Suche senden
Hochladen
Cours admin-secure-4 avril-2011
âą
7 gefÀllt mir
âą
3,311 views
I
infcom
Folgen
Melden
Teilen
Melden
Teilen
1 von 100
Empfohlen
Administration réseau snmp 2
Administration réseau snmp 2
Mohamed Faraji
Â
Poly reseau transparents_ppt
Poly reseau transparents_ppt
Lily Babou
Â
Rapport fiifo4 snmp
Rapport fiifo4 snmp
Coko Mirindi Musaza
Â
Le concept de réseaux
Le concept de réseaux
Fadhel El Fahem
Â
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane
Â
Administration réseaux sous linux cours 1
Administration réseaux sous linux cours 1
Stephen Salama
Â
1 réseaux et protocoles-sécurité-partie 1 v2
1 réseaux et protocoles-sécurité-partie 1 v2
Hossin Mzaourou
Â
Exposéréseau
Exposéréseau
Noura Mohamed
Â
Empfohlen
Administration réseau snmp 2
Administration réseau snmp 2
Mohamed Faraji
Â
Poly reseau transparents_ppt
Poly reseau transparents_ppt
Lily Babou
Â
Rapport fiifo4 snmp
Rapport fiifo4 snmp
Coko Mirindi Musaza
Â
Le concept de réseaux
Le concept de réseaux
Fadhel El Fahem
Â
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane
Â
Administration réseaux sous linux cours 1
Administration réseaux sous linux cours 1
Stephen Salama
Â
1 réseaux et protocoles-sécurité-partie 1 v2
1 réseaux et protocoles-sécurité-partie 1 v2
Hossin Mzaourou
Â
Exposéréseau
Exposéréseau
Noura Mohamed
Â
Cours sécurité 2_asr
Cours sécurité 2_asr
TECOS
Â
2 aaz fonctionnement d'un nids
2 aaz fonctionnement d'un nids
kaser info2aaz
Â
IDS,SNORT ET SĂCURITĂ RESEAU
IDS,SNORT ET SĂCURITĂ RESEAU
CHAOUACHI marwen
Â
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
simomans
Â
Mécanismes de sécurité
Mécanismes de sécurité
Ghazouani Mahdi
Â
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
SmartnSkilled
Â
Installation et configuration d'un systĂšme de DĂ©tection d'intrusion (IDS)
Installation et configuration d'un systĂšme de DĂ©tection d'intrusion (IDS)
Charif Khrichfa
Â
Wafa kamoun-admin-sec-reseaux
Wafa kamoun-admin-sec-reseaux
infcom
Â
Tpdba1
Tpdba1
infcom
Â
Examens Khaled Jouini ISITCOM ORACLE BD
Examens Khaled Jouini ISITCOM ORACLE BD
infcom
Â
Examens Zaki Brahmi ISITCOM
Examens Zaki Brahmi ISITCOM
infcom
Â
T2 corrections-qc md
T2 corrections-qc md
infcom
Â
19
19
Zied Bouzghaya
Â
Problématique de l'énergie pour les réseaux de capteurs isolés Dominique Jute...
Problématique de l'énergie pour les réseaux de capteurs isolés Dominique Jute...
AFEIT
Â
T1 corrections-qcm
T1 corrections-qcm
infcom
Â
installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003
Souhaib El
Â
Socket programming
Socket programming
chandramouligunnemeda
Â
Slides capteurs partie 1
Slides capteurs partie 1
zinoha
Â
RĂ©seau de capteurs sans fils wsn
RĂ©seau de capteurs sans fils wsn
Achref Ben helel
Â
Administration reseau
Administration reseau
nadimoc
Â
Ft administration de réseau
Ft administration de réseau
adifopi
Â
Curriculum vitae
Curriculum vitae
Mahdi Ben Othmen
Â
Weitere Àhnliche Inhalte
Was ist angesagt?
Cours sécurité 2_asr
Cours sécurité 2_asr
TECOS
Â
2 aaz fonctionnement d'un nids
2 aaz fonctionnement d'un nids
kaser info2aaz
Â
IDS,SNORT ET SĂCURITĂ RESEAU
IDS,SNORT ET SĂCURITĂ RESEAU
CHAOUACHI marwen
Â
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
simomans
Â
Mécanismes de sécurité
Mécanismes de sécurité
Ghazouani Mahdi
Â
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
SmartnSkilled
Â
Installation et configuration d'un systĂšme de DĂ©tection d'intrusion (IDS)
Installation et configuration d'un systĂšme de DĂ©tection d'intrusion (IDS)
Charif Khrichfa
Â
Was ist angesagt?
