Professional Documents
Culture Documents
Sécurité Des Réseaux
Sécurité Des Réseaux
3/13/2014 1
III. Sécurité des réseaux
Sommaire
1. Terminologie
2. Classification des attaques réseau
3. Principales attaques réseau
4. Phases d’une attaque externe structurée typique
5. Solutions et outils pour la sécurité réseau
6. Pare-feu et NAT
7. Pare-feu et NAT sous Linux
8. Sécurité du e-paiement
3/13/2014 2
III. Sécurité des réseaux
1. Pourquoi sécuriser?
2. Où et quoi sécuriser?
3. Comment sécuriser?
4. Politique de sécurité ?
3/13/2014 3
III. Sécurité des réseaux
La sécurité réseau est au cœur de la sécurité des SI, d’autant plus
que si ce maillon est cassé, les portes sont généralement grandes
ouvertes pour casser les autres maillons de la sécurité.
3/13/2014 4
III.1. Terminologie
Attaque :
Une attaque est une action malveillante visant à tenter de contourner les
mesures de sécurité d’un système d’information
Une attaque est un ensemble d’un ou plusieurs évènements ou actions qui
peuvent avoir une ou plusieurs conséquences en termes de sécurité.
Elle peut être passive (contre uniquement la confidentialité) ou active (contre
l’intégrité, l’authentification, la non-répudiation et/ou le contrôle d’accès)
Mesures de sécurité :
Les mesures de sécurité sont les actions menées par un organisme en vue
d’assurer les services de sécurité et ce, pour protéger le SI contre les
attaques de sécurité, détecter (si c’est possible, en temps réel) ces attaques
et enfin réagir en conséquence.
3/13/2014 5
III.1. Terminologie
Menace :
Une menace est une violation potentielle de la sécurité (accident,
erreur, malveillance).
Deux types de menaces peuvent être distingués : la menace
accidentelle et la menace intentionnelle .
Vulnérabilité :
Elle peut être due à :
une faiblesse ou une faille dans les protocoles, la topologie, les
mécanismes de sécurité d’un réseau, etc. ;
l’absence d’une politique de sécurité (ou à son inefficacité) ;
l’absence de formation et de sensibilisation des utilisateurs du réseau.
3/13/2014 6
III.1. Terminologie
Risque :
Virus
Les dégâts causés peuvent aller du simple message qui s’affiche à l’écran
au formatage des disques durs de toutes les machines d’un réseau.
3/13/2014 7
III.1. Terminologie
Backdoor
Un backdoor ou une « porte de derrière ou dérobée » a pour but de
faciliter à son concepteur les futurs attaques ciblant la machine infectée.
3/13/2014 8
III.2. Classification des attaques réseau
Les attaques réseau peuvent être classées selon plusieurs critères dont :
La nature de l’attaquant ;
La localité de l’attaquant ;
3/13/2014 9
III.2. Classification des attaques réseau
La nature de l’attaquant :
Ils utilisent les outils développés par d’autres attaquants (e.g. procurés
via Internet) ;
Les sites Web sont les cibles préférées de ces attaquants (moins sécurisés,
attaque vite connue, etc);
3/13/2014 10
III.2. Classification des attaques réseau
La nature de l’attaquant :
Ces attaques ont toujours un but précis (vol d’info et/ou argent, causer
des dommages,…) ;
3/13/2014 11
III.2. Classification des attaques réseau
La localité de l’attaquant :
Attaques internes :
Les statistiques ‘disent’ qu’elles sont les plus fréquentes : 80% (de celles
détectées et déclarées) selon Studies and Survey, décembre 2000;
Elles sont généralement plus dangereuses car leurs auteurs ont plus
d’informations sur le réseau attaqué;
3/13/2014 12
III.2. Classification des attaques réseau
La technique utilisée pour ‘acheminer’ l’attaque :
Attaques directes:
L’attaquant attaque directement sa cible à partir de son ordinateur.
Il est plus simple, dans ce cas, de remonter à l'origine de l'attaque et identifier
l'attaquant.
Attaques indirectes par rebond :
L’attaquant envoie les paquets d'attaque (parfois sous forme de requête) à un
ordinateur intermédiaire, qui répercute l'attaque (ou la réponse à la requête)
vers la cible.
Cette attaque a deux ‘avantages’ :
Masquer l'identité (l'adresse IP) de l’attaquant ;
Utiliser, éventuellement, les ressources de l'ordinateur intermédiaire (si il est plus
puissant en termes de CPU, bande passante, ...) pour attaquer.
3/13/2014 13
III.2. Classification des attaques réseau
Les faiblesses exploitées par l’attaquant :
Les backdoors ;
3/13/2014 14
III.2. Classification des attaques réseau
Le(s) but(s) de l’attaquant :
Vise la disponibilité
3/13/2014 15
III.3. Principales attaques réseau
Écoute (Sniffing) :
Déni de service (DOS) :
Mascarade (Spoofing) :
Virus/Vers/ Chevaux de Troie :
3/13/2014 16
III.3. Principales attaques réseau
Écoute (sniffing) :
But :
Interception de mots de passe qui transitent en clair sur le réseau,
Espionnage concernant les pages web visitées, les sessions ftp en
cours, les mails en envoi ou réception, etc.
Principe :
En utilisant un outil adéquat (dit sniffer), il est possible d’intercepter
toutes les trames qui arrivent à une carte même si elles ne lui sont pas
destinées.
