You are on page 1of 41

Université Mohamed 1 École supérieure de technologie Département Génie Informatique OUJDA

_

Sécurité Réseaux

Présenter par : Elotmani Ayoub

Superviser par : M. Mounir Grari

Introduction
Avec le développement de l'utilisation d'Internet, de plus en plus d'entreprises ouvrent leur système d'information à : - leurs partenaires, leurs fournisseurs, publics (Web, Email …). D’où des questions fondamentaless : - Quelles sont les ressources à proteger ? - Quels sont les agresseurs redoutés ? - Quels sont les risques et les menaces ? Etre attaqué a pour conséquence : - Les utilisateurs des services

•! •! •! •!

La destruction des données (des emails, des textes …) L’espionnage des informations et leur vente L’utilisation de la machine comme relai d’attaque. …

Propriétés de sécurité
les concepts fondamentaux de la sécurité :

•! Authentification •! Intégrité •! Confidentialité •! Non répudiation •! Auditabilité

Propriété de sécurité: l’authentification
L'authentification est la propriété qui assure la reconnaissance sûre de l’identité d’une entité. Elle consiste à assurer que seules les entités ayant authentifiés leurs identités auront accès aux ressources associées.

L'authentification = vérification de l'identité d'une entité
•! L'authentification protège de l'usurpation d'identité •! Mot de passe •! Signature numérique •! Certificat •! Entités à authentifier: •! une personne •! un programme qui s ’exécute (processus) •! une machine dans un réseau

Authentification par connaissance •! Le mot de passe. mot d’un dictionnaire …) Obliger l'usager à changer régulièrement de mot de passe. •! Rappel : La liste est générée à partir de la clef secrète ! Quand la liste expirée. le code confidentiel •! Technique la plus simple et la plus répandue •! Définir une politique de mots de passes : •! •! •! •! Un mot de passe non simple (nom. •! L’utilisateur doit posséder un algorithme ou un appareil capable de générer une liste pré-imprimée de mots de passe. . Combinaison de différentes techniques : •! Biométriques : Reconnaissance par emprunte digitale •! carte magnétique ou à puce. Surveiller les tentatives d'accès illicite par comptage. N°-tél. le mot de passe n’est plus utilisable. stick USB •! Authentification – “One Time Passwords” •! Principe : Une fois utilisé. on change de clef et on régénère une autre.

. •! Le code binaire des programmes ne doit pas pouvoir être altéré •! Les configurations effectués par l’administrateur système ou réseau doivent pouvoir être lus et non modifiés. Exemples : •! Une modification intempestive est à interdire sur une écriture comptable validée.Propriété de sécurité: l’intégrité L'intégrité est la propriété qui assure qu'une information en locale (ou échangée via une communication) n'est modifiée que par des entités habilitées.

•! On ne doit pas pouvoir intercepter le contenu d’un courrier et le lire. . Exemples : •! Un mot de passe ne doit jamais pouvoir être lu par une autre personne que son possesseur.Propriété de sécurité: la confidentialité La confidentialité est la propriété qui assure qu'une information ne peut être lue que par des entités habilitées. •! Un dossier médical ne doit pouvoir être consulté que le personnel médical habilité.

Exemple: Exécution d'ordre boursier. •! le signataire s'engage à honorer sa signature. •! b) La preuve de réception : Un récepteur ne peut ultérieurement nier avoir reçu un ordre s'il ne lui a pas plu de l'exécuter alors qu'il le devait juridiquement.Propriété de sécurité: la non répudiation La non répudiation est la propriété qui assure que l'auteur d'un acte ne peut ensuite dénier l'avoir effectué •! Deux aspects spécifiques de la non répudiation dans les transactions électroniques: •! a) La preuve d'origine : Un message (une transaction) ne peut être nié par son émetteur. … •! Signature = Authentification + Non répudiation : •! engagement contractuel/juridique. de commande. .

réalisé en coopération avec les intéressés en vue de vérifier la conformité de cette situation aux dispositions préétablies. une organisation. ! pouvoir retracer tous les événements au cours d'une certaine période. Audit : Examen méthodique d'une situation relative à un produit. !!La sécurité n’empêche pas les utilisateurs légitimes de travailler.Propriété de sécurité: l’auditabilité L’auditabilité : la capacité à détecter et à enregistrer de façon infalsifiable les tentatives de violation de la politique de sécurité. . La disponibilité : est la propriété qui permet de garantir l'accès à un service ou à des ressources et de maintenir leurs bon fonctionnements. un processus. Défaillance : Service délivré ! Service spécifié. •! Une défaillance survient lorsqu’une erreur traverse l’interface Système/ Utilisateur et altère le service délivré par le système.

