Sécurité Des Réseaux

F.S.
T SETTAT LST RTT 2013/2014
3/13/2014 1
III. Sécurité des réseaux
Sommaire
1. Terminologie
2. Classification des attaques réseau
3. Principales attaques réseau
4. Phases d’une attaque externe structurée typique
5. Solutions et outils pour la sécurité réseau
6. Pare-feu et NAT
7. Pare-feu et NAT sous Linux
8. Sécurité du e-paiement
3/13/2014 2
1. Pourquoi sécuriser?
2. Où et quoi sécuriser?
3. Comment sécuriser?
4. Politique de sécurité ?
3/13/2014 3
 La sécurité réseau est au cœur de la sécurité des SI, d’autant plus
que si ce maillon est cassé, les portes sont généralement grandes
ouvertes pour casser les autres maillons de la sécurité.
 "Connaître son ennemi" : avant de sécuriser un réseau, il faut

connaître les types de dangers et d’attaques dont il peut être la
cible.
 "Connaître ses richesses" : avant de sécuriser un réseau, il faut

savoir ce que l’on veut protéger et surtout ce qui mérite de l’être.
3/13/2014 4
III.1. Terminologie
 Attaque :
 Une attaque est une action malveillante visant à tenter de contourner les
mesures de sécurité d’un système d’information
 Une attaque est un ensemble d’un ou plusieurs évènements ou actions qui
peuvent avoir une ou plusieurs conséquences en termes de sécurité.
 Elle peut être passive (contre uniquement la confidentialité) ou active (contre
l’intégrité, l’authentification, la non-répudiation et/ou le contrôle d’accès)
 Mesures de sécurité :
 Les mesures de sécurité sont les actions menées par un organisme en vue
d’assurer les services de sécurité et ce, pour protéger le SI contre les
attaques de sécurité, détecter (si c’est possible, en temps réel) ces attaques
et enfin réagir en conséquence.
3/13/2014 5
III.1. Terminologie
 Menace :
 Une menace est une violation potentielle de la sécurité (accident,
erreur, malveillance).
 Deux types de menaces peuvent être distingués : la menace
accidentelle et la menace intentionnelle .
 Vulnérabilité :
 Elle peut être due à :
 une faiblesse ou une faille dans les protocoles, la topologie, les
mécanismes de sécurité d’un réseau, etc. ;
 l’absence d’une politique de sécurité (ou à son inefficacité) ;
 l’absence de formation et de sensibilisation des utilisateurs du réseau.
3/13/2014 6
III.1. Terminologie
 Risque :
 Le risque peut se définir comme étant la probabilité qu’une menace

particulière puisse exploiter une vulnérabilité donnée.
 Virus
 Un virus est un programme caché dans un autre qui peut s’exécuter et se

reproduire en infectant d’autres programmes ou d’autres ordinateurs.
 Les dégâts causés peuvent aller du simple message qui s’affiche à l’écran
au formatage des disques durs de toutes les machines d’un réseau.
3/13/2014 7
III.1. Terminologie
 Backdoor
 Un backdoor ou une « porte de derrière ou dérobée » a pour but de
faciliter à son concepteur les futurs attaques ciblant la machine infectée.
 Elles peuvent réaliser ce but, en rajoutant un compte utilisateur (exp,

root) au serveur cible, en modifiant les règles de filtrage pour qu’elles
‘acceptent’ l’adresse IP de l’attaquant, en ouvrant une connexion telnet
ou des ports, etc.
3/13/2014 8
III.2. Classification des attaques réseau
 Les attaques réseau peuvent être classées selon plusieurs critères dont :
 La nature de l’attaquant ;
 La localité de l’attaquant ;
 La technique utilisée pour ‘acheminer’ l’attaque ;
 Les faiblesses exploitées par l’attaquant ;
 Le(s) but(s) de l’attaquant ;
3/13/2014 9
 La nature de l’attaquant :
 Attaques non structurées ou de novices :
 Ces attaquants sont généralement sans ‘réelles’ mauvaises intentions,

mais peuvent causer de vrais dommages ;
 Ils utilisent les outils développés par d’autres attaquants (e.g. procurés
via Internet) ;
 Les sites Web sont les cibles préférées de ces attaquants (moins sécurisés,
attaque vite connue, etc);
3/13/2014 10
 La nature de l’attaquant :
 Attaques structurées ou d’experts :
 En général, ces attaquants sont très motivés et techniquement

compétents ;
 Ils créent leur propres outils ou en perfectionnent ceux d’autrui ;
 Ces attaques ont toujours un but précis (vol d’info et/ou argent, causer
des dommages,…) ;
 Si le but est de nuire, les dommages sont souvent très sérieuses et

peuvent aller jusqu’à anéantir tout le SI.
3/13/2014 11
 La localité de l’attaquant :
 Attaques externes (e.g, à partir d’Internet) :

 Ces attaques peuvent provenir de n’importe quelle personne connectée à
Internet pourvue que la cible le soit aussi ;
 Elles bénéficient parfois de complicité de l’intérieur, dans ce cas, elles

deviennent plus dangereuses.
 Attaques internes :
 Les statistiques ‘disent’ qu’elles sont les plus fréquentes : 80% (de celles
détectées et déclarées) selon Studies and Survey, décembre 2000;
 Elles sont généralement plus dangereuses car leurs auteurs ont plus
d’informations sur le réseau attaqué;
3/13/2014 12
 La technique utilisée pour ‘acheminer’ l’attaque :
 Attaques directes:
 L’attaquant attaque directement sa cible à partir de son ordinateur.
 Il est plus simple, dans ce cas, de remonter à l'origine de l'attaque et identifier
l'attaquant.
 Attaques indirectes par rebond :
 L’attaquant envoie les paquets d'attaque (parfois sous forme de requête) à un
ordinateur intermédiaire, qui répercute l'attaque (ou la réponse à la requête)
vers la cible.
 Cette attaque a deux ‘avantages’ :
 Masquer l'identité (l'adresse IP) de l’attaquant ;
 Utiliser, éventuellement, les ressources de l'ordinateur intermédiaire (si il est plus
puissant en termes de CPU, bande passante, ...) pour attaquer.
3/13/2014 13
 Les faiblesses exploitées par l’attaquant :
 Les faiblesses des protocoles réseau (e.g :TCP/IP);
 Les faiblesses des systèmes d’exploitation;
 Les faiblesses des mécanismes d’authentification ;
 Les bugs connus de certains logiciels ;
 Les backdoors ;
 Les faiblesses dans les configurations des serveurs (Web, mail,

DNS, etc.) et des équipements de sécurité (firewall, IDS, …).
 Les faiblesses ‘humaines’: Social Engineering.
3/13/2014 14
 Le(s) but(s) de l’attaquant :
 Écoute du réseau ( vise la confidentialité)  attaque passive;
 Disfonctionnement du réseau et de ses machines: DOS & Virus;
 Vise la disponibilité
 Accès au réseau : Mascarade & Virus.
 Vise l’authentification, le contrôle d’accès, la confidentialité, la

disponibilité et/ou l’intégrité.
3/13/2014 15
III.3. Principales attaques réseau
 Écoute (Sniffing) :
 Déni de service (DOS) :
 Mascarade (Spoofing) :
 Virus/Vers/ Chevaux de Troie :
3/13/2014 16
 Écoute (sniffing) :
 But :
 Interception de mots de passe qui transitent en clair sur le réseau,
Espionnage concernant les pages web visitées, les sessions ftp en
cours, les mails en envoi ou réception, etc.
 Principe :
 En utilisant un outil adéquat (dit sniffer), il est possible d’intercepter
toutes les trames qui arrivent à une carte même si elles ne lui sont pas
destinées.
 Condition :
 Le réseau doit utiliser le broadcasting (exp, Ethernet) : toutes les
trames transitant sur le réseau arrivent à toutes les cartes réseau des
machines connectées. Normalement, seules les trames destinées à
une machine sont lues (par sa carte réseau), les autres sont ignorées.
3/13/2014 17
 But :
 Rendre indisponibles durant une certaine période les services ou ressources d'un
système d’information ou empêcher son bon fonctionnement (diminution de la
bande passante du réseau, déconnexion de l’équipement cible ou son plantage,
alourdissement du temps de traitement des requêtes, etc.)
 Principe :
 En général, il consiste en l’envoi en très grand nombre de ‘messages’ autorisés en vue
de saturer ou déstabiliser une machine ou un équipement réseau et ce, en exploitant
les faiblesses de l’architecture ou d’un protocole du réseau.
 Ce sont les attaques les plus utilisées sur les gros serveurs Web (Yahoo, eBay…) et les
serveurs DNS.
 Il existe deux catégories pour ce type d’attaque : Attaque DOS mono-source et attaque
DOS multi-sources (Distributed DOS ou DDOS).
3/13/2014 18
 Selon la ‘faiblesse’ exploitée, il existe différentes attaques de déni de service, dont :
 Tear Drop :
 Principe :
 Exploitation d’un bug dans le réassemblage des fragments IP:
 Envoi du 1er paquet IP d’une fragmentation ;
 Envoi d’un 2ème paquet dont le numéro de décalage (offset) implique
qu’il est inclus dans le 1er paquet et ainsi de suite !
 Condition :
 Il faut que le système ne sache pas gérer cette exception (exp :Win95/NT).
Actuellement, les piles TCP/IP sont immunisées contre ce type d’attaque.
3/13/2014 19
 Inondation (flooding ):
 Principe :
 Envoi à une machine du réseau de nombreux paquets IP éventuellement
de grosse taille de telle façon qu’elle ne pourra pas tous les traiter et finira
par se déconnecter du réseau.
 Condition :
 Il faut toutefois avoir une bonne connexion entre les deux machines de
manière à envoyer les données plus vite que la machine cible ne peut y
répondre.
3/13/2014 20
 Variante: TCP-SYN flooding :
 Principe :
 Envoi en grand nombre de segments TCP SYN avec des adresses
aléatoires (voir IP spoofing) ou à partir de plusieurs machines (DDoS)
pour simuler des demandes de connexion TCP au serveur ciblé ;
 Le serveur renvoie des SYN ACK et maintient les connexions ouvertes en
attente de segments ACK qui ne viendront jamais ce qui peut provoquer
le blocage du serveur.
 Condition:
 débit d’envoi > timeout de demi-connexion
3/13/2014 21
 Diffusion (smurf ):
 Principe :
 Attaque indirecte par rebond et par réponse;
 Utilisation d’un serveur de diffusion ;
 Mascarade d’adresse IP pour se faire passer pour la machine cible ;
 Envoi d’une commande type ping au serveur de diffusion avec comme
adresse expéditrice l’adresse falsifiée;
 Chaque machine du réseau de diffusion envoie une requête réponse
(pong) à l’adresse falsifiée  Saturation de la machine cible.
3/13/2014 22
 Autre Exemple d’attaque DDOS indirecte par réponse :
 Débordement de tampon (Buffer overflow) :
 Principe:
 Exploitation d’une faille d’une application :
 Envoi à l’application cible des données d’une taille plus grande que
celle du buffer de l’application;
 Suite à ce débordement, plusieurs cas se présentent : la machine se