Condition :
Le réseau doit utiliser le broadcasting (exp, Ethernet) : toutes les
trames transitant sur le réseau arrivent à toutes les cartes réseau des
machines connectées. Normalement, seules les trames destinées à
une machine sont lues (par sa carte réseau), les autres sont ignorées.
3/13/2014 17
III.3. Principales attaques réseau
Déni de service (DOS) :
But :
Rendre indisponibles durant une certaine période les services ou ressources d'un
système d’information ou empêcher son bon fonctionnement (diminution de la
bande passante du réseau, déconnexion de l’équipement cible ou son plantage,
alourdissement du temps de traitement des requêtes, etc.)
Principe :
En général, il consiste en l’envoi en très grand nombre de ‘messages’ autorisés en vue
de saturer ou déstabiliser une machine ou un équipement réseau et ce, en exploitant
les faiblesses de l’architecture ou d’un protocole du réseau.
Ce sont les attaques les plus utilisées sur les gros serveurs Web (Yahoo, eBay…) et les
serveurs DNS.
Il existe deux catégories pour ce type d’attaque : Attaque DOS mono-source et attaque
DOS multi-sources (Distributed DOS ou DDOS).
3/13/2014 18
III.3. Principales attaques réseau
Déni de service (DOS) :
Selon la ‘faiblesse’ exploitée, il existe différentes attaques de déni de service, dont :
Tear Drop :
Principe :
Exploitation d’un bug dans le réassemblage des fragments IP:
Envoi du 1er paquet IP d’une fragmentation ;
Envoi d’un 2ème paquet dont le numéro de décalage (offset) implique
qu’il est inclus dans le 1er paquet et ainsi de suite !
Condition :
Il faut que le système ne sache pas gérer cette exception (exp :Win95/NT).
Actuellement, les piles TCP/IP sont immunisées contre ce type d’attaque.
3/13/2014 19
III.3. Principales attaques réseau
Déni de service (DOS) :
Inondation (flooding ):
Principe :
Envoi à une machine du réseau de nombreux paquets IP éventuellement
de grosse taille de telle façon qu’elle ne pourra pas tous les traiter et finira
par se déconnecter du réseau.
Condition :
Il faut toutefois avoir une bonne connexion entre les deux machines de
manière à envoyer les données plus vite que la machine cible ne peut y
répondre.
3/13/2014 20
III.3. Principales attaques réseau
Déni de service (DOS) :
Variante: TCP-SYN flooding :
Principe :
Envoi en grand nombre de segments TCP SYN avec des adresses
aléatoires (voir IP spoofing) ou à partir de plusieurs machines (DDoS)
pour simuler des demandes de connexion TCP au serveur ciblé ;
Le serveur renvoie des SYN ACK et maintient les connexions ouvertes en
attente de segments ACK qui ne viendront jamais ce qui peut provoquer
le blocage du serveur.
Condition:
débit d’envoi > timeout de demi-connexion
3/13/2014 21
III.3. Principales attaques réseau
Déni de service (DOS) :
Diffusion (smurf ):
Principe :
Attaque indirecte par rebond et par réponse;
Utilisation d’un serveur de diffusion ;
Mascarade d’adresse IP pour se faire passer pour la machine cible ;
Envoi d’une commande type ping au serveur de diffusion avec comme
adresse expéditrice l’adresse falsifiée;
Chaque machine du réseau de diffusion envoie une requête réponse
(pong) à l’adresse falsifiée Saturation de la machine cible.
3/13/2014 22
III.3. Principales attaques réseau
Déni de service (DOS) :
Autre Exemple d’attaque DDOS indirecte par réponse :
III.3. Principales attaques réseau
Déni de service (DOS) :
Débordement de tampon (Buffer overflow) :
Principe:
Exploitation d’une faille d’une application :
Envoi à l’application cible des données d’une taille plus grande que
celle du buffer de l’application;
3/13/2014 24
III.3. Principales attaques réseau
Déni de service (DOS) :
Variante: Ping de la mort (Ping of Death) :
Principe :
Envoi d’une requête du protocole ICMP (en général, ping) d'une taille
supérieure à la longueur maximale.
Lors de son envoi, le ping of death est fragmenté en paquets plus petits.
La machine qui reçoit ces paquets doit alors les réassembler.
3/13/2014 25
III.3. Principales attaques réseau
Déni de service (DOS) :
Débordement de messages (Spams) :
But :
Engorger les réseaux suite à leur propagation massive, saturation des
boîtes aux lettres, nuisance des destinataires, propagation de virus, …
Principe :
Envoi par mail de messages à large échelle (la plupart des fois, sans
aucune action nuisible sur la machine cible)
3/13/2014 26
III.3. Principales attaques réseau
Mascarade (Spoofing ) :
But :
Condition :
3/13/2014 27
III.3. Principales attaques réseau
Mascarade (Spoofing) :
3/13/2014 29
III.3. Principales attaques réseau
Mascarade (Spoofing) :
Attaque ARP spoofing
S’appuie sur le protocole ARP
ARP implémente le mécanisme de résolution d’une adresse IP en une
adresse MAC
Chaque système possède localement une table de correspondance entre les
adresses IP et MAC des systèmes voisins
La faiblesse d’authentification de ARP permet à un système pirate
d’envoyer des paquets ARP au système cible indépendant que la nouvelle
adresse MAC correspondants à l’adresse IP d’une passerelle est la sienne
Le système du pirate reçoit donc tout le trafic à destination de la passerelle
Il lui suffit d’écouter ou de modifier passivement le trafic et de router
ensuite les paquets vers leurs véritables destination
3/13/2014 30
III.3. Principales attaques réseau
Attaque man-in-the-middle:
Consiste à faire passer les échanges réseau entre deux systèmes par le
bais d’un troisième, sous le contrôle du pirate
L’échange se présente sous l’une des trois formes suivantes:
Relais transparent
La machine du pirate transforme les données à la volée
La machine du pirate reste transparente et se comporte comme un routeur
Relais applicatif
La machine du pirate assure l’échange entre les deux machines A et B
A parle avec la machine du pirate, laquelle parle avec B
Hijacking
La machine du pirate utilise la session engagée entre les deux machines afin que
ce soit elle (la machine du pirate) soit en session avec la machine B
A perd la session avec B, et la machine du pirate continue la session engagée par
A et B.