Source Pirate Destination Modification : vise l’intégrité des informations Source Pirate Destination Fabrication : vise l’authenticité des informations Source Pirate Destination .Propriétés de sécurité •! Flux normal de transfert d’information : Source Destination Interruption : vise la disponibilité des informations Source Destination interception : vise confidentialité des information.

. Attaques sur l’authentification : •! Déguisement (Mascarade) : •! Pour rentrer dans un système. on essaye de piéger des usagers et de se faire passer pour quelqu'un d'autre (usurpation d’identité) •! Exemple: •! Ingénierie sociale •! Vol de session TCP/IP •! Cheval de Troie.Les types d’attaques Une attaque est l'exploitation d'une faille d'un SI à des fins non connues par l'exploitant du système.

des données •! Attribution par une personne non autorisée d’avantages illicites •! cette modification peut être réalisée par un programme et devient aussi une attaque sur l’intégrité des programmes •! Intégrité des protocoles : Répétition •! Espionnage d'une interface.Les types d’attaques Attaques sur l’intégrité : •! Intégrité des données : Altérer des messages. Exemple: Répéter opération de crédit d'un compte bancaire. d'une voie de communication (téléphonique. réseau local) pour capter des opérations. •! Répétition de l'opération pour arriver à la fraude. .

Ver (reproduction réseau) . •! Type de modifications •! Infections informatiques à caractère unique •! Bombe logique ou cheval de Troie •! Infections auto reproductrices •! Virus.Les types d’attaques •! Intégrité des programmes : •! Les modifications à caractère •! Frauduleux : Pour s'attribuer par programme des avantages (virement des centimes sur un compte) •! De sabotage : Pour détruire (avec plus ou moins de motivations) des systèmes ou des données.

Les types d’attaques Attaques sur la confidentialité : •! Les attaques ayant pour but le vol d'informations via un réseau par espionnage des réseaux non protégés. séquence imprévue) •! Attaque par saturation •! Envoi de messages trop nombreux provoquant un écroulement des systèmes et réseaux . •! Inférence : On obtient des informations confidentielles à partir d'un faisceau de questions Attaques sur la disponibilité : •! Attaque par violation de protocole •! Rare !!! en fonctionnement normal et non supportées par le protocole •! Envoie de données non prévues (trames malformées. autorisées (visant à faire ressortir l'information). •! Exemples: augmentation des transactions sur une place financière. •! Analyse de trafic : On observe le trafic de messages échangés pour en déduire des informations sur les décisions de quelqu'un.

un virus a besoin d'une intervention humaine pour se propager.spyware chevaux de Troie . du ver et du cheval de Troie ). . - Ces types d’attaques se chevauchent (un même programme peut relever à la fois du virus. •! Virus : C’est un petit code qui se greffe à un programme ou à un fichier en vue de nuire au bon fonctionnement des ordinateurs infectés (destruction de données. ralentissement de la machine…).vers.. ! le partage d'un fichier ou l'envoi d'un message électronique.Les attaques courantes . .. Les vers : sont conçus pour se répliquer automatiquement dans le réseau. ! en prenant le contrôle de certaines fonctions capables de transporter des fichiers ou des informations. .virus.

Les attaques courantes •!Logiciel espion (Spyware)": programme utilisé pour : •! capturer des mots de passe. un site autre . •! observer ce que l’utilisateur fait sur son poste de travail. •! surveiller les sites Internet visités. •!Spam": message parasitaire diffusé sur l’Internet dans le but d’encombrer les boîtes aux lettres et le réseau lui-même. ! Créez une boite aux lettres "poubelle" pour vous inscrire sur qu'un site de "confiance" ! Utilisez un filtre anti-spam (MailWasher …). Les spywares sont souvent implantés dans des logiciels en démo. parade : Contrôler périodiquement les ports ouverts à l'écoute.

•! travail intensif de votre disque dur. •! Réactions curieuses de la souris. •! Ouvertures impromptues de programmes. empêchent des logiciels : Ceux-ci •! d’écrire du code dans un autre programme. •! … Note : On parle actuellement de "bloqueurs de comportement".Les attaques courantes 5 Les symptômes d'une infection par un cheval de troie: •! Activité anormale du modem. •! plantage répétitif de votre ordinateur. . •! votre écran s’éteint bizarrement. •! d’écrire dans certaines clés de la base de registres.