bloque, redémarre ou ce qui est plus grave, écrit sur le code en mémoire.
On peut ainsi modifier directement le code des programmes de la
machine et donc exécuter du code arbitraire (voire nocif) sur la machine
où tourne l'application vulnérable.
3/13/2014 24
 Variante: Ping de la mort (Ping of Death) :
 Principe :
 Envoi d’une requête du protocole ICMP (en général, ping) d'une taille
supérieure à la longueur maximale.
 Lors de son envoi, le ping of death est fragmenté en paquets plus petits.
La machine qui reçoit ces paquets doit alors les réassembler.
 Les systèmes anciens ne géraient pas cette fragmentation, et se

bloquaient complètement.
3/13/2014 25
 Débordement de messages (Spams) :
 But :
 Engorger les réseaux suite à leur propagation massive, saturation des
boîtes aux lettres, nuisance des destinataires, propagation de virus, …
 Principe :
 Envoi par mail de messages à large échelle (la plupart des fois, sans
aucune action nuisible sur la machine cible)
 Ils propagent la désinformation (exemples : fausse nouvelle concernant

un nouveau virus, une possibilité de gain énorme, une demande d’aide,
un nouveau produit, …).
3/13/2014 26
 Mascarade (Spoofing ) :
 But :
 Ouverture de connexions non autorisées avec les serveurs cibles, cela se

fait généralement par construction de paquets IP avec une fausse adresse
source, pour éventuellement, réaliser d’autres buts, comme par exemple:
effectuer d’autres attaques D0S ou de création de backdoors.
 Condition :
 Il faut qu’une machine cliente soit autorisée à se connecter en root ou

avec des privilèges sur le serveur cible.
3/13/2014 27
 Principe (le plus connu):
 Identification d’un client de confiance du serveur cible qu’on paralyse par

une attaque type DOS ;
 Identification de la méthode de génération de numéro de séquence (par

l’envoi de plusieurs segments TCP et en regardant l’incrémentation de ce
numéro) ;
 Demande de connexion au serveur avec l’adresse IP spoofée;
 Réponse au segment SYN ACK du serveur en lieu et place du client de

confiance par un segment ACK avec le numéro de séquence identifié plus
un et le tour est joué (connexion établie).
3/13/2014 28
 Variante: Web spoofing :

 Principe :
 Création d’un site Web miroir identique au site ciblé, avec une autre adresse
URL proche de l’originale ;
 Attendre la connexion au site de machines qui seront les victimes de
nouvelles attaques ou juste donner des fausse informations ou nuire à l’image
de marque du site original;
 Variante : Phishing : envoi d’un e-mail (fausse adresse source) à la victime
contenant un lien (faux) vers l’adresse Web d’un site de confiance (exp. sa
banque)
 Autres Variantes: mascarades d’adresse courrier, DNS, ARP, ou tout

simplement, Craquage de mots de passe, etc.
3/13/2014 29
  Mascarade (Spoofing) :
 Attaque ARP spoofing
 S’appuie sur le protocole ARP
 ARP implémente le mécanisme de résolution d’une adresse IP en une
adresse MAC
 Chaque système possède localement une table de correspondance entre les
adresses IP et MAC des systèmes voisins
 La faiblesse d’authentification de ARP permet à un système pirate
d’envoyer des paquets ARP au système cible indépendant que la nouvelle
adresse MAC correspondants à l’adresse IP d’une passerelle est la sienne
 Le système du pirate reçoit donc tout le trafic à destination de la passerelle
 Il lui suffit d’écouter ou de modifier passivement le trafic et de router
ensuite les paquets vers leurs véritables destination
3/13/2014 30
 Attaque man-in-the-middle:
 Consiste à faire passer les échanges réseau entre deux systèmes par le
bais d’un troisième, sous le contrôle du pirate
 L’échange se présente sous l’une des trois formes suivantes:
 Relais transparent
 La machine du pirate transforme les données à la volée
 La machine du pirate reste transparente et se comporte comme un routeur
 Relais applicatif
 La machine du pirate assure l’échange entre les deux machines A et B
 A parle avec la machine du pirate, laquelle parle avec B
 Hijacking
 La machine du pirate utilise la session engagée entre les deux machines afin que
ce soit elle (la machine du pirate) soit en session avec la machine B
 A perd la session avec B, et la machine du pirate continue la session engagée par
A et B.
3/13/2014 31
 Virus/vers/ Chevaux de Troie :
 But : Causer des dégâts aux machines infectées voire aux

machines qui y sont connectées.
 On ne classe cependant pas les virus selon leurs dégâts mais

selon leur mode de propagation et de fonctionnement :
 Vers :
 Capables de se reproduire et de se propager dans le réseau connecté à la

machine infectée. Ils exploitent généralement des failles au niveau des
applications de messagerie (exp : Outlook);
3/13/2014 32
 Virus/ Vers/ Chevaux de Troie :
 Chevaux de Troie ou troyens :
 Programmes cachés qui créent des failles dans un système ( par exemple,
ils créent une backdoor sur la machine au profit du créateur du troyen).
Ils peuvent aussi voler des mots de passe, communiquer des données à
leur créateur, exécuter des actions nuisibles, etc.
 Bombes logiques :
 Programmes dont le déclenchement s’effectue à un moment déterminé,

en exploitant la date du système, ou suite à un évènement déclencheur.
3/13/2014 33
III.4. Phases d’une attaque structurée typique
 Phase 1: Définition du but de l’attaque
 Établissement visé :
 Pour les attaques structurées, la cible est connue d’avance, par exemple,
le concurrent du mandataire de l’attaque, le gouvernement d’un état
ennemi, une banque (pour vol d’argent), l’ex-société de l’attaquant, etc.
 Objectif(s) à réaliser :
 Accès au système (données, ressources) pour avoir ou ‘augmenter’ des

privilèges;
 Déni de service, pour causer des pertes financières ou nuire à l’image de

marque.
3/13/2014 34
 Phase 2: Reconnaissance avant l’attaque
 But :
 Rassembler le maximum d’informations sur l’établissement visé et qui

pourront servir à réaliser l’objectif fixé.
 Sources :
 Domaine publique: Revues/journaux, Partenaires, Sites Web, Serveur

DNS, etc.
 Domaine privé : Recherche de vulnérabilités par intrusion (des attaques

avant l’Attaque), Ingénierie sociale, espionnage, etc.
3/13/2014 35
 Quelques informations utiles sur le réseau cible:

 Noms de domaines associés;
 Adresses IP des machines du réseau (via DNS);
 Topologie du réseau et sous-réseaux avec la localisation des dispositifs de
contrôle d’accès;
 Ports ouverts et services actifs;
 Protocoles réseau et OS des machines;
 Adresses e-mail des utilisateurs;
 Groupes d’utilisateurs;
 Ressources partagées, etc.
3/13/2014 36
 Outils utilisés:
 Outils habituels d’administration réseau ;
 Outils pour cartographier un réseau :Nessus, Nmap, Traceroute, etc.
 Outils de scan : Rat, Satan, Strobe, etc.
 Autres techniques:
 Craquage de mots de passe : méthode exhaustive ou avec
dictionnaires;
 Utilisation de la pile TCP/IP pour deviner l’OS, etc.
3/13/2014 37
 Phase 3: l’attaque
 But 1 : Gain d’accès
 Choix de l’équipement (serveur, routeur, …) le plus vulnérable ou le plus

convenable à l’attaque (plus précisément, au lancement de l’attaque);
 Choix du type de l’attaque : Écoute et/ou mascarade et/ou installation de cheval

de Troie, etc.
 Choix des outils pour la création de l’attaque.
 But 2 : Déni de service (DOS)
 Choix de l’équipement ou de la liaison dont le non-fonctionnement ou la

saturation causera le plus de dégâts;
 Choix du type de l’attaque DOS à effectuer.
3/13/2014 38
 Phase 4 : Après l’attaque
 Si Gain d’accès réussi:
 Augmenter les privilèges (par exemple, Compte Root);