(7)
Cours sécurité 2_asr
Cours sécurité 2_asr
Â
2 aaz fonctionnement d'un nids
2 aaz fonctionnement d'un nids
Â
IDS,SNORT ET SĂCURITĂ RESEAU
IDS,SNORT ET SĂCURITĂ RESEAU
Â
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Â
Mécanismes de sécurité
Mécanismes de sécurité
Â
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Â
Installation et configuration d'un systĂšme de DĂ©tection d'intrusion (IDS)
Installation et configuration d'un systĂšme de DĂ©tection d'intrusion (IDS)
Â
Andere mochten auch
Wafa kamoun-admin-sec-reseaux
Wafa kamoun-admin-sec-reseaux
infcom
Â
Tpdba1
Tpdba1
infcom
Â
Examens Khaled Jouini ISITCOM ORACLE BD
Examens Khaled Jouini ISITCOM ORACLE BD
infcom
Â
Examens Zaki Brahmi ISITCOM
Examens Zaki Brahmi ISITCOM
infcom
Â
T2 corrections-qc md
T2 corrections-qc md
infcom
Â
19
19
Zied Bouzghaya
Â
Problématique de l'énergie pour les réseaux de capteurs isolés Dominique Jute...
Problématique de l'énergie pour les réseaux de capteurs isolés Dominique Jute...
AFEIT
Â
T1 corrections-qcm
T1 corrections-qcm
infcom
Â
installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003
Souhaib El
Â
Socket programming
Socket programming
chandramouligunnemeda
Â
Slides capteurs partie 1
Slides capteurs partie 1
zinoha
Â
RĂ©seau de capteurs sans fils wsn
RĂ©seau de capteurs sans fils wsn
Achref Ben helel
Â
Andere mochten auch
(12)
Wafa kamoun-admin-sec-reseaux
Wafa kamoun-admin-sec-reseaux
Â
Tpdba1
Tpdba1
Â
Examens Khaled Jouini ISITCOM ORACLE BD
Examens Khaled Jouini ISITCOM ORACLE BD
Â
Examens Zaki Brahmi ISITCOM
Examens Zaki Brahmi ISITCOM
Â
T2 corrections-qc md
T2 corrections-qc md
Â
19
19
Â
Problématique de l'énergie pour les réseaux de capteurs isolés Dominique Jute...
Problématique de l'énergie pour les réseaux de capteurs isolés Dominique Jute...
Â
T1 corrections-qcm
T1 corrections-qcm
Â
installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003
Â
Socket programming
Socket programming
Â
Slides capteurs partie 1
Slides capteurs partie 1
Â
RĂ©seau de capteurs sans fils wsn
RĂ©seau de capteurs sans fils wsn
Â
Ăhnlich wie Cours admin-secure-4 avril-2011
Administration reseau
Administration reseau
nadimoc
Â
Ft administration de réseau
Ft administration de réseau
adifopi
Â
Curriculum vitae
Curriculum vitae
Mahdi Ben Othmen
Â
supervision réseau (snmp netflow)
supervision réseau (snmp netflow)
medalaa
Â
Mlf numerique réseau liban
Mlf numerique réseau liban
Mission laïque française
Â
E-gouvernance, systĂšmes dâinformation, approche rĂ©seau
E-gouvernance, systĂšmes dâinformation, approche rĂ©seau
Mission laïque française
Â
Administration_et_Supervision_RESEAU (1).pptx
Administration_et_Supervision_RESEAU (1).pptx
JordaniMike
Â
COMSMART "Opérateur de services connectés"
COMSMART "Opérateur de services connectés"
Thierry Langé
Â
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
âïžSeyfallah Tagreroutâ [MVP]
Â
ITN_Module_17.pdf
ITN_Module_17.pdf
sirinejlassi1
Â
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
gorguindiaye
Â
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
gorguindiaye
Â
Cours SSI - Copie.pptx
Cours SSI - Copie.pptx
gorguindiaye
Â
Cours SSI - Copie.pptx
Cours SSI - Copie.pptx
gorguindiaye
Â
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
gorguindiaye
Â
3 Microsoft Advanced Threat Analytics - GenĂšve
3 Microsoft Advanced Threat Analytics - GenĂšve
aOS Community
Â
Cours sys 2PPT20.pdf
Cours sys 2PPT20.pdf
C00LiMoUn
Â
Introductionreseaux1-2.pdf
Introductionreseaux1-2.pdf
benjat3
Â
Intelligence Ă©conomique : Le monitoring
Intelligence Ă©conomique : Le monitoring
Khalifa Tall
Â
Introduction au Software Defined Networking (SDN)
Introduction au Software Defined Networking (SDN)
