1. 31/03/2011
1
Administration
&
Sécurité des réseaux
Wafa KAMMOUN
1
2eme Ingénieurs
ISITCom H-SouSSe
2010 - 2011
Plan de Cours
• Administration :
– Introduction à l’administration réseaux
– Rappel sur les Protocoles et services IP
– Administration des équipements (Firewall, routeur)
– Listes ACL
– Administration des serveurs DNS, DHCP
– Administration SNMP (Simple Network Management Protocol),..
• Sécurité :
– Introduction à la sécurité informatique
– # types d’attaques (Hacking)
– La cryptographie & l’authentification,
– Les DMZ et Firewalls
– VPN, SSL (Secure Socket Layer)
• Références:
– http://www.itu.int/cybersecurity/
– http://www.w3.org/P3P/
– Stallings William, Sécurité des réseaux, applications et standards, Vuibert, 2002, ISBN 978-2-71-
178653
2

2. 31/03/2011
2
Quelques définitions
• Administrateur :
– Administrateur Système:
• Personne responsable de la totalité de la gestion du système informatique.
Il surveille et en assure la maintenance du système de manière à garantir
un fonctionnement irréprochable. Veiller au bon fonctionnement des
sauvegardes.
– Administrateur réseau:
• Chargé de la gestion de tout type d’équipements réseau. Il est responsable
de bon fonctionnement configuration des équipements réseau, de la
répartition des droits d’accès des utilisateurs à accéder aux serveurs. Lui
seul a le droit d’ajouter des utilisateurs ou d’annuler des autorisations
d’accès, ainsi que l’installation du SE réseau et de la sécurité des données
sur l’ensemble du réseau
3
Fonctions & Objectifs
• Administration
– Administration des serveurs, Administration des équipements et des applications (FTP, Web,
courrier,..)
– Déploiement, intégration, gestion des ressources réseaux mais aussi humaine
– Gérer des 100 ou des 1000 d’utilisateurs dans des systèmes autonomes
– Surveillance, test de performance, d’audit, de configuration du réseau
– Évaluation des ressources nécessaires
• Sécurité:
– Protéger le réseau contre les accès non autorisés, divulgations
– Contrôle d’accès: Les pare-feux (Firewalls)
– Cryptographie et authentification
– Récupérer les données à la suite d’un événement catastrophique
• La sauvegarde des données sur bande magnétique (quotidienne, complète,
incrémentielle,..)
• La configuration des disques de tolérance de pannes (Les techniques de redondance,..)
• L’utilisation des dispositifs d’alimentation sans coupure
– Se protéger contre les attaques (virus, trojan,..)
….. Et tout ça pour un coût raisonnable !!!
4

3. 31/03/2011
3
Buts
• Le réseau est devenu une ressource indispensable (voire
vitale) au bon fonctionnement d’une entreprise,..
• L’administration du réseau met en œuvre un ensemble
de moyen pour :
– offrir aux utilisateurs un service de qualité
– Permettre l’évolution du système en intégrant des nouvelles
fonctionnalités
– Optimiser les performances des services pour les utilisateurs
– Permettre une utilisation maximale des ressources avec un
coût minimal
5
Administration = Partie opérationnelle d’un
réseau
• Les fonctions d'administration doivent permettre:
– l'extraction des informations des éléments du réseau au moyen
d'outils (trace)
=> récolte un grand nombre d'information,
– la réduction du volume d'information au moyen de filtres
=> sélection d'information significatives (analyser),
– le stockage des informations retenues dans une base de
données d'administration,
– des traitements sur ces informations,
– offrir des interfaces (utilisateur administration, opérateur
réseau).
6

4. 31/03/2011
4
Les attendus d’une administration de
réseau
• Les 5 domaines fonctionnels de l'administration tel que définis dans l'OSI:
– La gestion des pannes : permet la détection, la localisation, la réparation de pannes et
le retour à une situation normale dans l'environnement.
– La comptabilité : permet de connaître les charges des objets gérés, les coûts de
communication, ... Cette évaluation est établie en fonction du volume et de la durée de
la transmission. Ces relevés s'effectuent à deux niveaux : Réseau et Application.
– La gestion des configurations : permet d'identifier, de paramétrer les différents objets.
Les procédures requises pour gérer une configuration sont la collecte d'information, le
contrôle de l'état du système, la sauvegarde de l'état dans un historique
– L'audit des performances : permet d'évaluer les performances des ressources du
système et leur efficacité. Les performances d'un réseau sont évaluées à partir de
quatre paramètres : le temps de réponse, le débit, le taux d'erreur par bit et la
disponibilité.
– La gestion de la sécurité : une des fonctions de gestion concerne le contrôle et la
distribution des informations utilisées pour la sécurité. Un sous-ensemble de la MIB
(Management Information Base) concerne les informations de sécurité (SMIB). Il
renferme le cryptage et la liste des droits d'accès.
7
L’organisation d’une administration
• Qui a besoin d'administration et pour quoi faire ?
• Il existe différents types de décision d'administration :
– décisions opérationnelles : décision à court terme, concernant l'administration
au jour le jour et opérations temps réel sur le système
– décisions tactiques : décision à moyen terme concernant l'évolution du réseau
et l'application des politiques de long terme
– décisions stratégiques : décision de long terme concernant les stratégies pour
le futur en exprimant les nouveaux besoins et désirs des utilisateurs.
• Ces niveaux déterminent différents niveaux d'administration:
– le contrôle opérationnel réseau pour les décisions opérationnelles
– la gestion réseau pour les décision tactiques
– l'analyse de réseau pour les décision tactiques et stratégiques
– la planification pour les décisions stratégiques
8

5. 31/03/2011
5
Administration des réseaux
• Protocoles TCP/IP et les protocoles d’application
• Principe de routage (IP,ICMP, RIP,OSPF,..)
• Administration des serveurs :
– Serveur de résolution des noms, DNS
– Serveur de configuration dynamique, DHCP
– Serveur de transfert des fichiers, FTP
– Services pour accéder à des machines distantes, Telnet
– Serveur Web
– Protocole d’administration réseau, SNMP
9
Les domaines d’activités
• La gestion des pannes:
– Détection, localisation, isolation, réparation
• Gestion des configurations
– Identification des ressources
– Installation, initialisation, paramétrage, reconfiguration.
– Collecte des informations utiles et sauvegarde d’un historique.
• Audit des performances
– Évaluation: collecter les données et établir des statistiques sur les
performances (temps de réponse, taux d’utilisation, débit, taux d’erreur,
disponibilité)
– Gestion de trafic : satisfaire les besoins des users (à qui attribuer un grand
dédit…)
10

6. 31/03/2011
6
Les domaines d’activités
• Gestion de la comptabilité:
– Gérer la charge des ressources pour empêcher toute surcharge (congestion).
– Gérer le coût d’utilisation des ressources et les facturer
– Gérer le quota d’exploitation de la ressources ( imprimante, disques…)
• Gestion de la sécurité
– But: protéger les ressources du réseau et du système d’administration
– Commet: Assurer les services de la sécurité (authentification, confidentialité, intégrité,
disponibilité et non répudiation).
– Moyen : cryptographie + logiciel de supervision + audit  surveillance des journaux.
Exemple : sous WinNT Server (journaux d’évènements)
• Journal de sécurité
• Journal système
• Journal application
11
Administrer un réseau IP
• Un réseau IP est un ensemble d’équipements:
– Possédant chacun une ou plusieurs interfaces
– Reliés entre eux par des supports physiques divers
– Gestion des pannes
– Gestion des configurations
– Audit des performances
– Gestion de la sécurité
• Administrer un réseau IP:
– Définir un plan d’adressage cohérent
– Affecter une adresse IP à chaque interface
– Mettre en œuvre le routage entre ces divers éléments
12

7. 31/03/2011
7
Détecter un problème réseau :
• PING : Permet de valider une connexion point à point
usage : ping xxx.xxx.xxx.xxx (x : adresse IP de la machine)
TRACE ROUTE : Permet de donner les chemins de communication entre deux machines
usage : tracert xxx.xxx.xxx.xxx (x : adresse IP de la machine)
ARP : Permet d'obtenir l'adresse MAC (fabriquant) d'un épement
usage : arp -a xxx.xxx.xxx.xxx (x : adresse IP de la machine)
NBTSTAT : Permet d'obtenir le nom de l'utilisateur connecté sur une machine
usage : nbtstat -A xxx.xxx.xxx.xxx (x : adresse IP de la machine)
nbtstat -a nom.domaine si l'on connait le nom de la station
nbtstat -c pour afficher tout le cache
Windows NT : IPCONFIG : Affiche la configuration IP
UNIX : vmstat ps
pstat
· netstat
· netstat -i
· +Ierrs : cable ?
· +Oerrs : Ctrl ?
· -a send_@ != 0 : Lan Overload
· -s Bad CRC != 0 : Router
· !LAN>= 0 retrans : timeout <5% = ok
· Et enfin pour ajouter une route:
· route> add x.x.x.xequip MASK x.x.x.x sub x.x.x.xrouter -p
13
14

8. 31/03/2011
8
Adressage IP
• Une adresse IP est constituée de
deux numéros:
• IP address = <network
number><host number>
• Le numéro de réseau identifie le
réseau sur lequel est connecté le
nœud. Ce numéro doit être unique.
• Le numéro d'hôte identifie le nœud
sur le réseau en question.
– classe A : de 1 à 126
– classe B : de 128.1. à 191.254
– classe C : de 192.0.1 à 223.255.254
15
16

9. 31/03/2011
9
Les adresses Privées
17
18

10. 31/03/2011
10
SR & Masque de SR
• Le nombre croissant de réseaux, notamment sur Internet, a fini par
poser problème, en particulier à cause de la saturation du schéma
d'adressage.
• Le fractionnement d'un réseau en plusieurs réseaux permet de
réduire le trafic sur chacun des réseaux ou d'isoler certains groupes
de travail.
– <@-IP> = <netw.nr><subnet nr><host nr>
– L'échange de messages des stations situées sur deux sous-réseaux différents
ne pourra se faire directement, mais uniquement par l'intermédiaire d'un
routeur.
• Exemple
Une classe A avec un masque de SR: 255.255.0.0 est découpée en 254 SR de
65534 stations.
– Une classe A avec un masque de SR 255.240.0.0 (11111111 11110000 00000000
00000000) est découpée en 14 SR de 1 048 574 stations (4 bits permettent de coder
16 valeurs - 2 réservées).
19
20

11. 31/03/2011
11
21
Mise en oeuvre
• La mise en œuvre de sous-réseaux passe par les étapes
suivantes:
– Déterminer le nombre de sous-réseaux à adresser.
– Déterminer le nombre maximum d'hôtes sur chaque sous-réseau.
– Calculer le nombre de bits nécessaires pour les sous-réseaux et pour
les stations (en prévoyant les évolutions)
– Positionner le masque de sous-réseau.
– Lister les différents numéros de sous-réseaux possibles en éliminant
les "tout à 0" et les "tout à 1".
• Exemple :
Un réseau d'adresse 160.16.0.0 est divisé en 8 SR Chacun de
ces SR accueille ont au moins 1000 hôtes.
22

12. 31/03/2011
12
Solution
• Pour adresser 8 sous-réseaux différents, il faut 8
numéros. 3 bits permettent d'adresser 6 (8-2) sous-
réseaux et 4 bits permettent d'adresser 14 sous-
réseaux. Il faut donc prendre cette dernière solution.
Il reste dans ce cas, 12 bits pour le numéro d'hôte ce
qui permet 4094 numéros d'hôtes. Le masque sera
donc :
– 11111111 11111111 11110000 00000000
réseau SR hôte
– soit en représentation décimale : 255.255.240.0
23
Les listes ACL
• Les listes de contrôle d’accès sont des
instructions qui expriment une liste de règles,
imposés par l’administrateur, donnant un
contrôle supplémentaire sur les paquets reçus
et transmis par le routeur.
– Il ne peut y avoir qu’une liste d’accès par
protocole par interface et par sens
– Une ACL est identifiable par son Nr. attribué
suivant le protocole et suivant le type.
• ACL Standard:
– Permet d’autoriser ou d’interdire des @
spécifiques ou
• ACL étendu
– un ensemble d’@ ou de protocoles
Type de la liste Plage Nr.
Liste d’accès
standard
1 à 99
Liste d’accès
étendues
100 à 199
24