 Compromettre d’autres équipements du réseau attaqué voire d’autres
réseaux partenaires (effet domino);
 Laisser des backdoors pour des futurs attaques;
 Si possible, ne pas laisser de traces ou de preuves compromettantes.
 Si Déni de service achevé :
 Diffuser la nouvelle de l’attaque dans les sites Web en amplifiant l’impact

de l’attaque.
3/13/2014 39
III.5. Solutions pour la sécurité réseau
Sommaire
5.1. Sécurité active ou de protection :
5.2. Sécurité passive ou de surveillance :
5.3. Audit et analyse de réseau :
5.4. Mise à niveau de la sécurité :
3/13/2014 40
III.5.1. Sécurité active ou de protection
 Les solutions faisant partie de la sécurité active représentent tout ce

qui permet de protéger ‘activement’ un réseau contre les différentes
attaques.
 Ces solutions sont dites de sécurité active dans la mesure où :
 Elles agissent sur les données qui transitent sur le réseau, en décidant de
:
 laisser passer ces données;
{ Filtrage/Contrôle d’accès
 les bloquer;
Cryptage
 ou les chiffrer.
 La décision à prendre vis à vis d’un paquet de données, par exemple,
peut se baser sur un mécanisme d’authentification de l’origine des
données ou de leur destination, etc.
3/13/2014 41
 On va classer ces solutions selon les mécanismes sur

lesquels elles se basent :
 Les solutions basées sur le filtrage/contrôle d’accès :
 Les solutions basées sur le cryptage :
 Les solutions d’authentification pour l’accès réseau :
3/13/2014 42
 Les solutions basées sur le filtrage:
 La segmentation (filtrage niv 1 à 2) :
 Le filtrage IP (niv 3 à 4)
 Le relayage applicatif (filtrage niv 5 à 7?):
 Le filtrage multi-niveaux à tables d’état (filtrage niv 3 à 7) :
 Outil : Pare-feu
3/13/2014 43
 La segmentation :
 Principe :
 Filtrage niv 1 et 2
 But :
 Réduire les domaines de collision;

 Réduire les domaines de diffusion.
 Types :
 Physique
 Logique : Vlan
3/13/2014 44
 La segmentation :
 Équipements :
 Pont
 Commutateur (Switch)
 Routeur
 Choix des zones :
 Nombre et nature des utilisateurs  Groupes
 Topologie physique du réseau (plan de câblage, géographie, etc.)
 Trafic sur le réseau
 Ressources sollicités par type d’utilisateur, etc.
3/13/2014 45
 Segmentation Logique : VLan
 Principe :
 Un réseau local virtuel est un réseau logique de niveau 2;
 Il exploite la technique de la commutation ;
 Il permet de connecter un groupe logique de stations de travail, même si ces dernières
ne sont pas géographiquement proches les unes des autres.
 Rôles :
 Regrouper/isoler des groupes d’utilisateurs qui ont besoin d’accéder ou d’utiliser les
mêmes ressources tout en permettant leur mobilité (sans changement d’adresse);
 Limiter la propagation du trafic au seul VLAN concerné : un flux originaire d'un
VLAN donné n'est transmis qu'aux ports qui appartiennent à ce même VLAN. Chacun
des VLANs constitue ainsi un domaine de diffusion propre.
 Apporter ainsi un premier niveau de sécurité.
3/13/2014 46
 Segmentation Logique : VLan
 Types :
 Génération 1: Un Vlan est caractérisé par les numéros de ports sur les commutateurs. Cela
se traduit par la création dans la mémoire du commutateur d’une table d’associations entre
numéros de port et numéros de Vlan
 Configuration relativement simple
 Mais, un seul Vlan par port
 Génération 2 : Un Vlan est caractérisé par les adresses MAC (niv 2) des machines des
utilisateurs :
 Plusieurs Vlans par port autorisés.
 Mais, gestion fastidieuse de la table d’associations adresse MAC/ Vlan.
 Génération 3: Un Vlan est caractérisé par des informations de niveau 3 contenues dans la
trame de niveau 2 (e.g. adresse IP ) :
 Pas de problèmes dûs à la mobilité des utilisateurs car la reconfiguration peut être dynamique;
 Possibilité de créer des communautés d’utilisateurs par protocole,
 Mais, la sécurité repose sur la confiance dans l’adresse IP.
3/13/2014 47
 Le filtrage IP:
 Principes :
 C’est lui qui permet de filtrer le trafic de part et d’autre d’un réseau.
 Ce filtrage porte sur les paquets IP(niv 3/4).
 Il peut être réalisé par un matériel (exp: routeur) ou un logiciel de

filtrage ou les deux.
 Il est utilisé généralement pour assurer la sécurité d’un réseau vis à vis
des réseaux externes auxquels il est connecté, notamment, Internet.
 Il est indépendant des utilisateurs.
3/13/2014 48
 Le filtrage IP:
 Mise en oeuvre :
 A l’entrée du réseau (cas classique):
 Outils : routeurs, "firewalls".
 But : protéger le réseau des flux venant de l’extérieur (et vice versa).
 Sur un serveur :
 Outils : tcp_wrapper sur un serveur Unix, etc.
 But : contrôler l'accès au serveur lui-même.
3/13/2014 49
 Le filtrage IP:
 Critères de base pour le filtrage :
 Adresse IP source;
 Adresse IP destination;
 Type du protocole au dessus de IP;
 Numéro de port source ;
 Numéro de port destination;
 Port d’entrée ou de sortie physique du filtre (si plus d’un).
3/13/2014 50
 Le filtrage IP:
 Fonctionnement :
 Principe de base: les paquets interdits de passage sont arrêtés, les

paquets autorisés passent;
 Actions possibles sur les paquets autorisés:

 Routage vers un autre port que celui mentionné dans le paquet;
 Routage vers le port destination mais avec envoi d’une copie vers un autre
port;
 Application d’une translation d’adresses IP;
 Routage vers un tunnel d’encapsulation IP, etc.
3/13/2014 51
 Le filtrage IP:
 Fonctionnement (suite):
 Actions possibles sur les paquets interdits:

 Suppression ;
 Journalisation :
 Sans informer l’émetteur;
 En informant l’émetteur avec un message d’erreur.
3/13/2014 52
 Le filtrage IP:
 Fonctionnement (suite):
 Politique de filtrage:
 Les types de paquets autorisés sont listés dans une liste exhaustive, les
paquets dont le type est dans la liste passent, les autres sont arrêtés;
 Les types de paquets interdits sont listés dans une liste exhaustive, les
paquets dont le type n’est pas dans la liste passent, les autres sont arrêtés;
 Un ensemble de règles de filtrage qui déterminent les paquets autorisés

et ceux interdits.
3/13/2014 53
 Le filtrage IP:
 Limitations :
 La notion de session n’est pas gérée.
 Le filtrage d’éléments de niveau applicatif ne peut être réalisé que par

comparaison de séquences de bits à des emplacements fixes dans les
paquets.
 Ce filtrage de bas niveau ne permet pas d’avoir beaucoup de recul sur
les flux notamment en ce qui concerne la fragmentation IP. De plus
ce type de filtrage ne dispose pas de mécanismes d’authentification.
 Un exemple d’utilisation de ce mécanisme est les ACL (Access
Control List) dans les routeurs Cisco.
3/13/2014 54
 Translation d’adresse NAT
 Le NAT a été mis en place, initialement, pour faire face à la pénurie
des adresse IPv4
 Le NAT permet de « cacher » un grand nombre de systèmes derrière
une seule adresse IP et améliore par ce biais la sécurité du réseau
interne
 Les protocoles TCP et UDP restent les plus utilisés par le systèmes
NAT
 NAT est effectuée dans les deux sens:
 Le SNAT (Source NAT) modifier l’@IP source d’un paquet émis
vers le réseau externe
 Le DNAT (Destination NAT) modifier l’@IP destination d’un
paquet émis vers le réseau interne
3/13/2014 55
 Translation d’adresse NAT
 On distingue deux type de NAT:
 Le NAT statique
 Fait correspondre à n adresse IP n autre adresse IP
 NAT « one-to-one »
 Ce mode est utilisé pour les systèmes du réseau interne qui doivent être
joignable de l’extérieur (serveur web, mail, FTP , etc.)
 Le NAT dynamique
 Fait correspondre à n adresse IP une seule autre @IP
 NAT « one-to-many »
 Vers le réseau externe
 Remplace l’@IP du paquet par l’unique @IP(sortante)
 Utiliser un port dynamique pour distinguer les différents trafics
 Vers le réseau interne
 Remplace l’@IP par celle correspondante au numéro de port
3/13/2014 56
 Le relayage applicatif:
 Principes :
 Ce filtrage concerne les couches 5-7 du modèle OSI;
 Il est typiquement réalisé sur un serveur : serveur mandataire, proxy, agent de

médiation, etc.
 Le relais se place entre une application cliente et une application serveur;
 Il est complémentaire au filtrage IP et aussi important;
 Deux nouveaux critères de filtrage :
 Identité de l’utilisateur ;
 Contenu du message.
3/13/2014 57
 Le relayage applicatif :
 Mise en œuvre :
 Un relayage est réalisé par un démon (logiciel s’exécutant tout le temps) :