Edouard DEBERDT
Â
Ăhnlich wie Cours admin-secure-4 avril-2011
(20)
Administration reseau
Administration reseau
Â
Ft administration de réseau
Ft administration de réseau
Â
Curriculum vitae
Curriculum vitae
Â
supervision réseau (snmp netflow)
supervision réseau (snmp netflow)
Â
Mlf numerique réseau liban
Mlf numerique réseau liban
Â
E-gouvernance, systĂšmes dâinformation, approche rĂ©seau
E-gouvernance, systĂšmes dâinformation, approche rĂ©seau
Â
Administration_et_Supervision_RESEAU (1).pptx
Administration_et_Supervision_RESEAU (1).pptx
Â
COMSMART "Opérateur de services connectés"
COMSMART "Opérateur de services connectés"
Â
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Â
ITN_Module_17.pdf
ITN_Module_17.pdf
Â
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
Â
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
Â
Cours SSI - Copie.pptx
Cours SSI - Copie.pptx
Â
Cours SSI - Copie.pptx
Cours SSI - Copie.pptx
Â
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
Â
3 Microsoft Advanced Threat Analytics - GenĂšve
3 Microsoft Advanced Threat Analytics - GenĂšve
Â
Cours sys 2PPT20.pdf
Cours sys 2PPT20.pdf
Â
Introductionreseaux1-2.pdf
Introductionreseaux1-2.pdf
Â
Intelligence Ă©conomique : Le monitoring
Intelligence Ă©conomique : Le monitoring
Â
Introduction au Software Defined Networking (SDN)
Introduction au Software Defined Networking (SDN)
Â
Mehr von infcom
Dba oracle-v1
Dba oracle-v1
infcom
Â
Examens Linda Jedidi ISITCOM
Examens Linda Jedidi ISITCOM
infcom
Â
Examens Iyed Ben Slimene ISITCOM Communication sans fil
Examens Iyed Ben Slimene ISITCOM Communication sans fil
infcom
Â
Db aing td3v1
Db aing td3v1
infcom
Â
Chap06 (méthodes de vérification)
Chap06 (méthodes de vérification)
infcom
Â
Db aing td2v1
Db aing td2v1
infcom
Â
Chap05 (buchi)
Chap05 (buchi)
infcom
Â
Db aing td1v1
Db aing td1v1
infcom
Â
Examens heykel Tej ISITCOM ingénierie protocoles
Examens heykel Tej ISITCOM ingénierie protocoles
infcom
Â
Tpdba3
Tpdba3
infcom
Â
Chap02 fsm-mpssr-ht
Chap02 fsm-mpssr-ht
infcom
Â
Ch4
Ch4
infcom
Â
Ch2
Ch2
infcom
Â
Ch1
Ch1
infcom
Â
Ch3 ing
Ch3 ing
infcom
Â
Examens Aline Laatiri ISITCOM
Examens Aline Laatiri ISITCOM
infcom
Â
Mehr von infcom
(16)
Dba oracle-v1
Dba oracle-v1
Â
Examens Linda Jedidi ISITCOM
Examens Linda Jedidi ISITCOM
Â
Examens Iyed Ben Slimene ISITCOM Communication sans fil
Examens Iyed Ben Slimene ISITCOM Communication sans fil
Â
Db aing td3v1
Db aing td3v1
Â
Chap06 (méthodes de vérification)
Chap06 (méthodes de vérification)
Â
Db aing td2v1
Db aing td2v1
Â
Chap05 (buchi)
Chap05 (buchi)
Â
Db aing td1v1
Db aing td1v1
Â
Examens heykel Tej ISITCOM ingénierie protocoles
Examens heykel Tej ISITCOM ingénierie protocoles
Â
Tpdba3
Tpdba3
Â
Chap02 fsm-mpssr-ht
Chap02 fsm-mpssr-ht
Â
Ch4
Ch4
Â
Ch2
Ch2
Â
Ch1
Ch1
Â
Ch3 ing
Ch3 ing
Â
Examens Aline Laatiri ISITCOM
Examens Aline Laatiri ISITCOM
Â
Cours admin-secure-4 avril-2011
1.
31/03/2011 1 Administration & Sécurité des réseaux Wafa
KAMMOUN 1 2eme IngĂ©nieurs ISITCom H-SouSSe 2010 - 2011 Plan de Cours âą Administration : â Introduction Ă lâadministration rĂ©seaux â Rappel sur les Protocoles et services IP â Administration des Ă©quipements (Firewall, routeur) â Listes ACL â Administration des serveurs DNS, DHCP â Administration SNMP (Simple Network Management Protocol),.. âą SĂ©curitĂ© : â Introduction Ă la sĂ©curitĂ© informatique â # types dâattaques (Hacking) â La cryptographie & lâauthentification, â Les DMZ et Firewalls â VPN, SSL (Secure Socket Layer) âą RĂ©fĂ©rences: â http://www.itu.int/cybersecurity/ â http://www.w3.org/P3P/ â Stallings William, SĂ©curitĂ© des rĂ©seaux, applications et standards, Vuibert, 2002, ISBN 978-2-71- 178653 2
2.