3/13/2014 31
III.3. Principales attaques réseau
Virus/vers/ Chevaux de Troie :
Vers :
3/13/2014 32
III.3. Principales attaques réseau
Virus/ Vers/ Chevaux de Troie :
Programmes cachés qui créent des failles dans un système ( par exemple,
ils créent une backdoor sur la machine au profit du créateur du troyen).
Ils peuvent aussi voler des mots de passe, communiquer des données à
leur créateur, exécuter des actions nuisibles, etc.
Bombes logiques :
3/13/2014 33
III.4. Phases d’une attaque structurée typique
Établissement visé :
Pour les attaques structurées, la cible est connue d’avance, par exemple,
le concurrent du mandataire de l’attaque, le gouvernement d’un état
ennemi, une banque (pour vol d’argent), l’ex-société de l’attaquant, etc.
Objectif(s) à réaliser :
3/13/2014 34
III.4. Phases d’une attaque structurée typique
But :
Sources :
3/13/2014 35
III.4. Phases d’une attaque structurée typique
3/13/2014 36
III.4. Phases d’une attaque structurée typique
Outils utilisés:
Outils habituels d’administration réseau ;
Outils pour cartographier un réseau :Nessus, Nmap, Traceroute, etc.
Outils de scan : Rat, Satan, Strobe, etc.
Autres techniques:
Craquage de mots de passe : méthode exhaustive ou avec
dictionnaires;
Utilisation de la pile TCP/IP pour deviner l’OS, etc.
3/13/2014 37
III.4. Phases d’une attaque structurée typique
Phase 3: l’attaque
But 1 : Gain d’accès
3/13/2014 38
III.4. Phases d’une attaque structurée typique
3/13/2014 39
III.5. Solutions pour la sécurité réseau
Sommaire
3/13/2014 40
III.5.1. Sécurité active ou de protection
3/13/2014 41
III.5.1. Sécurité active ou de protection
3/13/2014 42
III.5.1. Sécurité active ou de protection
Le filtrage IP (niv 3 à 4)
Outil : Pare-feu
3/13/2014 43
III.5.1. Sécurité active ou de protection
La segmentation :
Principe :
Filtrage niv 1 et 2
But :
Types :
Physique
Logique : Vlan
3/13/2014 44
III.5.1. Sécurité active ou de protection
La segmentation :
Équipements :
Pont
Commutateur (Switch)
Routeur
3/13/2014 45
III.5.1. Sécurité active ou de protection
Segmentation Logique : VLan
Principe :
Un réseau local virtuel est un réseau logique de niveau 2;
Il exploite la technique de la commutation ;
Il permet de connecter un groupe logique de stations de travail, même si ces dernières
ne sont pas géographiquement proches les unes des autres.
Rôles :
Regrouper/isoler des groupes d’utilisateurs qui ont besoin d’accéder ou d’utiliser les
mêmes ressources tout en permettant leur mobilité (sans changement d’adresse);
Limiter la propagation du trafic au seul VLAN concerné : un flux originaire d'un
VLAN donné n'est transmis qu'aux ports qui appartiennent à ce même VLAN. Chacun
des VLANs constitue ainsi un domaine de diffusion propre.
Apporter ainsi un premier niveau de sécurité.
3/13/2014 46
III.5.1. Sécurité active ou de protection
Segmentation Logique : VLan
Types :
Génération 1: Un Vlan est caractérisé par les numéros de ports sur les commutateurs. Cela
se traduit par la création dans la mémoire du commutateur d’une table d’associations entre
numéros de port et numéros de Vlan
Configuration relativement simple
Mais, un seul Vlan par port
Génération 2 : Un Vlan est caractérisé par les adresses MAC (niv 2) des machines des
utilisateurs :
Plusieurs Vlans par port autorisés.
Mais, gestion fastidieuse de la table d’associations adresse MAC/ Vlan.
Génération 3: Un Vlan est caractérisé par des informations de niveau 3 contenues dans la
trame de niveau 2 (e.g. adresse IP ) :
Pas de problèmes dûs à la mobilité des utilisateurs car la reconfiguration peut être dynamique;
Possibilité de créer des communautés d’utilisateurs par protocole,
Mais, la sécurité repose sur la confiance dans l’adresse IP.
3/13/2014 47
III.5.1. Sécurité active ou de protection
Le filtrage IP:
Principes :
C’est lui qui permet de filtrer le trafic de part et d’autre d’un réseau.
