober les terminaux daccs fixes, sans fil et mobiles et une proportion croissante des accs seffectue par lintermdiaire de connexions permanentes . Par voie de consquence, la nature, le volume et le caractre sensible de linformation change ont augment de faon significative. Toute cette progression demande de dvelopper une culture de la scurit . Donc, le prsent concept de protection de base a pour objectif de rduire la vulnrabilit des infrastructures critiques face aux vnements et accidents naturels ainsi quaux attentats terroristes et aux actes criminels. Dans cet objectif, le concept de base se concentre sur les mesures de protection relatives la construction, lorganisation, aux personnes et la technique. Aussi le temps est une dimension importante quil faut considrer dans les infrastructures critiques et dans les systmes des contrles et la prise en compte de ses contraintes intervient tous les niveaux du cycle de vie des applications. La correction fonctionnelle repose notamment sur des approches de gnie logiciel (conception de composants oriente objet ou aspect). La correction temporelle repose sur des approches propres au temps rel, notamment la spcification et la validation de contraintes de temps et la communication avec une qualit de service prdictible.
-9-
- 10 -
Chapitre 1: Introduction la scurit, rseaux sans fil et systmes embarqus 1.2.1.3 Attaque par dni de service Une attaque par dni de service est un type dattaque visant rendre indisponible pendant un temps indtermin les services ou ressources dune organisation. Il sagit la plupart du temps dattaques lencontre des serveurs dune entreprise, afin quils ne puissent tre utiliss et consults. Le principe des attaques par dni de service consiste envoyer des paquets IP ou des donnes de taille ou de constitution inhabituelle, afin de provoquer une saturation ou un tat instable des machines victimes et de les empcher ainsi d'assurer les services rseau qu'elles proposent. 1.2.1.4 La technique dite par rflexion La technique dite attaque par rflexion (en anglais smurf ) est base sur lutilisation de serveurs de diffusion (broadcast) pour paralyser un rseau. Un serveur broadcast est un serveur capable de dupliquer un message et de lenvoyer toutes les machines prsentes sur le mme rseau. 1.2.1.5 Attaque par usurpation dadresse IP (IP spooffing) Lusurpation dadresse IP est une technique consistant remplacer ladresse IP de lexpditeur dun paquet IP par ladresse IP dune autre machine. Cette technique permet ainsi un pirate denvoyer des paquets anonymement. Il ne sagit pas pour autant dun changement dadresse IP, mais dune mascarade de ladresse IP au niveau des paquets mis. La technique de l'usurpation d'adresse IP peut permettre un pirate de faire passer des paquets sur un rseau sans que ceux-ci ne soient intercepts par le systme de filtrage de paquets (pare-feu). 1.2.1.6 Mot de passe devinant Il est facilement dobtenir un programme fendant de mot de passe tel que la fente . Ce programme essaie simplement de deviner le mot de passe dun compte.
- 11 -
Chapitre 1: Introduction la scurit, rseaux sans fil et systmes embarqus perte dun demi milliard deuros en matriel et par le risque de perte de crdibilit dun programme de sept milliards deuros. En 1991, lors de la premire guerre du Golfe, une imprcision numrique dans le calcul dune horloge interne causa la mort de vingt-huit soldats amricains aprs la dfaillance dun missile antimissile Patriot.
- 12 -
Le protocole 802.11 de lInstitut of electrical and Electronics Engineers (IEEE), parfois nomm Wi-Fi, dfinit plusieurs couches physiques et une couche daccs au mdium pour les rseaux sans fil (Wireless local area networks - WLAN). Les diffrentes couches physiques dfinissent diffrents codages permettant dassurer une transmission sans fil fiable et un multiplexage de plusieurs canaux de transmission. Le standard 802.11 dfinit deux modes opratoires : Le mode infrastructure dans lequel les clients sans fil sont connects un point daccs. Il sagit gnralement du mode par dfaut des cartes 802.11b. Le mode ad hoc dans lequel les clients sont connects les uns aux autres sans aucun point daccs.
- 13 -
Chapitre 1: Introduction la scurit, rseaux sans fil et systmes embarqus dcouper la large bande de frquence en un minimum de 75 canaux (hops ou sauts d'une largeur de 1MHz), puis de transmettre en utilisant une combinaison de canaux connue de toutes les stations de la cellule. Une allocation alatoire dune squence de frquence permet de multiplexer efficacement plusieurs transmissions et offre une bonne rsistance aux interfrences en bande, c'est--dire linterfrence en causes par des signaux mis dans la mme bande de frquence que le signal utile. Dans la norme 802.11, la bande de frquence 2.4 - 2.4835 GHz permet de crer 79 canaux de 1 MHz. La transmission se fait ainsi en mettant successivement sur un canal puis sur un autre pendant une courte priode de temps (d'environ 400 ms), ce qui permet un instant donn de transmettre un signal plus facilement reconnaissable sur une frquence donne. L'talement de spectre par saut de frquence a originalement t conu dans un but militaire afin d'empcher l'coute des transmissions radio. En effet, une station ne connaissant pas la combinaison de frquence utiliser ne pouvait pas couter la communication car il lui tait impossible dans le temps imparti de localiser la frquence sur laquelle le signal tait mis puis de chercher la nouvelle frquence. Aujourd'hui les rseaux locaux utilisant cette technologie sont standards ce qui signifie que la squence de frquences utilises est connue de tous, l'talement de spectre par saut de frquence n'assure donc plus cette fonction de scurisation des changes. En contrepartie, le FHSS est dsormais utilis dans le standard 802.11 de telle manire rduire les interfrences entre les transmissions des diverses stations d'une cellule. Etalement du spectre squence directe La technique DSSS (Direct Sequence Spread Spectrum, talement de spectre squence directe) consiste transmettre pour chaque bit une squence Barker (parfois appele bruit pseudo-alatoire ou en anglais pseudo-random noise, not PN) de bits. Ainsi chaque bit valant 1 est remplac par une squence de bits et chaque bit valant 0 par son complment. La couche physique de la norme 802.11 dfinit une squence de 11 bits (10110111000) pour reprsenter un 1 et son complment (01001000111) pour coder un 0. On appelle chip ou chipping code (en franais puce) chaque bit encod l'aide de la squence. Cette technique (appele chipping) revient donc moduler chaque bit avec la squence Barker.