31/03/2011 2 Quelques définitions ⹠Administrateur
: â Administrateur SystĂšme: âą Personne responsable de la totalitĂ© de la gestion du systĂšme informatique. Il surveille et en assure la maintenance du systĂšme de maniĂšre Ă garantir un fonctionnement irrĂ©prochable. Veiller au bon fonctionnement des sauvegardes. â Administrateur rĂ©seau: âą ChargĂ© de la gestion de tout type dâĂ©quipements rĂ©seau. Il est responsable de bon fonctionnement configuration des Ă©quipements rĂ©seau, de la rĂ©partition des droits dâaccĂšs des utilisateurs Ă accĂ©der aux serveurs. Lui seul a le droit dâajouter des utilisateurs ou dâannuler des autorisations dâaccĂšs, ainsi que lâinstallation du SE rĂ©seau et de la sĂ©curitĂ© des donnĂ©es sur lâensemble du rĂ©seau 3 Fonctions & Objectifs âą Administration â Administration des serveurs, Administration des Ă©quipements et des applications (FTP, Web, courrier,..) â DĂ©ploiement, intĂ©gration, gestion des ressources rĂ©seaux mais aussi humaine â GĂ©rer des 100 ou des 1000 dâutilisateurs dans des systĂšmes autonomes â Surveillance, test de performance, dâaudit, de configuration du rĂ©seau â Ăvaluation des ressources nĂ©cessaires âą SĂ©curitĂ©: â ProtĂ©ger le rĂ©seau contre les accĂšs non autorisĂ©s, divulgations â ContrĂŽle dâaccĂšs: Les pare-feux (Firewalls) â Cryptographie et authentification â RĂ©cupĂ©rer les donnĂ©es Ă la suite dâun Ă©vĂ©nement catastrophique âą La sauvegarde des donnĂ©es sur bande magnĂ©tique (quotidienne, complĂšte, incrĂ©mentielle,..) âą La configuration des disques de tolĂ©rance de pannes (Les techniques de redondance,..) âą Lâutilisation des dispositifs dâalimentation sans coupure â Se protĂ©ger contre les attaques (virus, trojan,..) âŠ.. Et tout ça pour un coĂ»t raisonnable !!! 4
3.
31/03/2011 3 Buts ⹠Le réseau
est devenu une ressource indispensable (voire vitale) au bon fonctionnement dâune entreprise,.. âą Lâadministration du rĂ©seau met en Ćuvre un ensemble de moyen pour : â offrir aux utilisateurs un service de qualitĂ© â Permettre lâĂ©volution du systĂšme en intĂ©grant des nouvelles fonctionnalitĂ©s â Optimiser les performances des services pour les utilisateurs â Permettre une utilisation maximale des ressources avec un coĂ»t minimal 5 Administration = Partie opĂ©rationnelle dâun rĂ©seau âą Les fonctions d'administration doivent permettre: â l'extraction des informations des Ă©lĂ©ments du rĂ©seau au moyen d'outils (trace) => rĂ©colte un grand nombre d'information, â la rĂ©duction du volume d'information au moyen de filtres => sĂ©lection d'information significatives (analyser), â le stockage des informations retenues dans une base de donnĂ©es d'administration, â des traitements sur ces informations, â offrir des interfaces (utilisateur administration, opĂ©rateur rĂ©seau). 6
4.