Il est utilisé généralement pour assurer la sécurité d’un réseau vis à vis
des réseaux externes auxquels il est connecté, notamment, Internet.
3/13/2014 48
III.5.1. Sécurité active ou de protection
Le filtrage IP:
Mise en oeuvre :
But : protéger le réseau des flux venant de l’extérieur (et vice versa).
Sur un serveur :
3/13/2014 49
III.5.1. Sécurité active ou de protection
Le filtrage IP:
Adresse IP source;
Adresse IP destination;
3/13/2014 50
III.5.1. Sécurité active ou de protection
Le filtrage IP:
Fonctionnement :
Routage vers le port destination mais avec envoi d’une copie vers un autre
port;
3/13/2014 51
III.5.1. Sécurité active ou de protection
Le filtrage IP:
Fonctionnement (suite):
Journalisation :
Sans informer l’émetteur;
3/13/2014 52
III.5.1. Sécurité active ou de protection
Le filtrage IP:
Fonctionnement (suite):
Politique de filtrage:
Les types de paquets autorisés sont listés dans une liste exhaustive, les
paquets dont le type est dans la liste passent, les autres sont arrêtés;
Les types de paquets interdits sont listés dans une liste exhaustive, les
paquets dont le type n’est pas dans la liste passent, les autres sont arrêtés;
3/13/2014 53
III.5.1. Sécurité active ou de protection
Le filtrage IP:
Limitations :
3/13/2014 54
III.5.1. Sécurité active ou de protection
Translation d’adresse NAT
Le NAT a été mis en place, initialement, pour faire face à la pénurie
des adresse IPv4
Le NAT permet de « cacher » un grand nombre de systèmes derrière
une seule adresse IP et améliore par ce biais la sécurité du réseau
interne
Les protocoles TCP et UDP restent les plus utilisés par le systèmes
NAT
NAT est effectuée dans les deux sens:
Le SNAT (Source NAT) modifier l’@IP source d’un paquet émis
vers le réseau externe
Le DNAT (Destination NAT) modifier l’@IP destination d’un
paquet émis vers le réseau interne
3/13/2014 55
III.5.1. Sécurité active ou de protection
Translation d’adresse NAT
On distingue deux type de NAT:
Le NAT statique
Fait correspondre à n adresse IP n autre adresse IP
NAT « one-to-one »
Ce mode est utilisé pour les systèmes du réseau interne qui doivent être
joignable de l’extérieur (serveur web, mail, FTP , etc.)
Le NAT dynamique
Fait correspondre à n adresse IP une seule autre @IP
NAT « one-to-many »
3/13/2014 56
III.5.1. Sécurité active ou de protection
Le relayage applicatif:
Principes :
Identité de l’utilisateur ;
Contenu du message.
3/13/2014 57
III.5.1. Sécurité active ou de protection
Le relayage applicatif :
Mise en œuvre :
3/13/2014 58
III.5.1. Sécurité active ou de protection
Le relayage applicatif :
Avantages et inconvénients :
3/13/2014 59
III.5.1. Sécurité active ou de protection
Le relayage applicatif:
Utilisations (1) :
3/13/2014 60
III.5.1. Sécurité active ou de protection
Le relayage applicatif:
Utilisations (2) :
3/13/2014 61
III.5.1. Sécurité active ou de protection
3/13/2014 62
III.5.1. Sécurité active ou de protection
Le filtrage multi-niveaux à tables d’état :
Exemple de fonctionnement :
Cas 1:
Le filtre reçoit un paquet SYN initiant une connexion TCP;
Ce paquet SYN est confronté séquentiellement à la base de règles;
Si le paquet passe toutes les règles sans être accepté alors il est refusé;
Sinon, la session est enregistrée dans la table d’états de connexions ;
Cas 2:
Le filtre reçoit un paquet dont le bit SYN n’est pas positionné;
Si le paquet appartient à une session enregistrée dans la table d’états alors le
paquet est accepté
Sinon le paquet est jeté.
3/13/2014 63
III.5.1. Sécurité active ou de protection
Outil : Pare-feu (firewall) :
Description :
3/13/2014 64
III.5.1. Sécurité active ou de protection
Outil : Pare-feu (firewall) :
A retenir :
3/13/2014 65
III.5.1. Sécurité active ou de protection
Outil : Pare-feu (firewall) :
Fonctionnalités :
Un firewall peut réaliser un ou plusieurs types de filtrage.
Certains pare-feu du marché réalisent le filtrage IP, le relayage applicatif avec contrôle de
contenu, le filtrage à tables d’états ainsi que la translation d’adresses.
En effet, un seul outil pare-feu peut offrir les fonctionnalités suivantes:
Filtrage basées sur les adresses IP sources et destination, mais aussi par
application ou même sur la base des commandes des applications
Découplage entre les postes internes en zone protégée et les réseaux
externes comme Internet;
Décorrélation des plans d’adressages internes du réseau à protéger avec
les adresses globales connues de l’extérieur;
Possibilité d’authentification des échanges (autorisés et ceux refusés)
entre applications internes et externes.
la génération de traces (journalisation) relatives à toute tentative de
violation de la politique de sécurité, mais aussi aux communications
autorisées.