- 14 -
Chapitre 1: Introduction la scurit, rseaux sans fil et systmes embarqus Grce au chipping, de l'information redondante est transmise, ce qui permet d'effectuer des contrles d'erreurs sur les transmissions, voire de la correction d'erreurs.
- 15 -
Chapitre 1: Introduction la scurit, rseaux sans fil et systmes embarqus La premire, au sens de la thorie de l'information, a t initialement voque par Shannon. Elle concerne l'information sur le texte clair contenu dans le texte chiffr : un shma de chiffrement est parfaitement sr si le texte chiffr ne contient aucune information au sujet du texte clair correspondant. Dans le cadre dun schma de chiffrement symtrique, il a t dmontr que la scurit parfaite nest atteinte que si la clef utilise est aussi longue que le message. Cette condition a une srieuse limite en pratique. La deuxime approche, au sens de la thorie de la complexit, est actuellement utilise dans lanalyse des schmas de chiffrement. Elle ne sintresse pas au contenu du texte chiffr mais met laccent sur la difficult dextraire de linformation sur le texte clair partir du texte chiffr. Cette difficult est considre au sens de la complexit et elle est souvent compare la difficult dun problme bien dfini : la factorisation, par exemple.
1.4.2 Cryptographie
La cryptographie ou chiffrement est le processus de transcription d'une information intelligible en une information inintelligible par l'application de conventions secrtes dont l'effet est rversible. La loi franaise dfinit les prestations de cryptologie comme : toutes prestations visant transformer l'aide de conventions secrtes des informations ou signaux clairs en information ou signaux inintelligibles pour des tiers, ou raliser l'opration inverse, grce des moyens, matriels ou logiciels conus cet effet Il existe deux grands types de cryptographie : La cryptographie symtrique : la mme cl (le code secret) est utilise pour encrypter et dcrypter l'information. Le problme de cette mthode est qu'il faut trouver le moyen de transmettre de manire scurise la cl son correspondant. La cryptographie asymtrique : ce n'est pas la mme cl qui crypte et qui dcrypte les messages. L'utilisateur possde une cl prive et une cl publique. Il distribue sa cl publique et garde secrte sa cl prive. Dans ce type d'application, tout le monde peut lui crire en utilisant la cl publique, mais seul l'utilisateur destinataire pourra dcrypter et donc lire le message avec sa cl prive. La cryptographie permet ici d'assurer la confidentialit des donnes transitant sur un rseau : les donnes sont uniquement portes la connaissance des personnes autorises. Une autre paire de cls sera utilise pour s'assurer de l'identit de l'metteur d'un message : c'est la question de l'authentification. L'utilisateur crypte avec sa cl prive son message. Tout le monde peut dcrypter le message avec la cl publique correspondant l'expditeur ainsi identifi. 1.4.2.1 Chiffrement symtrique La mme cl est utilise pour chiffrer et dchiffrer. Le principal avantage du chiffrement symtrique est une grande vitesse de chiffrement obtenue par une ralisation en circuits intgrs. Le principal inconvnient est la difficult de partager la mme cl par deux entits distantes. En effet, cette cl devra tre gnre par une entit puis transporte vers lautre entit, ce qui impose un transport trs scuris. Parmi les cls de chiffrement symtrique, les plus connus sont DES et AES. La taille des cls est souvent comprise entre 40 bits et 256 bits.
- 16 -
Fonctions pseudo-alatoires Pour la catgorie de chiffrement la plus frquemment tudie en cryptographie symtrique le chiffrement par bloc la proprit dsire est que le chiffrement soit une permutation (super) pseudo alatoire. Une permutation pseudo alatoire. Une permutation pseudo alatoire est une fonction pseudo alatoire o la fonction est une permutation. La notion pseudo de permutation super pseudo-alatoire est une extension de permutation pseudo alatoire o lattaquant peut accder non seulement la permutation mais aussi son inverse. Ces derniers seront, leur tour, utilises comme primitives pour dautres applications (chiffrement de donnes travers des modes doprations, code dauthentification de message). 1.4.2.2 Chiffrement asymtrique Dans le chiffrement asymtrique, les cls de chiffrement et de dchiffrement sont diffrentes. Une des cls appele cl secrte, est mmorise et utilise par une entit. Lautre cl, appele cl publique, est distribue toutes les autres entits. La cl publique porte bien son nom car sa distribution peut ne pas tre confidentielle (cest lavantage du chiffrement asymtrique) mais son authentification reste ncessaire. La cl publique est utilise en gnral lors du chiffrement et la cl prive pour le dchiffrement. Comme seule lentit possdant la cl prive peur dchiffrer, la confidentialit de lchange est assure. Linconvnient est que ces algorithmes utilisent des fonctions mathmatiques complexes qui ne peuvent tre raliss sur des circuits intgrs. Le dbit de ce type de chiffrement sera donc trs faible. Parmi les algorithmes de chiffrement asymtrique, le plus connu est RSA. La taille de chiffrement asymtrique est souvent comprise entre 512 et 2048 bits.
1.4.3 Condenst
Le condenst est dfini comme une fonction mathmatique dont le paramtre dentre peut tre de grande taille et dont le rsultat est de taille trs rduite. Le calcul du condenst doit tre rapide et il doit tre impossible de calculer le paramtre dentre partir du rsultat. La dernire proprit du condenst est que deux paramtres dentres identiques un bit prs doivent fournir deux rsultats tout fait diffrents.
Chapitre 1: Introduction la scurit, rseaux sans fil et systmes embarqus message reu et de la cl partage et vrifie si le condenst calcul est identique au condenst reu. Si cest le cas, cela signifie que le message na pas t modifi (service dintgrit) et que lorigine du message est bien le signataire (car seuls le signataire est le destinataire possdent le secret partag). 1.4.4.2 Signataire numrique asymtrique La signature asymtrique utilise le concept de condenst en combinaison avec la cl prive du signataire. Pour le signataire du document, lopration est effectue en trois phases : Calcul du rsultat du message chiffr signer Chiffrement du rsultat du condenst avec sa cl prive Envoi du message et du condenst chiffr au destinataire Trois oprations sont galement effectues par le destinataire : Calcul du rsultat du condenst du message reu Dchiffrement du condenst reu avec la cl oblique du signataire Vrification de lidentit du condenst calcul et du condenst dchiffr. Si cette identit est vrifie, cela signifie que le message na pas t modifi et que lorigine du message est bien le signataire, car seul le signataire possde la cl prive pour signer le condenst.