13. 31/03/2011
13
• Le routeur détermine s’il doit acheminer ou bloquer un
paquet en fonction de chaque instruction de condition
dans l’ordre dans lequel les instructions ont été crées
• Si le paquet arrivant à l’interface du routeur satisfait à une
condition, il est autorisé ou refusé
• Si le paquet ne correspond à aucune instruction dans la
liste, celui-ci est rejeté
• Le résultat de l’instruction implicite deny any
• Any: n’importe quelle @ (de 0.0.0.0 à 255.255.255.255)
• Host: abréviation du masque générique
– Ex: host 172.16.33.5 équivaut à 172.16.33.5 0.0.0.0
25
Liste standard, étendue..?!!
• Liste standard:
– Router (config)# access-list numr-liste {permit |deny}
source {masque-source}
– Ex: access-list 1 deny 172.69.0.0 0.0.255.255
• Liste étendue:
– Router (config)# access-list numr-liste {permit|deny}
protocole source {masque-source} destination {masque-
desti} {opérateur opérande}[established..]
26

14. 31/03/2011
14
Exemple:
• Réponse:
• Router (config)# access-list 1 permit 205.7.5.0 0.0.0.255
• Router (config)# int e0
• Router (config-if)# access-group 1 out
27
ACL qui permet à tout le réseau 205.7.5.0 l’accès au réseau 192.5.5.0;
Extrait de /etc/services :
• /etc/services :
• ftp 21/tcp
• telnet 23/tcp
• smtp 25/tcp
• mail pop3 110/tcp # Post Office
• A consulter, /etc/inetd.conf ; répertoire contient la
liste des services activés sur une machine donnée
• A Voir l’Extrait de /etc/inetd.conf
28

15. 31/03/2011
15
Les commandes ICMP
• Les horloges de 2 machines qui diffèrent de manière importante
peuvent poser des problèmes pour des logiciels distribués.
• Une machine peut émettre une demande d’horodatage
(timestamp request) à une autre machine susceptible de lui
répondre (timestamp reply) en donnant l’heure d’arrivée de la
demande et l’heure de départ de la réponse.
• L’émetteur peut alors estimer le temps de transit ainsi que la
différence entre les horloges locale et distante.
• Le champ de données spécifiques comprend l’heure originale
(originate timestamp) émis par le demandeur, l’heure de
réception (receive timestamp) du destinataire, et l’heure de
départ (transmit timestamp) de la réponse.
29
Le protocole ICMP
• Internet Control Message Protocol
TYPE 8 bits; type de message
CODE 8 bits; informations complémentaires
CHECKSUM 16 bits; champ de contrôle
HEAD-DATA en-tête datagramme + 64 premiers bits des données.
• 15 messages utilisés
– 10 informations
• Ping
• Messages de routeurs
• Horodatage
– 5 erreurs
• Destination inaccessible
• Temps dépassé
• Divers
• Redirection
• Utilisé par les outils applicatifs tels:
ping et traceroute.
30
TYPE Message ICMPV.4
0 Echo Reply
3 Destination Unreachable
4 Source Quench
5 Redirect (change a route)
8 Echo Request
11 Time Exceeded (TTL)
Parameter Problem with a Datagram
13 Timestamp Request
14 Timestamp Reply
15 Information Request
(obsolete)

16. 31/03/2011
16
ICMP : les messages d’ erreurs
• Lorsqu’une passerelle émet un message ICMP de type destination inaccessible,
le champ code décrit la nature de l’erreur :
– 0 Network Unreachable
– 1 Host Unreachable
– 2 Protocol Unreachable
– 3 Port Unreachable
– 4 Fragmentation Needed and DF set
– 5 Source Route Failed
– 6 Destination Network Unknown
– 7 Destination Host Unknown
– 8 Source Host Isolated
– 9 Communication with desination network administratively prohibited
– 10 Communication with desination host administratively prohibited
– 11 Network Unreachable for type of Service
– 12 Host Unreachable for type of Service
31
Paquets ICMPv6
• Utiliser l'utilitaire ping6 (équivalent à l'utilitaire ping) pour tester la présence
d'une machine sur le réseau en prenant une @IPv6
• la longueur du message ICMPv6 est limitée à 1 280 octets, afin d’éviter les
problèmes de fragmentation, puisqu'il est difficilement envisageable de mettre
en œuvre la découverte du MTU
32
Type message Meaning
1 Destination Unreachable
2 Packet Too Big
3 Time Exceeded
4 Parameter Problem
128 Echo Request
129 Echo Reply
130 Group Membership Query
131 Group Membership Report
132 Group Membership Reduction
133 Router Solicitation
134 Router Advertisement
135 Neighbor Solicitation
136 Neighbor Advertisement
137 Redirect

17. 31/03/2011
17
Exemples de gestion des erreurs
33
Administration des serveurs
• 2 types de réseaux:
– Réseau d’égal à égal: réseau pour groupe de travail et conçu pour un petit
nombre de stations
• Un nombre limité d’utilisateurs
• Création et exploitation peu coûteuse
• Pas de nécessité de serveur dédié ou de logiciel supplémentaire
– Inconvénients:
– aucun point central de gestion
– Si le # des users>10 un réseau d’égal à égal est un mauvais choix
– Ex: Windows for Workgroups, Win 98.
– Réseau client-serveur: gestion centralisée des utilisateurs, de la sécurité et des
ressources
• Possibilité d’utiliser des serveurs dédiés pour fournir plus efficacement des
ressources précises aux clients
• L’utilisateur peut avoir accès aux ressources autorisées à l’aide d’un ID réseau et
d’un mot de passe
– Inconvénients:
– Exploitation et maintenance exige du personnel formé
– Coût d’exploitation est plus élevé que les réseaux d’égal à égal
– Ex: Unix, Linux, Novell Netware et Win-NT/XP? WIN2K server, Win 2008.
34

18. 31/03/2011
18
SécuritéWeb Virtualisation
Fondamentaux
Succession de 2003 Contient 4 piliers: built-in-web, Virtualization
technologies. Peut assurer et produire une infrastructure réseau securisée
avec des coûts réduits, en augmentant la flexibilité dans une organisation35
36
• Plateformes
– 32 bits (x86)
– 64 bits (x64 et IA64*)
• Versions « classique » et « Server Core** »
– Web
– Standard
– Enterprise
– Datacenter
* Rôles et fonctionnalités limités -
http://www.microsoft.com/windowsserver/bulletins/longhorn/itanium_bulletin.mspx
** uniquement sur Standard, Enterprise et Datacenter

19. 31/03/2011
19
37
-Amélioration du déploiement, de la récupération et de
l'installation basée sur une image source ;
- Amélioration des outils de diagnostic, de supervision, de
traçabilité des évènements et de rapports ;
-Apport de nouvelles fonctionnalités de sécurité telles que
Bitlocker (specification de protection des données, qui fournit
le chiffrement par partition) et présente une amélioration du
Pare-feu
- permet aux ressources système d'être partitionnées de
façon dynamique à l'aide du module Dynamic Hardware
Partitioning (Gestion Dynamique du Partitionnement )
38
• Option d’installation minimale
• Surface d’exposition réduite
• Interface en ligne de commande
• Ensemble de rôles restreints
• Choix à l’installation !
• N’est pas une plateforme applicative
Server Core - « Rôles »
Server Core
Composants Sécurité, TCP/IP, Système de fichiers, RPC,
plus d’autre sous-systèmes Core Server
DNS DHCP
File
&
Print
AD
Server
Avec .Net 3.0, shell, outils, etc.
TS IAS
Web
Server
Share
Point
Etc…
Rôles du serveur
(en plus de ceux de la version Core)
GUI, Shell, IE,
Media, Frame, .Net
etc.
WSV
AD
LDS
Media
Server
IIS
Il s'agit de la nouveauté la plus notable proposée par Windows Server 2008 : l’option
d’installation Server Core installe uniquement le strict minimum

20. 31/03/2011
20
39
Installation
Fondamentaux
Cette installation apporte plusieurs avantages :
- Réduction tout d'abord des ressources nécessaires ;
- Réduction de la maintenance et de la gestion, puisque seuls les
éléments nécessaires pour les rôles définis sont à installer et
configurer ;
- Réduction enfin de la surface d’exposition aux attaques,
directement lié au nombre réduit d’applications et services
exécutées sur le serveur ;
40
Installation de Windows Server 2008
• Installation
• Par fichier image (fichier .wim)
• 2 modes
• Classique
• Serveur Core
• Configuration initiale
• Initial Configuration Tasks
• Administration du serveur
• Server Manager
• Gestion des rôles
• Gestion des fonctionnalités

21. 31/03/2011
21
Machine serveur Core
41
peut être configurée pour assurer plusieurs rôles de base :
Services de domaine Active Directory (AD DS)
Services AD LDS (Active Directory Lightweight Directory Services)
Serveur DHCP
Serveur DNS
Serveur de fichiers
Serveur d’impression
Services de diffusion multimédia en continu
Ainsi que les fonctionnalités facultatives suivantes :
Sauvegarde
Chiffrement de lecteur BitLocker
Clustering (grappe de serveur) avec basculement
Équilibrage de la charge réseau
Stockage amovible
Protocole SNMP (Simple Network Management Protocol)
Sous-système pour les applications UNIX
Client Telnet
Service WINS (Windows Internet Name Service)
42
Server Manager
• Votre nouvel ami 
• Rationnaliser les outils et disposer d’un outil central permettant
d’ajouter, de configurer et de gérer les différents rôles et fonctionnalités
du serveur
– Un seul outil pour configurer
Windows Server 2008
– Portail d’administration
– Ligne de commande
servermanagercmd.exe

22. 31/03/2011
22
43
Active Directory
Fondamentaux
Objectifs:
• Disposer de mécanismes permettant une
installation granulaire d’Active Directory
• Améliorer la prise en charge des serveurs
distribués géographiquement (agences)
• Optimiser la consommation de bande passante
• Elever le niveau de sécurité
Active Directory Domain ServicesActive Directory Domain Controller
Active Directory Lightweight DirectoryActive Directory Application Mode
Active Directory Rights ManagementRights Management Services
Active Directory Certificate ServicesWindows Certificate Services
44
Active Directory : nomenclature

23. 31/03/2011
23
45
Active Directory dans Windows Server 2008
• Installation
– Nouvel assistant de promotion en contrôleur de domaine
• Installation automatisée améliorée
– Prise en charge du mode Server Core
• Sécurité
– Authentification, autorisations et audit
– Contrôleur de domaine en lecture seule
• Performance
– Réplication Sysvol différentielle
• Administration
– Active Directory sous forme de service
– Editeur d’attributs
– Protection contre les suppressions accidentelles
– Administration des stratégies de groupe avec GPMC
46
• Support du server core
• Utilise les ‘crédentiels’ de l’utilisateur connecté pour la promotion
• Sélection des rôles : DNS (défaut), GC (défaut), RODC (Read Only
Domain Controller)
• Mode avancé (/adv)
• Sélection du site (par défaut : auto-détection)
• Réplication AD durant la promotion: DC particulier, n’importe quel DC,
média (sauvegarde AD)
• Auto-configuration du serveur DNS
• Auto-configuration du client DNS
• Création et configuration des délégations DNS
Active Directory Domain Services
DCPROMO dans Windows Server 2008