3/13/2014 66
III.5.1. Sécurité active ou de protection
Outil : Pare-feu (firewall) :
3/13/2014 67
III.5.1. Sécurité active ou de protection
Outil : Pare-feu (firewall) :
3/13/2014 68
III.5.1. Sécurité active ou de protection
Outil : Pare-feu (firewall) :
3/13/2014 69
III.5.1. Sécurité active ou de protection
Outil : Pare-feu (firewall) :
Exemples :
Cisco IOS Firewall : logiciel (mis en place sur des routeurs Cisco);
PIX de Cisco: boîtier (compatible IP-Sec)
3/13/2014 70
III.5.1. Sécurité active ou de protection
Pare-feu de linux
Netfilter est un pare-feu complet fonctionnant sous linux (noyau 2.4 et 2.6)
Remplace ipchains qui fonctionnait sur les noyau 2.2
Netfilter se dispose de trois tables:
Filter: c’est la table par défaut lorsqu’on ne spécifie aucune, elle filtre les
trois trafics principaux .
INPUT: pour les paquets entrants
OUTPUT: pour les paquets sortants
FORWARD: pour les paquets traversant le firewall
NAT: c’est la table dédiée à la redirections de paquets
3/13/2014 71
III.5.1. Sécurité active ou de protection
Lorsqu’un paquet correspond au motif de reconnaissance d’une règle, une
décision est prise.
ACCEPT: permet d’accepter un paquet si la règle est vérifiée.
REJECT:
permet de rejeter le paquet avec un retour d’erreur à l’expéditeur si la règle est
vérifiée
-reject-witch: spécifier le type d’erreur à retourner (icmp-net-unreachable, icmp-
host-unreachable, …)
DROP: permet de rejeter le paquet sans retour d’erreur à
l’expéditeur si la règle est vérifiée
LOG: permet de loguer le passage du paquet si la règle est
vérifiée
--log-level: spécifie le niveau des logs
--log-prefix: spécifie un préfix placé devant l’événement, utile pour identifier les
événement différents (29 caractère max)
3/13/2014 72
III.5.1. Sécurité active ou de protection
Principale commandes de iptables
Lister les règles: -L
iptables –L: affiche toutes les règles de toutes les chaines de la table FILTER
iptables –L OUTPUT: toutes les règles de la chaine OUTPUT
3/13/2014 73
III.5.1. Sécurité active ou de protection
Options globales de iptables
Argument Description Exemple
-s (--source) Spécifie une adresse source iptables –A INPUT -s 192.168.1.1 –j ACCEPT:
autoriser l’@ à entrer sur la machine
-d (--destination) Spécifie une adresse destination iptables –A FORWARD –d 192.168.1.1. –j
ACCEPT: autoriser la transmission de paquets
vers l’hôte 192.168.1.1
-i (--in-interface) Spécifie une interface d’entrée iptables –A INPUT –i eth0 –j DROP: refuse le
trafic en entrée sur eth0
-o (--out-interface) Spécifie une interface de sortie iptables –A INPUT –o eth0 –j DROP: refuse les
paquets qui sortent par eth0
-p (--protocol) Spécifie un protocole UDP, ICMP,… iptables –A INPUT –p icmp –j ACCEPT:
ou all pour tous les protocoles autoriser le protocole icmp en entrée
--sport (--source-port) Spécifie le port source (ou de 15 port iptables –A INPUT –p tcp –-sport 80 -j ACCEPT:
maximum avec l’option –m multiport) accepter les données envoyer par un site web
--dport (--destination - Spécifie le port destination (ou de 15 iptables –A INPUT –p tcp –-dport 21 -j ACCEPT:
port) port maximum avec l’option –m multiport) accepter le port 21 (FTP) en entrée
…. …. ….
3/13/2014 74
III.5.1. Sécurité active ou de protection
Options de correspondance
L’option –m fonctionne avec quatre options:
--mac: spécifie une @MAC à traiter
Exp: iptables –A INPUT –m mac --mac-source 00-08-6C-E0-1B-BE -j DROP
3/13/2014 75
III.5.1. Sécurité active ou de protection
Options de correspondance
--limit : spécifie une limite par rapport au temps. Les valeurs temporelles
utilisables sont: /second, /minute, /hour, /day
Exemple:
iptables –A INPUT –p icmp –m limit --limit 3/second –j ACCEPT
Accepter 3 icmp (ping) par second, le 4 éme sera rejeté
--multiport : spécifie plusieurs port
Exemple
iptables –A INPUT –p tcp –m multiport –sport 80,21,22 –j ACCEPT
Accepter les données envoyées par un site web, un ftp et un serveur
SSH
3/13/2014 76
III.5.1. Sécurité active ou de protection
NAT
Table utilisée pour la translation d’adresses ou de ports
On distingue trois fonctionnalités principales:
DNAT (PREROUTING)
Permet de modifier l’@ de destination du paquet
--to-destination: utilisé avec la cible DNAT, permet de spécifier l’@de destination
de la translation
Exemple:
iptables –t nat –A PREROUTING –p tcp –-dport 5660 –j DNAT –-to-
destination 192.168.0.7:5660
Route les paquets tcp à destination du port 5660 vers l’@ privée 192.168.0.7
(port 5660 également)
3/13/2014 77
III.5.1. Sécurité active ou de protection
NAT
SNAT (POSTROUTING)
Permet de modifie l’@ source du paquet
--to-source: utilisé avec la cible snat, premier de spécifier l’@ source de la
destination.
