Administration & Sécurité des réseaux

ISITCom H-Sousse H2007 - 2008

Plan de Cours
Nombre d'heures d'enseignement : 22,5 h Cours + 45 hTP Administration : 
  

Introduction à l¶administration réseaux Rappel sur les Protocoles et services Administration des équipements (Firewall, routeur) Administration des serveurs DNS, DHCP, Proxy, SNMP,.. Introduction à la sécurité informatique La cryptographie & l¶authentification, les attaques (Hacking) Les virus selon leur type Les pare-feux (Firewalls) pareLa sécurité sur Internet (Sécurité des données et résistance aux pannes) et gestion de la sécurité informatique

Sécurité : 
   

Quelques définitions
Administrateur : 

Administrateur Système:
Personne responsable de la totalité de la gestion d¶un système informatique. Il surveille le système et en assure la maintenance de manière à garantir un fonctionnement irréprochable. Veiller au bon fonctionnement des sauvegardes. 

Administrateur réseau:
Chargé de la gestion du réseau. Il est responsable de bon fonctionnement du réseau et de la répartition des droits d¶accès. Lui seul a le droit d¶ajouter des utilisateurs ou d¶annuler des autorisations d¶accès, ainsi que l¶installation du SE réseau et de la sécurité des données sur l¶ensemble du réseau

Les Fonctions principales de l¶administrateur
La mise en place ou l¶annulation d¶identifications des users, l¶allocation de leurs droits d¶accès S¶occuper de l¶installation des interfaces utilisateurs et des configurations qui se soit sur les postes de travail ou sur les éléments du réseau L¶installation de nouveau logiciels d¶application ainsi que le contrôle et la sauvegarde des données Le contrôle de l¶utilisation du serveur et gérer toute la sécurité du réseau Mesurer et analyser la performance des réseaux Le constat de l¶utilisation des stations de travail: contrôler pour mieux gérer Le contrôle des capacités du disque dur, la suppression des logiciels qui ne sont plus utilisés et l¶ajout de nouveaux logiciels L¶administrateur réseau doit toujours être une personne fiable qui connaît la complexité du réseau pour en optimiser le fonctionnement.

Objectifs
Administration  Administration des serveurs, Administration des équipements et des applications (FTP, Web, courrier,..)  Déploiement, intégration, gestion des ressources réseaux mais aussi humaine  Gérer des 100 ou des 1000 d¶utilisateurs dans des systèmes autonomes  Surveillance, test, configuration du réseau  Évaluation des ressources nécessaires Sécurité:  Protéger le réseau contre les accès non autorisés  Cryptographie et authentification  Récupérer les données à la suite d¶un événement catastrophique La sauvegarde des données sur bande magnétique (quotidienne, complète, incrémentielle,..) La configuration des disques de tolérance de pannes (Les techniques de redondance,..) L¶utilisation des dispositifs d¶alimentation sans coupure  Se protéger contre les virus  Contrôle d¶accès: Les pare-feux (Firewalls) pare«.. Et tout ça pour un coût raisonnable !!!

Administration des réseaux

Introduction Le réseau est devenu une ressource indispensable (voire vitale) au bon fonctionnement d¶une entreprise.. L¶administration du réseau met en uvre un ensemble de moyen pour :     offrir aux utilisateurs un service de qualité Permettre l¶évolution du système en intégrant des nouvelles fonctionnalités Optimiser les performances des services pour les utilisateurs Permettre une utilisation maximale des ressources pour un coût minimal ..

Administration = Partie opérationnelle d¶un réseau Les fonctions d'administration doivent permettre: l'extraction des informations des éléments du réseau au moyen d'outils => récolte un grand nombre d'information.  la réduction du volume d'information au moyen de filtres => sélection d'information significatives.  .  des traitements sur ces informations. opérateur réseau).  le stockage des informations retenues dans une base de données d'administration.  offrir des interfaces (utilisateur administration.

Les performances d'un réseau sont évaluées à partir de quatre paramètres : le temps de réponse.. la localisation.. la réparation de pannes et le retour à une situation normale dans l'environnement. Cette évaluation est établie en fonction du volume et de la durée de la transmission. . Il renferme le cryptage et la liste des droits d'accès. Ces relevés s'effectuent à deux niveaux : Réseau et Application. Un sous-ensemble de la MIB (Management Information Base) concerne les informations de sécurité (SMIB). le contrôle de l'état du système.Les attendus d¶une administration de réseau Les 5 domaines fonctionnels de l'administration tel que définis dans l'OSI:      La gestion des pannes : permet la détection. . le taux d'erreur par bit et la disponibilité. la sauvegarde de l'état dans un historique L'audit des performances : permet d'évaluer les performances des ressources du système et leur efficacité. La gestion de la sécurité : une des fonctions de gestion concerne le contrôle et la distribution des informations utilisées pour la sécurité. de paramétrer les différents objets. Les procédures requises pour gérer une configuration sont la collecte d'information. La comptabilité : permet de connaître les charges des objets gérés. les coûts de communication. La gestion des configurations : permet d'identifier. le débit.

le contrôle opérationnel réseau pour les décisions opérationnelles la gestion réseau pour les décision tactiques l'analyse de réseau pour les décision tactiques et stratégiques la planification pour les décisions stratégiques Ces niveaux déterminent différents niveaux d'administration:     .L¶organisation d¶une administration Qui a besoin d'administration et pour quoi faire ? Il existe différents types de décision d'administration :    décisions opérationnelles : décision à court terme. concernant l'administration au jour le jour et opérations temps réel sur le système décisions tactiques : décision à moyen terme concernant l'évolution du réseau et l'application des politiques de long terme décisions stratégiques : décision de long terme concernant les stratégies pour le futur en exprimant les nouveaux besoins et désirs des utilisateurs.

FTP Serveur pour accéder à des machines distantes.Telnet Serveur Web Protocole d¶administration réseau. DNS Serveur de configuration dynamique. DHCP Serveur de transfert des fichiers..) Administration des serveurs :       Serveur de résolution des noms. SNMP .ICMP..Administration des réseaux Protocoles TCP/IP et les protocoles d¶application Principe de routage (IP.OSPF. RIP.