24. 31/03/2011
24
47
Politique de mots de passe multiples
• Aujourd’hui la politique des mots de passe appliquée se définit
pour l’ensemble du domaine
– Default Domain Policy dans un AD 2000/2003
• Avec Windows Server 2008 : il devient possible de définir des
politiques de comptes au niveau des utilisateurs et des groupes du
domaine
– Ne s’applique pas ni à l’objet ordinateur ni aux comptes locaux (utilisateurs
hors domaine)
– Nécessite un niveau fonctionnel de domaine Windows Server 2008
– Le schéma doit être en version 2008
• Utilisation d’une nouvelle classe d’objets msDs-PasswordSettings
48
Hub
`
Read Only DC
Hub WS 2008 DC
Branch
Read-Only DC
Authentification
1
2
3
4
5
6
6
7
7
1. AS_Req vers le RODC (requête
pour TGT)
2. RODC: regarde dans sa base:
“Je n’ai pas les crédentiels de
l’utilisateur"
3. Transmet la requête vers un
Windows Server 2008 DC
4. Windows Server 2008 DC
authentifie la demande
5. Renvoi la réponse et la TGT
vers le RODC (Hub signed TGT)
6. RODC fournit le TGT à
l’utilisateur et met en queue
une demande de réplication
pour les crédentiels
7. Le Hub DC vérifie la politique
de réplication des mots de
passe pour savoir s’il peut être
répliqué

25. 31/03/2011
25
49
Administration du Serveur
Fondamentaux
• Objectifs:
• Rationaliser les outils d’administration
• Elargir les possibilités offertes en terme d’administration
locale et distante
• Déployer plus rapidement de nouveaux systèmes (postes
et serveurs)
50
Administration et Windows Server 2008
• Le Server Manager
• Windows PowerShell
• Active Directory redémarrable
• Administrateurs locaux sur RODC
• Stratégies de groupes (GPO) (GPMC, admx/adml)
• Journaux et structure des événements
• Planificateur de tâches
• Administration Windows à distance WinRM
• Sauvegarde / restauration
• Outils de diagnostics
• Outils en ligne de commande

26. 31/03/2011
26
51
Server Core - Administration
• Locale ou distante en ligne de commande
– Outils basiques
– WinRM et Windows Remote Shell pour l’exécution à distance
– WMI et WMIC (locale et à distance)
• Terminal Services (à distance)
• Microsoft Management Console (à distance)
– RPC, DCOM
• SNMP
• Planificateur de tâches
• Evénements et transfert d’événements
• Pas de support du code managé donc pas de support de
Windows PowerShell
52
Services de déploiement Windows
(Windows Deployment Services)
• Solution de déploiement pour Windows Server 2008
• Nouvelles technologies : WIM, IBS, WinPE
• Ensemble d’outils pour personnaliser l’installation
• Démarrage à distance d’un environnement de pré-installation
(WinPE)
• Notion de serveur PXE
• Support du multicast 
• Administration graphique et en ligne de commande
• Wdsutil.exe

27. 31/03/2011
27
Domain Name System :DNS
• Pourquoi un système de résolution des noms ?
– Communications sur l’Internet basées sur les adresses IP
– Communications «humaines» basées sur des noms
– Besoin d’un mécanisme pour faire correspondre des adresses IP avec
des noms d’hôtes => service DNS
• Domain Name System (DNS)
– Base de données hiérarchique distribuée
• Le système DNS permet d’identifier une machine par un nom
représentatif de la machine et du réseau sur lequel elle se
trouve.
• Le système est mis en œuvre par une base de données
distribuée au niveau mondial.
• DNS fournit un niveau d’adressage indirect entre un nom
d’hôte et sa localisation géographique
53
Fonctionnalités du service DNS
• Espace des noms de domaines = arborescence hiérarchique
– Arborescence indépendante de la topologie réseau et|ou de la géographie
• Architecture de stockage distribuée
– Zones affectées à des serveurs de noms dans l’arborescence hiérarchique
– Serveurs de sauvegarde pour la redondance et la disponibilité
• Administration répartie suivant la hiérarchie des noms
– Rôle le plus simple : client DNS ou ’Resolver’
• Protocole client/serveur communicant sur le port n° 53
– Protocole UDP utilisé par les clients
– Protocole TCP préconisé pour les échanges entre serveurs
54

28. 31/03/2011
28
Hiérarchie des noms de domaines
• Arborescence limitée à 128 niveaux
• Un domaine est un sous-ensemble de l’arborescence
• Aucune possibilité de doublon
– hôte : cooper, domaine : ups-tlse, gTLD : fr
– Fully Qualified Domain Name : cooper.ups-tlse.fr
• Conventions sur les noms de domaines
• Top Level Domains (TLD)
– .com, .net, .org, .edu, .mil, .gov, .int, .biz
• Geographical Top Level Domains (gTLD)
– .tn, .de, .fr, .uk, .jp, .au
• Nom du Domain: chaque nœud possède une étiquette (label): max 63 caract.
– Hôte: correspond à une machine
55
DNS
• Hiérarchie des serveurs
• Serveurs «distribués» dans l’arborescence hiérarchique
– Un serveur ne maintient qu’un sous-ensemble de l’arborescence
– On parle d’autorité sur une zone : ’Authoritative Name Server’
• Chaque serveur contient tous les enregsitrements d’hôtes dans
«sa» zone
– Enregistrement = Resource Record (RR)
• Chaque serveur a besoin de connaître les autres serveurs
responsables des autres parties de l’arborescence
– Chaque serveur connaît la liste des ’Root Servers’
– Chaque ’Root Server’ connaît tous les TLDs et gTLDs
– Un serveur racine peut ne pas connaître le serveur qui a autorité sur une
zone
– Un serveur racine peut connaître un serveur intermédiaire à contacter
pour connaître le serveur qui a autorité sur une zone
56

29. 31/03/2011
29
Exemple de requête DNS
• Requête du poste Asterix : Adresse IP du site
www.stri.net ?
– Asterix contacte le serveur local Cooper.ups-
tlse.fr
– Cooper.ups-tlse.fr contacte un serveur racine :
J.ROOT-SERVERS.NET
– J.ROOT-SERVERS.NET contacte un serveur du
domaine ’.net’ : G.GTLD-SERVERS.NET
– G.GTLD-SERVERS.NET contacte le serveur qui a
autorité sur la zone ’stri.net’ : full1.gandi.net
– Cooper.ups-tlse.fr renvoie la réponse vers Asterix
• Gestion du cache
– Cooper.ups-tlse.fr conserve la réponse dans son
cache
– Cooper.ups-tlse.fr répond directement à toute
nouvelle requête DNS www.stri.net
57
• En mode interactif, on peut sélectionner le type de requête à l'aide de la
commande « set type=RR ». Exemple: « nslookup www.univ-evry.fr
194.199.90.1 »
• En mode non interactif, on le précise avec l'option « -query-type=RR ».
– Exemple: pour obtenir les serveurs dns de la zone univ-evry.fr: « nslookup -query-
type NS univ-evry.fr ».
• Le tableau suivant,extrait de la documentation de windows Xp indique les
types possibles :
– A Spécifie l'adresse IP d'un ordinateur.
– ANY Spécifie tous les types de données.
– CNAME Spécifie un nom canonique d'alias.
– GID Spécifie un identificateur de groupe d'un nom de groupe.
– HINFO Spécifie le type de système d'exploitation et d'unité centrale d'un
ordinateur.
– MB Spécifie un nom de domaine d'une boîte aux lettres.
– MG Spécifie un membre d'un groupe de messagerie.
– MINFO Spécifie des informations sur une liste de messagerie ou une boîte aux
lettres.
– MR Spécifie le nom de domaine de la messagerie renommée.
– MX Spécifie le serveur de messagerie.
– NS Spécifie un serveur de noms DNS pour la zone nommée.
• Exercice: Utilisez la commande nslookup pour obtenir les informations
correspondant au nom de la machine qui a comme adresse ip 192.168.202.2
58

30. 31/03/2011
30
• FQDN : Full Qualified Domain Name
Le nom complet d'un hôte, sur l'Internet, c'est-à-dire de la machine jusqu'au
domaine, en passant par les sous-domaines.
• URL : Uniform Resource Locator
C'est la méthode d'accès à un document distant. Un lien hypertexte avec une
syntaxe de la forme:
<Type de connexion>://<FQDN>/[<sous-répertoire>]/.../<nom du document>
Exemple: http://www.ac-aix-marseille.fr/bleue/francais/nouveau.htm
– http: Hyper Text Transfert Protocol
– www.ac-aix-marseille.fr: FQDN du serveur de pages personnelles
– /bleue/francais/: arborescence de répertoires
– nouveau.htm: nom du document.
• URI : Universal Resource Identifier.
c'est la même chose que l'URL. Le W3C (World Wide Web Consortium), garant de
l'universalité de l'Internet, voudrait voir abandonner URL au profit d'URI. Notez la
très subtile divergence de sens, qui vaut bien, le changement.
59
DNSSEC
• Implémentation de DNSSEC sous Windows 2008
serveur coté serveur:
– Distribution des « trust anchors » ;
– Déploiement des certificats pour les serveurs DNS ;
– Déploiement de la politique de sécurité d’IPSEC sur le
Serveur DNS ;
– Déploiement de la politique de sécurité d’IPSEC sur un
poste client
• http://www.labo-microsoft.org/articles/DNSSECPRES/3/Default.asp
– Déployer les certificats pour l’authentification du Serveur DNS
60

31. 31/03/2011
31
Dynamic Host Configuration Protocol
• Objectifs : obtenir automatiquement tous les
paramètres de configuration réseau
– @ IP
– Adresse de diffusion
– Masque réseau
– Passerelle par défaut
– Domaine DNS
– Adresse IP du serveur de noms DNS
• Dynamic Host Configuration Protocol (DHCP)
– Service Internet => couche application
– RFCs 2131 et 2132 en 1997
– Communications sur les ports UDP 67 (côté client) et le 68
(côté serveur)
61
DHCP
• L’ @ IP est allouée selon les critères suivants:
– Ne pas être déjà allouée à une autre station
– La même station reçoit toujours la même adresse
– Cette adresse est allouée pendant une période
déterminée (bail)
– Le client vérifie la validité de l’@
62

32. 31/03/2011
32
DHCP Discover
63
Client DHCP envoie une trame "DHCPDISCOVER", destinée à
trouver un serveur DHCP. Cette trame est un "broadcast", donc
envoyé à l'adresse 255.255.255.255. N'ayant pas encore d‘@
IP, il fournit aussi son @ MAC
Les Commandes DHCP
• Client DHCP envoie une trame "DHCPDISCOVER", destinée à trouver un serveur
DHCP. Cette trame est un "broadcast", donc envoyé à l'adresse 255.255.255.255.
N'ayant pas encore d‘@ IP, il fournit aussi son @ MAC
• Le serveur DHCP qui reçoit cette trame va répondre par un "DHCPOFFER". Cette
trame contient une proposition de bail et la @-MAC du client, avec également
l‘@ IP du serveur.
• Le client répond par un DHCPREQUEST au serveur pour indiquer qu’il accepte
l’offre
• Le serveur DHCP Concerné répond définitivement par un DHCPACK qui constitue
une confirmation du bail. L'adresse du client est alors marquée comme utilisée et
ne sera plus proposée à un autre client pour toute la durée du bail.
64

33. 31/03/2011
33
Serveur DHCP
• Le serveur DHCP maintient une plage d‘@ à distribuer à ses clients.
Il tient à jour une BD des @ déjà utilisées et utilisées il y a peu
(c.a.d que l'on récupère souvent la même @, le DHCP ayant horreur
des changements )
• Lorsqu'il attribue une adresse, il le fait par l'intermédiaire d'un bail.
Ce bail a normalement une durée limitée
• Après expiration du bail, ou résiliation par le client, les informations
concernant ce bail restent mémorisées dans la BD du serveur
pendant un certain temps. Bien que l'adresse IP soit disponible, elle
ne sera pas attribuée en priorité à une autre machine. C'est ce qui
explique que l'on retrouve souvent la même adresse d'une session
à l'autre.
65
Détails sur le bail
• Dans le bail, il y a non seulement une @ IP pour le client,
avec une durée de validité, mais également d'autres
informations de configuration comme:
– L‘@ d'un ou de plusieurs DNS (Résolution de noms)
– L‘@ de la passerelle par défaut
– L‘@ du serveur DHCP
• le client peut renouveler le bail, en s'adressant
directement au serveur qui le lui a attribué. Il n'y aura
alors qu'un DHCPREQUEST et un DHCPACK.
66