S’ utilise de la même manière que --to-destination
MASQUERADE
La passerelle (la machine où est installé iptables) transforme les paquets sortants
pour donner l’illusion qu’ils sortent de celle-ci par un port alloué dynamiquement
Lorsque la passerelle reçoit une réponse sur ce port, elle utilise une table de
correspondance entre le port et les machines du réseau local qu’elle gère pour lui
faire suivre le paquet
Exemple
iptables –t nat –A POSTROUTING –o eth1 –j MASQUERADE
Tous les paquets sortant par eth1 auront l’@IP de eth1
3/13/2014 78
Autres Technologies de la sécurité
Mécanismes de Contrôle d’accès :
Limite temporelle:
Étiquettes de sécurité:
But :
Cette technique vise à protéger un canal de communication contre l'analyse
de trafic (confidentialité de flux) et, en second lieu, contre l'écoute de la
ligne.
Principe :
Maintenir un débit de transmission (sur une ligne ou entre 2 entités)
constant, quel que soit le débit réel de la communication proprement dite.
Fonctionnement :
Le débit de transmission est complété par l’émission de paquets de données
aléatoires et généralement cryptées (pour masquer le fait que ces données
supplémentaires sont factices).
Autres Technologies de la sécurité
Contrôle de routage :
But :
Acheminer les paquets de données sensibles à travers des sous-réseaux,
liaisons ou relais considérés comme sûrs.
Principe :
Choisir le chemin de routage en fonction de la nature des données
(confidentielles, urgentes, ..).
Risque :
Il peut permettre à un intrus de choisir un chemin particulier pour
ses paquets afin d'éviter les obstacles ou équipements de sécurité
réseau, et contredire ainsi la politique de sécurité.
Autres Technologies de la sécurité
Contrôle de routage :
Fonctionnement : La sélection du chemin de routage peut se
faire de deux manières :
En spécifiant explicitement les chemins autorisés (éventuellement
pour chaque type de données) ;
En spécifiant, au contraire, les chemins non autorisés (et donc
considérés comme risqués).
Variante :
But : Protéger un sous réseau d’accès via Internet
Principe : Ne pas annoncer (faire connaître) le sous-réseau : l’adresse
IP du sous-réseau sera inconnue dans les tables de routage nationales
et internationales.
III.5.1. Sécurité active ou de protection
III.5.1.2. Les solutions basées sur le cryptage :
Protocoles sécuritaires :
Diffie Hellman
SSL/TLS
IP-Sec
3/13/2014 85
III.5.1.2. Les solutions basées sur le cryptage
But :
Principe :
3/13/2014 86
III.5.1.2. Les solutions basées sur le cryptage
Le but d’un tunnel entre deux points A et B est d’assurer que les
données qui partent du point A ne sont ‘accessibles’ qu’au point B.
Réseau public Tunnel
Exemple de tunnel
3/13/2014 87
III.5.1.2. Les solutions basées sur le cryptage
3/13/2014 88
III.5.1.2. Les solutions basées sur le cryptage
Protocoles de tunnelisation:
Protocoles de niveau 2 :
PPTP (Point to Point Tunneling Protocol)
3/13/2014 89
III.5.1.2. Les solutions basées sur le cryptage
3/13/2014 90
III.5.1.2. Les solutions basées sur le cryptage
Autres protocoles :
IPX, NetBEUI
peuvent être cryptées
et/ou compressées
3/13/2014 91
III.5.1.2. Les solutions basées sur le cryptage
Il permet d’encapsuler des trames PPP afin qu’elles puissent être envoyées
sur des réseaux IP, X.25, Relais de trames ou ATM.
Tunnel entre l’ISP et le serveur et une liaison PPP entre le client et l’ISP.
La sécurité peut reposer sur celle offerte par PPP, mais il est recommandé
d’utiliser IP-Sec .
3/13/2014 92
III.5.1.2. Les solutions basées sur le cryptage
Virtual Private Network ou VPN :
Sur les réseaux IP, les trames PPP sont d’abord encapsulées dans UDP
avant d’être encapsulées à nouveau dans IP :
Autres réseaux :
X.25, ATM, Frame
Relay
3/13/2014 93
III.5.1.2. Les solutions basées sur le cryptage
VPN / IP-Sec :
Toutefois, IP-Sec (ESP en mode tunnel) peut être utilisé tout seul
pour la mise en œuvre d’un VPN, dans ce cas :
Seul le trafic IP est pris en charge.
3/13/2014 94
III.5.1.2. Les solutions basées sur le cryptage
PPTP vs L2TP :
3/13/2014 95
III.5.1. Sécurité active ou de protection
Introduction
Authentification par mot de passe simple
Authentification par mot de passe à usage unique
Authentification des accès distants
Protocole PAP
Protocole CHAP
Fonctions AAA
Protocole RADIUS
3/13/2014 96
III.5.1.3. Les solutions d’authentification
Introduction :
Types de preuves :
Information connue ‘seulement’ de l’entité à authentifier et celle authentifiante, par
exemple, un mot de passe ou une clé secrète partagée.
Objet qu’elle est la seule à posséder, par exemple, une carte à puces.
3/13/2014 97
III.5.1.3. Les solutions d’authentification
Introduction :
Niveaux d’authentification :
Introduction :
3/13/2014 99
III.5.1.3. Les solutions d’authentification
Description :
Le moyen le plus classique et le plus utilisé pour l’authentification.
Il permet d’offrir un premier niveau de sécurité
Il doit être connu non seulement par son ‘propriétaire’ mais aussi du
vérificateur (exp. Un serveur), mais il doit rester secret pour les autres.