Administrer un réseau IP Un réseau IP est un ensemble d¶équipements:   Possédant chacun un ou plusieurs interfaces Reliés entre eux par des supports physiques divers Définir un plan d¶adressage cohérent Affecter une adresse IP à chaque interface Mettre en uvre le routage entre ces divers éléments Administrer un réseau IP:    .

) XTCP/IP utilise un système d¶@ simple qui permet de sélectionner un site parmi un réseau international TCP/IP est distribué avec un ensemble d¶applications standardisées. X-25.Spécificités de TCP/IP TCP/IP a émergé pour plus de 90% des réseaux actuels :    TCP/IP est indépendant du réseau physique (Ethernet.. pour s¶échanger des données . Token Ring..

Rappel sur le modèle OSI .

Modèle TCP/IP .

.Rôle de couche réseau Adressage Fragmentation Routage   Statique Dynamique (RIP. EGP.) . OSPF..

OSPF.Protocoles de routage 2 familles de protocoles:   Protocoles de routage internes (Internal Gateway Protocols): RIP. IGRP.. Protocoles de routage externes (External Gateway Protocols): EGP.. BGP .

soit au coût de la liaison.Protocoles à vecteurs de distance Principe :  Distance ou métrique: Unité arbitraire liée soit au nombre de relais traversées. soit à son débit. relais)  Réception: Mise à jour de la table de routage . soit au délai de transmission pour atteindre la destination  Émission: Diffusion du vecteur de distance (destination.

Protocoles à états des liens Principe:   Chaque n ud propage l¶état de la liaison avec ses voisins par inondation Chaque noeud maintient une carte complète du réseau: Il calcule le chemin le plus court pour atteindre le destinataire Avantages:   Pas de boucle Convergence très rapide vers un état stable en cas de modification .

Le protocole IP 0 4 8 16 19 31 Version Longueur entête Type de Service Flags Longueur totale Fragment Offset Contrôle d¶erreur entête Identification Time To Live Protocole supérieur @ IP source @ IP destination Options éventuelles Données .

Win NT) Dans le cas d¶IP/Ethernet:  . L¶accés à ce cache se fait par la commande arp » (Unix.Le protocole ARP Utilisé pour trouver la correspondance entre une adresse réseau et une adresse physique   Émission: diffusion d¶une requête contenant le type d¶@d¶@-physique (Ethernet =1) Réception: le même paquet complété avec l¶@l¶@physique du destinataire chaque station gére un cache pour éviter la multiplication des requêtes ARP.

Acquisition d¶une @-IP @L¶acquisition de l¶ @IP d¶une interface peut se faire par:    Configuration statique Interrogation d¶un serveur d¶adresses (DHCP) En fonction d¶une donnée propre à l¶interface (ex: RARP qui nécessite la table de correspondance des @-physiques) @- .

.Les commandes ICMP Les horloges de deux machines qui diffèrent de manière importante peuvent poser des problèmes pour des logiciels distribués. Une machine peut émettre une demande d¶horodatage (timestamp request) (timestamp request) à une autre machine susceptible de lui répondre (timestamp reply) en (timestamp reply) donnant l¶heure d¶arrivée de la demande et l¶heure de départ de la réponse. Le champ de données spécifiques comprend l¶heure originale (originate (originate timestamp) timestamp) émis par le demandeur. et l¶heure de départ (transmit timestamp) de la (transmit timestamp) réponse. L¶émetteur peut alors estimer le temps de transit ainsi que la différence entre les horloges locale et distante. l¶heure de réception (receive (receive timestamp) timestamp) du destinataire.

champ de contrôle en-tête datagramme + 64 premiers bits des données. . type de message 8 bits. informations complémentaires 16 bits.Le protocole ICMP Internet Control Message Protocol TYPE CODE CHECKSUM HEAD-DATA HEAD 8 bits. en- 15 messages utilisés 10 informations Ping Messages de routeurs Horodatage  TYPE Message ICMP 0 Echo Reply 3 Destination Unreachable 4 Source Quench 5 Redirect (change a route) 8 Echo Request 11 Time Exceeded (TTL) Parameter Problem with a Datagram 13 Timestamp Request 14 Timestamp Reply 15 Information Request (obsolete) 5 erreurs Destination inaccessible Temps dépassé Divers Redirection Utilisé par les outils applicatifs tels: ping et traceroute.

ICMP : les messages d¶ erreurs Lorsqu¶une passerelle émet un message ICMP de type destination inaccessible. le champ code décrit la nature de l¶erreur :              0 1 2 3 4 5 6 7 8 9 10 11 12 Network Unreachable Host Unreachable Protocol Unreachable Port Unreachable Fragmentation Needed and DF set Source Route Failed Destination Network Unknown Destination Host Unknown Source Host Isolated Communication with desination network administratively prohibited Communication with desination host administratively prohibited Network Unreachable for type of Service Host Unreachable for type of Service .

Rôle de la couche Transport Couche transport  Communication de bout en bout Abstraction de la structure du réseau Transport   Donnée Message Multiplexage 1 machine n services 1 service n machines Réseau LLC MAC Couche Physique .

Les protocoles de transport Couche transport  TCP Connecté Messages remis dans le bon ordre Aucun message perdu Aucun message abîmé  UDP Non connecté Rapide Aucune garantie .

Le protocole TCP Port Source Numéro de séquence Numéro d¶acks Long Réservé Drapeaux Taille de fenêtre Pointeur Urgent Options Port Destination Somme de contrôle d¶erreurs .

Bilan Une connexion TCP :  Ouverture de connexion Sychronisation Acknowledge Synchronisation      Envoi de trames selon fenêtre disponible Si accusé réception. ré-envoyer le segment fautif réEnvoi trame de fin Assure un transfert de données fiable. décaler la fenêtre Si TimeOut. service garantie. Accuse réception de la trame de fin .