34. 31/03/2011
34
Avantages
• L'avantage de DHCP réside essentiellement dans
la souplesse de configuration des hôtes :
– allocation dynamique des adresses avec réduction
des risques de conflit
– définition d'un nombre important de paramètres
(masque de SR, passerelle par défaut...)
– possibilité d'avoir plus d'hôtes que d'adresses.
67
Inconvénients
• Sur un réseau constitué de plusieurs SR, interconnecté par des
routeurs, DHCP présente une limitation d'utilisation. Le
mécanisme de fonctionnement utilise des broadcasts qui ne
passent pas les routeurs.
• Puisque requête de diffusion ne passe pas par un routeur, un
client DHCP ne pourra pas recevoir d'adresse DHCP d'un
serveur situé derrière un routeur.
• Dans ce cas:
– installer un serveur DHCP par SR
– installer un agent relais DHCP. Un agent relais DHCP présent sur le
réseau du poste client peut transmettre la requête au(x) serveur(s)
DHCP
68

35. 31/03/2011
35
Accès à distance Telnet
• Protocole très utilisé pour l’accés à distance (tests d’application réparties,
tests de fonctionnement en mode manuel des protocoles HTTP, SMTP,..)
• Permet de se connecter à une machine distante
• Accès à distance Telnet:
– Le client Telnet transmet les caractères entrés sur le terminal local vers le serveur
distant
– Le fonctionnement est bidirectionnel: on supporte le même échange dans les 2
sens
– Ex: Client Telnet :
• Telnet <site distant> <port>
Telnet 192.168.19.100 23 commande permet la création d’une connexion
TCP avec le serveur de la machine distante
Le serveur Telnet: Le serveur s’exécute sur la machine distante sinon le service n’est
pas disponible
69
TCP
IP
Client Telnet
TCP
IP
Serveur Telnet
SNMP
(Simple Network Management Protocol)
SNMP permet de:
Visualiser une quantité impressionnante
d’informations concernant le matériel, les
connexions réseau, leur état de charge.
Modifier le paramétrage de certains composants.
Alerter l’administrateur en cas d’événement
grave.
70

36. 31/03/2011
36
Le concept SNMP
• Protocole d'administration de machine
supportant TCP/IP
– Conçu en 87-88 par des administrateurs
de réseau
• Permet de répondre à un grand
nombre de besoins :
– disposer d'une cartographie du réseau
– fournir un inventaire précis de chaque
machine
– mesurer la consommation d'une
application
– signaler les dysfonctionnements
• Avantages :
– protocole très simple, facile d'utilisation
– permet une gestion à distance des
différentes machines
– le modèle fonctionnel pour la
surveillance et pour la
– gestion est extensible
– indépendant de l'architecture des
machines administrées
71
Le Modèle SNMP
• L'utilisation de SNMP suppose que tous les agents et
les stations d'administration supportent IP et UDP.
– Ceci limite l'administration de certains périphériques qui
ne supportent pas la pile TCP/IP. De plus, certaines
machines (ordinateur personnel, station de travail,
contrôleur programmable, ... qui implantent TCP/IP pour
supporter leurs applications, mais qui ne souhaitent pas
ajouter un agent SNMP.
=> utilisation de la gestion mandataire (les proxies)
• Un protocole activé par une API permet la
supervision, le contrôle et la modification des
paramètres des éléments du réseau.
72

37. 31/03/2011
37
Le modèle SNMP
• Une administration SNMP est composée de trois types d'éléments:
– La station de supervision (appelée aussi manager) exécute les applications de
gestion qui contrôlent les éléments réseaux. Physiquement, la station est
un poste de travail. Station de gestion capable d’interpreter les données
– La MIB (Management Information Base) est une collection d'objets résidant
dans une base d'information virtuelle. Ces collections d'objets sont définies
dans des modules MIB spécifiques.
– Le protocole, qui permet à la station de supervision d'aller chercher les
informations sur les éléments de réseaux et de recevoir des alertes
provenant de ces mêmes éléments.
73
74

38. 31/03/2011
38
Les types de requêtes:
• 4 types de requêtes: GetRequest, GetNextRequest, GetBulk,
SetRequest.
– La requête GetRequest permet la recherche d'une variable sur un agent.
– La requête GetNextRequest permet la recherche de la variable suivante.
– La requête GetBulk permet la recherche d'un ensemble de variables regroupées.
– La requête SetRequest permet de changer la valeur d'une variable sur un agent.
• Les réponses de SNMP
À la suite de requêtes, l'agent répond toujours par GetResponse. Toutefois si la
variable demandée n'est pas disponible, le GetResponse sera accompagné d'une
erreur noSuchObject.
• Les alertes (Traps, Notifications)
Les alertes sont envoyées quand un événement non attendu se produit sur
l'agent. Celui-ci en informe la station de supervision via une trap. Les alertes
possibles sont: ColdStart, WarmStart, LinkDown, LinkUp, AuthentificationFailure.
75
Les commandes SNMP
76
• Les commandes get-request, get-next-request et set-request sont toutes émises
par le manager à destination d'un agent et attendent toutes une réponse get -
response de la part de l'agent.
• La commande trap est une alerte. Elle est toujours émise par l'agent à
destination du manager, et n'attend pas de réponse.

39. 31/03/2011
39
MIB
• La MIB (Management Information base) est la base de données des
informations de gestion maintenue par l'agent, auprès de laquelle
le manager doit s’informer.
• 2 MIB publics ont été normalisées: MIB I et MIB II
• Un fichier MIB est un document texte écrit en langage ASN.1
(Abstract Syntax Notation 1) qui décrit les variables, les tables et les
alarmes gérées au sein d'une MIB.
• La MIB est une structure arborescente dont chaque nœud est
défini par un nombre ou OID (Object Identifier).
Elle contient une partie commune à tous les agents SNMP d'un
même type de matériel et une partie spécifique à chaque
constructeur. Chaque équipement à superviser possède sa propre
MIB.
77
Structure de la MIB
78

40. 31/03/2011
40
La MIB (Management Information Base)
• MIB = Collection structurée d’objets
– chaque noeud dans le système doit
maintenir une MIB qui reflète l'état des
ressources gérées
– une entité d'administration peut accéder
aux ressources du noeud en lisant les
valeurs de l'objet et en les modifiant.
79
L’arborescence MIB:
Les informations stockées dans la MIB
sont rangées dans une arborescence. MIB
dispose d'objets supplémentaires.
Elle constitue une branche du groupe
iso.org.dod.internet.mgmt.
Groupe Commentaires
system Informations générales sur le système.
interfaces Informations sur les interfaces entre le systèmes et les sous-réseaux.
at Table de traduction des adresses entre internet et les sous-réseaux.
ip
Informations relatives à l'implantation et à l'éxécution d'IP (Internet
Protocol).
icmp
Informations relatives à l'implantation et à l'éxécution de ICMP
(Internet Control Message Protocol).
tcp
Informations relatives à l'implantation et à l'éxécution de TCP
(Transmission Control Protocol).
udp
Informations relatives à l'implantation et à l'éxécution de UDP (User
Datagram Protocol).
egp
Informations relatives à l'implantation et à l'éxécution de EGP
(Exterior Gateway Protocol).
transmission
Informations sur la transmission et sur les protocoles utilisés par
chaque interface.
snmp Informations relatives à l'implantation et à l'éxécution de SNMP.80

41. 31/03/2011
41
Object identifier
• Les variables de la MIB-2 sont identifiées par le chemin
dans l'arborescence, noté de deux façons:
• à l'aide des noms de groupes : iso.org.dod
• à l'aide des numéros des groupes: 1.3.6.
• Les identifiants sont définis à l'aide du langage SMI. Ex:
Définition SMI
Notation par
"point"
Notation par nom
mgmt OBJECT IDENTIFIER ::= { internet
2 }
1.3.6.1.2 iso.org.dod.internet.mgmt
mib OBJECT IDENTIFIER ::= { mgmt 1 } 1.3.6.1.2.1 iso.org.dod.internet.mgmt.mib
interfaces OBJECT IDENTIFIER ::= { mib
2 }
1.3.6.1.2.1.2
iso.org.dod.internet.mgmt.mib.
interface
81
Ex: On utilisera l'OID (Object Identification) qui désigne l'emplacement de la variable à
consulter dans la MIB. On aura par ex. sur un commutateur Nortel Passport l'OID
.1.3.6.1.4.1.2272.1.1.20 désignant le taux de charge du CPU.
Fonctions assurées
Primitives Descriptions
GetRequest le manager demande une information à l'agent
GetNextRequest le manager demande l'information suivante à l'agent
SetRequest le manager initialise une variable de l'agent
GetResponse l'agent retourne l'information à l’administrateur
Trap interruption - l'agent envoie une information à l’administrateur
82

42. 31/03/2011
42
83
La sécurité des réseaux
84

43. 31/03/2011
43
Introduction à la sécurité
• La sécurité d'un réseau est un niveau de garantie que
l'ensemble des machines du réseau fonctionnent de
façon optimale et que les utilisateurs possèdent
uniquement les droits qui leur ont été octroyés
• Il peut s'agir :
– d'empêcher des personnes non autorisées d'agir sur le système
de façon malveillante
– d'empêcher les utilisateurs d'effectuer des opérations
involontaires capables de nuire au système
– de sécuriser les données en prévoyant les pannes
– de garantir la non-interruption d'un service
85
Les causes d’insécurité
• On distingue généralement deux types d'insécurité
:
– l'état actif d'insécurité: la non-connaissance par
l'utilisateur des fonctionnalités du système, dont
certaines pouvant lui être nuisibles (ex: la non-
désactivation de services réseaux non nécessaires à
l'utilisateur), ou lorsque l'administrateur (ou
l'utilisateur) d'un système ne connaît pas les dispositifs
de sécurité dont il dispose
– l'état passif d'insécurité
86

44. 31/03/2011
44
Menaces de sécurité
• Attaques passives:
• Capture de contenu de message et analyse de trafic
• écoutes indiscrètes ou surveillance de transmission
• Attaques actives:
• Mascarade,
• modifications des données,
• déni de service pour empêcher l’utilisation normale ou la gestion
de fonctionnalités de communication
87
Le but des agresseurs
• Les motivations des agresseurs que l'on appelle "pirates" peuvent
être multiples :
– l'attirance de l'interdit
– le désir d'argent (ex: violer un système bancaire)
– le besoin de renommée (impressionner des amis)
– l'envie de nuire (détruire des données, empêcher un système de fonctionner)
• Le but des agresseurs est souvent de prendre le contrôle d'une
machine afin de pouvoir réaliser les actions qu'ils désirent. Pour cela il
existe différents types de moyens :
– l'obtention d'informations utiles pour effectuer des attaques
– utiliser les failles d'un système
– l'utilisation de la force pour casser un système
88

45. 31/03/2011
45
Le Hacking (attaques)
• C’est l’ensemble des techniques visant à attaquer un réseau un site
ou un équipement
• Les attaques sont divers on y trouve:
– L’envoie de bombe logiciel, chevaux de Troie
– La recherche de trou de sécurité
– Détournement d’identité
– Les changements des droits d’accès d’un utilisateur d’un PC
– Provocation des erreurs
• Les buts d’un Hacker:
– La vérification de la sécurisation d’un système
– La vol d’informations, terrorisme (Virus), espionnage
– Jeux; pour apprendre
• Les attaques et les méthodes utilisées peuvent être offensives ou passives:
– Les attaques passives consistent à écouter une ligne de communication et à interpréter les
données qu’ils interceptent et Les attaques offensives peuvent être regrouper en :
– Les attaques directes: c’est le plus simple des attaques, le Hacker attaque directement sa victime à
partir de son ordinateur. Dans ce type d’attaque, il y a possibilité de pouvoir remonter à l’origine de
l’attaque et à identifier l’identité du Hacker
– Les attaques indirectes (par ruban): passif, cette attaque présente 2 avantages:
– Masquer l’identité (@ IP du Hacker)
– Éventuellement utiliser les ressources du PC intermédiaire
89
Les Menaces: Contexte général
90

46. 31/03/2011
46
Attaques,services et mécanismes
• L’administrateur doit tenir compte des 3 aspects de la
sécurité de l’information:
– Service de sécurité: pour contrer les attaques de sécurité et
améliorer la sécurité des SI
– Mécanisme de sécurité: pour détecter, prévenir ou rattraper une
attaque de sécurité
• Usage des techniques cryptographiques
– Protéger contre Attaque de sécurité: une action qui compromet la
sécurité de l’information possédé par une organisation
• Obtenir un accès non-autorisé, modifier,
91
Les menaces
92

47. 31/03/2011
47
93
Même le site de CIA a été attaqué …!
94
Même …..