Principe :
Pour être authentifié auprès d’un vérificateur, le propriétaire du mot de passe
commence d’abord par révéler son identité (exp. Nom d’utilisateur);
Il fournit ensuite son mot de passe au vérificateur qui le compare avec la
copie dont il dispose.
3/13/2014 100
III.5.1.3. Les solutions d’authentification
3/13/2014 101
III.5.1.3. Les solutions d’authentification
Description :
Un mot de passe à usage unique (one time password ou OTP) est un moyen
d'authentification plus fort que le mot de passe classique.
3/13/2014 102
III.5.1.3. Les solutions d’authentification
3/13/2014 103
III.5.1.3. Les solutions d’authentification
Avantages :
Le mot de passe est utilisé une seule fois pas de problème de longévité du mot
de passe.
Le mot de passe est calculé automatiquement pas de problème de
mémorisation du mot de passe OTP ( Mais le mot de passe utilisateur doit être
enregistré de manière crypté).
Le carackage du mot de passe (par dictionnaire ou par force brute) n’a plus de
sens et ne présente plus de risques.
Le mot de passe à usage unique peut être envoyé en clair sur le réseau car même
s’il serait intercepté, il n’est plus réexploitable.
3/13/2014 104
III.5.1.3. Les solutions d’authentification
Authentification des accès distants / Protocole PAP :
Description :
3/13/2014 105
III.5.1.3. Les solutions d’authentification
Flag Adress Control Protocol Information Padding Frame Check Sequence Flag Inter-frame Fill*
*
1 octet 2 octet
Type = 1 Auth-request
Type = 2 Auth-Ack
Type = 3 Auth-NAck Code Identifier Length Data
3/13/2014 106
III.5.1.3. Les solutions d’authentification
Authentification des accès distants / Protocole CHAP :
Description :
CHAP est un mécanisme d'authentification qui utilise le hashage MD5 afin de
hacher la réponse à un challenge envoyé par le serveur d'accès distant lors d’un
Handshake à 3 messages.
Avec CHAP, le mot de passe du client n'est jamais envoyé au serveur mais il est
plutôt utilisé pour hasher le challenge serveur (comme pour un OTP). Le serveur,
connaissant le mot de passe, peut authentifier le client en recalculant le hachage
du challenge et du mot de passe puis en comparant le résultat avec la réponse
reçue du client.
Le challenge serveur ne pouvant être utilisée que pour une et une seule
authentification, les attaques par rejeu sont évitées. Pour assurer une protection
contre les usurpations d'identités clients, CHAP demande à des intervales
irréguliers une réauthentification du client en provoquant l'envoie de nouveaux
challenges serveurs aux clients.
3/13/2014 107
III.5.1.3. Les solutions d’authentification
Flag Adress Control Protocol Information Padding Frame Check Sequence Flag Inter-frame Fill*
*
Type 2:
Response
3/13/2014 108
III.5.1.3. Les solutions d’authentification
Fonctions AAA :
Principe :
Les fonctions AAA (Authentication, Authorization and Accounting)
s’occupent des point suivants :
Authentification des utilisateurs ;
Actions autorisées pour chaque utilisateur (contrôle d’accès) ;
Possibilité d’enregistrer les informations concernant les durées et historiques des
actions menées par chaque utilisateur (Accounting).
3/13/2014 109
III.5.1.3. Les solutions d’authentification
Fonctions AAA / Protocole RADIUS :
Description :
RADIUS (Remote Authentication Dial-In User Service) est un protocole qui
permet d’implémenter des fonctions AAA (RFC 2138).
Il est généralement utilisé pour réaliser des fonctions AAA dans le cas
d’utilisateurs se connectant à leur fournisseur d’accès Internet via des
modems téléphoniques ou pour des utilisateurs des réseaux mobiles 3G.
Il utilise une seule base de données pour la gestion des informations sur les
utilisateurs (pour l’authentification et l’autorisation)
Il se base sur deux serveurs :
Serveur d’accès au réseau (NAS) ;
Serveur Radius AAA centralisé (RS).
3/13/2014 110
III.5.1.3. Les solutions d’authentification
Fonctions AAA / Protocole RADIUS :
Architecture :
3/13/2014 111
III.5.1.3. Les solutions d’authentification
Fonctionnement :
Les paquets RADIUS sont véhiculés via Internet.
Les paquets RADIUS sont encapsulés dans des datagrammes UDP , le port utilisé
est le 1812.
Il utilise le paradigme requête/réponse entre le client RADIUS (serveur NAS) et
le serveur RADIUS.
Il se base sur un protocole d’authentification de niveau2 (exp. PAP, CHAP, ..).
Les serveurs NAS et RADIUS utilisent un secret partagé pour assurer l’intégrité et
l’authentification de leur échanges dans le cadre du protocole RADIUS.
3/13/2014 112
III.5.1.3. Les solutions d’authentification
Access-Request
Access-Accept
3/13/2014 113
III.5.1.3. Les solutions d’authentification
Fonctions AAA / Protocole RADIUS :
Quelques points forts :
Il peut authentifier des utilisateurs pour d’autres services (exp. Telnet);
Il supporte différentes méthodes d’authentification (PAP, CHAP, EAP, …).
Il peut être utilisé pour l’envoi des informations de configuration de l’utilisateur,
comme par exemple, une adresse IP dynamique.