31/03/2011 4 Les attendus dâune
administration de rĂ©seau âą Les 5 domaines fonctionnels de l'administration tel que dĂ©finis dans l'OSI: â La gestion des pannes : permet la dĂ©tection, la localisation, la rĂ©paration de pannes et le retour Ă une situation normale dans l'environnement. â La comptabilitĂ© : permet de connaĂźtre les charges des objets gĂ©rĂ©s, les coĂ»ts de communication, ... Cette Ă©valuation est Ă©tablie en fonction du volume et de la durĂ©e de la transmission. Ces relevĂ©s s'effectuent Ă deux niveaux : RĂ©seau et Application. â La gestion des configurations : permet d'identifier, de paramĂ©trer les diffĂ©rents objets. Les procĂ©dures requises pour gĂ©rer une configuration sont la collecte d'information, le contrĂŽle de l'Ă©tat du systĂšme, la sauvegarde de l'Ă©tat dans un historique â L'audit des performances : permet d'Ă©valuer les performances des ressources du systĂšme et leur efficacitĂ©. Les performances d'un rĂ©seau sont Ă©valuĂ©es Ă partir de quatre paramĂštres : le temps de rĂ©ponse, le dĂ©bit, le taux d'erreur par bit et la disponibilitĂ©. â La gestion de la sĂ©curitĂ© : une des fonctions de gestion concerne le contrĂŽle et la distribution des informations utilisĂ©es pour la sĂ©curitĂ©. Un sous-ensemble de la MIB (Management Information Base) concerne les informations de sĂ©curitĂ© (SMIB). Il renferme le cryptage et la liste des droits d'accĂšs. 7 Lâorganisation dâune administration âą Qui a besoin d'administration et pour quoi faire ? âą Il existe diffĂ©rents types de dĂ©cision d'administration : â dĂ©cisions opĂ©rationnelles : dĂ©cision Ă court terme, concernant l'administration au jour le jour et opĂ©rations temps rĂ©el sur le systĂšme â dĂ©cisions tactiques : dĂ©cision Ă moyen terme concernant l'Ă©volution du rĂ©seau et l'application des politiques de long terme â dĂ©cisions stratĂ©giques : dĂ©cision de long terme concernant les stratĂ©gies pour le futur en exprimant les nouveaux besoins et dĂ©sirs des utilisateurs. âą Ces niveaux dĂ©terminent diffĂ©rents niveaux d'administration: â le contrĂŽle opĂ©rationnel rĂ©seau pour les dĂ©cisions opĂ©rationnelles â la gestion rĂ©seau pour les dĂ©cision tactiques â l'analyse de rĂ©seau pour les dĂ©cision tactiques et stratĂ©giques â la planification pour les dĂ©cisions stratĂ©giques 8
5.
31/03/2011 5 Administration des rĂ©seaux âą
Protocoles TCP/IP et les protocoles dâapplication âą Principe de routage (IP,ICMP, RIP,OSPF,..) âą Administration des serveurs : â Serveur de rĂ©solution des noms, DNS â Serveur de configuration dynamique, DHCP â Serveur de transfert des fichiers, FTP â Services pour accĂ©der Ă des machines distantes, Telnet â Serveur Web â Protocole dâadministration rĂ©seau, SNMP 9 Les domaines dâactivitĂ©s âą La gestion des pannes: â DĂ©tection, localisation, isolation, rĂ©paration âą Gestion des configurations â Identification des ressources â Installation, initialisation, paramĂ©trage, reconfiguration. â Collecte des informations utiles et sauvegarde dâun historique. âą Audit des performances â Ăvaluation: collecter les donnĂ©es et Ă©tablir des statistiques sur les performances (temps de rĂ©ponse, taux dâutilisation, dĂ©bit, taux dâerreur, disponibilitĂ©) â Gestion de trafic : satisfaire les besoins des users (Ă qui attribuer un grand dĂ©ditâŠ) 10
6.
31/03/2011 6 Les domaines dâactivitĂ©s âą
Gestion de la comptabilitĂ©: â GĂ©rer la charge des ressources pour empĂȘcher toute surcharge (congestion). â GĂ©rer le coĂ»t dâutilisation des ressources et les facturer â GĂ©rer le quota dâexploitation de la ressources ( imprimante, disquesâŠ) âą Gestion de la sĂ©curitĂ© â But: protĂ©ger les ressources du rĂ©seau et du systĂšme dâadministration â Commet: Assurer les services de la sĂ©curitĂ© (authentification, confidentialitĂ©, intĂ©gritĂ©, disponibilitĂ© et non rĂ©pudiation). â Moyen : cryptographie + logiciel de supervision + audit ï surveillance des journaux. Exemple : sous WinNT Server (journaux dâĂ©vĂšnements) âą Journal de sĂ©curitĂ© âą Journal systĂšme âą Journal application 11 Administrer un rĂ©seau IP âą Un rĂ©seau IP est un ensemble dâĂ©quipements: â PossĂ©dant chacun une ou plusieurs interfaces â ReliĂ©s entre eux par des supports physiques divers â Gestion des pannes â Gestion des configurations â Audit des performances â Gestion de la sĂ©curitĂ© âą Administrer un rĂ©seau IP: â DĂ©finir un plan dâadressage cohĂ©rent â Affecter une adresse IP Ă chaque interface â Mettre en Ćuvre le routage entre ces divers Ă©lĂ©ments 12
7.