. or l'en-tête a une longueur de 4 x 16 bits (soient 8 x 8 bits) donc le champ longueur est nécessairement supérieur ou égal à 8 octets.Entête UDP Port Source Longueur Données Port Destination Checksum Port Source/destination: numéro de port correspondant à l'application émettrice/destinatrice du segment UDP. Somme de contrôle: Il s'agit d'une somme de contrôle réalisée de telle façon à pouvoir contrôler l'intégrité du segment. Longueur: Ce champ précise la longueur totale du segment. en-tête comprise.

Novell Netware et Win-NT/XP? WIN2K server. de la clientsécurité et des ressources Possibilité d¶utiliser des serveurs dédiés pour fournir plus efficacement des ressources précises aux clients L¶utilisateur peut avoir accès aux ressources autorisées à l¶aide d¶un ID réseau et d¶un mot de passe     Inconvénients: Exploitation et maintenance exige du personnel formé Coût d¶exploitation est plus élevé que les réseaux d¶égal à égal Ex: Unix. Win- .  Réseau client-serveur: gestion centralisée des utilisateurs. Win 95/98.Administration des serveurs 2 types de réseaux:  Réseau d¶égal à égal: réseau pour groupe de travail et conçu pour un petit nombre de stations Un nombre limité d¶utilisateurs Création et exploitation peu coûteuse Pas de nécessité de serveur dédié ou de logiciel supplémentaire     Inconvénients: aucun point central de gestion Si le # des users>10 un réseau d¶égal à égal est un mauvais choix Ex: Windows for Workgroups.

Le système est mis en uvre par une base de données distribuée au niveau mondial. . Le système DNS permet d¶identifier une machine par un nom représentatif de la machine et du réseau sur lequel elle se trouve.Domain Name System : DNS (1) L¶Internet est constitué de réseaux (dizaines de milliers) Les réseaux sont constitués de sous-réseaux sousLes sous-réseaux sont constitués de machines. sousLa technologie de base (TCP/IP) permet l¶accès aux machines par leur adresse IP. Il est pratiquement devenu impossible aux humains de connaître les adresses (IP) des machines auxquelles ils veulent accéder.

Domain Name System :DNS Pourquoi un système de résolution des noms ?    Communications sur l¶Internet basées sur les adresses IP Communications humaines» basées sur des noms Besoin d¶un mécanisme pour faire correspondre des adresses IP avec des noms d¶hôtes => service DNS Base de données hiérarchique distribuée Domain Name System (DNS)  DNS fournit un niveau d¶adressage indirect entre un nom d¶hôte et sa localisation géographique .

Fonctionnalités du service DNS Espace des noms de domaines = arborescence hiérarchique  Arborescence indépendante de la topologie réseau et|ou de la géographie Zones affectées à des serveurs de noms dans l¶arborescence hiérarchique Serveurs de sauvegarde pour la redondance et la disponibilité Rôle le plus simple : client DNS ou ¶Resolver¶ Protocole UDP utilisé par les clients Protocole TCP préconisé pour les échanges entre serveurs Architecture de stockage distribuée   Administration répartie suivant la hiérarchie des noms  Protocole client/serveur communicant sur le port n° 53   .

. .fr Conventions sur les noms de domaines Top Level Domains (TLD)  .au Nom du Domain: chaque n ud possède une étiquette (label): max 63 caract. . .ups-tlse.net. domaine : ups-tlse.org. gTLD : fr Fully Qualified Domain Name : cooper.fr. .jp. .mil.biz Geographical Top Level Domains (gTLD)  . . . .tn.edu.int.de.Hiérarchie des noms de domaines Arborescence limitée à 128 niveaux Un domaine est un sous-ensemble de l¶arborescence Aucune possibilité de doublon   hôte : cooper. . . .gov.  Hôte: correspond à une machine .uk.com.

DNS Hiérarchie des serveurs Serveurs distribués» dans l¶arborescence hiérarchique   Un serveur ne maintient qu¶un sous-ensemble de l¶arborescence On parle d¶autorité sur une zone : ¶Authoritative Name Server¶ Enregistrement = Resource Record (RR) Chaque serveur connaît la liste des ¶Root Servers¶ Chaque ¶Root Server¶ connaît tous les TLDs et gTLDs Un serveur racine peut ne pas connaître le serveur qui a autorité sur une zone Un serveur racine peut connaître un serveur intermédiaire à contacter pour connaître le serveur qui a autorité sur une zone Chaque serveur contient tous les enregsitrements d¶hôtes dans sa» zone  Chaque serveur a besoin de connaître les autres serveurs responsables des autres parties de l¶arborescence     .

net Gestion du cache   .ups-tlse.ups-tlse.GTLD-SERVERS.NET J.fr répond directement à toute nouvelle requête DNS www.ups-tlse.fr Cooper.net¶ : full1.fr conserve la réponse dans son cache Cooper.ups-tlse.NET contacte le serveur qui a autorité sur la zone ¶stri.stri.Exemple de requête DNS Requête du poste Asterix : Adresse IP du site www.GTLD-SERVERS.gandi.stri.net ?      Asterix contacte le serveur local Cooper.ROOT-SERVERS.NET contacte un serveur du domaine ¶.NET G.fr contacte un serveur racine : J.ups-tlse.fr renvoie la réponse vers Asterix Cooper.net Cooper.net¶ : G.ROOT-SERVERS.

Installation (Win2K) Démarrer -> Programmes -> Outils d'administration -> Configurer votre serveur. .

Installation Panneau de configuration -> Ajout/suppression de programmes -> Ajouter/Supprimer des composants Windows -> Services de mise en réseau. cocher la case Système de nom de domaine (DNS) et laisser faire. .

Configuration Dans le menu "Démarrer" -> Programmes -> Outils d'administration lancer "DNS" .

.Configuration (.log) Pour garder une trace de tout ce qui se passe au niveau de votre serveur.

.Configuration (test) Vous pouvez tester le bon fonctionnement de votre serveur DNS et sa récursivité si vous l'avez autorisé précédemment avec d'autre serveur DNS.