3/13/2014 114
Sécurité passive ou
de surveillance
3/13/2014 115
III.5.2. Sécurité passive ou de surveillance
3/13/2014 116
III.5.2. Sécurité passive ou de surveillance
Une attaque non détectée, même sans grands dégâts, peut être à l’origine
d’autres attaques plus sérieuses : installation de backdoors, chevaux de
troie, contrôle d’un serveur ou de tout le réseau, etc.
3/13/2014 117
III.5.2. Sécurité passive ou de surveillance
Systèmes de détection d’intrusion :
Description :
Un IDS est un outil (matériel et/ou logiciel) qui permet de détecter les attaques,
en particulier, les intrusions sur un réseau et ce, en assurant une écoute (cf.
attaque par écoute) permanente du réseau (plutôt d’une partie) mais, aussi en
procédant à une analyse et corrélation de journaux d'origine diverses .
Un bon IDS doit identifier positivement toutes les attaques réelles et identifier
négativement toutes les fausses attaques (manipulations particulières, erreurs,..).
Un bon IDS doit disposer d’un système de journalisation des activités suspectes et
ce, d’une manière exploitable.
Il existes différents types d’IDS, chaque type a des points forts et des points faibles.
3/13/2014 118
III.5.2. Sécurité passive ou de surveillance
Systèmes de détection d’intrusion / classification
Mécanismes de déclenchement;
Localité de la surveillance.
3/13/2014 120
III.5.2. Sécurité passive ou de surveillance
Systèmes de détection d’intrusion / classification
Localité de la surveillance d’un IDS :
Host-based IDS ou au niveau d’un hôte :
Cet IDS, placé au niveau d’un hôte, examine des données de sources
différentes : les fichiers de log, les comptes utilisateurs, voire les outputs
d’autres IDS basées au niveau des applications du hôte,etc.
Ce type d’IDS ne détecte les attaques qu’après leur occurrence.
Network-based IDS ou au niveau réseau :
Ce type d’IDS examine en ligne le trafic du réseau pour détecter des contenus
suspects (certains types de paquets, URLs…). Il se peut, cependant, qu’il ait
accès aux outputs d’autres IDS (host-based ou application-based).
Application-based IDS ou au niveau d’une application :
Cet IDS examine le ‘comportement’ d’une application en se basant le plus
souvent sur des fichiers logs pour détecter des attaques.
3/13/2014 121
III.5.2. Sécurité passive ou de surveillance
Systèmes de détection d’intrusion
Remarque finale :
Il existe des IDS hybrides qui combinent les caractéristiques des types de base
(précités) :
But : fournir des IDS plus performants.
Points faibles :
Difficulté de configuration;
Difficulté d’harmoniser les différentes technologies;
Difficulté de rendre compte : illisibilité des journaux.
Surveillance Améliorations
Audit
III.5.3. Audit de sécurité réseau
Audit de sécurité réseau :
Objectifs
Audit technique
Audit d’architecture
Tests d’intrusion
Audit d’investigation
3/13/2014 124
III.5.3. Audit de sécurité réseau
Objectifs :
L’audit de sécurité peut être vu comme le côté aval de la sécurité, alors que la politique
de sécurité représente le côté amont.
Toutefois, il est très courant que des entreprises se fassent auditer avant la mise en
place d’une politique de sécurité (cf. Cycle de la sécurité).
Un audit de sécurité a pour but de vérifier la sécurité d’un système d’information ou
d’un réseau déjà sécurisé et ce, en y recherchant le plus de vulnérabilités possibles.
L’audit de sécurité a généralement pour objectifs:
L’obtention d’une vision globale de la sécurité du SI : Audit des aspects
organisationnels : politique de sécurité, profils utilisateurs, etc;
La recherche des vulnérabilités : Audit technique;
Évaluation du niveau de sécurité et obtention de recommandations concrètes
pour améliorer la sécurité : Résultats de l’audit.
3/13/2014 125
III.5.3. Audit de sécurité réseau
Normes et Méthodes (1) :
3/13/2014 126
III.5.3. Audit de sécurité réseau
Normes et Méthodes (2) :
3/13/2014 127
III.5.3. Audit de sécurité réseau
Audit technique:
Architecture du réseau;
Protocoles utilisés;
3/13/2014 128
III.5.3. Audit de sécurité réseau
Audit d’architecture:
Plan d’adressage;
Segmentation;
3/13/2014 129
III.5.3. Audit de sécurité réseau
Audit des flux IP:
3/13/2014 130
III.5.3. Audit de sécurité réseau
Tests d’intrusion (Audit intrusif):
3/13/2014 131
III.5.3. Audit de sécurité réseau
Tests d’intrusion :
Scanners :
Principe :Utilisation des mêmes techniques des attaquants pour mettre
en évidence les failles de sécurité d’un réseau.
Exps : SATAN (ou SAINT), Retina, …
Outil libre et gratuit : Nessus.
Test de l’architecture du réseau : Traceroute, NetCat, Cheops, …
Tests de ports ouverts: Nmap, hping ,pOf …
Tests de serveurs Web : Webproxy, Babelweb, …
Tests de déni de service : Shutup, …
3/13/2014 132
III.5.3. Audit de sécurité réseau
Tests d’intrusion :
3/13/2014 133
III.5.3. Audit de sécurité réseau
Audit d’investigation :
3/13/2014 134
IV. Conclusion
Idées à retenir :
3/13/2014 135