48. 31/03/2011
48
95
Problèmes de sécurité
• Les problèmes de sécurité des réseaux peuvent être
classés en 4 catégories:
– La confidentialité: seuls les utilisateurs autorisés peuvent
accéder à l’information
– Contrôle d’intégrité: comment être sûr que le message reçu
est bien celui qui a été envoyé (celui-ci n’a pas été altéré et
modifié)
– L’authentification: avoir la certitude que l’entité avec laquelle
on dialogue est bien celle que l’on croit
– Non-répudiation: concerne les signatures
96

49. 31/03/2011
49
Objectifs de la sécurité
• Identification indique qui vous prétendez être (username)
• Authentification valide l’identité prétendue (password)
• Autorisation détermine les actions et ressources
auxquelles un utilisateur identifié et autorisé a accès
• Non-répudiation garantie qu’un message a bien été
envoyé par un émetteur authentifié
• Traçabilité permet de retrouver les opérations réalisées
sur les ressources (logs)
97
Les services de sécurité
– Confidentialité des messages transmis: est la protection contre les
attaques passives
– Authentification des interlocuteurs: pour assurer que le
destinataire reçoive le msg d’origine émis par la source
– Intégrité et non répudiation des messages: assure que les
messages envoyés seront aussitôt reçus sans duplication ni
modification
– Non-répudiation: empêche tant l’expéditeur que le receveur de
nier avoir transmis un message. Ainsi que le message envoyé a été
bien reçu
– Disponibilité et contrôle d’accès (les personnes doivent pouvoir
s’échanger des messages): est la faculté de limiter et de contrôler
l’accès aux systèmes et aux applications (droits d’accès)
98

50. 31/03/2011
50
• confidentialité : Protection de l’information d’une divulgation non
autorisée
• l'intégrité : Protection contre la modification non autorisée de
l’information
• Disponibilité : S’assurer que les ressources sont accessibles que par
les utilisateurs légitimes
• Authentification
– Authentification des entités (entity authentication) procédé permettant à une
entité d’être sûre de l’identité d’une seconde entité à l’appui d’une évidence
corroborante (certifiant, ex.: présence physique, cryptographique, biométrique,
etc.). Le terme identification est parfois utilisé pour désigner également ce
service.
– Authentification de l’origine des données (data origine authentication) procédé
permettant à une entité d’être sûre qu’une deuxième entité est la source
original d’un ensemble de données. Par définition, ce service assure également
l’intégrité de ces données.
• non-répudiation: Offre la garantie qu’une entité ne pourra pas nier
être impliquée dans une transaction
• Non-Duplication: Protection contre les copie illicites
99
Dangers et Attaques
Services Dangers Attaques
Confidentialité fuite d’informations masquerade, écoutes
illicites, analyse du trafic
Intégrité modification de
l’information
création, altération ou
destruction illicite
Disponibilité denial of service,
usage illicite
virus, accès répétés visant à
inutiliser un système
Auth. d’entités accès non autorisés masquerade, vol de mot de
passe, faille dans le
protocole d’auth.
Auth. de
données
falsification
d’informations
falsification de signature,
faille dans le protocole
d’auth.
Non-répudiation nier la participation à
une transaction
prétendre un vol de clé ou
une faille dans le protocole
de signature
Non-duplication duplication falsification, imitation
100

51. 31/03/2011
51
Services Mécanismes classiques Mécanismes digitaux
Confidentialité scellés, coffre-forts,
cadenas
cryptage, autorisation
logique
Intégrité encre spéciale,
hologrammes
fonctions à sens unique +
cryptage
Disponibilité contrôle d’accès physique,
surveillance vidéo
contrôle d’accès logique,
audit, anti-virus
Auth. d’entités présence, voix, pièce
d’identité, reconnaissance
biométrique
secret + protocole d’auth.,
adresse réseau + userid
carte à puce + PIN
Auth. de
données
sceaux, signature, empreinte
digitale
fonctions à sens unique +
cryptage
Non-
répudiation
sceaux, signature, signature
notariale, envoi
recommandé
fonctions à sens unique +
cryptage + signature digitale
Non-
duplication
encre spéciale,
hologrammes, tatouage
tatouage digital
(watermarks), verrouillage
cryptographique 101
Mécanismes de protection
Problématique: Authentification
102
But: Bob veut prouver son identité à Alice
 rencontre physique : son apparence
 au téléphone : sa voie
 à la douane : son passeport
 Intégrité des messages
 Signatures électroniques

52. 31/03/2011
52
Cryptographie:
La science du secret !!
103
Cryptographie
• Définition
– Science du chiffrement
– Meilleur moyen de protéger une information = la rendre illisible ou
incompréhensible
• Bases
– Une clé = chaîne de nombres binaires (0 et 1)
– Un Algorithme = fonction mathématique qui va combiner la clé et le
texte à crypter pour rendre ce texte illisible
104

53. 31/03/2011
53
Encryption Process
105
Quelques définitions
• Cryptage: permet l’encodage des informations. Il
interdit la lecture d’informations par des personnes
non autorisées
• On distingue 2 procédés de cryptage:
– Procédés de transposition, qui modifie la succession des
caractères à l’aide d’un algorithme.
– Procédés de substitution, qui remplace les caractères
d’origine par d’autres prélevés dans une liste
– Règle ou clé de cryptage s’appelle Code
– Ex: PGP (Pretty Good Privacy): progr. Destiné au cryptage
des messages électroniques (conçu par Philip
Zimmermann 1991)
• Cryptanalyse: analyse de données cryptées
106

54. 31/03/2011
54
Application de la cryptographie
• Commerce électronique
• Protection de la confidentialité de correspondance
• Protection des bases de données contre les intrusions
et la dé vulgarisation à des tiers non autorisés
• Transmission sécurisée des données sensibles à travers
les réseaux internationaux
Preuve informatique: Identification et authentification
107
Cryptographie
• Ensemble de processus de cryptage visant à protéger les
données contre l’accès non autorisés
• Repose sur l’emploi des formules mathématiques et des
algorithmes complexes afin de coder l’information
• Il existe 2 systèmes de cryptographie:
– Les systèmes symétriques: la même clé utilisé pour coder et
décoder (DES: Data Encryption standard))
– Les systèmes asymétriques: la clé qui sert à coder est différente
de celle qui peut déchiffrer (RSA:Rivest Shamir Adelmann 77)
108

55. 31/03/2011
55
Principe de cryptage
• Tout système de cryptage est composé d’un
algorithme de codage
• La Crypt. nécessite 2 fonctions essentielles:
– Le message M est crypté par une fonction de cryptage
E(M)=C
– Le cryptogramme C est décrypté par le destinataire
par une fonction de décryptage D(C)=D(E(M)) = M
109
Système de chiffrement
• Définition: Un système de chiffrement ou crypto système est un 5-
tuple (P,C,K,e,D) ayant les propriétés suivantes:
– 1. P est un ensemble appelé l’espace des messages en clair. Un
élément de P s’appelle message en clair (Plaintext)
– 2. C est un ensemble appelé l’espace des messages chiffrés. Un
élément de C s’appelle un message chiffré ou cryptogramme
(cyphertext)
– 3. K est un ensemble appelé l’espace des clés, ses éléments sont
les clés.
– 4. e={ek : k Є K } est une famille de fonctions:
• ek : P  C, ses éléments sont les fonctions de chiffrement
– 5. D={Dk : k Є K } est une famille de fonctions
• Dk : C  P, ses éléments sont les fonctions de déchiffrement
– 6. A chaque clé e Є K est associé une clé d Є K/
• D d (ee(p))=p pour tout message p Є P
110

56. 31/03/2011
56
• Alice utilise un système de chiffrement pour envoyer un message
confidentiel m à Bob. Elle utilise la clé de chiffrement e et Bob utilise
la clé de déchiffrement d qui lui correspond.
• Alice calcule C= Ee(m) et l’envoie à Bob qui reconstitue m=
Dd(C), en gardant la clé de chiffrement secrète
– Ex: l’alphabet: A B C … Z et 0 1 2 … 25
– Correspondance entre lettres et nombres, la fonction de
chiffrement Ee associé à e Є Z26 est:
• Ee: x  (x+e) mod 26
• Dd: x  (x-d) mod 26 lorsque d=e cryptage symétrique.
– Exemple: En appliquant le chiffre de César, au mot
CRYPTOGRAPHIE, la clé e = 5, fournit le cryptogramme
suivant : HWDUYTLWFUMNJ qui est facile à casser.
111
Cryptographie
Chiffrement Symétrique
• Les Algorithmes utilisant ce système :
– DES (Data Encryption Standard, très répandu) : les données sont
découpées en blocs de 64 bits et codées grâce à la clé secrète de 56
bits propre à un couple d’utilisateurs
– IDEA, RC2, RC4
• Avantage :
– Rapide
• Inconvénients :
– Il faut autant de paires de clés que de couples de correspondants
– La non-répudiation n’est pas assurée. Mon correspondant possédant
la même clé que moi, il peut fabriquer un message en usurpant mon
identité
– Transmission de clé
112

57. 31/03/2011
57
Ex. de Chiffrement à clé symétrique
• Encryptage par substitution
– Époque romaine (Code de César)
• Texte en clair : abcdefghijklmnopqrstuvwxyz
• Texte crypté : mnbvcxzasdfghjklpoiuytrewq
113
Exemple :
Texte en clair: bob. i meat you. alice
Texte crypté: nkn. s hcmu wky. mgsbc
Difficulté ?
1026 combinaisons possibles.... mais par l'utilisation de règles
statistiques
on trouve facilement la clé ...
... naissance il y a 500 ans du chiffrement polyalphabétique
Algorithmes de cryptographie
• Par substitution
– On change les lettres suivant
une règle précise (ex: A → D la
clé est : 3)
• Par Transposition
– La position des caractères est
modifiée. Pour crypter un
message on l’écrit en colonne
de taille fixe et on lit les
colonnes
– Ex: Nombre de colonne ici 6
– Texte crypté:
TRLFAOREFMDSNZOCAZIASPZT
NU..
B R I Q U E S
1 5 3 4 7 2 6
T R A N S F E
R E Z U N M I
L L I O N D E
F R A N C S D
A N S M O N C
O M P T E Z E
R O Z E R O S
E P T A B C D
114

58. 31/03/2011
58
Table de Vigenère
115
Exemple
116
C R Y P T O G R A P H I E
M A T M A T M A T M A T M
O ? ? ? ? ? ? ? ? ? ? ? ?