Dynamic Host Configuration Protocol Objectif : obtenir automatiquement tous les paramètres de configuration réseau       @ IP Adresse de diffusion Masque réseau Passerelle par défaut Domaine DNS Adresse IP du serveur de noms DNS Service Internet => couche application RFCs 2131 et 2132 en 1997 Communications sur les ports UDP 67 (client) et 68 (serveur) Dynamic Host Configuration Protocol (DHCP)    .

DHCP L¶ @ IP est allouée selon les critères suivants:     Ne pas être déjà allouée à une autre station La même station reçoit toujours la même adresse Cette adresse est allouée pendant une période déterminée (bail) Le client vérifie la validité de l¶@ (ARP) .

Le client répond par un DHCPREQUEST au serveur pour indiquer qu¶il accepte l¶offre Le serveur DHCP Concerné répond définitivement par un DHCPACK qui constitue une confirmation du bail. Cette trame est un "broadcast".Les Commandes DHCP Client DHCP envoie une trame "DHCPDISCOVER". avec également lµ@ IP du serveur.255. donc envoyé à l'adresse 255. L'adresse du client est alors marquée comme utilisée et ne sera plus proposée à un autre client pour toute la durée du bail. destinée à trouver un serveur DHCP. .255. Cette trame contient une proposition de bail et la @-MAC @du client. il fournit aussi son @ MAC Le serveur DHCP qui reçoit cette trame va répondre par un "DHCPOFFER".255. N'ayant pas encore dµ@ IP.

Ce bail a normalement une durée limitée Après expiration du bail.a.Serveur DHCP Le serveur DHCP maintient une plage dµ@ à distribuer à ses clients. le DHCP ayant horreur des changements ) Lorsqu'il attribue une adresse.d que l'on récupère souvent la même @. . elle ne sera pas attribuée en priorité à une autre machine. il le fait par l'intermédiaire d'un bail. ou résiliation par le client. les informations concernant ce bail restent mémorisées dans la BD du serveur pendant un certain temps. Bien que l'adresse IP soit disponible. Il tient à jour une BD des @ déjà utilisées et utilisées il y a peu (c. C'est ce qui explique que l'on retrouve souvent la même adresse d'une session à l'autre.

Détails sur le bail Dans le bail. avec une durée de validité. en s'adressant directement au serveur qui le lui a attribué. . il y a non seulement une @ IP pour le client. mais également d'autres informations de configuration comme:    Lµ@ d'un ou de plusieurs DNS (Résolution de noms) Lµ@ de la passerelle par défaut Lµ@ du serveur DHCP le client peut renouveler le bail. Il n'y aura alors qu'un DHCPREQUEST et un DHCPACK.

19.) Permet de se connecter à une machine distante Accès à distance Telnet:    Le client Telnet transmet les caractères entrés sur le terminal local vers le serveur distant Le fonctionnement est bidirectionnel: on supporte le même échange dans les 2 sens Ex: Client Telnet : Telnet <site distant> <port> <port> Telnet 192. tests de fonctionnement en mode manuel des protocoles HTTP...100 23 commande permet la création d¶une connexion TCP avec le serveur de la machine distante Le serveur Telnet: Le serveur s¶exécute sur la machine distante sinon le service n¶est pas disponible Client Telnet Serveur Telnet TCP IP TCP IP .Accès à distance Telnet Protocole très utilisé pour l¶accés à distance (tests d¶application réparties. SMTP.168.

. composants.SNMP (Simple Network Management Protocol) SNMP permet de:  Visualiser une quantité impressionnante d¶informations concernant le matériel. grave.  Alerter l¶administrateur en cas d¶événement grave. les connexions réseau.  Modifier le paramétrage de certains composants. leur état de charge. charge.

facile d'utilisation permet une gestion à distance des différentes machines le modèle fonctionnel pour la surveillance et pour la gestion est extensible indépendant de l'architecture des machines administrées Permet de répondre à un grand nombre de besoins :     Avantages :      .Le concept SNMP Protocole d'administration de machine supportant TCP/IP  Conçu en 87-88 par des administrateurs de réseau disposer d'une cartographie du réseau fournir un inventaire précis de chaque machine mesurer la consommation d'une application signaler les dysfonctionnements protocole très simple.

Le modèle SNMP Une administration SNMP est composée de trois types d'éléments:    des agents chargés de superviser un équipement. Les fonctionnalités :     get : permet à la station d'interroger un agent. On parle d'agent SNMP installé sur tout type d'équipement. une ou plusieurs stations de gestion capable d'interpréter les données une MIB (Management Information Base) décrivant les informations gérées. le contrôle et la modification des paramètres des éléments du réseau. get_next : permet la lecture de l'objet suivant d'un agent sans en connaitre le nom set : permet de modifier les données d'un agent trap : permet de transmettre une alarme . Un protocole activé par une API permet la supervision.

.

Les fonctionnalités:     Get: Get: permet à la station d¶interroger un agent Get_next:permet Get_next:permet la lecture d¶un objet Set: Set: permet de modifier les données d¶un agent Trap: Trap: permet de transmettre une alarme . le contrôle et la modification des paramètres des éléments du réseau.Fonctionnalités SNMP Un protocole activé par une API permet la supervision.

.Les commandes SNMP ‡ Les commandes get-request. et n'attend pas de réponse. ‡ La commande trap est une alerte. get-next-request et set-request sont toutes émises par le manager à destination d'un agent et attendent toutes une réponse getresponse de la part de l'agent. Elle est toujours émise par l'agent à destination du manager.