31/03/2011 7 DĂ©tecter un problĂšme
réseau : ⹠PING : Permet de valider une connexion point à point usage : ping xxx.xxx.xxx.xxx (x : adresse IP de la machine) TRACE ROUTE : Permet de donner les chemins de communication entre deux machines usage : tracert xxx.xxx.xxx.xxx (x : adresse IP de la machine) ARP : Permet d'obtenir l'adresse MAC (fabriquant) d'un épement usage : arp -a xxx.xxx.xxx.xxx (x : adresse IP de la machine) NBTSTAT : Permet d'obtenir le nom de l'utilisateur connecté sur une machine usage : nbtstat -A xxx.xxx.xxx.xxx (x : adresse IP de la machine) nbtstat -a nom.domaine si l'on connait le nom de la station nbtstat -c pour afficher tout le cache Windows NT : IPCONFIG : Affiche la configuration IP UNIX : vmstat ps pstat · netstat · netstat -i · +Ierrs : cable ? · +Oerrs : Ctrl ? · -a send_@ != 0 : Lan Overload · -s Bad CRC != 0 : Router · !LAN>= 0 retrans : timeout <5% = ok · Et enfin pour ajouter une route: · route> add x.x.x.xequip MASK x.x.x.x sub x.x.x.xrouter -p 13 14
8.
31/03/2011 8 Adressage IP âą Une
adresse IP est constituĂ©e de deux numĂ©ros: âą IP address = <network number><host number> âą Le numĂ©ro de rĂ©seau identifie le rĂ©seau sur lequel est connectĂ© le nĆud. Ce numĂ©ro doit ĂȘtre unique. âą Le numĂ©ro d'hĂŽte identifie le nĆud sur le rĂ©seau en question. â classe A : de 1 Ă 126 â classe B : de 128.1. Ă 191.254 â classe C : de 192.0.1 Ă 223.255.254 15 16
9.
31/03/2011 9 Les adresses Privées 17 18
10.
31/03/2011 10 SR & Masque
de SR âą Le nombre croissant de rĂ©seaux, notamment sur Internet, a fini par poser problĂšme, en particulier Ă cause de la saturation du schĂ©ma d'adressage. âą Le fractionnement d'un rĂ©seau en plusieurs rĂ©seaux permet de rĂ©duire le trafic sur chacun des rĂ©seaux ou d'isoler certains groupes de travail. â <@-IP> = <netw.nr><subnet nr><host nr> â L'Ă©change de messages des stations situĂ©es sur deux sous-rĂ©seaux diffĂ©rents ne pourra se faire directement, mais uniquement par l'intermĂ©diaire d'un routeur. âą Exemple Une classe A avec un masque de SR: 255.255.0.0 est dĂ©coupĂ©e en 254 SR de 65534 stations. â Une classe A avec un masque de SR 255.240.0.0 (11111111 11110000 00000000 00000000) est dĂ©coupĂ©e en 14 SR de 1 048 574 stations (4 bits permettent de coder 16 valeurs - 2 rĂ©servĂ©es). 19 20
11.
31/03/2011 11 21 Mise en oeuvre âą
La mise en Ćuvre de sous-rĂ©seaux passe par les Ă©tapes suivantes: â DĂ©terminer le nombre de sous-rĂ©seaux Ă adresser. â DĂ©terminer le nombre maximum d'hĂŽtes sur chaque sous-rĂ©seau. â Calculer le nombre de bits nĂ©cessaires pour les sous-rĂ©seaux et pour les stations (en prĂ©voyant les Ă©volutions) â Positionner le masque de sous-rĂ©seau. â Lister les diffĂ©rents numĂ©ros de sous-rĂ©seaux possibles en Ă©liminant les "tout Ă 0" et les "tout Ă 1". âą Exemple : Un rĂ©seau d'adresse 160.16.0.0 est divisĂ© en 8 SR Chacun de ces SR accueille ont au moins 1000 hĂŽtes. 22
12.
31/03/2011 12 Solution âą Pour adresser
8 sous-rĂ©seaux diffĂ©rents, il faut 8 numĂ©ros. 3 bits permettent d'adresser 6 (8-2) sous- rĂ©seaux et 4 bits permettent d'adresser 14 sous- rĂ©seaux. Il faut donc prendre cette derniĂšre solution. Il reste dans ce cas, 12 bits pour le numĂ©ro d'hĂŽte ce qui permet 4094 numĂ©ros d'hĂŽtes. Le masque sera donc : â 11111111 11111111 11110000 00000000 rĂ©seau SR hĂŽte â soit en reprĂ©sentation dĂ©cimale : 255.255.240.0 23 Les listes ACL âą Les listes de contrĂŽle dâaccĂšs sont des instructions qui expriment une liste de rĂšgles, imposĂ©s par lâadministrateur, donnant un contrĂŽle supplĂ©mentaire sur les paquets reçus et transmis par le routeur. â Il ne peut y avoir quâune liste dâaccĂšs par protocole par interface et par sens â Une ACL est identifiable par son Nr. attribuĂ© suivant le protocole et suivant le type. âą ACL Standard: â Permet dâautoriser ou dâinterdire des @ spĂ©cifiques ou âą ACL Ă©tendu â un ensemble dâ@ ou de protocoles Type de la liste Plage Nr. Liste dâaccĂšs standard 1 Ă 99 Liste dâaccĂšs Ă©tendues 100 Ă 199 24
13.