ouvre une faille dans le système en exécutant une pièce jointe. . IP spoofing : Consiste en une usurpation d‘@IP ! remplacer l‘@IP de l'expéditeur d'un paquet IP par l'adresse IP d'une autre machine. Attaque par rebond" : consiste à attaquer une machine par l'intermédiaire d'une autre machine. afin de masquer les traces et d'utiliser les ressources de la machine de rebond (Bde passante…) Ingénierie sociale! : l'utilisateur. par duperie. •! Cette technique peut être utile dans le cas d’authentification basée sur une adresse IP (services tels que rlogin ou ssh).Les attaques réseaux Ce type d’attaque se base principalement sur des failles liées aux protocoles ou à leur implémentation. •! il existe des utilitaires qui permettent de modifier les paquets IP ou de créer ses propres paquets (ex : hping2).

mais d'empêcher les utilisateurs légitimes d'un service de l'utiliser •! " •! Les attaquants peuvent: • Tentative d'inonder un réseau.Les attaques réseaux •! Dos (dénis of service) •! Une attaque par déni de service (DoS) est une attaque à travers laquelle une personne peut rendre un système inutilisable. ce qui empêchant l'accès à un service • Tenter de prévenir une personne en particulier d'accéder à un service • Tentative de perturber le service d'un système spécifique ou d'une personne . surcharge ses ressources •! Si un attaquant n'est pas en mesure d'accéder à une machine. il va sûrement l’attaquer avec dos. •! " •! L'objectif de DoS n'est pas de gagner l'accès non autorisé aux machines ou données. ou considérablement le ralentir pour utilisateurs légitimes. empêchant ainsi le trafic légitime du réseau • Essayez de perturber les connexions entre deux machines.

•! Les 2 machines cibles vont mettre à jour dynamiquement leur tables ARP .Les attaques réseaux ARP spoofing : •! Le principe est de s'interposer entre 2 machines du réseau et de transmettre à chacune un paquet ARP falsifié indiquant que l’@Mac de l'autre machine a changé. •! l‘@Mac fournie étant celle de l'attaquant qui sera associée aux @ip des machines attaquées.

Backup . Pare-feu Antivirus. DoS.Récapitulatif : Menaces et contre-mesures Menaces : Ecoute du réseau •! Interne •! Externe Vol de fichiers •! Données •! Mots de passe Ingénierie sociale Erreurs humaines Attaques malicieuses •! Vers. IDS/IPS. Clustering. RAID . virus. Bombes logiques Pannes Contre-mesures Cryptographie (chiffrement) •! Des données •! Des communications Contrôle d'accès •! Logique (mot de passe) •! Physique (biométrie) Formation du personnel Politique de sauvegarde Authentication.

Administration de la sécurité Unix & Linux .

La Cryptographie .

Le déchiffrement est l’opération inverse permettant de récupérer le texte en clair à partir du texte C chiffré. .Les outils de la sécurité : Cryptographie Le chiffrement est une transformation d'un texte pour en cacher le sens. •! M= DK’(C) •! Il repose sur la fonction DK’ : une fonction inverse de Ek Efficacité du chiffrement dépend : •! Du Secret de la clé : lié à la taille de la clé •! De la difficulté de l’inversion de l’algorithme de chiffrement sans connaître la clé (cassage). •! C= Ek(M) •! M est un message dit «"en clair"» •! La fonction Ek repose sur algorithme et un paramètre k appelé clef de chiffrement.

connue des deux interlocuteurs. "! De nouveaux algorithmes : •! 3DES : succession de 3 DES avec 2 clés de 56bits ! DESK1. DESK1 •! IDEA : longueur de clef élevé (128bits) . Transit A message message B Chiffrement avec la clé secrète "! déchiffrement avec clé secrète L'algorithme consiste à effectuer des combinaisons. l’algorithme le plus célèbre est DES (Data Encryption Standard ) crée en 1978 par IBM (simple à implémenter ).Le chiffrement symétrique : Le chiffrement à clés secrètes •! Les technologies de chiffrement à clés secrètes permettent le chiffrement / déchiffrement d’un message à l’aide d’une même clé. DES-1K2. des substitutions et des permutations entre le texte à chiffrer et la clé en 19 étapes.