59. 31/03/2011
59
Chiffrement de Vigenère
• Le chiffre de Vigenère est la première méthode de chiffrement
poly alphabétique, c'est à dire qui combine deux alphabets pour
crypter une même lettre.
• Ce chiffrement introduit la notion de clé, qui se présente
généralement sous la forme d'un mot ou d'une phrase. Pour
pouvoir chiffrer notre texte, à chaque caractère nous utilisons
une lettre de la clé pour effectuer la substitution
• Mathématiquement, on considère que les lettres de l'alphabet
sont numérotées de 0 à 25 (A=0, B=1 ...). La transformation lettre
par lettre se formalise simplement par :
– Chiffré = (Texte + Clé) mod 26
117
Chiffrement à clé symétrique: DES
• Data Encryption Standard (1977 par IBM)
• Principe :
– découpe le message en clair en morceau de
64 bits auxquelles on applique une
transposition
– clé de 64 bits (56 bits de clé + 8 bits de parité
impaire)
• Difficulté et limites?
– concours organisé par RSA Data Security
1997 : 4 mois pour casser le code DES 56 bits en
brute force par des amateurs
1999 : 22 h pour casser DESIII
• solution pour le rendre plus sur .... Passer
l'algorithme DES plusieurs fois sur le message
avec à chaque fois des clés différentes (ex : 3DES)
118

60. 31/03/2011
60
Schéma de 3DES:
119
La solution a été dans
l'adoption du triple DES:
trois applications de DES à la suite
avec 2 clés différentes
(d'où une clé de 112 bits)
DES (IBM 77)
• Data Encryption Standard
• Principe :
– découpe le message en clair en
morceau de 64 bits auxquelles on
applique une transposition
– clé de 64 bits (56 bits de clé+8 bits
de parité impaire)
120
La recherche exhaustive sur 56 bits
(256) est maintenant réaliste.
Mars 2007 : 6:4 j, COPACOBANA
(utilisation de FPGA) par l’université
de Bochum et Kiel (coût 10 000 $)

61. 31/03/2011
61
Cryptographie
Chiffrement Asymétrique
• Algorithmes utilisant ce système :
– RSA (Rivest, Shamir, Adelman)
– DSA
– El-Gamal
– Diffie-Helmann
• Avantage :
– pas besoin de se transmettre les clés au départ par un autre
vecteur de transmission.
• Inconvénient :
– Lenteur
121
Algorithme RSA
122
• Développé par: Ron Rivest, Adi Shamir et Leonard Adleman
en 1977 repose sur des fonctions mathématique
Le RSA est un système qui repose
intégralement sur la difficulté de factoriser
de grands nombres entiers (au moins 100 chiffres actuellement).

62. 31/03/2011
62
Cryptographie à clé publique: RSA
• Ron Rivest, Adi Shamir et Leonard Adleman (Développé en 1977
repose sur des fonctions math. De puissance et exponentielles
appliqués aux grands nombres)
• Algorithme de sélection des clés :
– 1) Sélection de 2 grands nombres premiers p et q (1024 bit par ex)
– 2) Calculer n=pq et z=(p-1)(q-1)
– 3) Choisir un e (e<n) qui n'a pas de facteur commun avec z. (e et z
premier entre eux)
– 4) Trouver un d tel que ed-1 est exactement divisible par z (ed
mod z =1)
– 5) Clé public est : (n,e) Clé privé est : (n,d)
123
Ex: RSA, chiffrement, déchiffrement
• 1) Clé public est : (n,e) Clé privé est : (n,d)
• 2) Alice veut envoyer un nombre m à Bob : c = me mod n
• 3) Bob reçoit le message c et calcule : m = cd mod n
• Exemple :
• p = 5, q = 7 donc n = 35 et z = 24
• Bob choisit e = 5 et d = 29
• ALICE : (chiffrement) m = 12 me=248832 et c = me mod n = 17
• BOB : (déchiffrement) c = 17 , m = cd mod n = 12
• Clé public est : (35, 5)
• Clé privé est : (35, 29)
124

63. 31/03/2011
63
Logiciel de chiffrement PGP
• PGP (Pretty Good Privacy) était
considéré aux USA, comme une
arme et interdit à l'exportation
• L'algorithme utilisé par PGP, le
RSA, permet de chiffrer des
informations de manière
tellement efficace qu'aucun
gouvernement n'est en mesure
d'en lire le contenu.
• Comme toute invention
"dangereuse", incontrôlable et
susceptible d'être utilisée
contre la mère-patrie, le
gouvernement américain en a
interdit l'exportation et a classé
PGP et le RSA dans la catégorie
"armes".
• Le code est écrit en Perl
125
• Cette restriction à l'exportation de la cryptographie a eu
diverses conséquences:
– Pendant longtemps, les navigateurs tels qu'Internet Explorer ont
été limités à 40 bits pour tous les "étrangers". Seuls les
américains pouvaient télécharger la version 128 bits.
– Si on ajoute à cela que l'algorithme RSA était breveté jusqu'en
septembre 2000, il n'en a pas fallu plus aux internautes pour
créer GPG (Gnu Privacy Guard), un logiciel compatible avec PGP
et utilisant Diffie-Hellman à la place de RSA, et hors de contrôle
du gouvernement américain puisque créé en Europe.
126

64. 31/03/2011
64
How PGP encryption works?
127
How PGP decryption works?
128

65. 31/03/2011
65
Chiffrement du message avec PGP
129
- Il génère lui même une clé aléatoire (c’est la clé de
session).
- Il chiffre le message avec la clé de session selon un
algorithme à clé privé (DES par exemple)
- Il chiffre la clé de session grâce à l’algorithme à clé
publique (RSA par exemple) avec la clé publique du
destinataire.
-Il assemble message chiffré et clé chiffrée en un message
prêt à l’expédition.
-..MM-sécuritéTDLe logiciel PGP.htm
130
Algorithme de chiffrement asymétrique:
Diffie Hellman
Algorithme de sécurisation des échanges des clés
Apparition suite au problème de l’échange des clés de la
cryptographie symétrique (coursier malhonnête)
Alice veut transmettre une clé à Bob pour pouvoir échanger un
document confidentiel
Alice chiffre une clé par une autre clé gardée secrète
Alice envoie la clé chiffrée à Bob
Bob surchiffre la clé chiffrée avec sa clé secrète puis la transmet
à Alice
Alice opère alors un déchiffrement de sa partie du chiffrement de
la clé et l’envoie a Bob
Bob déchiffre la clé chiffrée avec sa clé secrète
Ils disposent ainsi tous les deux d’une clé qui n’a à
aucun moment circulé en clair

66. 31/03/2011
66
131
Ex. d’Algorithme de Diffie Hellman
132
Algorithme de Hachage
Usages de l’algorithme de hachage
Alice veut transmettre un document à Bob en lui garantissant
son intégrité
Alice calcule l’empreinte de son fichier et l’envoie
simultanément avec le document
Bob recalcule l’empreinte du document et la compare à
celle que lui a envoyé Alice
S’ils ne sont pas exacts c’est que Ève a intercepté le
document et l’a changé
Notons que le document échangé n’est pas chiffré
Ève peut prendre connaissance de son contenu

67. 31/03/2011
67
Authentification
Définition
• La personne à qui j'envoie un message crypté est-elle bien
celle à laquelle je pense ?
• La personne qui m'envoie un message crypté est-elle bien
celle à qui je pense ?
133
Authentification
Technique d’Identification
• Prouveur
– Celui qui s’identifie, qui prétend être…
• Vérifieur
– Fournisseur du service
• Challenge
– Le Vérifieur va lancer un challenge au prouveur que ce dernier doit
réaliser
134

68. 31/03/2011
68
Technique A Clé Publique
Principe
• Algorithme RSA = Réversible
– ((Mess)CPu)CPr = ((Mess)CPr)CPu
• Confidentialité
• Authentification
135
Comment savoir que le message n’a pas été altéré ?
 Fonction de hachage
algorithmes de hachage les plus utilisés:
MD5 (128 bits) et SHA (160 bits)
Signature électronique (1)
136

69. 31/03/2011
69
Pb du hachage : on n’est pas sûr de
l’expéditeur
 Scellement des données
Signature électronique (2)
137
138
Récapitulatif
Cryptographie symétrique répond au besoin de la
confidentialité
DES, 3DES, AES, Blowfish, RC2, RC4, RC5 et DEA
Diffie-Hellman répond au besoin de la confidentialité de
l’échange des clefs
Diffie Hellman Key Exchange
Algorithmes de hachage répond au besoin de l’intégrité
des documents
MD4, MD5 et SHA1
Cryptographie asymétrique répond au besoin de la
confidentialité, authentification et non-répudiation
RSA, ElGamal et DSA

70. 31/03/2011
70
Societé Mondiale de
l’Information“HACKERS”
(Challenge)
Criminalité organisée
(Outil d’escroquerie)
Terrorisme (“Warefare”)
(Arme)
Espionnage
(Outil)
Societé Mondiale des
Intrusions
Intenet = « Espace Sans Loi » + «Difficulté de retraçage»Impunité 139
Les virus
• Qu’est ce qu’un virus?
– Un petit programme ou un élément d'un programme,
développés à des fins nuisibles, qui s'installe secrètement sur des
ordinateurs et parasite des programmes.
• Certains virus, apparus récemment, sont très perfectionnés,
qui dans la plupart des cas, exploitent les erreurs commises
par les utilisateurs peu informés ou les failles des logiciels.
• Les utilisateurs à domicile ne sont pas les seuls à être
exposés au danger. Les entreprises et autres organisations
peuvent également être victimes d'attaques ciblées, menées
par des cybercriminels qui tirent parti d'informations
dérobées aux employés.
• Les traces
 Les virus infectent des applications, copient leur code dans ces
programmes. Pour ne pas infecté plusieurs fois le même fichier ils
intègrent dans l’application infectée une signature virale.
140

71. 31/03/2011
71
Qu’est ce qu’un ver
• Programme capable de se copier vers un autre
emplacement par ses propres moyens ou en
employant d'autres applications.
• Sert à dégrader les performances du réseau dans
une entreprise. Comme un virus, un ver peut
contenir une action nuisible du type destruction de
données ou envoi d'informations confidentielles.
• Ex: E-mail Worms
– un outil de collecte d'adresses e-mail dans la machine
infectée et un outil d'envoie du courrier électroniques
• IRC Worms
– zones de chat...,
– Ver est classé à "IRC Worm
141
Exemple : Koobface
• Ver informatique découvert en Novembre 2008 par McAfee, qui sévit sur
le site communautaireFacebook.
• Le ver Koobface se propage en envoyant des e-mails aux amis des
personnes dont l'ordinateur a été infecté, si l’utilisateur a la malheureuse
idée de télécharger le programme, son ordinateur va être infecté et
dirigera ses utilisateurs sur des sites contaminés lors de recherches sur
Google, Yahoo ou encore MSN.
• Il serait également capable de dérober des informations de nature
personnelle comme un numéro de carte de crédit.
• Une réaction officielle par la voix de Barry Schnitt, porte-parole de
Facebook a communiqué que : "quelques autres virus ont tenté de se
servir de Facebook de manière similaire pour se propager mais jamais
aussi important",
• Concernant la sécurité des informations personnelles de plus de 200
millions de personnes, une enquête au sein du FBI a été mise en place.
142

72. 31/03/2011
72
Les bombes logiques
• Les bombes logiques sont programmées
pour s'activer quand survient un événement
précis.
• De façon générale, les bombes logiques
visent à faire le plus de dégât possible sur le
système en un minimum de temps.
143
« Keylogger »:
• Un Keylogger est un programme parasite qui se
propage souvent grâce à des virus, vers ou spywares.
• Sa principale fonction est d'espionner toutes les
actions effectuées sur votre ordinateur (saisie au
clavier, ouverture d'applications, déplacement de
fichiers...).
• Les traces de ces actions sont stockées dans un
emplacement précis puis envoyées vers une boîte aux
lettres ou sur un site web. Certaines de vos données
les plus confidentielles peuvent ainsi vous être
soutirées à l'insu de votre plein gré.
144