- 18 -
Chapitre 1: Introduction la scurit, rseaux sans fil et systmes embarqus Pour rester efficace, leur configuration doit tre teste priodiquement et les alertes gnres contrles et corrles. Pour mieux matriser ces changements et affiner la configuration de vos pare-feux dans le but de rduire le temps, vous devez connatre les flux applicatifs pour filtrer et analyser les paquets concernant ces flux seulement. Valider la mise jour corrective rgulirement et tester priodiquement les vulnrabilits de tous les composants logiciels de votre systme dinformation. Veiller lactivation permanente de vos anti-virus.
- 19 -
Chapitre 1: Introduction la scurit, rseaux sans fil et systmes embarqus Elimination des fautes : comment minimiser par vrification, la prsence des fautes. Prvisions des fautes : comment estimer, par valuer, la prsence, la cration, et les consquences des fautes. Prvention des fautes et limination des fautes peuvent tre vues comme constituent lvitement des fautes : comment tendre vers un systme exempt de fautes. lobtention de la sret de fonctionnement : comment procurer au systme laptitude dlivrer un service conforme la spcification. limination des fautes et prvision des fautes peuvent tre regroupes dans la validation de la sret de fonctionnement : comment avoir confiance dans laptitude du systme dlivrer un service conforme au service spcifi.
- 20 -
Afin de vrifier un systme, le concepteur doit : Raliser un modle du systme quil souhaite vrifier. Cette tche est dlicate puisque, la plupart du temps, le systme est dcrit en langue naturelle ou sous forme de programme incompatible avec le formalisme des programmes et il est alors ncessaire de traduire, le plus souvent la main, cette description. Spcifier formellement, par exemple dans un langage logique, les proprits attendues du systme. Nous donnons quelques exemples de proprits : Le systme peut-il se bloquer ? Aprs une panne, le signal dalarme se dclenche-t-il ? . Lavantage essentiel du modle-checking sur les mthodes fondes sur le test et la simulation est lexhaustivit : une proprit valide sur le modle le sera dans absolument toutes les situations alors quun scnario rel de fonctionnement a pu tre oubli dans une procdure de test. Par ailleurs, lorsquune proprit nest pas vrifie dans un modle ; les outils existants fournissent une trace dexcution du modle dmontrant que la proprit nest pas satisfaite. Il est plus facile de dterminer lorigine de lerreur et de la corriger.
- 21 -
Chapitre 1: Introduction la scurit, rseaux sans fil et systmes embarqus Le dlai : diffrents dlais peuvent tre pris en compte. Dans ce cas, on sintresse au dlai de transport, c'est--dire le temps total pass au niveau des composants actifs du rseau (switch, firewall, etc) ; La latence : la somme de tous les dlais, dans une direction, dans une communication en temps rel. Une limite de 75 millisecondes est tolrable. Audel, la communication est dgrade ou de faible qualit. La variance (jitter) : la variation de la latence. Le maximum tolr est de 20 millisecondes.
1.7.2 IPSec
IPSec est un protocole destin fournir diffrents services de scurit. Son intrt principal reste sans contexte son mode dut de tunneling, c'est--dire dencapsulation dIP qui lui permet entre autres choses de crer des rseaux privs virtuels (ou VPN en anglais). Il ne faut pas ngliger les aspects pratiques tels que la charge processeur due au chiffrement, le dbit thorique possible, loverhead induit et donc le dbit effectif De plus IPSec nest pas le seul protocole permettant dtablir des tunnels, il en existe dautres comme les point--point tel que L2TP, L2F ou encore PPTP qui peut induire un overhead non ngligeable.
- 22 -
Chapitre 1: Introduction la scurit, rseaux sans fil et systmes embarqus aux objectifs, c'est--dire rpondant aux spcifications du problme et en particulier garantir un comportement temporel satisfaisant. Pour garantir les contraintes temporelles avec un dlai minimum, il faut non seulement crire des algorithmes de traitement dont on sait valuer un temps maximal dexcution, mais galement matriser les caractristiques des dispositifs qui les excute Lorsque les traitements sont importants et que les contraintes temporelles sont trs strictes, lexcution de ces traitements ncessite lutilisation de machines parallles. Un des buts principaux dans de dveloppement des dispositifs fonctionnant avec des processus parallliss est de rduire les frais gnraux prsents par les mcanismes de la scurit. Le temps de traitement est un facteur trs important et qui doit tre minimis. Beaucoup darchitectures essayent de rduire ces frais gnraux en rduisant en minimum le moment rel pour le traitement y compris le dlai. Donc, il faut prsenter une architecture pour garantir la QoS. Pour raliser la scurit qui garantie la QoS, un traitement paralllis dans les quipements de la scurit est lune des solutions efficaces. La gestion des processus est ncessaire pour offrir un meilleur temps dexcution. Nous voulons dire aussi quun paquet doit tre livr de sa source sa destination dans une date limite mme sil passe par les dispositifs de la scurit. Il est difficile doffrir une scurit avec une grande vitesse. En effet, les dispositifs de la scurit comme le firewall sont forcs danalyser des milliers des paquets qui passent dans le rseau ce qui augmente le dlai. Donc, il faut considrer les aspects qui servent garantir la QoS. Les quipements de transport qui assurent la scurit dans un systme temps rel doivent tre assez intelligents pour identifier et stopper tous les menaces et les attaques en respectant la qualit de service surtout en termes de dlai et de latence. Donc, la politique de la scurit doit tre en relation avec la politique de la QoS.
- 23 -
- 24 -
2.1 Introduction
Pour se connecter Internet, il faut une connexion fiable et permanente, permettant lutilisation des technologies actuelles, comme lADSL, une leased line et cble, avec une largeur de bande minimale de 128Kpbs pour garantir la fiabilit, il est souhaitable de pouvoir utiliser les scnarios de back-up ncessaire. Nous pensons lISDN ou une autre technologie. Les rseaux physiquement diffrents (ISDN, leased line, ADSL) doivent pouvoir tre connects, le serveur de communication se chargeant du routing entre ces diffrents rseaux.