. certaines machines (ordinateur personnel. qui implantent TCP/IP pour supporter leurs applications. => utilisation de la gestion mandataire (les proxies) . De plus.. mais qui ne souhaitent pas ajouter un agent SNMP. station de travail.Le Modèle SNMP L'utilisation de SNMP suppose que tous les agents et les stations d'administration supportent IP et UDP. . Ceci limite l'administration de certains périphériques qui ne supportent pas la pile TCP/IP. contrôleur programmable.

internet.mgmt. .dod. Elle constitue une branche du groupe iso. MIB dispose d'objets supplémentaires.La MIB (Management Information Base) MIB = Collection structurée d¶objets   chaque noeud dans le système doit maintenir une MIB qui reflète l'état des ressources gérées une entité d'administration peut accéder aux ressources du noeud en lisant les valeurs de l'objet et en les modifiant.org. L¶arborescence MIB: Les informations stockées dans la MIB sont rangées dans une arborescence.

Informations relatives à l'implantation et à l'éxécution de ICMP (Internet Control Message Protocol). Informations relatives à l'implantation et à l'éxécution de TCP (Transmission Control Protocol). Informations sur la transmission et sur les protocoles utilisés par chaque interface. Informations relatives à l'implantation et à l'éxécution de UDP (User Datagram Protocol). ip icmp tcp udp egp transmission snmp .Groupe system interfaces at Commentaires Informations générales sur le système. Informations relatives à l'implantation et à l'éxécution de EGP (Exterior Gateway Protocol). Informations relatives à l'implantation et à l'éxécution de SNMP. Table de traduction des adresses entre internet et les sous-réseaux. Informations sur les interfaces entre le systèmes et les sous-réseaux. Informations relatives à l'implantation et à l'éxécution d'IP (Internet Protocol).

dod.mgmt.Object identifier Les variables de la MIB-2 sont identifiées par le MIBchemin dans l'arborescence.mib.3.1.1. 1.dod à l'aide des numéros des groupes: 1.org.6.2 Notation par nom iso.dod.6.3. Ex: Définition SMI mgmt OBJECT IDENTIFIER ::= { internet 2 } mib OBJECT IDENTIFIER ::= { mgmt 1 } Notation par "point" 1.org.mgmt iso. Les identifiants sont définis à l'aide du langage SMI.6.internet.mib 1.2.3.3.6.org.3.6.1.2.1.internet.org.1 interfaces OBJECT IDENTIFIER ::= { mib 2 } 1. noté de deux façons: à l'aide des noms de groupes : iso.dod.mgmt.2 iso. interface .internet.

l'agent envoie une information à un client .Fonctions assurées Primitives GetRequest GetNextRequest SetRequest GetResponse Trap Descriptions le manager demande une information à l'agent le manager demande l'information suivante à l'agent le manager initialise une variable de l'agent l'agent retourne l'information au client interruption .

La sécurité des réseaux .

Introduction à la sécurité La sécurité d'un réseau est un niveau de garantie que l'ensemble des machines du réseau fonctionnent de façon optimale et que les utilisateurs possèdent uniquement les droits qui leur ont été octroyés Il peut s'agir :     d'empêcher des personnes non autorisées d'agir sur le système de façon malveillante d'empêcher les utilisateurs d'effectuer des opérations involontaires capables de nuire au système de sécuriser les données en prévoyant les pannes de garantir la non-interruption d'un service non- .

dont certaines pouvant lui être nuisibles (ex: la nonnondésactivation de services réseaux non nécessaires à l'utilisateur) l'état passif d'insécurité: lorsque l'administrateur (ou l'utilisateur) d'un système ne connaît pas les dispositifs de sécurité dont il dispose .Les causes d¶insécurité On distingue généralement deux types d'insécurité :   l'état actif d'insécurité: la non-connaissance par nonl'utilisateur des fonctionnalités du système.

empêcher un système de fonctionner) Le but des agresseurs est souvent de prendre le contrôle d'une machine afin de pouvoir réaliser les actions qu'ils désirent.Le but des agresseurs Les motivations des agresseurs que l'on appelle "pirates" peuvent être multiples :     l'attirance de l'interdit le désir d'argent (ex: violer un système bancaire) le besoin de renommée (impressionner des amis) l'envie de nuire (détruire des données. Pour cela il existe différents types de moyens :    l'obtention d'informations utiles pour effectuer des attaques utiliser les failles d'un système l'utilisation de la force pour casser un système .

Problèmes de sécurité Les problèmes de sécurité des réseaux peuvent être classés en 4 catégories:     La confidentialité: seuls les utilisateurs autorisés confidentialité: peuvent accéder à l¶information L¶authentification: L¶authentification: avoir la certitude que l¶entité avec laquelle on dialogue est bien celle que l¶on croit Non-répudiation: Non-répudiation: concerne les signatures Contrôle d¶intégrité: comment être sûr que le d¶intégrité: message reçu est bien celui qui a été envoyé (celui-ci (celuin¶a pas été altéré et modifié) .

modifier.services et mécanismes L¶administrateur doit tenir compte des 3 aspects de la sécurité de l¶information:   Service de sécurité: pour contrer les attaques de sécurité et améliorer la sécurité des SI Mécanisme de sécurité: pour détecter.Attaques.prévenir ou rattraper une attaque de sécurité Usage des techniques cryptographiques  Attaque de sécurité: une action qui compromet la sécurité de l¶information possédé par une organisation Obtenir un accés non-autorisé. non- .

modifications des données. déni de service pour empêcher l¶utilisation normale ou la gestion de fonctionnalités de communication .Menaces de sécurité Attaques passives: Capture de contenu de message et analyse de trafic écoutes indiscrètes ou surveillance de transmission Attaques actives: Mascarade.

Ainsi que le message envoyé a été bien reçu Disponibilité et contrôle d¶accès (les personnes doivent pouvoir s¶échanger des messages): est la faculté de limiter et de contrôler l¶accès aux systèmes et aux applications (droits d¶accès) .Les services de sécurité      Confidentialité des messages transmis: est la protection contre les attaques passives Authentification des interlocuteurs: pour assurer que le destinataire reçoive le msg d¶origine émis par la source Intégrité et non répudiation des messages: assure que les messages envoyés seront aussitôt reçus sans duplication ni modification NonNon-répudiation: empêche tant l¶expéditeur que le receveur de nier avoir transmis un message.

Problématique .