73. 31/03/2011
73
Comment s’en protéger …??
• La plupart des keyloggers
sont maintenant reconnus
par les logiciels antivirus, à
condition que ceux-ci soient
correctement mis à jour.
• Certains keyloggers sont par
contre identifiés comme
spywares; le recours à un
logiciel antispyware est donc
nécessaire.
145
Spyware
 Les logiciels espions (spyware) : ils sont souvent
cachés dans certains graticiels (freeware, mais
pas dans les logiciels libres), partagiciels
(shareware) et pilotes de périphériques, pour
s'installer discrètement afin de collecter et
envoyer des informations personnelles à des
tiers.
 Ex: GATOR, appelé aussi GAIN (Gator Advertising
and Information Network) est un type de
spyware qui fournit l'option de se rappeler le
nom de l’utilisateur et les mots de passe.
 Soyez donc vigilants, Il peut aussi se présenter
sous la forme d'une fenêtre d'installation de
Plug-in sous Internet Explorer. Dans ce cas,
refusez catégoriquement...
 de logiciels connus pour embarquer un ou
plusieurs spywares : Babylon Translator,
GetRight, Go!Zilla, Download Accelerator, Cute
FTP, PKZip, KaZaA ou encore iMesh.
146

74. 31/03/2011
74
Phishing
• Appelé aussi l'hameçonnage peut se faire par courrier électronique, par
des sites Web falsifiés ou autres moyens électroniques
• C’est une technique utilisée par des fraudeurs pour obtenir des
renseignements personnels
• consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance
(ex: banque, administration, etc.) afin de lui soutirer des renseignements
personnels : mot de passe, numéro de carte de crédit, date de naissance, etc.
• forme d'attaque informatique reposant sur l'ingénierie sociale
147
Phishing
• Tout commence par la réception
d'un mail. Vous recevez de votre
banque, de votre fournisseur
d'accès ou d'un cyber marchant un
message de forme tout à fait
habituelle (avec le logo et les
couleurs de l'entreprise) vous
informant qu'un regrettable
incident technique a effacé vos
coordonnées.
• Vous êtes invité à cliquer sur un
lien vous menant au site de
l'entreprise en question pour
ressaisir soit votre numéro de carte
bleue, vos identifiants et mot de
passe de connexion. Vous êtes en
confiance et suivez attentivement
les consignes…
148

75. 31/03/2011
75
phishing = spam + mail spoofing + social engineering + URL
spoofing +…..
• La pratique du phishing consiste à attirer
l'internaute à l’aide d'e-mails non
sollicités (Spam) comme envoyés
d'adresses officielles (mail_spoofing),
incitant la victime, à cliquer sur un lien
proposé dans le message.
• Ce lien est en réalité malicieux et conçu
pour usurper une destination de
confiance (URL_spoofing),
• Ce qui a pour conséquence de conduire
l’internaute sur un site Web visuellement
identique au site officiel mais dont la
véritable adresse est dissimulée aux yeux
de l’internaute victime. 149
Les étapes de sécurité
150
Prendre des mesures

76. 31/03/2011
76
Comment se protéger?
• Pare-feu
• Mises à jour de votre PC
• Logiciels: anti-virus, anti-
spyware, anti-spam,..
151
Stratégies
• Approche locale
– Poste client
• Approche globale
– Poste serveur
• Ces deux solutions sont complémentaires et
doivent faire appel à des moteurs antiviraux de
fournisseurs différents
152

77. 31/03/2011
77
Approche antivirale locale/globale
• Mise à jour de la table de définitions de virus
sur chaque poste client
• Solution automatique ou manuelle
153
Serveur
antivirus
En cas de mise à jour,
Notification aux clients présents
Requête de mise à jour planifiée
Puis téléchargement des mises à jour
Interrogation du serveur
à chaque démarrage des clients
Téléchargement des mises à jour
(localement)
Les attaques: imitation malicieuse
• Tout équipement connecté à un réseau injecte des
datagrammes IP
– @ IP de l'expéditeur + données de couche supérieure
• Si l'utilisateur peut intervenir sur les logiciels ou son
système d'exploitation il peut inscrire une @ IP factice
(IP spoofing)
– permet au pirate responsable de DoS de dissimuler leur
identité car il est très difficile de remonter à la source d'un
datagramme portant une fausse @ IP
• Contre-Mesure : (ingress filtering)
– les routeurs vérifient si l'@ IP des paquets entrant font partie
des @ IP accessibles via cette interface.
154

78. 31/03/2011
78
Les attaques: Les DOS
• Denial Of Service (DoS)
– rend un réseau, un hôte ou autre inutilisable pour ses utilisateurs
légitimes.
– basé sur la production d'un volume de données supérieur à la
capacité de traitement de l'entité ciblée. exemple :
• SYN flooding avec des @ IP factices : accumulation d'un gd nb de
connexions partiellement ouvertes
• envoie de fragments IP sans les fragments de terminaison
• attaque smurf : envoie de paquets de requête d'échos ICMP en masse
• Distributed Denial of Service (DDos)
– Le pirate obtient un grand nombre de comptes utilisateurs
(sniffing ou brute force)
– Il installe et exécute un logiciel esclave au niveau de chaque hôte
qui attend les ordres en provenance d'un logiciel maître
– Puis le pirate ordonne à tous ses logiciels esclaves de lancer une
attaque DoS contre le même hôte ciblé 155
Les outils
156
Workstation
Via Email
File Server
Workstation
Mail Server
Internet
Web Server
Via Web Page
Workstation
Web Server
Mail Gateway
Anti Virus
Firewall
Intrusion Detection
Vulnerability Management

79. 31/03/2011
79
Ex: Serveur Symantec Client Security
• Un serveur Symantec Client Security peut envoyer des mises à
jour de configuration et des fichiers de définitions de virus à
des clients
• SymantecClient security protége les ordinateurs sur lesquels il
s’exécute
• Le programme client Symantec Client Security fournit une
protection antivirus, pare-feu et contre les intrusions aux
ordinateurs réseau et autonomes
• Alert Management System2 (AMS2). AMS2 assure la gestion
des urgences et prend en charge les alertes issues de serveurs
et des postes de travail
157
Firewall
• Le pare-feu est un système permettant de filtrer
les paquets de données échangés avec le réseau,
il s'agit ainsi d'une passerelle filtrante
comportant au minimum les interfaces réseau
suivante :
– une interface pour le réseau à protéger
(réseau interne)
– une interface pour le réseau externe
• Un système pare-feu contient un ensemble de
règles prédéfinies permettant :
– D'autoriser la connexion (allow)
– De bloquer la connexion (deny)
– De rejeter la demande de connexion sans
avertir l'émetteur (drop).
158

80. 31/03/2011
80
Contrôle d’accès: Les pare-feux
• Un pare-feu isole le réseau de l’organisation du reste de
l’Internet en laissant pénétrer certains paquets et en
bloquant d’autres
• Il existe 2 types de pare-feux:
– Filtrage simple des paquets (Ex: liste ACL)
– Filtrage applicatif (niv. Application)
159
Rôle du pare-feux
• Les firewall protègent les installations informatiques des
intrusions
• surveille (autoriser/denier) les communications d'un PC vers
Internet et vice versa
• Prévenir les attaques du type Denial Of Service
– Inondation des messages SYN avec des @IP d’origine factices, qui
paralyse l’hôte. Les tampons de l’hôte sont remplis de messages
factices, ce qui ne laissent plus de place pour les vrais messages
– Prévenir les modifications de données internes
Ex: changer la page Web de l’entreprise
– Empêcher les pirates d’accéder à des données sensibles,
– Analyser, bloquer ou autoriser les communications via les ports UDP et
TCP
160

81. 31/03/2011
81
Filtrage de paquets
• Le réseau interne est équipé d’une passerelle le reliant à
son FAI. On se faire le filtrage des paquets
• Filtrage basé sur l’étude des en-tête de paquet
– @ IP d’origine et de destination
– Des types des messages ICMP
– Des datagrammes de connexion et d’inintialisation utilisant les
bits TCP SYN ou Ack
– Ex/ filtre les segments UDP et les connexions Telnet (segment
TCP avec Port 23). Évite toute intrusion étrangère via une
session Telnet.
• Mise en place d'une passerelle d'application (gateway)
Serveur spécifique aux applications que toutes les
données d'applications doivent traverser avant de
quitter ou d'entrer dans le réseau
161
Filtrage applicatif
• Appelé aussi « passerelle applicative » ou proxy
• le filtrage applicatif permet la destruction des en-têtes précédant
le message applicatif, ce qui permet de fournir un niveau de
sécurité supplémentaire.
• En contrepartie, une analyse fine des données applicatives
requiert une grande puissance de calcul et se traduit donc souvent
par un ralentissement des communications, chaque paquet
devant être finement analysé.
• Afin de limiter les risques le proxy doit nécessairement être en
mesure d'interpréter une vaste gamme de protocoles et doit
connaître les failles afférentes pour être efficace.
162

82. 31/03/2011
82
Limitations des pare-feux
• Usurpation d’identité (IP spoofing) le routeur est impuissant face à ce
type d’attaque
• Si chaque application nécessite un traitement particulier Il faut une
passerelle par application Les client de ces applications doivent
pouvoir configurer les logiciels (ex: navigateur avec les proxy)
• Les filtres sont très grossiers: Les spyware et adware (des progr.
Commerciaux sont nuisibles ne sont pas détectés par les anti-virus)
utilisant le port 80 ne sont donc en aucun cas pris en compte par un
firewall hardware.
• il est nécessaire d'administrer le pare-feu et notamment de surveiller
son journal d'activité afin d'être en mesure de détecter les tentatives
d'intrusion et les anomalies.
163
Zone Démilitarisée DMZ
• Il est nécessaire de mettre en place des
architectures de systèmes pare-feux permettant
d'isoler les différents réseaux de l'entreprise: on
parle ainsi de « cloisonnement des réseaux »
(isolation)
• « Zone DéMilitarisée » ( DMZ pour DeMilitarized
Zone) pour désigner cette zone isolée hébergeant
des applications mises à disposition du public
164

83. 31/03/2011
83
Architecture DMZ
• Les serveurs situés dans la DMZ sont
appelés « bastions » en raison de leur
position d'avant poste dans le réseau
de l'entreprise.
• La DMZ possède donc un niveau de
sécurité intermédiaire, mais son
niveau de sécurisation n'est pas
suffisant pour y stocker des données
critiques pour l'entreprise.
165
Politique de sécurité
• La politique de sécurité mise en oeuvre sur la
DMZ est généralement la suivante :
– Traffic du réseau externe vers la DMZ autorisé ;
– Traffic du réseau externe vers le réseau interne
interdit ;
– Traffic du réseau interne vers la DMZ autorisé ;
– Traffic du réseau interne vers le réseau externe
autorisé ;
– Traffic de la DMZ vers le réseau interne interdit ;
– Traffic de la DMZ vers le réseau externe refusé.
166

84. 31/03/2011
84
NAT
• Le principe du NAT consiste à réaliser, au niveau de la
passerelle de connexion à internet, une translation entre
l'adresse interne (non routable) de la machine souhaitant
se connecter et l'adresse IP de la passerelle.
• Le terme NAT représente la modification des adresses IP
dans l'en-tête d'un datagramme IP effectuée par un
routeur.
SNAT : @source du paquet qui est modifiée (altérée)
DNAT : @destination qui est modifiée (altérée)
167
Network Address Translation: NAT
• Fonctionnement du NAT:
– Translation des @IP de l’en tête
– Recalcul et vérification du checksum
– Recalcul et modification du checksum TCP
– NAT cache l’identité « réelle » des Hosts
– Tout paquet de données qui doit être translater doit passer par un routeur NAT
– permet de sécuriser le réseau interne étant donné qu'il camoufle
complètement l'adressage interne. Pour un observateur externe au réseau,
toutes les requêtes semblent provenir de la même adresse IP.
168