- 25 -
Chapitre 2 : Technologies et services pour la connectivit et donc, tous les protocoles traversent les ponts). La couche LIAISON peut tre divise en deux sous-couches, la sous-couche LLC et la sous-couche MAC. Les ponts travaillent au niveau de la sous-couche MAC qui reconnat les adresses MAC des cartes rseaux (ladresse Mac de chaque carte rseau, de chaque nud du rseau, est une adresse unique dans le monde entier). Les ponts sont parfois appels des ponts de couche MAC . Les ponts possdent une mmoire dans la quelle ils stockent les informations de la table de routage. Au dmarrage, la table de routage dun pont est vide. Les ponts construisent une table de routage en examinant les adresses sources des paquets qui lui parviennent. Ainsi, au fur et mesure du trafic, les ponts accumulent les informations sur les stations mettrices : Ladresse MAC de chaque nud Le segment auquel elles appartiennent, cest dire le port du pont auquel est reli le cble du segment en question Quand un paquet arrive sur un pont, celui-ci vrifie si ladresse source de lexpditeur figure dans sa table de routage, si ce nest pas le cas, le pont ly inscrit. Ensuite, le pont vrifie si ladresse cible du destinataire figure dans sa table de routage, si cest le cas, alors il achemine le paquet vers le segment (le port) auquel appartient le destinataire (sauf, si cest le mme segment que lexpditeur), si ce nest pas le cas, le pont transfert le paquet vers tous les autres segments, vers tous ses ports (le pont devra attendre que le destinataire mette son tour). Les routeurs : Les routeurs (Routers, Gateway) permettent de prolonger et de segmenter un rseau, daugmenter le nombre de postes (le nombre de nuds), de rduire les goulets dtranglement, de router le paquets, de relier des supports diffrents, de relier des segments qui utilisent des mthodes daccs au rseau diffrentes, ou des protocoles routables diffrents. Les routeurs sont souvent utiliss pour interconnecter plusieurs rseaux entre eux ; les interconnexions des rseaux proposent plusieurs chemins possibles pour que deux stations communiquent. Les routeurs permettent de router les paquets dun rseau vers un autre, tout en considrant que le chemin le plus court nest pas forcment le plus rapide. Les routeurs travaillent au niveau de la couche RESEAU du modle OSI. Lorsquun paquet est transmis un autre routeur, les adresses rseaux de la source et de la cible sont recres, et ventuellement traduites, cest ce qui permet un routeur de transmettre les paquets dun segment Ethernet vers un segment Token Ring par exemple. La table de routage dun routeur conserve les informations de routage qui le concerne directement, cest dire les informations des matriels adjacents (ordinateurs ou routeurs) qui sont installs sur les segments auxquels il est lui-mme raccord. Un routeur ne communique pas avec les ordinateurs qui sont situs au-del dun autre routeur. Les routeurs partagent leurs informations de routage avec les autres routeurs du rseau. Les informations de routage permettent aux routeurs de dterminer la route optimale : Les adresses rseaux des ordinateurs placs sur les segments adjacents
- 27 -
Chapitre 2 : Technologies et services pour la connectivit Les masques de sous rseaux des autres segments, les plages dadresse qui sont gres par les routeurs adjacents Les chemins possibles pour acheminer un paquet vers un des routeurs du rseau Le nombre de sauts de routeurs pour arriver tel ou tel segment
Les routeurs ne laissent pas passer les messages de diffusion gnrale (Broadcast), ils ne laissent passer que les protocoles routables. Les routeurs ne laissent passer que les paquets dont les adresses sont connues. Les routeurs peuvent servir de barrire de scurit entre les segments dun rseau. Les routeurs permettent de prvenir les saturations de diffusion. Les protocoles routables : DECnet IP IPX OSI DDP (Apple Talk) Les protocoles non routables : NetBEUI de MICROSOFT Les ponts-routeurs : Les ponts-routeurs (Brouter en anglais) sont une combinaison des fonctionnalits dun pont et dun routeur. Les ponts-routeurs routent les protocoles routables et font un pont en or pour les protocoles non routables. Les ponts-routeurs facilitent la gestion du trafic dun rseau quand celui-ci est compos la fois de ponts et de routeurs. Les passerelles : Les passerelles (Gateway) permettent la communication entre rseaux darchitectures diffrentes. Les passerelles interconnectent les rseaux htrognes multi fournisseurs. Les passerelles sont souvent utilises pour relier un rseau dordinateurs personnels un rseau de mini ordinateurs ou un rseau de grands systmes (ce qui permet aux utilisateurs daccder aux ressources dun grand systme par exemple). Une passerelle est toujours spcifique aux deux architectures quelle permet de runir. Une passerelle peut agir sur toutes les couches du modle OSI. La passerelle reformate les paquets, les donnes entrantes sont dpouilles de leur pile de protocole (dsencapsules) et rhabilles (rencapsules) avec lautre pile de protocole. La passerelle remplace une pile de protocole par une autre. Les passerelles sont des traducteurs de protocoles. Les passerelles sont souvent utilises pour les rseaux qui ne disposent pas de TCP/IP (par exemple, les rseaux NetWare qui fonctionnent sous SPX/IPX et qui veulent avoir un accs Internet).
- 28 -
Les caractristiques des dispositifs de connectivit Rpteur Rgnration OUI Prolonger Les nuds Les supports Multi ports Broadcast Segmenter Filtrer Router Traduire Couche OSI Chemins Adresses Mthode daccs Protocoles Architecture rseaux Topologie Utilisation La mme Un seul La mme Bus Rallonger OUI OUI Multi cbles Pont OUI OUI OUI Routeur OUI OUI OUI Pontrouteur OUI OUI OUI Multi cbles OUI OUI et NON OUI OUI NON et OUI OUI Passerelles OUI OUI OUI Multi cbles OUI NON OUI OUI OUI OUI 1. 7. Plusieurs
Multi cbles Multi cbles OUI NON OUI OUI OUI OUI
Concentrateur OUI OUI NON NON NON NON 1. Physique Un seul OUI OUI OUI NON NON 2. LIAISON Un seul @ MAC La mme Un seul La mme Dorsale Regrouper
3. RESEAU 2. et 3. Plusieurs @ rseau CSMA/CD et le jeton Routables Ethernet et Token Ring Maillage Optimiser Maillage Simplifier Plusieurs
- 29 -
Chapitre 2 : Technologies et services pour la connectivit La plupart du temps le serveur proxy est utilis pour le web, il s'agit donc d'un proxy HTTP, toutefois il peut exister des serveurs proxy pour chaque protocole applicatif (FTP, ...).