 Il tourne sur une machine intermédiaire;
 Il agit en serveur d'un coté et en client de l'autre;
 Il permet, généralement, une phase d'identification et

d'authentification de l'utilisateur (contrairement au filtrage IP);
 Il est indépendant de l’authentification de l'adresse IP de la machine

source.
3/13/2014 58
 Le relayage applicatif :
 Avantages et inconvénients :
 Permet d’analyser le flux applicatif et fournit donc une plus grande

finesse dans le contrôle
 Outre le filtrage, il permet de faire de la traçabilité.
 Le niveau de sécurité offert, pour une application donnée, est élevé.
 Il est uniquement logiciel et ses performances sont relativement

médiocres.
 Il faut généralement avoir pour chaque service ou application réseau un

programme spécifique (proxy)
3/13/2014 59
 Utilisations (1) :
3/13/2014 60
 Utilisations (2) :
3/13/2014 61
 Le filtrage multi-niveaux à tables d’état :

 Principe :
 Ce type de filtrage est le plus récent, il agit au niveau des paquets, toutefois, un contrôle des
informations de niveau applicatif est réalisé grâce aux tables d‘états.
 Avantages & inconvénients:

 La finesse de contrôle est en général moindre que celle qui peut être obtenue grâce à un
relais applicatif.
 Le niveau de performances est potentiellement plus élevé du fait que le traitement est
effectuée sans que les données aient eu à remonter jusqu’au niveau des couches applicatives
contrairement aux proxy.
 C’est un bon compromis entre le filtrage de paquet et le relais applicatif en terme de niveau
de sécurité offert et des performances.
3/13/2014 62
 Le filtrage multi-niveaux à tables d’état :
 Exemple de fonctionnement :
 Cas 1:
 Le filtre reçoit un paquet SYN initiant une connexion TCP;
 Ce paquet SYN est confronté séquentiellement à la base de règles;
 Si le paquet passe toutes les règles sans être accepté alors il est refusé;
 Sinon, la session est enregistrée dans la table d’états de connexions ;
 Cas 2:
 Le filtre reçoit un paquet dont le bit SYN n’est pas positionné;
 Si le paquet appartient à une session enregistrée dans la table d’états alors le
paquet est accepté
 Sinon le paquet est jeté.
3/13/2014 63
 Outil : Pare-feu (firewall) :
 Description :
 Un pare-feu est une structure destinée à empêcher un feu de la traverser. Il est

l’outil utilisé pour implémenter le volet filtrage de la sécurité active.
 Un pare-feu peut être défini comme un ensemble de composants mis en œuvre

entre deux réseaux, et contribuant à fournir les propriétés suivantes:
 Tout trafic de l’intérieur vers l’extérieur ou de l’extérieur vers l’intérieur doit
impérativement passer par le pare-feu ;
 Seuls les flux autorisés conformément à la politique de sécurité peuvent le franchir ;
 Un pare-feu peut être un outil matériel et/ou logiciel.
3/13/2014 64
 A retenir :
 Le danger ne vient pas que de l’extérieur  les pare-feux ont une

double fonction : protéger l’intérieur de l’extérieur et aussi contrôler les
flux sortants de l’intérieur vers l’extérieur.
 Un pare-feu doit être lui-même inaccessible afin d’être insensible aux

attaques visant à modifier sa configuration (politique de filtrage) ou le
rendant inopérant (Dos).
3/13/2014 65
 Fonctionnalités :
 Un firewall peut réaliser un ou plusieurs types de filtrage.
 Certains pare-feu du marché réalisent le filtrage IP, le relayage applicatif avec contrôle de
contenu, le filtrage à tables d’états ainsi que la translation d’adresses.
 En effet, un seul outil pare-feu peut offrir les fonctionnalités suivantes:
 Filtrage basées sur les adresses IP sources et destination, mais aussi par
application ou même sur la base des commandes des applications
 Découplage entre les postes internes en zone protégée et les réseaux
externes comme Internet;
 Décorrélation des plans d’adressages internes du réseau à protéger avec
les adresses globales connues de l’extérieur;
 Possibilité d’authentification des échanges (autorisés et ceux refusés)
entre applications internes et externes.
 la génération de traces (journalisation) relatives à toute tentative de
violation de la politique de sécurité, mais aussi aux communications
autorisées.
3/13/2014 66
 Architectures des Pare-feu :

Réseau
interne
 Il comprend deux interfaces réseau;
 Chacune reliée à un réseau : interne

et externe.
 Le filtrage effectué par un tel firewall

doit être bien étudié car il est le seul à
protéger le réseau interne.
Hôte bastion
3/13/2014 67
 Architectures des Pare-feu (suite) :

 Un pare-feu tri-résident dispose de 3
cartes réseau, une connectée à la zone
DMZ (Zone Démilitarisée), une autre au
Réseau
réseau interne et la troisième à l’extérieur
interne (Internet)
DMZ
 Une DMZ est un réseau qui supporte
les machines vers lesquelles les
utilisateurs d’Internet ont le droit d’accéder
(serveurs SMTP, HTTP, etc.).
Firewall  L’accès à une DMZ depuis l’extérieur
est contrôlé par le firewall, mais avec une
Pare-feu Tri-résident politique de filtrage moins stricte que pour
le réseau interne..
3/13/2014 68
 Architectures des Pare-feu (fin) :
Un pare-feu dos à dos est composé

Firewall
externe
de deux outils dont chacun à 2 cartes
Réseau
réseau;
interne DMZ
DMZ
 Un outil, en général matériel (exp:
routeur), relié à l’extérieur (Internet) et à
Firewall une zone DMZ.;
interne
 Un outil, en général logiciel, tournant
sur une machine relié au réseau
interne.
Pare-feu Dos à Dos
3/13/2014 69
 Exemples :
 Cisco IOS Firewall : logiciel (mis en place sur des routeurs Cisco);
 PIX de Cisco: boîtier (compatible IP-Sec)
 Symantec Gateway Security : firewall+IDS+Anti-virus ;
 Firewall-1 de CheckPoint : logiciel (filtrage à table d’états, NAT et

VPN);
 Open Source : Pfsense, NetFilter, …
3/13/2014 70
 Pare-feu de linux
 Netfilter est un pare-feu complet fonctionnant sous linux (noyau 2.4 et 2.6)
 Remplace ipchains qui fonctionnait sur les noyau 2.2
 Netfilter se dispose de trois tables:
 Filter: c’est la table par défaut lorsqu’on ne spécifie aucune, elle filtre les
trois trafics principaux .
 INPUT: pour les paquets entrants
 OUTPUT: pour les paquets sortants
 FORWARD: pour les paquets traversant le firewall
NAT: c’est la table dédiée à la redirections de paquets

 MANGLE: c ’est la table utilisée pour les services réseaux additionnels.
 Netfilter est administrer par la commande iptables
3/13/2014 71
 Lorsqu’un paquet correspond au motif de reconnaissance d’une règle, une
décision est prise.
 ACCEPT: permet d’accepter un paquet si la règle est vérifiée.
 REJECT:
 permet de rejeter le paquet avec un retour d’erreur à l’expéditeur si la règle est
vérifiée
 -reject-witch: spécifier le type d’erreur à retourner (icmp-net-unreachable, icmp-
host-unreachable, …)
 DROP: permet de rejeter le paquet sans retour d’erreur à
l’expéditeur si la règle est vérifiée
 LOG: permet de loguer le passage du paquet si la règle est
vérifiée
 --log-level: spécifie le niveau des logs
 --log-prefix: spécifie un préfix placé devant l’événement, utile pour identifier les
événement différents (29 caractère max)
3/13/2014 72
 Principale commandes de iptables
 Lister les règles: -L
 iptables –L: affiche toutes les règles de toutes les chaines de la table FILTER
 iptables –L OUTPUT: toutes les règles de la chaine OUTPUT
 Ajouter une règles: -A

 iptables -A OUTPUT –j DROP: ajouter la règle –j DROP à la fin de la chaine OUTPUT
 Insérer une règle dans la chaine: -I

 iptables –I OUTPUT 1 –j DROP: insérer la règle –j DROP avant la règle 1
 Supprimer une règle: -D

 iptables –D OUTPUT –j DROP: supprimer la règle OUTPUT –j DROP
 Définir une règle par défaut: -P

 iptables -P OUTPUT DROP: utiliser la target DROP par défaut
 Remplacer une règle: -R

 iptables –R OUTPUT 1 –j DROP: remplacer la première règle de la chaine OUTPUT par –j
DROP
 Effacer toutes les règle de toute les chaines :-F (iptables –F)
 iptables -F OUTPUT: effacer les règles de la chaines OUTPUT
3/13/2014 73
 Options globales de iptables
Argument Description Exemple
-s (--source) Spécifie une adresse source iptables –A INPUT -s 192.168.1.1 –j ACCEPT:
autoriser l’@ à entrer sur la machine
-d (--destination) Spécifie une adresse destination iptables –A FORWARD –d 192.168.1.1. –j
ACCEPT: autoriser la transmission de paquets
vers l’hôte 192.168.1.1
-i (--in-interface) Spécifie une interface d’entrée iptables –A INPUT –i eth0 –j DROP: refuse le
trafic en entrée sur eth0
-o (--out-interface) Spécifie une interface de sortie iptables –A INPUT –o eth0 –j DROP: refuse les
paquets qui sortent par eth0
-p (--protocol) Spécifie un protocole UDP, ICMP,… iptables –A INPUT –p icmp –j ACCEPT:
ou all pour tous les protocoles autoriser le protocole icmp en entrée
--sport (--source-port) Spécifie le port source (ou de 15 port iptables –A INPUT –p tcp –-sport 80 -j ACCEPT:
maximum avec l’option –m multiport) accepter les données envoyer par un site web
--dport (--destination - Spécifie le port destination (ou de 15 iptables –A INPUT –p tcp –-dport 21 -j ACCEPT:
port) port maximum avec l’option –m multiport) accepter le port 21 (FTP) en entrée
…. …. ….
3/13/2014 74
 Options de correspondance
 L’option –m fonctionne avec quatre options:
 --mac: spécifie une @MAC à traiter
 Exp: iptables –A INPUT –m mac --mac-source 00-08-6C-E0-1B-BE -j DROP
 Interdire l’@Mac en entrée
 --state: spécifie l’état du paquet à traiter :