85. 31/03/2011
85
Les différents types de NAT
On distingue deux types différents de NAT:
NAT statique
NAT dynamique
169
Principe de NAT
• Le principe du NAT statique:
– consiste à associer une @IP publique à une @IP privée interne au réseau. Le
routeur (passerelle) permet donc d'associer à une @IP privée (ex: 192.168.0.1)
une @IP publique routable sur Internet et de faire la traduction, dans un sens
comme dans l'autre, en modifiant l‘@ dans le paquet IP.
– La translation d‘@-statique permet ainsi de connecter des machines du réseau
interne à internet de manière transparente
• NAT dynamique
– permet de partager une @IP routable entre plusieurs machines en @ privé.
Ainsi, toutes les machines du réseau interne possèdent virtuellement, vu de
l'extérieur, la même @IP. C'est la raison pour laquelle le terme de « mascarade
IP » (IP masquerading) est parfois utilisé pour désigner le mécanisme de
translation d'adresse dynamique.
170

86. 31/03/2011
86
10.0.0.12/24
10.0.0.12/24 (@ interne)
193.22.35.42/24 (@ externe)
Internet
171
Les avantages et Inconvénients du NAT
Statiques
• NAT statique a permis de rendre une machine accessible
sur Internet alors qu'elle possédait une adresse privée.
• la NAT statique permet de rendre
disponible une application sur Internet ( serveur web, mail
ou serveur FTP).
Le principe du NAT statique ne résout pas le problème de la
pénurie d'adresse puisque n adresses IP routables sont
nécessaires pour connecter n machines du réseau interne.
172

87. 31/03/2011
87
Avantages NAT Dynamique
• Le NAT dynamique permet de partager une adresse
IP routable (ou un nombre réduit d'adresses IP
routables) entre plusieurs machines en adressage
privé.
• NAT dynamique utilise la translation de port (PAT -
Port Address Translation)
• Elle permet d’économiser les adresse IP. cela permet
de répondre au problème de pénurie d'adresses.
• Elle permet une sécurité accrue, car il n'existe aucun
moyen pour quelqu'un de l'extérieur, d'accéder aux
machines internes.
173
Les inconvénients
• Elle est donc utile pour partager un accès Internet,
mais pas pour rendre un serveur accessible.
• IPSec est totalement incompatible avec le NAT
• La NAT dynamique seule ne peut pas être considérée
comme une sécurité suffisante. Il est indispensable
d'utiliser un filtrage si l'on veut obtenir un bon
niveau de sécurité.
174

88. 31/03/2011
88
Architecture IPsec
1. Introduction
2. Services IPsec
3. Modes d’utilisation
175
IPsec : Introduction
• On a conçu IPSec (Internet Protocol Security)
pour sécuriser le protocole IPv6. La lenteur de
déploiement de ce dernier a imposé une
adaptation d’IPSec à l’actuel protocole IPv4.
• Plusieurs RFC successives décrivent les
différents éléments d’IPSec : RFC 2401, 2402,
2406, 2408…
176

89. 31/03/2011
89
IPsec : Introduction
• Internet Protocol Security est un ensemble de protocoles
(couche 3 modèle OSI) utilisant des algorithmes permettant le
transport de données sécurisées sur un réseau IP.
• Composante indissociable d’IPV6, optionnelle en IPV4
• Composant de VPN
• Permet l’établissement de communication sécurisée
• Les services et algorithmes utilisés sont paramétrables.
177
IPsec : 4 services
• Authentification des données :
– chaque paquet échangé a bien été émis par la bonne machine et qu’il est
bien à destination de la seconde machine
• Confidentialité des données échangées :
– chiffrer le contenu des paquets IP pour empêcher qu’une personne
extérieure ne le lise
• Intégrité des données échangées :
– s’assurer qu’aucun paquet n’a subit une quelconque modification durant son
trajet.
• Protection contre l’analyse de trafic :
– chiffrer les adresses réelles de l’expéditeur et du destinataire, ainsi que tout
l’en-tête IP correspondant. C’est le principe de base du tunneling.
178

90. 31/03/2011
90
Fonctionnement
• On établit un tunnel entre deux sites:
• IPSec gère l’ensemble des paramètres de
sécurité associés à la communication.
• Deux machines passerelles, situées à
chaque extrémité du tunnel, négocient
les conditions de l’échange des
informations :
– Quels algorithmes de chiffrement,
quelles méthodes de signature
numérique ainsi que les clés utilisées
pour ces mécanismes.
– La protection est apportée à tous les
trafics et elle est transparente aux
différentes applications.
179
• IPSec prévoit la définition de la politique de sécurité avec le
choix des algorithmes utilisés et leur portée.
• Une fois qu’une politique est définie, il y a échange des clés avec
un mécanisme IKE (Internet Key Exchange) [utilisant le port 500
et le transport UDP].
• On peut mettre en oeuvre l’authentification soit en supposant
que les deux extrémités se partagent déjà un secret pour la
génération de clés de sessions, soit en utilisant des certificats et
des signatures RSA.
• Les machines passerelles traitent ensuite les données avec la
politique de sécurité associée.
• IPSec propose ensuite deux mécanismes au choix pour les
données de l’échange : ESP (Encapsulating Security Payload) et
AH (Authentication Header).
• ESP fournit l’intégrité et la confidentialité, AH ne fournit que
l’intégrité.
180

91. 31/03/2011
91
IPsec : Atouts et limites
• Atouts :la richesse de son offre de services de
sécurité qui :
– Est exploitable dans les couches hautes de TCP-IP.
– Est ouvert à tous les équipements.
– Peut intervenir dans différentes configurations.
• Un point faible de IPSec : la gestion des clés 
solution un PKI (Public Key Infrastructure).
181
IPsec : Architecture
• Ensemble de protocoles couvrant deux
aspects
– Encapsulation des datagrammes IP dans d’autres
datagrammes IP
•  services de sécurité (intégrité, confidentialité, …etc.)
– Négociation des clés et des associations de
sécurité
•  utilisées lors de l ’encapsulation
182

92. 31/03/2011
92
IPsec : Architecture
• 2 protocoles définis pour l’encapsulation
– Authentication Header (AH)
– Encapsulating Security Payload (ESP)
• 1 protocole pour l’échange de clés
– Internet Key Exchange (IKE)
183
DOI IPsec -RFC 2407: Architecture
184

93. 31/03/2011
93
AH
• Les algorithmes d'authentification utilisables avec AH sont répertoriés dans le
DOI IPsec; il existe notamment HMAC-MD5 et HMAC-SHA-1.
• Assure l’authentification de la source
– Protection contre source spoofing
• Assure l’intégrité des données
– Algorithme d’hachage 96 bits
– Utilise une cryptographie à clé symétrique
– HMAC-SHA-96, HMAC-MD5-96
• Protection contre le rejeu
– Utilise un mécanisme anti-rejeu (nombre de séquence)
• Non répudiation
– Utilisation du RSA
• Aucune protection de confidentialité
– Données signées et non chiffrées
185
• Selon les modes de fonctionnement choisis (transport ou tunnel) la
position de l'en tête d'authentification AH est la suivante :
• Les algorithmes d’authentification utilisables avec AH sont listés dans le
DOI IPsec (RFC 2407).
186
Position de AH en mode transport.
Position de AH en mode tunnel.

94. 31/03/2011
94
ESP
• ESP assure quant à lui la confidentialité des données mais peut aussi
assurer leur intégrité en mode non connecté et l'authentification de leur
origine.
• A partir du datagramme IP classique, un nouveau datagramme dans
lequel les données et éventuellement l'en tête originale sont chiffrées,
est crée. C'est une réelle encapsulation entre un en tête et un trailer.
• La protection contre le rejeu est fournie grâce à un numéro de séquence
si les fonctions précédentes ont été retenues
• Idem plus la confidentialité des données
– utilise une encryption à clés symétrique
187
• Suivant les modes de fonctionnement choisis (transport ou tunnel) la position
de ESP est la suivante :
188
Position de ESP en mode transport.
Position de ESP en mode tunnel.

95. 31/03/2011
95
IPsec : Architecture
• IPsec assure la sécurité en trois situations
– Hôte à hôte
– Routeur à routeur
– Hôte à routeur
• IPsec opère en deux mode
– Mode transport
– Mode tunnel (VPN)
189
Mode transport
• Transport
– Utilisé uniquement entre deux machines qui elles-mêmes responsable du
chiffrement/déchiffrement .
– Seulement les données qui sont chiffrées. Les en-tête IP sont conservés
190
Internet
VPN
Security
gateway 1
Security
gateway 2
Server B
A B data
encrypted
Workstation A

96. 31/03/2011
96
Mode tunnel
• Tunnel
– Le flux est entre deux machines qui se trouvent derrièredeux passerelles
faisant le chiffrement/déchiffrement
– En-tête IP et données sont chiffrés et un nouveau en-tête est généré avec
l’adresse IP du serveur VPN.
191
A B data
A B data1 2
Internet
VPN
Security
gateway 1
Security
gateway 2
Workstation A
Server B
encryptedA B data
source destination
Capture ISAKMP: Internet Security
Association and Key Management
Protocol
192
• Capture d’écran à l’aide de Wireshark réalisée dans la séance de TP avec
IPSEC. On peut voir le déploiement de l’ISAKMP lors de l’échange

97. 31/03/2011
97
193
Qu’est ce qu’un VPN ?
• VPN,acronyme de Virtual Private Network, ou Réseau
Privé Virtuel. Ce réseau est dit virtuel car il relie des
réseaux "physiques" (réseaux locaux) via un réseau
public, en général Internet, et privé car seuls les
ordinateurs des réseaux locaux faisant partie du VPN
peuvent accéder aux données.
• Cette technique assure l’authentification en
contrôlant l’accès, l’intégrité des données et le
chiffrage de celles-ci.
194

98. 31/03/2011
98
195
VPN
• La mise en place d'un réseau privé virtuel permet de
connecter de façon sécurisée des ordinateurs distants au
travers d'une liaison non fiable (Internet), comme s'ils étaient
sur le même réseau local.
• Ce procédé est utilisé par de nombreuses entreprises afin de
permettre à leurs utilisateurs de se connecter au réseau
d'entreprise hors de leur lieu de travail. On peut facilement
imaginer un grand nombre d'applications possibles :
– Accès au réseau local (d'entreprise) à distance et de façon sécurisée
pour les travailleurs nomades
– Partage de fichiers sécurisés
– Jeu en réseau local avec des machines distantes
196

99. 31/03/2011
99
Les Protocoles de Tunnelisation
• Les principaux protocoles de tunneling sont :
– PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2
développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.
– L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco
Systems, Northern Telecom (Nortel) et Shiva.
– L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF
(RFC 2661) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit
ainsi d'un protocole de niveau 2 s'appuyant sur PPP.
– IPsec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de
transporter des données chiffrées pour les réseaux IP.
– SSL/TLS offre une très bonne solution de tunneling. L'avantage de cette
solution est d'utiliser un simple navigateur comme client VPN.
– SSH Initialement connu comme remplacement sécurisé de telnet, SSH offre la
possibilité de tunneliser des connections de type TCP.
197
198
Une entreprise Multi-site désire de plus en plus ouvrir son
réseau à ses employés travaillant à distance, en toute
sécurité. C’est l’enjeu auquel répond efficacement une
solution de type VPN

100. 31/03/2011
100
SSL : Secure Socket Layer
• C'est un système qui permet d'échanger des informations entre 2
ordinateurs de façon sûre. SSL assure 3 aspects:
– Confidentialité: Il est impossible d'espionner les informations
échangées.
– Intégrité: Il est impossible de truquer les informations échangées.
– Authentification: Il permet de s'assurer de l'identité du
programme, de la personne ou de l'entreprise avec laquelle on
communique.
• SSL est un complément à TCP/IP et permet (potentiellement) de
sécuriser n'importe quel protocole ou programme utilisant TCP/IP.
• SSL a été créé et développé par la société Netscape et RSA Security.
199
Récapitulatif
• Accès non autorisé Authentification
• Confidentialité Chiffrement
• Virus Antivirus
• Intrusion IDS/IPS Firewall
• Modification Hachage
consiste à verrouiller les données à l’aide des
composants matériels: clipper-chips
200