- 30 -
Chapitre 2 : Technologies et services pour la connectivit dupliqu sur plusieurs sites, ce qui pose invitablement le problme de la cohrence des diffrentes versions de ce document. Pour amliorer leur efficacit, lInstitut Eurcom a tudi lorganisation des caches relis par des liens trs haut dbit, et a dvelopp un systme de caches physiquement distribus sur plusieurs sites mais apparaissant logiquement comme un seul grand cache. Avec les caches distribus, une seule copie dun document est prsente dans lensemble de tous les caches, ce qui permet dassurer la cohrence des informations prsentes dans le rseau, dutiliser lespace disque des caches dune manire plus efficace et dassurer des temps de rponse extrmement faibles.
- 31 -
Chapitre 2 : Technologies et services pour la connectivit Chaque machine relie Internet dispose d'une telle adresse unique. Dans cette unique Internet, il faut encore distinguer deux parties, l'identifiant de rseau et le numro d'hte. Une adresse IP est compose de deux parties: Le numro du rseau le numro de machine sur ce rseau 2.6.1.3 IPv6 La rpartition d'adresse rseau en classe commence dj poser de srieux problmes. Avec la numrotation actuelle baptise IPv4, il n'est possible d'adresser que 2 100 000 rseaux ou un total de 3 720 000 000. Un deuxime problme est la saturation des tables de routage qui croissent plus vite que la technologie des mmoires propres les contenir. Ce sera la norme IPv6 avec des adresses IP codes sur 128 bits qui sera retenue pour pallier ces deux problmes. Fin 1994, l'Internet Engineering Task Force s'est mis d'accord sur la norme IP Next Generation alias IPv6. IPv6 supportera jusqu' 1 milliard de rseaux. IPv6 apporte plusieurs amliorations la norme IPv4. IPv6 est prvu pour coexister avec IPv4 Un rseau IPv6 peut supporter un nombre illimit d'htes. Une adresse IPv6 peut contenir une adresse IPv4. L'adresse est reprsent comme huit valeurs hexadcimales de 16 bits spars par des doubles points du type 5D54:352A:1235:B357:8283:2CDE:C00D:FCB2. Des groupes de zros contigus peuvent tre reprsents par un double ''::'' comme suit: CF76:0:0:0:0:0:0:27 devenant CF76::27. Une adresse IPv4 de type d.d.d.d devient automatiquement x:x:x:x:d.d.d.d 0:0:0:0:0:0:0:0 devient une ''unspecified address'' L'adresse loopback n'est plus 127.0.0.1 mais 0:0:0:0:0:0:0:1 Le header a t simplifi pour rduire la bande passante requise par le protocole. La grande nouveaut est l'intgration de manire native des protocoles IPsec (IP security) dans IPv6 et non plus sur certaines configurations seulement comme c'tait le cas avec IPv4. Cela reprsente une vritable avance, en effet, lorsqu'IPv6 sera en place, tout un chacun pourra disposer de fonctions de scurit grce IPsec. La scurisation de VPNs (Virtual Private Network) lors de l'interconnexion de sites en est un exemple intressant. Un autre avantage de ce choix est la compatibilit avec les applications tournant sous IPv4 qui est toujours largement utilis et qui offre galement l'accs IPsec mais de manire optionnelle.
- 32 -
- 33 -
3.1 Introduction
On trouve aujourdhui des gros systmes critiques informatique dans les domaines de laronautique, arospatiale, du contrle du procd industrielle, de supervision de centrales nuclaire, voire de gestion de salles de march ou de tlmdecine. Pour ces exemples, une des caractristiques est que le systme informatique se voit confier dune grande responsabilit en termes de vie humaine, de consquence sur lenvironnement. On parle alors des systmes critiques, qui sont alors soumis des contraintes de fiabilit et de scurit. La prise de contrle dinfrastructures critiques semble tre un des objectifs du cyberterrorisme, la preuve en est la recrudescence de scans (tests de systmes informatiques pour dcouvrir leurs vulnrabilits afin de pouvoir les pntrer ultrieurement) dirigs sur des ordinateurs dorganisations grant des infrastructures critiques (eau, lectricit, transport). Les rseaux convergent aujourdhui vers une architecture commune exploitant le protocole Internet. Ce protocole conu pour le transport asynchrone des donnes informatiques na cependant pas t prvu pour des applications prsentant des contraintes des contraintes temps rel. Les dfauts rencontrs sur les rseaux IP (dlai, gigue, perte des paquets et variation de la bande passante) ne pourront tre surmonts sans une rnovation profonde de larchitecture et son adaptation aux nouvelles applications tlphonie, audio, vido la demande Le problme qui se pose : comment faire la connectivit des infrastructures critiques pour assurer un bon fonctionnement en respectant les contraintes du temps et de la qualit de service et en augmentant la scurit pour lutter contres les attaques et les menaces ?
Chapitre 3: Connectivit dans les infrastructures critiques simultanment plusieurs longueurs donde pour faire circuler des informations en parallle dans une mme fibre optique. Un des attraits majeurs de cette technologie est de permettre laccroissement progressif des capacits de transmission dune fibre par ajout progressif de longueurs donde supplmentaires. Mais le dbit de transfert des informations ne dpend pas seulement de la fibre optique mais aussi des routeurs et des cartes interfaces entre fibres et routeurs (pour le rseau VTHD, France Tlcom na donc pas eu besoin dinstaller de nouvelles fibres optiques : elle a simplement install sur son rseau un matriel de dernier gnration, des giga routeurs capables, via un laser, dexpdier sur une fibre une quantit colossale dinformation , de lordre de 2,5 Gbits/s par longueur donde). Avec cette technologie, on peut laborer les garanties de qualit de service pour rpondre aux attentes en termes de scurit et de fiabilit.
- 35 -
- 36 -
3.3.4 Conclusion
Pour sinterconnecter de manire permanent et haut dbit au rseau Internet, les solutions ADSL restent le plus fiables et dun moindre cot.
3.4 VPN
3.4.1 Introduction
Le but dun rseau virtuel (VPN) est de fournir aux utilisateurs et administrateurs du systme dadministration des conditions dexploitation, dutilisation et de scurit travers un systme public identique celle disponible sur un rseau prive. En dautres termes, on veut regrouper des rseaux privs, spar par un rseau public (Internet) en donnant lillusion pour lutilisateur quils ne sont pas spars, et tout en gardant laspect scuris qui tait assur par la coupure logique au rseau Internet. Un VPN est une technologie rseau qui cre un tunnel chiffr entre une machine sur Internet dote dune adresse IP quelconque et une passerelle daccs dun rseau priv. La machine distante se voie dote lors de ltablissement du tunnel dune adresse supplmentaire appartenant au rseau priv quelle cherche atteindre.