Authentification But: Bob veut prouver son identité à Alice    rencontre physique : son apparence au téléphone : sa voie à la douane : son passeport Signatures électroniques Intégrité des messages  .

chevaux de Troie La recherche de trou de sécurité Détournement d¶identité Les changements des droits d¶accès d¶un utilisateur d¶un PC Provocation des erreurs La vérification de la sécurisation d¶un système La vol d¶informations. il y a possibilité de pouvoir remonter à l¶origine de l¶attaque et à identifier l¶identité du Hacker Les attaques indirectes (par ruban): passif.Le Hacking (attaques) C¶est l¶ensemble des techniques visant à attaquer un réseau un site ou un équipement Les attaques sont divers on y trouve:      L¶envoie de bombe logiciel. pour apprendre Les attaques passives consistent à écouter une ligne de communication et à interpréter les données qu¶ils interceptent Les attaques offensives peuvent être regrouper en : Les attaques directes: c¶est le plus simple des attaques. cette attaque présente 2 avantages: Masquer l¶identité (@ IP du Hacker) Éventuellement utiliser les ressources du PC intermédiaire Les buts d¶un Hacker:    Les attaques et les méthodes utilisées peuvent être offensives ou passives:       . terrorisme (Virus). espionnage Jeux. Dans ce type d¶attaque. le Hacker attaque directement sa victime à partir de son ordinateur.

Il interdit la lecture d¶informations par des personnes non autorisées.Quelques définitions Cryptage: encodage des informations. permettant de sécuriser les données On distingue 2 procédés de cryptage:     Procédés de transposition. Destiné au cryptage des messages électroniques (conçu par Philip Zimmermann 1991) Cryptanalyse: analyse de données cryptées . Procédés de substitution. qui remplace les caractères d¶origine par d¶autres prélevés dans une liste Règle ou clé de cryptage s¶appelle Code Ex: PGP (Pretty Good Privacy): progr. qui modifie la succession des caractères à l¶aide d¶un algorithme.

Cryptographie Ensemble de processus de cryptage visant à protéger les données contre l¶accès non autorisés Repose sur l¶emploi des formules mathématiques et des algorithmes complexes afin de coder l¶information Il existe 2 systèmes de cryptographie:   Les systèmes symétriques: la même clé utilisé pour coder et décoder (DES: Data Encryption standard)) Les systèmes asymétriques: la clé qui sert à coder est différente de celle qui peut déchiffrer (RSA:Rivest Shamir Adelmann 77) .

nécessite 2 fonctions essentielles:   Le message M est crypté par une fonction de cryptage E(M)=C Le cryptogramme C est décrypté par le destinataire par une fonction de décryptage D(C)=M=D(E(M)) .Principe de cryptage Tout système de cryptage est composé d¶un algorithme de codage La Crypt.

Application de la cryptographie o erce lectroni e Protection de la confidentialit de corre pondance Protection des bases de données contre les de intr sions et la dé lgarisation des tiers non autorisés Transmission sécurisée des données sensibles travers les réseaux internationaux  Preuve informati ue: Identification et authentification .

Système de chiffrement Système de chiffrement symétrique: la clé est utilisée à la fois pour chiffrer et déchiffrer un message Système de chiffrement asymétrique: chaque utilisateur possède son propre couple de clé différente S et P     La clé S est utilisée pour la procédure de chiffrement de Message La clé P est dérivé de la clé S par une fonction La sûreté d¶une clé dépend de sa longueur La fiabilité d¶un système dépend de la puissance de calcul mesurée mis en uvre pour casser un code .

Pour crypter un message on l¶écrit en colonne de taille fixe et on lit les colonnes Ex: Nombre de colonne ici 6 Texte crypté: TRLFAOREFMDSNZOCAZIAS PZTNU..Algorithmes de cryptographie Par substitution  On change les lettres suivant une règle précise (ex: A D la clé est : 3) 3) La position des caractères est modifiée. Par Transposition    B 1 T R L F A O R E R 5 R E L R N M O P I 3 A Z I A S P Z T Q 4 N U O N M T E A U 7 S N N C O E R B E 2 F M D S N Z O C S 6 E I E D C E S D .

mais par l'utilisation de règles statistiques on trouve facilement la clé .. s hcmu wky. mgsbc Difficulté ? 1026 combinaisons possibles.Chiffrement à clé symétrique Encryptage par substitution  Époque romaine (Code de César) Texte en clair : abcdefghijklmnopqrstuvwxyz Texte crypté : mnbvcxzasdfghjklpoiuytrewq Exemple : Texte en clair: bob..... . naissance il y a 500 ans du chiffrement polyalphabétique .. i meat you. alice Texte crypté: nkn..

Passer l'algorithme DES plusieurs fois sur le message avec à chaque fois des clés différentes (ex : 3DES)  ....Chiffrement à clé symétrique: DES Data Encryption Standard (1977 par IBM) Principe :   découpe le message en clair en morceau de 64 bits auxquelles on applique une transposition clé de 64 bits (56 bits de clé + 8 bits de parité impaire) Difficulté ? concours organisé par RSA Data Security 1997 : 4 mois pour casser le code DES 56 bits en brute force par des amateurs 1999 : 22 h pour casser DESIII solution pour le rendre plus sur .

Cryptographie à clé publique: RSA Ron Rivest.e) Clé privé est : (n. (e et z premier entre eux) 4) Trouver un d tel que ed-1 est exactement divisible par z (ed mod z =1) 5) Clé public est : (n. De puissance et exponentielles appliqués aux grands nombres) Algorithme de sélection des clés :      1) Sélection de 2 grands nombres premiers p et q (de 1024 bit par ex) 2) Calculer n=pq et z=(p-1)(q-1) 3) Choisir un e (e<n) qui n'a pas de facteur commun avec z. Adi Shamir et Leonard Adleman (Développé en 1977 repose sur des fonctions math.d) .