 NEW: paquet demandant une nouvelle connexion (SYN)
 ESTABLISHED: paquet associé à une connexion déjà établie (ACK)
 RELATED: nouvelle connexion liée (FTP ou message d’erreur envoyé par ICMP)
 INVALID: connexion inconnue
 Exemple:
 iptables –A INPUT –p tcp –m state –-state NEW –j DROP
 Refuse les nouvelles connexions entrantes
3/13/2014 75
 Options de correspondance
 --limit : spécifie une limite par rapport au temps. Les valeurs temporelles
utilisables sont: /second, /minute, /hour, /day
 Exemple:
 iptables –A INPUT –p icmp –m limit --limit 3/second –j ACCEPT
 Accepter 3 icmp (ping) par second, le 4 éme sera rejeté
 --multiport : spécifie plusieurs port
 Exemple
 iptables –A INPUT –p tcp –m multiport –sport 80,21,22 –j ACCEPT
 Accepter les données envoyées par un site web, un ftp et un serveur
SSH
3/13/2014 76
 NAT
 Table utilisée pour la translation d’adresses ou de ports
 On distingue trois fonctionnalités principales:
 DNAT (PREROUTING)
 Permet de modifier l’@ de destination du paquet
 --to-destination: utilisé avec la cible DNAT, permet de spécifier l’@de destination
de la translation
 Exemple:
 iptables –t nat –A PREROUTING –p tcp –-dport 5660 –j DNAT –-to-
destination 192.168.0.7:5660
 Route les paquets tcp à destination du port 5660 vers l’@ privée 192.168.0.7
(port 5660 également)
3/13/2014 77
 NAT
 SNAT (POSTROUTING)
 Permet de modifie l’@ source du paquet
 --to-source: utilisé avec la cible snat, premier de spécifier l’@ source de la
destination.
 S’ utilise de la même manière que --to-destination
 MASQUERADE
 La passerelle (la machine où est installé iptables) transforme les paquets sortants
pour donner l’illusion qu’ils sortent de celle-ci par un port alloué dynamiquement
 Lorsque la passerelle reçoit une réponse sur ce port, elle utilise une table de
correspondance entre le port et les machines du réseau local qu’elle gère pour lui
faire suivre le paquet
 Exemple
 iptables –t nat –A POSTROUTING –o eth1 –j MASQUERADE
 Tous les paquets sortant par eth1 auront l’@IP de eth1
3/13/2014 78
Autres Technologies de la sécurité
 Mécanismes de Contrôle d’accès :
 Liste de contrôle d’accès (ACL) :
 Consiste en une liste des opérations que les différents utilisateurs

peuvent effectuer sur chaque objet.
 A chaque donnée correspond une liste décrivant les droits des

différents utilisateurs (droit de consultation, modification, exécution,
...).
 Cette liste est parcourue lors de chaque tentative d'accès, et sa

consultation permet de décider ou non de la validité de l’accès
demandé.
 Limite temporelle:
 L'accès à une donnée ou à un service est limité dans le temps. Ce peut

être une limite de durée ou une limite qui dépend de l'heure et de la
date courantes.
 Ce mécanisme peut être utilisé comme complément des ACLs.

 Étiquettes de sécurité:
 A chaque objet (tout type de ressources ) correspond un niveau de

sensibilité; de même, à chaque utilisateur correspond un niveau
d'accréditation.
 Un ensemble de règles (politique de contrôle d’accès) permettent de

gérer les accès, par exemple (modèle de Bell - LaPadula) :
 Un utilisateur ne peut accéder à un objet que si son accréditation est
supérieure ou égale à la sensibilité de l’objet;
 Un utilisateur ( sauf l’administrateur par exemple) ne peut affecter à un objet

qu'un niveau de sensibilité supérieur ou égal à son niveau d'accréditation.
 Bourrage de trafic :
 But :
 Cette technique vise à protéger un canal de communication contre l'analyse
de trafic (confidentialité de flux) et, en second lieu, contre l'écoute de la
ligne.
 Principe :
 Maintenir un débit de transmission (sur une ligne ou entre 2 entités)
constant, quel que soit le débit réel de la communication proprement dite.
 Le débit de transmission est complété par l’émission de paquets de données
aléatoires et généralement cryptées (pour masquer le fait que ces données
supplémentaires sont factices).
 Contrôle de routage :
 But :
 Acheminer les paquets de données sensibles à travers des sous-réseaux,
liaisons ou relais considérés comme sûrs.
 Principe :
 Choisir le chemin de routage en fonction de la nature des données
(confidentielles, urgentes, ..).
 Risque :
 Il peut permettre à un intrus de choisir un chemin particulier pour
ses paquets afin d'éviter les obstacles ou équipements de sécurité
réseau, et contredire ainsi la politique de sécurité.
 Contrôle de routage :
 Fonctionnement : La sélection du chemin de routage peut se
faire de deux manières :
 En spécifiant explicitement les chemins autorisés (éventuellement
pour chaque type de données) ;
 En spécifiant, au contraire, les chemins non autorisés (et donc
considérés comme risqués).
 Variante :
 But : Protéger un sous réseau d’accès via Internet
 Principe : Ne pas annoncer (faire connaître) le sous-réseau : l’adresse
IP du sous-réseau sera inconnue dans les tables de routage nationales
et internationales.
 III.5.1.2. Les solutions basées sur le cryptage :
 Protocoles sécuritaires :
 Diffie Hellman
 SSL/TLS
 IP-Sec
 Réseaux virtuels privés VPN
3/13/2014 85
III.5.1.2. Les solutions basées sur le cryptage
 Virtual Private Network ou VPN :
 But :
 Extension d’un réseau privé à moindre coût.
 Principe :
 Utilisation de l’infrastructure d’un réseau public existant (e.g.

Internet) ;
 Utilisation de techniques de tunnelisation/encapsulation et de

cryptage pour assurer la sécurité des transferts sur le réseau public et
donc préserver le caractère privé du réseau.
3/13/2014 86
 Fonctionnement d’un tunnel (1) :
 Le but d’un tunnel entre deux points A et B est d’assurer que les
données qui partent du point A ne sont ‘accessibles’ qu’au point B.
Réseau public Tunnel
Exemple de tunnel
3/13/2014 87
 Fonctionnement d’un tunnel (2) :
 Le transport des données entre le point A et le point B se fait par

encapsulation :
 Les données allant de A à B (et vice versa) sont encapsulées dans un
paquet du protocole de tunnelisation, puis insérées dans un paquet du
protocole de transport utilisé ;
 Au point B, les données sont extraites du protocole de tunnelisation et

continuent leur chemin ‘normalement’.
3/13/2014 88
 Protocoles de tunnelisation:
 Protocoles de niveau 2 :
 PPTP (Point to Point Tunneling Protocol)
 L2TP (Layer 2 Tunneling Protocol)
 Protocole IPSec (niv 3) en mode tunnel.
 Protocole SSL (niv 4-5).
3/13/2014 89

 Protocole PPTP (1) :
 Développé par Ascend, Microsoft, 3Com, ECI et U.S. Robotics qui l’ont
soumis à l’IETF (RFC 2637).
 Permet d’établir des connexions PPP (Point to Point Protocol) sur des
réseaux IP, en se basant sur 2 composantes :
 Une connexion de contrôle entre client et serveur (TCP port 1723)
 Une encapsulation des trames PPP dans IP basée sur GRE (Generic
Routing Encapsulation) et ce, pour une transmission sur des réseaux IP
(exp. Internet).
 La sécurité offerte par PPTP repose sur l’authentification et le cryptage
offerts par les extensions de PPP (exp de Microsoft : MS-CHAP pour
l’authentification et MPPE pour le cryptage).
3/13/2014 90
 Protocole PPTP (2) :
 La méthode d’encapsulation GRE consiste en l’ajout d’un entête

contenant les informations relatives au tunnel.
Autres protocoles :
IPX, NetBEUI
peuvent être cryptées
et/ou compressées
3/13/2014 91
 Protocole L2TP (1) :