31/03/2011 13 âą Le routeur
dĂ©termine sâil doit acheminer ou bloquer un paquet en fonction de chaque instruction de condition dans lâordre dans lequel les instructions ont Ă©tĂ© crĂ©es âą Si le paquet arrivant Ă lâinterface du routeur satisfait Ă une condition, il est autorisĂ© ou refusĂ© âą Si le paquet ne correspond Ă aucune instruction dans la liste, celui-ci est rejetĂ© âą Le rĂ©sultat de lâinstruction implicite deny any âą Any: nâimporte quelle @ (de 0.0.0.0 Ă 255.255.255.255) âą Host: abrĂ©viation du masque gĂ©nĂ©rique â Ex: host 172.16.33.5 Ă©quivaut Ă 172.16.33.5 0.0.0.0 25 Liste standard, Ă©tendue..?!! âą Liste standard: â Router (config)# access-list numr-liste {permit |deny} source {masque-source} â Ex: access-list 1 deny 172.69.0.0 0.0.255.255 âą Liste Ă©tendue: â Router (config)# access-list numr-liste {permit|deny} protocole source {masque-source} destination {masque- desti} {opĂ©rateur opĂ©rande}[established..] 26
14.
31/03/2011 14 Exemple: âą RĂ©ponse: âą Router
(config)# access-list 1 permit 205.7.5.0 0.0.0.255 âą Router (config)# int e0 âą Router (config-if)# access-group 1 out 27 ACL qui permet Ă tout le rĂ©seau 205.7.5.0 lâaccĂšs au rĂ©seau 192.5.5.0; Extrait de /etc/services : âą /etc/services : âą ftp 21/tcp âą telnet 23/tcp âą smtp 25/tcp âą mail pop3 110/tcp # Post Office âą A consulter, /etc/inetd.conf ; rĂ©pertoire contient la liste des services activĂ©s sur une machine donnĂ©e âą A Voir lâExtrait de /etc/inetd.conf 28
15.
31/03/2011 15 Les commandes ICMP âą
Les horloges de 2 machines qui diffĂšrent de maniĂšre importante peuvent poser des problĂšmes pour des logiciels distribuĂ©s. âą Une machine peut Ă©mettre une demande dâhorodatage (timestamp request) Ă une autre machine susceptible de lui rĂ©pondre (timestamp reply) en donnant lâheure dâarrivĂ©e de la demande et lâheure de dĂ©part de la rĂ©ponse. âą LâĂ©metteur peut alors estimer le temps de transit ainsi que la diffĂ©rence entre les horloges locale et distante. âą Le champ de donnĂ©es spĂ©cifiques comprend lâheure originale (originate timestamp) Ă©mis par le demandeur, lâheure de rĂ©ception (receive timestamp) du destinataire, et lâheure de dĂ©part (transmit timestamp) de la rĂ©ponse. 29 Le protocole ICMP âą Internet Control Message Protocol TYPE 8 bits; type de message CODE 8 bits; informations complĂ©mentaires CHECKSUM 16 bits; champ de contrĂŽle HEAD-DATA en-tĂȘte datagramme + 64 premiers bits des donnĂ©es. âą 15 messages utilisĂ©s â 10 informations âą Ping âą Messages de routeurs âą Horodatage â 5 erreurs âą Destination inaccessible âą Temps dĂ©passĂ© âą Divers âą Redirection âą UtilisĂ© par les outils applicatifs tels: ping et traceroute. 30 TYPE Message ICMPV.4 0 Echo Reply 3 Destination Unreachable 4 Source Quench 5 Redirect (change a route) 8 Echo Request 11 Time Exceeded (TTL) Parameter Problem with a Datagram 13 Timestamp Request 14 Timestamp Reply 15 Information Request (obsolete)
16.