29) . chiffrement.d) 2) Alice veut envoyer un nombre m à Bob : c = me mod n 3) Bob reçoit le message c et calcule : m = cd mod n Exemple : p = 5. q = 7 donc n = 35 et z = 24 Bob choisit e = 5 et d = 29 ALICE : (chiffrement) m = 12 me=248832 c = me mod n = 17 BOB : (déchiffrement) c = 17 cd=481968572106750915091411825223072000 m = cd mod n = 12 Clé public est : (35.e) Clé privé est : (n.RSA. 5) Clé privé est : (35. déchiffrement 1) Clé public est : (n.

qui s'installe secrètement sur des ordinateurs et parasite des programmes.Les virus Qu¶est ce qu¶un virus?  Un petit programme ou un élément d'un programme. développés à des fins nuisibles. . copient leur code dans ces programmes. Pour ne pas infecté plusieurs fois le même fichier ils intègrent dans l¶application infectée une signature virale. Les traces  Les virus infectent des applications.

Qu¶est ce qu¶un ver Programme capable de se copier vers un autre emplacement par ses propres moyens ou en employant d'autres applications. .

Les bombes logiques Les bombes logiques sont programmées pour s'activer quand survient un événement précis. les bombes logiques visent à faire le plus de dégât possible sur le système en un minimum de temps. . De façon générale.

Les étapes de sécurité Prendre des mesures .

Comment se protéger? Pare-feu Mises à jour de votre PC Logiciels anti-virus .

Stratégies Approche locale  Poste client Poste serveur Approche globale  Ces deux solutions sont complémentaires et doivent faire appel à des moteurs antiviraux de fournisseurs différents .

Notification aux clients présents Interrogation du serveur à chaque démarrage des clients Puis téléchargement des mises à jour Serveur antivirus .Approche antivirale locale/globale Mise à jour de la table de définitions de virus sur chaque poste client Solution automatique ou manuelle (localement) Requête de mise à jour planifiée Téléchargement des mises à jour En cas de mise à jour.

AMS2 assure la gestion des urgences et prend en charge les alertes issues de serveurs et des postes de travail .Serveur Symantec Client Security Un serveur Symantec Client Security peut envoyer des mises à jour de configuration et des fichiers de définitions de virus à des clients SymantecClient security protége les ordinateurs sur lesquels il s¶exécute Le programme client Symantec Client Security fournit une protection antivirus. pare-feu et contre les intrusions pareaux ordinateurs réseau et autonomes Alert Management System2 (AMS2).

Les outils File Server Web Server Web Server Via Web Page Workstation Via Email Workstation Anti Virus Firewall Intrusion Detection Vulnerability Management Workstation Internet Mail Server Mail Gateway .

il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces réseau suivante :  une interface pour le réseau à protéger (réseau interne)  une interface pour le réseau externe Un système pare-feu contient un ensemble parede règles prédéfinies permettant :  D'autoriser la connexion (allow) (allow)  De bloquer la connexion (deny) (deny)  De rejeter la demande de connexion sans avertir l'émetteur (drop).Firewall Le pare-feu est un système permettant de parefiltrer les paquets de données échangés avec le réseau. (drop). .

Contrôle d¶accès: Les pare-feux pareUn pare-feu isole le réseau de l¶organisation du parereste de l¶Internet en laissant pénétrer certains paquets et en bloquant d¶autres Il existe 2 types de pare-feux: pare  Filtrage simple des paquets Filtrage applicatif (niv. Application) .

Rôle du pare-feux pareLes firewall protègent les installations informatiques des intrusions surveille les communications d'un PC vers Internet et vice versa Prévenir les attaques du type Denial Of Service     Inondation des messages SYN avec des @IP d¶origine factices. Analyser. Les tampons de l¶hôte sont remplis de messages factices. ce qui ne laissent plus de place pour les vrais messages Prévenir les modifications de données internes Ex: changer la page Web de l¶entreprise Empêcher les pirates d¶accéder à des données sensibles. bloquer ou autoriser les communications via les ports UDP et TCP . qui paralyse l¶hôte.

Mise en place d'une passerelle d'application (gateway) Serveur spécifique aux applications que toutes les données d'applications doivent traverser avant de quitter ou d'entrer dans le réseau .Filtrage de paquets Le réseau interne est équipé d¶une passerelle le reliant à son FAI. On se faire le filtrage des paquets Filtrage basé sur l¶étude des en-tête de paquet en    @ IP d¶origine et de destination Des types des messages ICMP Des datagrammes de connexion et d¶inintialisation utilisant les bits TCP SYN ou Ack Ex/ filtre les segments UDP et les connexions Telnet (segment TCP avec Port 23). Évite toute intrusion étrangère via une session Telnet.

une analyse fine des données applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communications. chaque paquet devant être finement analysé. En contrepartie. . ce qui permet de fournir un niveau de sécurité supplémentaire.Filtrage applicatif Appelé aussi passerelle applicative » ou proxy le filtrage applicatif permet la destruction des en-têtes enprécédant le message applicatif. Afin de limiter les risques le proxy doit nécessairement être en mesure d'interpréter une vaste gamme de protocoles et doit connaître les failles afférentes pour être efficace.

.Limitations des pare-feux pareUsurpation d¶identité (IP spoofing) le routeur est impuissant face à ce type d¶attaque Si chaque application nécessite un traitement particulier Il faut une passerelle par application Les client de ces applications doivent pouvoir configurer les logiciels (ex: navigateur avec les proxy) Les filtres sont très grossiers: Les spyware et adware (des progr. Commerciaux sont nuisibles ne sont pas détectés par les anti-virus) utilisant le port 80 ne sont donc en aucun cas pris en compte par un firewall hardware. il est nécessaire d'administrer le pare-feu et notamment de surveiller son journal d'activité afin d'être en mesure de détecter les tentatives d'intrusion et les anomalies.