 Le protocole L2TP (RFC 2661) est une combinaison du protocole L2F de
Cisco et PPTP.
 Il permet d’encapsuler des trames PPP afin qu’elles puissent être envoyées
sur des réseaux IP, X.25, Relais de trames ou ATM.
 Il offre deux cas possibles d’utilisation :
 Tunnel direct entre le client et le serveur ;
 Tunnel entre l’ISP et le serveur et une liaison PPP entre le client et l’ISP.
 La sécurité peut reposer sur celle offerte par PPP, mais il est recommandé
d’utiliser IP-Sec .
3/13/2014 92
 Protocole L2TP (2) :
 Sur les réseaux IP, les trames PPP sont d’abord encapsulées dans UDP
avant d’être encapsulées à nouveau dans IP :
Autres protocoles : peuvent être cryptées

IPX, NetBEUI et/ou compressées
Autres réseaux :
X.25, ATM, Frame
Relay
3/13/2014 93
 VPN / IP-Sec :
 Pour la mise en œuvre d’un VPN, il est recommandé de combiner IP-

Sec avec L2TP, dans ce cas :
 IP-Sec est utilisé en mode tunnel avec le protocole ESP pour assurer
l’authentification et éventuellement la confidentialité ;
 L2TP encapsule les paquets IP-Sec et peut assurer la confidentialité.
 Toutefois, IP-Sec (ESP en mode tunnel) peut être utilisé tout seul
pour la mise en œuvre d’un VPN, dans ce cas :
 Seul le trafic IP est pris en charge.
3/13/2014 94
 PPTP vs L2TP :
 PPTP -contrairement à L2TP- ne fonctionne que sur des réseaux IP ;
 PPTP -contrairement à L2TP- ne permet la prise en charge que d’un

seul tunnel;
 PPTP -contrairement à L2TP- ne fait pas de compression d’entêtes ;
 PPTP -contrairement à L2TP- n’assure pas l’authentification du

tunnel sauf si il est combiné avec IP-Sec.
3/13/2014 95
 Les solutions d’authentification pour le contrôle d’accès :
 Introduction
 Authentification par mot de passe simple
 Authentification par mot de passe à usage unique
 Authentification des accès distants
 Protocole PAP
 Protocole CHAP
 Fonctions AAA
 Protocole RADIUS
3/13/2014 96
III.5.1.3. Les solutions d’authentification
 Introduction :
 Rôle d’un mécanisme d’authentification :

 Permettre à une entité de fournir la preuve de son identité à une autre entité
 assurer l’authentification d’une entité auprès d’une autre.
 Types de preuves :
 Information connue ‘seulement’ de l’entité à authentifier et celle authentifiante, par
exemple, un mot de passe ou une clé secrète partagée.
 Information qu’elle possède, en général, un certificat et la clé privée correspondante.
 Objet qu’elle est la seule à posséder, par exemple, une carte à puces.
 Caractéristique physique propre, par exemple, empreinte biométrique.
3/13/2014 97
 Introduction :
 Niveaux d’authentification :
 Niveau 0 : Identification seule sans preuve

 "Je dis qui je suis".
 Niveau 1 : Identification et fourniture d’un mot de passe.
 "Je dis qui je suis et ce que je sais".
 Niveau 2 : Identification et fourniture d’un objet physique ou d’une information
possédée (exemple, carte à puce ou certificat) plus éventuellement un mot de
passe.
 "Je dis qui je suis, ce que je sais et je donne ce que je possède".
 Niveau 3 : Identification et fourniture d’une preuve physique (empreinte
digitale, fond de l'œil, signature vocale) plus éventuellement un mot de passe.
 "Je dis qui je suis, ce que je sais et je prouve physiquement qui je suis".
3/13/2014 98
 Introduction :
 Solutions d’authentification et couches OSI :
 Les solutions d’authentification peuvent être implémentées dans les

différentes couches à travers des protocoles sécuritaires :
 Couche Application : S-HTTP, SET (Secure Electronic Transaction), …
 Couche Transport : SSL, SSH, …
 Couche Réseau : IP-Sec, …
 Couche Liaison : PAP, CHAP, …
3/13/2014 99
 Authentification par mot de passe simple (1):
 Description :
 Le moyen le plus classique et le plus utilisé pour l’authentification.
 Il permet d’offrir un premier niveau de sécurité
 Il doit être connu non seulement par son ‘propriétaire’ mais aussi du
vérificateur (exp. Un serveur), mais il doit rester secret pour les autres.
 Principe :
 Pour être authentifié auprès d’un vérificateur, le propriétaire du mot de passe
commence d’abord par révéler son identité (exp. Nom d’utilisateur);
 Il fournit ensuite son mot de passe au vérificateur qui le compare avec la
copie dont il dispose.
3/13/2014 100
 Authentification par mot de passe simple (2):
 Un bon mot de passe doit :

 Comporter au minimum 8 caractères, de préférence 10 ou plus ;
 Alterner caractères de contrôle, de ponctuation, chiffres, ainsi que
majuscules et minuscules ;
 Être difficilement déduit ou deviné (exp. appartenance à un dictionnaire) ;
 Être mémorisable (puis mémorisé en mémoire !) ;
 Être protégé (exp. véhiculé et enregistré de manière cryptée et intègre) ;
 Être réservé à un seul contexte (exp. un mot de passe/application) ;
 Être fréquemment modifié (exp. chaque trimestre)
3/13/2014 101
 Authentification par mot de passe à usage unique (1) :
 Description :
 Un mot de passe à usage unique (one time password ou OTP) est un moyen
d'authentification plus fort que le mot de passe classique.
 Il est basé sur le principe de défi/réponse (challenge/response).
 Il ne peut être utilisé que pour une et une seule session.
 Il n'est plus choisi par l'utilisateur mais généré automatiquement, toutefois en se

basant sur une valeur initiale choisie par l’utilisateur (ie. un autre mot de passe!!).
3/13/2014 102

Contenue dans le
 Génération : Challege du serveur
La génération d’un OTP se fait en trois étapes :
Une préparation, qui va prendre en compte

le mot de passe utilisateur et la semence
extraite du Challenge envoyé par le serveur,
La génération, qui consiste à appliquer une

fonction de hachage n fois sur le résultat de
la préparation, n étant le nombre de
séquences.
Le formatage du résultat précédent de

longueur égale à 64 bits en un mot de passe
OTP à base de caractères ASCII.
3/13/2014 103
 Avantages :
 Le mot de passe est utilisé une seule fois  pas de problème de longévité du mot
de passe.
 Le mot de passe est calculé automatiquement  pas de problème de
mémorisation du mot de passe OTP ( Mais le mot de passe utilisateur doit être
enregistré de manière crypté).
 Le carackage du mot de passe (par dictionnaire ou par force brute) n’a plus de
sens et ne présente plus de risques.
 Le mot de passe à usage unique peut être envoyé en clair sur le réseau car même
s’il serait intercepté, il n’est plus réexploitable.
3/13/2014 104
 Authentification des accès distants / Protocole PAP :
 Description :
 PAP(Password Authentification Protocol) est l’un des protocoles (avec CHAP,

EAP, ..) qui sont utilisés pour assurer l’authentification de deux paires d’une
connexion PPP (Point to Point Protocol).
 Rappel : Le protocole PPP est un protocole de liaison de données assurant

l'échange de données de manière fiable sur une liaison point à point (exp. RTC).
Il permet d’établir et de configurer une liaison permettant à plusieurs
protocoles réseaux de transférer leurs données simultanément.
 L'authentification fournie par PAP est simple et n’utilise pas de cryptage.
En effet, le client d'accès distant transmet en texte clair au serveur son nom et
mot de passe. Il ne fournit donc aucune protection contre les attaques de rejeu
ou d'usurpation d'identité.
3/13/2014 105
 Authentification des accès distants / Protocole PAP :
 Paquet PPP /PAP :

PAP: OxC023
Flag Adress Control Protocol Information Padding Frame Check Sequence Flag Inter-frame Fill*
*
1 octet 2 octet
Type = 1  Auth-request
Type = 2  Auth-Ack
Type = 3  Auth-NAck Code Identifier Length Data
Peer ID Length Peer ID Password Length Password
3/13/2014 106
 Authentification des accès distants / Protocole CHAP :
 Description :
 CHAP est un mécanisme d'authentification qui utilise le hashage MD5 afin de
hacher la réponse à un challenge envoyé par le serveur d'accès distant lors d’un
Handshake à 3 messages.
 Avec CHAP, le mot de passe du client n'est jamais envoyé au serveur mais il est
plutôt utilisé pour hasher le challenge serveur (comme pour un OTP). Le serveur,
connaissant le mot de passe, peut authentifier le client en recalculant le hachage
du challenge et du mot de passe puis en comparant le résultat avec la réponse
reçue du client.
 Le challenge serveur ne pouvant être utilisée que pour une et une seule
authentification, les attaques par rejeu sont évitées. Pour assurer une protection
contre les usurpations d'identités clients, CHAP demande à des intervales
irréguliers une réauthentification du client en provoquant l'envoie de nouveaux
challenges serveurs aux clients.
3/13/2014 107
 Authentification des accès distants / Protocole CHAP :
 Paquet PPP /CHAP :

CHAP: OxC223
Flag Adress Control Protocol Information Padding Frame Check Sequence Flag Inter-frame Fill*
*
Type =1  Challenge 1 octet 2 octet