3.4.2 Tunnel
Le tunnel est une composante indispensable des VPN ; la problmatique est la suivante : on va relier deux rseaux privs qui sont spars par un rseau public (Internet), de faon transparente pour lutilisateur. Lutilisateur utilisera ainsi des interfaces rseaux virtuels et aura lillusion de discuter directement avec le rseau qui se trouve, en fait de lautre ct dInternet. La solution technique utilise, dans la plupart des cas, pour mettre en oeuvre des tunnels est l'encapsulation de protocoles.
- 37 -
- 38 -
Chapitre 3: Connectivit dans les infrastructures critiques de gestion de priorit sophistique, il faut disposer des puissances de calcul la mesure des objectifs et des ambitions. La puissance de traitement semble donc comme la bande passante, quasi infini. Ladaptation en temps rel : Une large part du dlai et de la gigue lors de transmission de voix sur IP est due linadquation des terminaux aux applications audio temps rel. Llectronique conversion analogue digitale (A/D), les systmes dexploitation, les cartes son, ont t conus pour des applications traditionnelles et non pas pour le temps rel. Les interfaces rseaux et les modems sont tudis pour des paquets de donnes de grande taille et non pas pour des petits paquets de voix. De nouvelles technologies daccs large bande rseaux par cble (xDSL) ou sans fils doivent amliorer ces conditions. Les stratgies de bout en bout : Le rseau Internet est stupide et se contente de router les paquets individuellement sans notion de contexte ou de QoS alors que les terminaux sont intelligents et corrigent les dfauts de transmission dans le cas de service dbit constant (not par CBR, Constant Bit Rate). Les stratgies rseau : Les premires tentatives de modification du fonctionnement ont dimiter les mcanismes de QoS implants dj dans les rseaux ATM. Le groupe qui a travaill entre 94 et 97 a produit le protocole de rservation de ressources RSVP. Ce protocole est apparu trs vite non efficace. Dautres stratgies plus simples fondes sur des indices de priorit indiquant la classe de service du paquet reprsentent aujourdhui lavenir du rseau. Les recherches dans le domaine de la QoS sont destines aux VPN qui ne remplaceront vraiment les liaisons spcialises que lorsquils seront capables de garantir des spcifications strictes de QoS. Lintroduction de la complexit dans le rseau : Limplmentation de mcanismes de QoS dans le rseau aura des rpercutions importantes sur lvolution des quipements. La mise jour ultrieure ainsi que les services futurs devront tre compatibles avec les mcanismes implants dj dans les machines. Lintroduction de la complexit doit tre rversible.
- 39 -
Chapitre 3: Connectivit dans les infrastructures critiques congestion seront sacrifis en premier les paquets dapplication peu sensibles aux pertes. Ce que le routeur perd dun ct (le calcul du routage), il le gagne de lautre en se dotant de capacit de discernement et de traitement diffrenci des paquets. 3.5.2.3 La notification explicite Une volution prochaine pourrait introduire un mcanisme de notification explicite par laquelle un noeud informerait la source dun tat de congestion naissante, du montant de ressources disponibles un instant donn ou de sa capacit accepter et traiter les paquets de priorit leve.
- 40 -
L'Internet par satellite devient plus en plus un besoin et mme une ncessit avec la dmocratisation des WebTV, des Streaming de plus en plus gourmand en bande passante et des sites web toujours plus riche en contenu multimdia.
3.6.3 Le fonctionnement
Le principe de fonctionnement de l'Internet par satellite est simple. A l'inverse de la connexion par modem tlphone standard, vous n'avez qu'un interlocuteur : les serveurs Proxy de votre fournisseur d'accs situ la station d'mission (appele aussi station d'Uplink ). En effet, l ou un internaute utilisant une connexion par modem entrera en contact avec diffrents serveurs dissmins sur le rseau mondial Internet, un internaute communiqu par satellite ne communiquera qu'avec un seul serveur qui est charg de rcuprer les demandes de l'abonn et de lui retransmettre le rsultat de ses requtes par la voie des aires. Inconvnient en cas de panne du serveur de la station d'mission. La fiabilit du matriel du fournisseur d'accs devient alors un lment non ngligeable.
- 41 -
Chapitre 3: Connectivit dans les infrastructures critiques abonn. Les donnes ainsi rcoltes sont ensuite transmises diffrentes machines dont la tche et de les encapsuler en DVB-MPEG-2 avec un code d'identification unique afin que seul l'abonn ait effectu la requte reue son fichier. Bien souvent, l'adresse MAC de la carte de rception DVB-MPEG-2 est utilise pour identifier l'abonn.
3.6.5 Le Push
Autre possibilit intressante de la rception de donnes par satellite vers un microordinateur : le PUSH de donnes. Ce mode de rception rejoint compltement l'utilisation d'un satellite de faon normale . Lintrt de l'utilisation d'un satellite est la possibilit de toucher des millions d'utilisateurs (ou spectateurs) en un seul envoi de donnes. A l'inverse, en utilisation point point (principe de base de l'Internet), le service du satellite ne sera utilis que pour une seule personne isole. Le mode PUSH peut donc tre utilis pour mettre des donnes intressant un large public. On peut donc imaginer l'envoi de certaines de sites Internet vers tous les postes d'un groupe d'abonns ayant les mmes centres d'intrt. Par ailleurs, l'utilisateur n'a plus besoin d'effectuer des requtes sur les serveurs Proxy de son fournisseur d'accs et par consquent, n'a mme plus besoin de se connecter l'Internet pour recevoir des donnes.
3.6.7 L'avenir
Des socits prparent plus ou moins discrtement des services d'accs Internet par satellite pour le grand public dont les lancements commerciaux sont prvus pour les mois venir. Mais l'chec de certains pionniers a la matire de prouver qu'il n'est pas facile de proposer des services d'accs Internet par satellite en point point en utilisant une technologie tudie pour de la diffusion de masse, autrement dit : le multi-point.