.esure : (i  r filt ri ) les r uteurs vérifie t si l'@ IP des pa uets e trant font partie des @ IP a essibles via ette interfa e.Les attaques: imitation malicieuse Tout équipement connecté atagrammes IP  un réseau injecte es @ IP e l'expéditeur données de couc e supérieure i l'utilisateur peut intervenir sur les logiciels ou son s st me d'exploitation il peut inscrire une @ IP factice (IP spoofing)  permet au pirate responsable de o de dissimuler leur identité car il est tr s difficile de remonter la source d'un datagramme portant une fausse @ IP ontre.

exemple : SYN flooding avec des @ IP factices : accumulation d'un gd nb de connexions partiellement ouvertes envoie de fragments IP sans les fragments de terminaison attaque smurf : envoie de paquets de requête d'échos ICMP en masse Distributed Denial of Service (DDos)    Le pirate obtient un grand nombre de comptes utilisateurs (sniffing ou brute force) Il installe et exécute un logiciel esclave au niveau de chaque hôte qui attend les ordres en provenance d'un logiciel maître Puis le pirate ordonne à tous ses logiciels esclaves de lancer une attaque DoS contre le même hôte ciblé . basé sur la production d'un volume de données supérieur à la capacité de traitement de l'entité ciblée. un hôte ou autre inutilisable pour ses utilisateurs légitimes.Les attaques: Les DOS Denial Of Service (DoS)   rend un réseau.

Zone Démilitarisée DMZ Il est nécessaire de mettre en place des architectures de systèmes pare-feux permettant pared'isoler les différents réseaux de l'entreprise: on parle ainsi de cloisonnement des réseaux » (isolation) isolation) zone démilitarisé » ( DMZ pour DeMilitarized Zone) Zone) pour désigner cette zone isolée hébergeant des applications mises à disposition du public .

mais son niveau de sécurisation n'est pas suffisant pour y stocker des données critiques pour l'entreprise. . La DMZ possède donc un niveau de sécurité intermédiaire.Architecture DMZ Les serveurs situés dans la DMZ sont appelés bastions » en raison de leur position d'avant poste dans le réseau de l'entreprise.

. Traffic de la DMZ vers le réseau interne interdit . Traffic du réseau externe vers le réseau interne interdit . Traffic du réseau interne vers le réseau externe autorisé . Traffic du réseau interne vers la DMZ autorisé . Traffic de la DMZ vers le réseau externe refusé.Politique de sécurité La politique de sécurité mise en oeuvre sur la DMZ est généralement la suivante :       Traffic du réseau externe vers la DMZ autorisé . refusé.

NAT Le principe du NAT consiste à réaliser. SNAT : @source du paquet qui est modifiée (altérée) DNAT : @destination qui est modifiée (altérée) . Le terme NAT représente la modification des adresses IP dans l'en-tête d'un datagramme IP l'eneffectuée par un routeur. une translation entre l'adresse interne (non routable) de la machine souhaitant se connecter et l'adresse IP de la passerelle. au niveau de la passerelle de connexion à internet. routeur.

Pour un observateur externe au réseau.Network Address Translation: NAT Fonctionnement du NAT:       Translation des @IP de l¶en tête Recalcul et vérification du checksum Recalcul et modification du checksum TCP NAT cache l¶identité réelle » des Hosts Tout paquet de données qui doit être translater doit passer par un routeur NAT permet de sécuriser le réseau interne étant donné qu'il camoufle complètement l'adressage interne. . toutes les requêtes semblent provenir de la même adresse IP.

Les différents types de NAT
On distingue deux types différents de NAT: NAT: NAT statique NAT dynamique

Principe de NAT
Le principe du NAT statique:  

consiste à associer une @IP publique à une @IP privée interne au passerelle) réseau. Le routeur (passerelle) permet donc d'associer à une @IP privée (ex: 192.168.0.1) une @IP publique routable sur Internet et de faire la 192.168.0.1) traduction, dans un sens comme dans l'autre, en modifiant lµ@ dans le paquet IP. La translation dµ@-statique permet ainsi de connecter des machines du dµ@réseau interne à internet de manière transparente permet de partager une @IP routable entre plusieurs machines en @ privé. Ainsi, toutes les machines du réseau interne possèdent virtuellement, vu de l'extérieur, la même @IP. C'est la raison pour laquelle le terme de mascarade IP » (IP masquerading) est parfois (IP masquerading) utilisé pour désigner le mécanisme de translation d'adresse dynamique.

NAT dynamique 

10.0.0.12/24 (@ interne)

10.0.0.12/24

193.22.35.42/24 (@ externe)

Internet

mail ou serveur FTP).Les avantages du NAT La NAT statique a permis de rendre une machine accessible sur Internet alors qu'elle possédait une adresse privée. . la NAT statique permet de rendre disponible une application sur Internet ( serveur web. privée. FTP).

interne.Inconvénient Le principe du NAT statique ne résout pas le problème de la pénurie d'adresse puisque n adresses IP routables sont nécessaires pour connecter n machines du réseau interne. .

privé.Port Address Translation) Translation) Elle permet d¶économiser les adresse IP. cela IP. car il n'existe aucun moyen pour quelqu'un de l'extérieur. internes. Elle permet une sécurité accrue. permet de répondre au problème de pénurie d'adresses. d'accéder aux machines internes.Avantages NAT Dynamique Le NAT dynamique permet de partager une adresse IP routable (ou un nombre réduit d'adresses IP routables) entre plusieurs machines en adressage privé. NAT dynamique utilise la translation de port (PAT . d'adresses. .

Toute application spécifiant l'adresse IP dans la partie des données (et non pas dans l'en-tête) l'enne fonctionne pas avec NAT La NAT dynamique seule ne peut pas être considérée comme une sécurité suffisante. . Il est indispensable d'utiliser un filtrage si l'on veut obtenir un bon niveau de sécurité. mais pas pour rendre un serveur accessible.Les inconvénients Elle est donc utile pour partager un accès Internet.

Récapitulatif Accès non autorisé Authentification Confidentialité Chiffrement Virus Antivirus Intrusion Firewall Modification Hachage consiste à verrouiller les données à l¶aide des composants matériels: clipper-chips clipper- .

Sign up to vote on this title
UsefulNot useful