Type =2  Response
Type =3  Succes (Ack)
Type =4  Failure (NAck) Data
Code Identifier Length
Type 2:
Response
Value-size Value = Hash MD5( Identifier, Password, Challenge) Name
3/13/2014 108
 Fonctions AAA :
 Principe :
 Les fonctions AAA (Authentication, Authorization and Accounting)
s’occupent des point suivants :
 Authentification des utilisateurs ;
 Actions autorisées pour chaque utilisateur (contrôle d’accès) ;
 Possibilité d’enregistrer les informations concernant les durées et historiques des
actions menées par chaque utilisateur (Accounting).
 Protocoles réalisant des fonctions AAA :

 RADIUS, DIAMETER, TACACS, ...
3/13/2014 109
 Fonctions AAA / Protocole RADIUS :
 Description :
 RADIUS (Remote Authentication Dial-In User Service) est un protocole qui
permet d’implémenter des fonctions AAA (RFC 2138).
 Il est généralement utilisé pour réaliser des fonctions AAA dans le cas
d’utilisateurs se connectant à leur fournisseur d’accès Internet via des
modems téléphoniques ou pour des utilisateurs des réseaux mobiles 3G.
 Il utilise une seule base de données pour la gestion des informations sur les
utilisateurs (pour l’authentification et l’autorisation)
 Il se base sur deux serveurs :
 Serveur d’accès au réseau (NAS) ;
 Serveur Radius AAA centralisé (RS).
3/13/2014 110
 Architecture :
3/13/2014 111
 Les paquets RADIUS sont véhiculés via Internet.
 Les paquets RADIUS sont encapsulés dans des datagrammes UDP , le port utilisé
est le 1812.
 Il utilise le paradigme requête/réponse entre le client RADIUS (serveur NAS) et
le serveur RADIUS.
 Il se base sur un protocole d’authentification de niveau2 (exp. PAP, CHAP, ..).
 Les serveurs NAS et RADIUS utilisent un secret partagé pour assurer l’intégrité et
l’authentification de leur échanges dans le cadre du protocole RADIUS.
3/13/2014 112
 Diagramme de séquence (cas RADIUS/CHAP):
Challenge Cryptées avec la

clé partagée
Access-Request
Access-Accept
3/13/2014 113
 Quelques points forts :
 Il peut authentifier des utilisateurs pour d’autres services (exp. Telnet);
 Il supporte différentes méthodes d’authentification (PAP, CHAP, EAP, …).
 Il peut être utilisé pour l’envoi des informations de configuration de l’utilisateur,
comme par exemple, une adresse IP dynamique.
 Quelques points faibles :

 Un client Radius attend une réponse positive ou négative après une requête, mais ne
sait pas si la requête a été reçue par le serveur.
 Le temps de latence introduit par le traitement d'un serveur RADIUS, temps d'autant
plus important que des proxies RADIUS sont mis en jeu.
 Aucune gestion des erreurs du côté serveur.
 Le nombre de requêtes simultanées sur un serveur est limitées à 255.
3/13/2014 114
Sécurité passive ou
de surveillance
3/13/2014 115
III.5.2. Sécurité passive ou de surveillance
 La sécurité passive vient compléter la sécurité active (cf. cycle de

sécurité) dans la mesure où elle permet de surveiller un réseau
(sécurisé) pour détecter les éventuelles attaques pour lesquelles la
sécurité active mise en place n’a pas permis d’en échapper.
 Les systèmes de détection d’intrusion (IDS) sont actuellement les

outils principalement utilisés pour assurer la surveillance permanente
d’un réseau.
3/13/2014 116
 Systèmes de détection d’intrusion :
 Risques d’une attaque non détectée :
 Une attaque non détectée, même sans grands dégâts, peut être à l’origine
d’autres attaques plus sérieuses : installation de backdoors, chevaux de
troie, contrôle d’un serveur ou de tout le réseau, etc.
 En effet, si l’attaquant se rend compte que son attaque est passée

inaperçue, cela l’inciterait à lancer d’autres attaques plus dangereuses et
qui profiteront de la réussite de la première attaque.
3/13/2014 117
 Systèmes de détection d’intrusion :
 Description :
 Un IDS est un outil (matériel et/ou logiciel) qui permet de détecter les attaques,
en particulier, les intrusions sur un réseau et ce, en assurant une écoute (cf.
attaque par écoute) permanente du réseau (plutôt d’une partie) mais, aussi en
procédant à une analyse et corrélation de journaux d'origine diverses .
 Un bon IDS doit identifier positivement toutes les attaques réelles et identifier
négativement toutes les fausses attaques (manipulations particulières, erreurs,..).
 Un bon IDS doit disposer d’un système de journalisation des activités suspectes et
ce, d’une manière exploitable.
 Il existes différents types d’IDS, chaque type a des points forts et des points faibles.
3/13/2014 118
 Systèmes de détection d’intrusion / classification
 Ces types sont classés, généralement, selon deux critères :
 Mécanismes de déclenchement;
 Localité de la surveillance.
 Néanmoins, les IDS possèdent d’autres critères d’évaluation :
 Le moment de détection : au cours de l’attaque ou après l’attaque;

 La réaction après détection : une alarme ou une réponse automatique
(vraie réaction);
 L’apprentissage après une attaque : automatique ou nécessite une
intervention humaine, etc.
3/13/2014 119
 Mécanismes de déclenchement d’un IDS :

 Missuse-based IDS (aussi behavior-based) ou à détection d’anomalie :
 Le déclenchement se fait suite à la détection d’une déviation, estimée par
exemple, sur la base de corrélations statistiques, par rapport à un
comportement normal.
 L’administrateur de l’IDS doit comprendre, représenter et maintenir le
comportement attendu du système de l’IDS.
 Signature-based IDS (aussi knowledge-based) ou à détection basée sur la
signature de l’attaque (comme pour un anti-virus) :
 Il dispose d’une liste de signatures d’un certain nombre d’attaques, le
déclenchement s’effectue lorsque l’une de ces signatures est détectée.
 Ce type d’IDS nécessite, en général, beaucoup moins d’effort de configuration
que le précédent, mais, le nombre d’attaques détectées dépend du nombre de
signatures dont il dispose.
3/13/2014 120
 Localité de la surveillance d’un IDS :
 Host-based IDS ou au niveau d’un hôte :
 Cet IDS, placé au niveau d’un hôte, examine des données de sources
différentes : les fichiers de log, les comptes utilisateurs, voire les outputs
d’autres IDS basées au niveau des applications du hôte,etc.
 Ce type d’IDS ne détecte les attaques qu’après leur occurrence.
 Network-based IDS ou au niveau réseau :
 Ce type d’IDS examine en ligne le trafic du réseau pour détecter des contenus
suspects (certains types de paquets, URLs…). Il se peut, cependant, qu’il ait
accès aux outputs d’autres IDS (host-based ou application-based).
 Application-based IDS ou au niveau d’une application :
 Cet IDS examine le ‘comportement’ d’une application en se basant le plus
souvent sur des fichiers logs pour détecter des attaques.
3/13/2014 121
 Systèmes de détection d’intrusion
 Remarque finale :
 Il existe des IDS hybrides qui combinent les caractéristiques des types de base
(précités) :
 But : fournir des IDS plus performants.
 Points faibles :
 Difficulté de configuration;
 Difficulté d’harmoniser les différentes technologies;
 Difficulté de rendre compte : illisibilité des journaux.
 Exemples d’outils IDS :

 CA HIPS (2007) : Host-Based , détection d’anomalie de comportement
utilisateur, apprentissage par l’exemple, rapports graphiques + firewall
 Snort : Network-Based , détection signature , MAJ des règles+ open source
3/13/2014 122
Audit de sécurité réseau
 Cycle de la sécurité:
Sécurisation
Surveillance Améliorations
Audit
III.5.3. Audit de sécurité réseau
 Audit de sécurité réseau :
 Objectifs
 Audit technique
 Audit d’architecture
 Audit des flux IP
 Audit des relais applicatifs
 Tests d’intrusion
 Audit d’investigation
3/13/2014 124
 Objectifs :
 L’audit de sécurité peut être vu comme le côté aval de la sécurité, alors que la politique
de sécurité représente le côté amont.
 Toutefois, il est très courant que des entreprises se fassent auditer avant la mise en
place d’une politique de sécurité (cf. Cycle de la sécurité).
 Un audit de sécurité a pour but de vérifier la sécurité d’un système d’information ou
d’un réseau déjà sécurisé et ce, en y recherchant le plus de vulnérabilités possibles.
 L’audit de sécurité a généralement pour objectifs:
 L’obtention d’une vision globale de la sécurité du SI : Audit des aspects
organisationnels : politique de sécurité, profils utilisateurs, etc;
 La recherche des vulnérabilités : Audit technique;
 Évaluation du niveau de sécurité et obtention de recommandations concrètes
pour améliorer la sécurité : Résultats de l’audit.
3/13/2014 125
 Normes et Méthodes (1) :
 Norme ISO 17799 :

 l'ISO 17799 (ex BS 7799), est une norme récente (depuis 2000 et dernière version
date de 2005) qui constitue un label de confiance pour la sécurité de l'ensemble
du système d'information, à l'instar de l'ISO 9000 pour la qualité.
 Elle constitue un code de bonnes pratiques pour la gestion de la sécurité de
l'information (sans spécifier comment les réaliser).
 Elle peut servir aussi bien comme guide pour l’élaboration d’une politique de
sécurité que comme aide à l’audit de sécurité.
 Un établissement peut donc vouloir faire l’objet d’un audit dans le but d’être
certifié ISO 17799. Parmi les avantages d’une telle certification :
 Confiance dans la sécurité des SI des partenaires (et vice versa).
 Baisse des polices d’assurances contre les risques informatiques.
3/13/2014 126
 Normes et Méthodes (2) :
 Rôle d’une méthode :