- 42 -
- 43 -
4.1 Introduction
Il faut assurer la scurit des infrastructures critiques lors de la connexion. Les systmes de commande et lacquisition de donnes embarqus dans les infrastructures critiques sont menacs par des attaques externes. Une architecture scurise est ncessaire lors de ltablissement de la connectivit. Il faut mettre en application des architectures plus bloques et des technologies de scurit, par exemple, en segmentant le rseau par des pare-feu robustes, utilisant lauthentification forte, mettant en application les programmes efficaces de gestion de la scurit qui incluent la scurit de tous les systmes de commande. Une solution aux problmes de la scurit est le firewall. Ce dispositif dispose de rgles lui permettant de savoir comment ragir en fonction des donnes qui transitent par lui. Par exemple, sil dtecte un paquet en provenance dInternet qui possde une adresse IP correspondant une adresse du rseau local (cas de figure ou quelquun essayerait de pntrer sur le rseau local depuis lextrieur en falsifiant ladresse source afin de faire croire quil est non pas sur Internet, mais sur le rseau local), le firewall rejettera le paquet dtectant une anomalie. Parmi les autres fonctionnalits potentielles dun firewall, on notera la possibilit de mettre en place des tunnels VPN. Les VPN (Virtual Private Network) ou rseaux privs virtuelles en franais, permettant dtablir un tunnel de donnes crypts et authentifis entre un utilisateur distant et le rseau local tout en passant par lInternet.
- 44 -
Chapitre 4 : Gestion de la scurit type de transport (TCP ou UDP) et le numro de port, en relation avec le type dapplication rseau. Quand la politique de scurit ne concerne que les couches basses, la seule analyse du paquet permet dautoriser, de rejeter ou dignorer le paquet. Quand la politique dcrit des rgles de scurit qui mettent en jeu le transport fiable, les sessions ou les applications, le pare feu doit connatre ltat momentan de la connexion et doit garder en mmoire de nombreux paquets pendant un certain temps de faon quil puisse dcider de lautorisation ou du rejet des paquets. Les pare-feu ont des limitations : ils doivent tre trs puissants en termes de ressources pour ne pas ralentir le trafic, dans un sens ou dans un autre, puisquils ont en coupure sur le rseau. Ils ne doivent pas tre court-circuits par dautres passerelles ou des modems connects directement lextrieur. Ils sont des bastions , c'est--dire des cibles pour les attaquants qui peuvent les assaillir pour saturer leur ressource. Un pare-feu doit possder un systme de journalisation (.log) sophistiqu a posteriori tous les faits importants qui jalonnent la vie de cette passerelle filtrante : tentatives dintrusion, vnements anormaux, attaques par saturation, par balayage. Un pare feu est en gnral architectur de telle manire que lon puisse distinguer physiquement les communications avec lextrieur, celles avec le rseau protger et enfin celles qui sont dvies vers une zone tampon de parking, souvent appele zone dmilitarise (DMZ en anglais), cest dans cette zone quon place le site web, ouvert lInternet, labri dun pare-feu, mais nettement spar du rseau interne protger. Il convient d'ailleurs de dire ici qu'il n'existe aucun systme de scurit qui soit infaillible 100%. Tout logiciel, qu'il soit de type firewall ou de type chiffrement d'information peut tre cass. Mais il suffit que les besoins financiers mettre en uvre pour ce faire soient suprieurs la valeur marchande estime des informations en notre possession pour que le systme soit considr comme fiable. [OA 97] 4.2.1.2 Les types de firewalls Packet filter : Le packet filter, comme son nom l'indique, filtre les paquets dans les deux sens. Pour ce faire, il utilise des fonctions de routage interne classiques. Ce sont des protections efficaces, mais pas toujours suffisantes. Certaines attaques complexes peuvent djouer les rgles. Screening router : Evite le IP spooffing en vrifiant que les adresses d'origine des paquets qui arrivent sur chaque interface sont cohrentes et il n'y a pas de mascarade. Exemple: un paquet qui a une adresse de votre rseau interne et qui vient de l'extrieur est un Spoofed Packet. Il faut le jeter et prvenir le plus vite l'administrateur qu'il y a eu tentative d'attaque.
- 45 -
- 46 -
4.3 VPN
4.3.1 Introduction
Les entreprises et les organisations possdent en gnral plusieurs sites gographiques qui travaillent conjointement en permanence. Dans chaque site gographique, les utilisateurs sont connects ensemble grce un rseau local. Ces rseaux locaux sont souvent connects via Internet. En outre, certains utilisateurs peuvent vouloir se connecter aux rseaux de lentreprise en tant lextrieur chez un client ou en dplacement. Il existait autrefois des liaisons physiques spcialises, qui sont maintenant abandonnes au profit de liaisons logiques. Un rseau virtuel priv (Virtual Private Network, en anglais do labrviation VPN) consiste en fabrication dun tunnel logique qui sera contract par les communications de lentreprise, lesquelles seront vhicules dans cette tranche numrique construite sur un rseau frquent par dautres usagers. Dans la pratique, il sagit dun artifice, car les donnes vont utiliser un chemin ordinaire, emprunt par tout le monde, mais ces donnes chiffres et taggues seront scurises, limage du transport de containers plombs sur une route. Le caractre priv du rseau est donc compltement virtuel puisquil ne sagit pas de liaison physique spcialise. Le caractre priv est cr par un protocole cryptographique (IPSec ou PPTP). Un VPN est donc une communication scurise entre deux points dun rseau public, do lexpression de tunnel. Un VPN fournit un service fonctionnellement quivalent un rseau priv, en utilisant les ressources partages dun rseau public. Les rseaux VPN Internet sont utiliss dans plusieurs types dapplication : Intranet tendus, Extranet, accs distants. Des tunnels empruntent le rseau Internet et assurent une scurit robuste des changes de donnes : authentification forte des quipements VPN source et destination, intgrit et confidentialit des donnes changes. VPN fournit aux utilisateurs et administrateurs du systme d'information des conditions d'exploitation, d'utilisation et de scurit travers un rseau public identiques celles disponibles sur le rseau priv. Parmi les protocoles VPN les plus utiliss, on peut citer : VPN IPSec et VPN SSL
- 47 -
4.3.2 IPSec
IPSec est un protocole destin fournir diffrents services de scurit. Son intrt principal reste sans contexte son mode de tunneling, c'est--dire dencapsulation dIP qui lui permet entre autres choses de crer des rseaux privs virtuels (ou VPN en anglais). Citons quelques proprits gnrales des tunnels destines aux VPNs : Les donnes transitant sont chiffres (confidentialit) et protges (intgrit) Les 2 extrmits sont authentifies Les adresses sources et destination sont chiffres Il ne faut pas ngliger les aspects pratiques tels que la charge processeur d au chiffrement, le dbit thorique possible, loverhead induit et donc le dbit effectif De plus IPSec nest pas le seul protocole permettant dtablir des tunnels, il en existe dautres comme les point--point tel que L2TP, L2F ou encore PPTP qui peut induire un overhead non ngligeable. IPSec est un protocole au niveau de la couche rseau qui offre : Intgrit des paquets : les paquets sont protgs de sorte que tous les changements pendant leur transmission aient pu tre dtects. Confidentialit des paquets : les paquets sont chiffrs avant dtre transmis sur les rseaux.