Vu la complexité des traitements le DES est plus rapide que le RSA. #!Une clé privée k’ pour le déchiffrement. Le chiffrement asymétrique peut être utilisé pour véhiculer une clé secrète. . #! La connaissance de k (la clef de chiffrement) ne permet pas d’en déduire celle de k’ (la clef de déchiffrement).Le chiffrement à clés asymétriques "! Le principe ! chaque correspondant disposera d’une paire de clés: #!Une clé publique k pour le chiffrement". [ k’ " k ] Transit A message message B Chiffrement avec la clé publique de B "! "! "! déchiffrement avec sa clé privée (B) L’algorithme le plus connu est RSA (Rivest Shamir et Adleman).

message de 64 bits. très solide) -! Skipjack (objectif : remplacer le DES) clé de 80 bits. . RSA servait encore à protéger les codes nucléaires de l'armée américaine et russe.Sécurité informatique : Cryptographie Algorithme appelé symétrique -! Algorithme appelé asymétrique -! RSA (le plus célèbre. interdit à l ’export par les USA.utilisé par les échanges SSL) -! RC4 (~RC2 / 88 des 128 bits de la clé sont à 0)!il s’agit d’algorithme à clé de 40 bits -!IDEA (clé de 128 bits. chiffre sur bloc (Store and Forward)) les échanges de clés) -!DES (clé de 56 bits sur bloc de 64 bits) -! Triple DES (plus récent. algorithme non complètement publié Les 2 grandes familles d’algorithme de chiffrement -! DH (utilisé essentiellement pour En 2002. clé de 512 bits ou plus. à 1024 considéré comme totalement satisfaisant. comparable à un algorithme à clé de 112 bits) -! RC2 ( clé de 128 bits. pourtant lent et peu utilisable pour des chiffrements de session.

genrsa. dgst. le caractère / et le caractère spécial =. 1. 2. le caractère +. Codage en base64 : est un codage utilisant 65 caractères imprimables •! les 26 lettres majuscules et les 26 lettres minuscules. •! les 10 chiffres. •! Syntaxe : openssl enc -base64 -in fichier ! Pour encoder openssl enc -base64 -d -in fichier ! Pour décoder . req. Utilisation de l'outil openssl •! Syntaxe : openssl commande [options] [arguments] •! Les commandes : passwd. verify. x509. enc.Les outils de la sécurité : Cryptographie OpenSSL est une librairie open-source d'utilitaires cryptographiques.

•! Si le champ du mot de passe commence avec $1$ ! il est chiffré avec MD5. Il est lisible uniquement par l'administrateur. •! Le mot de passe peut être chiffré avec DES ou MD5. •! Le mot de passe chiffré se trouve après le 3ème $. Identifiez le champ contenant le mot de passe de l'utilisateur. sinon il est chiffré avec DES.Les outils de la sécurité : Cryptographie Le fichier /etc/shadow contient des informations sur les mots de passe des utilisateurs. Créez un utilisateur user11 avec un mot de passe quelconque en utilisant la commande adduser. •! openssl passwd [options] où les options possibles sont : •! -crypt : pour l'algorithme standard de chiffrement (DES) •! -1 : pour un chiffrement basé sur MD5 .

enc –out fic1 .enc •! Openssl enc -d –des –in fic1. on utilise enc et –d ! Demande la clé secrète •! Pour utiliser DES. •! Pour utiliser le triple DES. on utilise l'option -des3. •! Openssl enc -des –in fic1 –out fic1.Les outils de la sécurité : Cryptographie Chiffrement et déchiffrement symétrique sous openssl : •! Pour le chiffrement on utilise la commande enc ! Demande la clé secrète •! Pour le déchiffrement. •! Chiffrez un fichier quelconque avec DES •! Déchiffrez le avec un mauvais mot de passe •! Déchiffrez le avec le bon mot de passe. on utilise l'option -des.

on peut utiliser un algorithme de chiffrement symétrique : openssl genrsa -des3 -out clef-privée taille .Les outils de la sécurité : Cryptographie RSA : •! Génération des clés : openssl genrsa -out clef-privée taille •! Obtenir des informations sur une clef : privée -text –noout openssl rsa -in clef- •! Pour ne pas visualiser des informations sur la clef privée.

enc •! Pour déchiffrer.decrypt .Les outils de la sécurité : Cryptographie •! Pour récupérer la clef publique associée à une clef privée. on utilise : openssl rsautl -encrypt -in f1-clair -inkey clef-pub -pubin -out f1. on utilise l'option -decrypt. •! openssl rsautl -decrypt -in f1. on utilise l'option pubin : openssl rsa -in clef -text –noout -pubin - •! Chiffrement et déchiffrement •! Pour chiffrer avec une clef publique RSA. on utilise : openssl rsa -in clef-privée -pubout -out clef-publique Pour afficher des informations sur une clef publique.enc -inkey clef-privée -out f1.