 Une méthode est un moyen d’arriver efficacement à un résultat souhaité,
précis qui est souvent formulé dans une norme.
 En effet, une méthode peut être vue comme étant l’outil utilisé pour
satisfaire à une norme.
 Méthodes d’audit :
 Les méthodes d’audit ou de contrôle interne de la sécurité d’un SI sont de
plus en plus nombreuses, citons à titre d’exemples : MELISA-V3 (France),
OCTAVE (USA), etc.
 Actuellement, la méthode CobiT semble se distinguer des autres (efficacité
réelle ou bon marketing?)
3/13/2014 127
 Audit technique:
 L’audit technique réseau s’occupe généralement des aspects suivants :
 Aspects techniques de la politique de sécurité;
 Architecture du réseau;
 Protocoles utilisés;
 Contrôle d’accès/Flux IP& applications et services relayés;
 Solutions de sécurité utilisées: configurations, exploitation;
 Un audit technique utilise généralement des outils manuels et/ou automatiques

(semblables à ceux des attaquants) pour effectuer des tests d’intrusion concernant
les aspects précités.
3/13/2014 128
 Audit d’architecture:
 But : Trouver les points faibles de l’architecture du réseau :
 Plan d’adressage;
 Segmentation;
 Matériels et logiciels réseau : Hubs, Switchs, routeurs, etc.
 Localisation des éléments de sécurité : Firewalls, proxies, IDS, etc.
 Localisation des points d’accès au réseau via l’extérieur;
 Évolutivité de l’architecture, etc.
3/13/2014 129
 Audit des flux IP:
 But : vérifier le filtrage IP et l’application de la politique de filtrage:

 Cartographie des flux ;
 Configuration des routeurs et des Firewalls ;
 Audit des relais applicatifs:
 But : vérifier les besoins en relayage et les solutions d’authentification :

 Applications et services nécessitant des accès distants
 Configuration des Firewalls/ proxies;
3/13/2014 130
 Tests d’intrusion (Audit intrusif):
 But : rechercher et exploiter les vulnérabilités pour estimer le

niveau de sécurité du point de vue d’un attaquant 
C’est le plus important :
 De l’extérieur : test d’intrusion externe sans et avec connaissances
préalables;
 De l’extérieur : test d’intrusion externe sans et avec ingénierie sociale;
 De l’intérieur : test d’intrusion interne avec les connaissances d’un

utilisateur normal du réseau;
3/13/2014 131
 Tests d’intrusion :
 Outils de tests de vulnérabilités :
 Scanners :
 Principe :Utilisation des mêmes techniques des attaquants pour mettre
en évidence les failles de sécurité d’un réseau.
 Exps : SATAN (ou SAINT), Retina, …
 Outil libre et gratuit : Nessus.
 Test de l’architecture du réseau : Traceroute, NetCat, Cheops, …
 Tests de ports ouverts: Nmap, hping ,pOf …
 Tests de serveurs Web : Webproxy, Babelweb, …
 Tests de déni de service : Shutup, …
3/13/2014 132
 Tests d’intrusion :
 Limitations des outils de tests de vulnérabilités :
 Ne testent que les vulnérabilités déjà connues;
 Peu efficaces si leur rapports ne sont pas convenablement analysés :
 nécessité d’un intervenant compétent
 Nécessitent parfois un paramétrage difficile;
 Certains sont rapides au détriment de la fiabilité.
3/13/2014 133
 Audit d’investigation :
 Après une attaque (post mortem) :

 But : Recherche du scénario, des causes et de la source de l’attaque;
 A faire en urgence :
 Ne pas ‘toucher’ aux équipements compromis jusqu’à l’arrivée des
spécialistes;
 Rassembler tous les rapports et journaux possibles des différents outils de la
sécurité (avant et après l’attaque);
 Consulter le plan d’urgence.
 Pré-requis : l’existence d’un plan d’urgence dans la politique de sécurité;
 Résultat : un dossier de préjudice et de preuves aussi complet que
possible.
3/13/2014 134
IV. Conclusion
 Idées à retenir :
 Sécurité des réseaux = un des maillons critiques de la sécurité informatique;

 Ce maillon est très lié aux autres de telle sorte qu’on ne le distingue pas toujours très
bien des autres maillons (notamment de la sécurité logicielle) ;
 Il n’existe pas de sécurité 100%, mais sans une bonne politique de sécurité il n’y a pas
de bon projet de sécurisation.
 Il faut d’abord connaître les sources de risques + les ressources précieuses
avant de penser Sécurité.
 La sécurité doit avoir un cycle vivant, ne la laissons pas mourir  Surveillance +
Audit + mise à niveau.
 Les principes de base de la sécurité durent beaucoup plus que les outils de
sécurité  Veille technologique.
 Sécurité  60% ( bonne politique de sécurité + sensibilisation) + 40% (Outils:
bien paramétrés + bien placés + bien exploités)
3/13/2014 135

Sécurité Des Réseaux

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Sécurité Des Réseaux

Uploaded by

Copyright:

Available Formats

F.S.

T SETTAT LST RTT 2013/2014

 "Connaître son ennemi" : avant de sécuriser un réseau, il faut

 "Connaître ses richesses" : avant de sécuriser un réseau, il faut

 Le risque peut se définir comme étant la probabilité qu’une menace

 Un virus est un programme caché dans un autre qui peut s’exécuter et se

 Elles peuvent réaliser ce but, en rajoutant un compte utilisateur (exp,

 La technique utilisée pour ‘acheminer’ l’attaque ;

 Les faiblesses exploitées par l’attaquant ;

 Le(s) but(s) de l’attaquant ;

 Attaques non structurées ou de novices :

 Ces attaquants sont généralement sans ‘réelles’ mauvaises intentions,

 Attaques structurées ou d’experts :

 En général, ces attaquants sont très motivés et techniquement

 Ils créent leur propres outils ou en perfectionnent ceux d’autrui ;

 Si le but est de nuire, les dommages sont souvent très sérieuses et

 Attaques externes (e.g, à partir d’Internet) :

 Elles bénéficient parfois de complicité de l’intérieur, dans ce cas, elles

 Les faiblesses des protocoles réseau (e.g :TCP/IP);

 Les faiblesses des systèmes d’exploitation;

 Les faiblesses des mécanismes d’authentification ;

 Les bugs connus de certains logiciels ;

 Les faiblesses dans les configurations des serveurs (Web, mail,

 Les faiblesses ‘humaines’: Social Engineering.

 Écoute du réseau ( vise la confidentialité)  attaque passive;

 Disfonctionnement du réseau et de ses machines: DOS & Virus;

 Accès au réseau : Mascarade & Virus.

 Vise l’authentification, le contrôle d’accès, la confidentialité, la

 Suite à ce débordement, plusieurs cas se présentent : la machine se

 Les systèmes anciens ne géraient pas cette fragmentation, et se

 Ils propagent la désinformation (exemples : fausse nouvelle concernant

 Ouverture de connexions non autorisées avec les serveurs cibles, cela se

 Il faut qu’une machine cliente soit autorisée à se connecter en root ou

 Principe (le plus connu):

 Identification d’un client de confiance du serveur cible qu’on paralyse par

 Identification de la méthode de génération de numéro de séquence (par

 Demande de connexion au serveur avec l’adresse IP spoofée;

 Réponse au segment SYN ACK du serveur en lieu et place du client de

 Variante: Web spoofing :

 Autres Variantes: mascarades d’adresse courrier, DNS, ARP, ou tout

 But : Causer des dégâts aux machines infectées voire aux

 On ne classe cependant pas les virus selon leurs dégâts mais

 Capables de se reproduire et de se propager dans le réseau connecté à la

 Chevaux de Troie ou troyens :

 Programmes dont le déclenchement s’effectue à un moment déterminé,

 Phase 1: Définition du but de l’attaque

 Accès au système (données, ressources) pour avoir ou ‘augmenter’ des

 Déni de service, pour causer des pertes financières ou nuire à l’image de

 Phase 2: Reconnaissance avant l’attaque

 Rassembler le maximum d’informations sur l’établissement visé et qui

 Domaine publique: Revues/journaux, Partenaires, Sites Web, Serveur

 Domaine privé : Recherche de vulnérabilités par intrusion (des attaques

 Phase 2: Reconnaissance avant l’attaque

 Quelques informations utiles sur le réseau cible:

 Phase 2: Reconnaissance avant l’attaque

 Choix de l’équipement (serveur, routeur, …) le plus vulnérable ou le plus

 Choix du type de l’attaque : Écoute et/ou mascarade et/ou installation de cheval

 Choix des outils pour la création de l’attaque.

 But 2 : Déni de service (DOS)

 Choix de l’équipement ou de la liaison dont le non-fonctionnement ou la

 Choix du type de l’attaque DOS à effectuer.

 Phase 4 : Après l’attaque

 Si Gain d’accès réussi:

 Augmenter les privilèges (par exemple, Compte Root);