- 48 -
Chapitre 4 : Gestion de la scurit Authentification dorigine des paquets : les paquets sont protgs pour sassurer quils sont envoys par lexpditeur souhait.
4.3.3 SSL
SSL (Secure Sockets Layers) est un procd de scurisation des transactions effectues via Internet. Il repose sur un procd de cryptographie par clef publique afin de garantir la scurit de la transmission de donnes sur Internet. Son principe consiste tablir un canal de communication scuris entre deux machines (un client et un serveur) aprs une tape d'authentification. Le systme SSL est indpendant du protocole utilis, ce qui signifie qu'il peut aussi bien scuriser des transactions faites sur le Web par le protocole HTTP que des connexions via le protocole FTP, POP ou IMAP. En effet, SSL agit telle une couche supplmentaire, permettant d'assurer la scurit des donnes, situes entre la couche application et la couche transport (protocole TCP par exemple).
- 49 -
Chapitre 4 : Gestion de la scurit Dautres part, ltude dune solution VPN, ncessite une bonne matrise de larchitecture du rseau modifier ou construire. Ladministration est un lment cl au dploiement des VPNs et tout particulirement tout ce quil concerne les services de groupes de communications. La mise en place dune solution bien administre est relie avec les points suivants : Politique: le systme dadministration doit avoir le pouvoir de convertir les politiques de configuration des rgles appliques sur les passerelles VPNs. La scurit et lattnuation des attaques sont aussi bases sur les politiques. Configuration : lapprovisionnement et la configuration des quipements VPN doivent tre fait dune manire automatise et applique sur les passerelles VPNs. Dploiement rentable : dans un systme administr, il faut avoir un mcanisme pour envoyer, dployer, et mettre jour les fichiers de configuration. Connaissance des topologies VPNs: plusieurs types de topologie doivent tre supports. On distingue les VPN maills et les VPN en toile qui correspond respectivement des topologies de liaisons virtuelles entre sites de type n vers m (rseau maill) soit de type n vers 1 (rseau en toile). Surveillance : lenvironnement scuris doit tre mise sous contrle et sous surveillance. Une automatisation de la supervision et de ladministration des quipements VPN installs sur les sites des utilisateurs finales. En gnral, ladministration est avant tout une problmatique de connectivit rseau et dinfrastructure IP. Certains problmes spcifiques lis la technologie utilise compliquent la mise en uvre, par exemple, la diffusion des fichiers de configuration IPsec bien cohrents entre les diffrents quipements VPN distribus sur lInternet.
- 50 -
Conclusion gnrale
- 51 -
Conclusion gnrale
Au cours de cette tude, nous avons prsent diffrentes mthodes et technologies pour connecter une infrastructure au rseau et lintrt dutiliser des lignes de communication spciales (ADSL, VPN, ect) et des protocoles afin de raliser la scurit et doffrir un haut dbit ncessaire pour le fonctionnement en temps rel. Les travaux de recherche dans ce domaine ont pour objectif dtudier les diffrents points qui servent raliser la connectivit des infrastructures critiques. Les principales tapes dune tude dune recherche applique la connectivit ont t abordes au cours de ce mmoire. Tout dabord, une tude gnrale sur quelques aspects a t propose dans le chapitre 1 afin de mettre en vidence les besoins de protection des rseaux contre les attaques et offrant un haut dbit et une interaction acceptable. La scurit en gnrale a t tudie aussi en mettant laccent sur les dispositifs ncessaires et en utilisant la cryptographie comme technique de calcul en temps rel. Le chapitre 3 traite la connectivit dans les infrastructures critiques par lutilisation des mthodes efficaces et des technologies scurises et fonctionnant en temps rel. La connectivit Internet par satellite a t traite comme un exemple dinfrastructure critique. Dans le chapitre 4, la gestion de la scurit a t prsente. Les diffrentes tapes lies la conception et la ralisation de cet objectif ont t traites. Plusieurs perspectives peuvent tre avances lissue de cette tude. La gestion de la scurit en respectant la qualit de service serait une premire amlioration. Aussi, la proposition des architectures matrielles pour scuriser les systmes embarqus serait un deuxime point.
- 52 -
Bibliographie
- 53 -
Bibliographie [DD 04] Damien DEVILLE- Un systme dexploitation temps rel extensible pour carte microprocesseur - Thse de doctorat, Universit des sciences et technologies de Lille, dcembre 2004. [ES 05] Emmanuel SIMEU Test et surveillance intgrs des systmes embarqus - Diplme dhabilitation diriger des recherches, universit Joseph Fourrier de Grenoble, le 22 septembre 2005. [OA 97] Olivier Andrieu- Internet guide de connexion - Eyrolles, 3me dition 1997-ISBN : 2-212-08928-7 [UIT 03] Union internationale des tlcommunications- Le rapport essentiel sur la tlphonie IP . [LC 05] Lina AL-CHAAL- Dynamic and Easily Manageable Approach for Secure IP VPN Environments Thse de doctorat, institut national polytechnique de Grenoble, le 2 fvrier 2005. [RG 03] Rgis CHANTALAT- Optimisation dun rflecteur spatial a Couverture cellulaire par lutilisation dune bande interdite lectromagntique multisources. Thse de doctorat, universit de Limoges, novembre 2003. [FT 01] France Tlcom- Rseau VTHD, lInternet vraiment trs haut dbit -, paris, le 9 mai 2001. [GB 05] Gilles BROUSSILLON- AUTONOMIC COMPUTING , Etude dapprofondissement, Master 2, Gnie informatique, Universit Joseph Fourrier, Grenoble, Novembre 2005. [MR 06] Michel RIGUIDEL- La scurit des rseaux et des systmes , Paris, 2005-2006. [AD 01] Alain DESEINE- Accder Internet via ADSL , janvier 2001.
- 54 -