Sécurité informatique : Cryptographie Les algorithmes de hachage les plus utilisés : •! MD5 (Message Digest) : •! crée une empreinte digitale de 128 bits à partir d'un texte de taille arbitraire. . MD4. •! SHA-2 … •! MD2. •! SHA-1 ( version améliorée de SHA) produisant une empreinte de 160 bits à partir d'un message d'une longueur maximale de 264 bits Le traitement se fait par blocs de 512 bits. •! SHA (Secure Hash Algorithm) : crée des empreintes d'une longueur de 160 à 512 bits. CRC32 non très sécurisé. (Le traitement se fait par blocs de 512 bits). •! Parfois des documents en téléchargement sur Internet sont accompagnés d'un fichier MD5 ! il s'agit du condensé.

on utilise : •! openssl rsautl -sign -in f1-haché -inkey clef-privée -out signature •! Pour vérifier une signature.Les outils de la sécurité : Cryptographie Hachage et Signatures sous OPENSSL : •! Pour hacher un fichier. on utilise : •! openssl dgst -md5 -out haché fichier •! Ex: openssl dgst -md5 -out f1-haché f1 •! Pour signer un haché. on utilise : •! openssl rsautl -verify -in signature -pubin -inkey clef-publique -out haché2 .

bash : #! /bin/bash openssl enc -a -aes-256-cbc -in $1 -out $1.Utilisation de l’outil openssl Chiffrement via Openssl avec l’algorithme AES 256: •! chiffrement du fichier $1 : Script : chiffre.aes -out $1 •! Lien symbolique: ln -s dechiffre.bash /usr/local/bin/chiffre •! déchiffrement du fichier $1 Script dechiffre.bash #!/bin/bash openssl enc -d -a -aes-256-cbc -in $1.bash /usr/local/bin/dechiffre .aes •! lien symbolique pour appeler le script de n’importe où ln -s chiffre.

production de cartes à puces… publiques dans un annuaire d’accès libre afin que les différents partenaires puissent s’échanger leur clé publique. différentes raisons : perte ou vol de la clé privée. de renouvellement et de révocation de certificats •! Opérateur de certification : On lui délègue toutes les opérations nécessitant la clé privée de l’AC : création et distribution sécurisée des certificats. révocation. Dans le cas de la perte d'une clé privée.Sécurité Informatique •! Autorité d’Enregistrement – AE: Chargé de recevoir et de traiter les demandes de création. •! Service de validation : Un certificat émis par IGC peut devenir invalide pour . date de péremption … la publication d’une liste de numéros de série des certificats révoqués. •! Annuaire de publication : Les certificats émis par une IGC doivent être rendus •! Service de Séquestre : a pour fonction principale d'archiver les couples de clés privées/publiques associés aux certificats délivrées par l'IGC. Cette CRL est signée à l’aide de la clé privée de l’AC émettrice.

contenant : . . .! 2.le nom du crypto-système dans la liste avec lequel il est compatible. RC4 …) des échanges.! le client se connecte au site sécurisé par SSL en proposant la liste des cryptosystèmes supportés.! •! A l’issue de la phase de négociation.crée une clé secrète aléatoire. Le serveur envoie un certificat signée au client.0 est basée sur un échange de clés entre client et serveur selon le modèle suivant : 1.! 4. Le client vérifie la validité du certificat (l'authenticité du site).la clé publique du serveur. 3.envoie la clé de session au serveur.SSL : Secure Socket Layer La sécurisation des transactions par SSL 2. .chiffre cette clé à l'aide de la clé publique du serveur. les deux parties disposent d’une clef secrète utilisée pour le chiffrement symétrique (DES. puis : . Le serveur déchiffre la clé de session avec sa clé privée. .

Déchiffrement du message par la clé de session. Déchiffrement de la clé de session par la clé privée du destinataire 4. Le message est chiffré par la clé de session. La clé de session est chiffré par la clé publique du destinataire 2 1 4 3 3.Protocole SSL (Secure Sockets Layers) 1. . 2.

Il est transmis au serveur lors d'une connexion. permet de sécuriser les transactions avec les utilisateurs grâce au protocole SSL. . permettant de chiffrer les flux de communication de bout en bout entre deux sites. permet d'identifier un utilisateur et de lui associer des droits.Cryptographie . •! Le certificat serveur : installé sur un serveur web. •! Le certificat VPN : installé dans les équipement réseaux (certificat IPSec…) .Certificats Les certificats servent principalement dans trois types de contextes : •! Le certificat client : stocké sur un poste de travail ou embarqué dans une carte à puce.

Linux sécuriser un réseau Bernard Boutherin .Eyrolles (3ème Ed) 2007 •! Tableaux de Bord de la Sécurité Reseaux .bibliographie •! Cahiers de l'Admin.Cédric Llorens .Eyrolles 2007 .Eyrolles 2006 •! Sécurité Informatique Principes et Méthode Laurent Bloch .

Merci .