31/03/2011 16 ICMP : les
messages dâ erreurs âą Lorsquâune passerelle Ă©met un message ICMP de type destination inaccessible, le champ code dĂ©crit la nature de lâerreur : â 0 Network Unreachable â 1 Host Unreachable â 2 Protocol Unreachable â 3 Port Unreachable â 4 Fragmentation Needed and DF set â 5 Source Route Failed â 6 Destination Network Unknown â 7 Destination Host Unknown â 8 Source Host Isolated â 9 Communication with desination network administratively prohibited â 10 Communication with desination host administratively prohibited â 11 Network Unreachable for type of Service â 12 Host Unreachable for type of Service 31 Paquets ICMPv6 âą Utiliser l'utilitaire ping6 (Ă©quivalent Ă l'utilitaire ping) pour tester la prĂ©sence d'une machine sur le rĂ©seau en prenant une @IPv6 âą la longueur du message ICMPv6 est limitĂ©e Ă 1 280 octets, afin dâĂ©viter les problĂšmes de fragmentation, puisqu'il est difficilement envisageable de mettre en Ćuvre la dĂ©couverte du MTU 32 Type message Meaning 1 Destination Unreachable 2 Packet Too Big 3 Time Exceeded 4 Parameter Problem 128 Echo Request 129 Echo Reply 130 Group Membership Query 131 Group Membership Report 132 Group Membership Reduction 133 Router Solicitation 134 Router Advertisement 135 Neighbor Solicitation 136 Neighbor Advertisement 137 Redirect
17.
31/03/2011 17 Exemples de gestion
des erreurs 33 Administration des serveurs âą 2 types de rĂ©seaux: â RĂ©seau dâĂ©gal Ă Ă©gal: rĂ©seau pour groupe de travail et conçu pour un petit nombre de stations âą Un nombre limitĂ© dâutilisateurs âą CrĂ©ation et exploitation peu coĂ»teuse âą Pas de nĂ©cessitĂ© de serveur dĂ©diĂ© ou de logiciel supplĂ©mentaire â InconvĂ©nients: â aucun point central de gestion â Si le # des users>10 un rĂ©seau dâĂ©gal Ă Ă©gal est un mauvais choix â Ex: Windows for Workgroups, Win 98. â RĂ©seau client-serveur: gestion centralisĂ©e des utilisateurs, de la sĂ©curitĂ© et des ressources âą PossibilitĂ© dâutiliser des serveurs dĂ©diĂ©s pour fournir plus efficacement des ressources prĂ©cises aux clients âą Lâutilisateur peut avoir accĂšs aux ressources autorisĂ©es Ă lâaide dâun ID rĂ©seau et dâun mot de passe â InconvĂ©nients: â Exploitation et maintenance exige du personnel formĂ© â CoĂ»t dâexploitation est plus Ă©levĂ© que les rĂ©seaux dâĂ©gal Ă Ă©gal â Ex: Unix, Linux, Novell Netware et Win-NT/XP? WIN2K server, Win 2008. 34
18.
31/03/2011 18 SécuritéWeb Virtualisation Fondamentaux Succession de
2003 Contient 4 piliers: built-in-web, Virtualization technologies. Peut assurer et produire une infrastructure rĂ©seau securisĂ©e avec des coĂ»ts rĂ©duits, en augmentant la flexibilitĂ© dans une organisation35 36 âą Plateformes â 32 bits (x86) â 64 bits (x64 et IA64*) âą Versions « classique » et « Server Core** » â Web â Standard â Enterprise â Datacenter * RĂŽles et fonctionnalitĂ©s limitĂ©s - http://www.microsoft.com/windowsserver/bulletins/longhorn/itanium_bulletin.mspx ** uniquement sur Standard, Enterprise et Datacenter
19.
31/03/2011 19 37 -Amélioration du déploiement,
de la rĂ©cupĂ©ration et de l'installation basĂ©e sur une image source ; - AmĂ©lioration des outils de diagnostic, de supervision, de traçabilitĂ© des Ă©vĂšnements et de rapports ; -Apport de nouvelles fonctionnalitĂ©s de sĂ©curitĂ© telles que Bitlocker (specification de protection des donnĂ©es, qui fournit le chiffrement par partition) et prĂ©sente une amĂ©lioration du Pare-feu - permet aux ressources systĂšme d'ĂȘtre partitionnĂ©es de façon dynamique Ă l'aide du module Dynamic Hardware Partitioning (Gestion Dynamique du Partitionnement ) 38 âą Option dâinstallation minimale âą Surface dâexposition rĂ©duite âą Interface en ligne de commande âą Ensemble de rĂŽles restreints âą Choix Ă lâinstallation ! âą Nâest pas une plateforme applicative Server Core - « RĂŽles » Server Core Composants SĂ©curitĂ©, TCP/IP, SystĂšme de fichiers, RPC, plus dâautre sous-systĂšmes Core Server DNS DHCP File & Print AD Server Avec .Net 3.0, shell, outils, etc. TS IAS Web Server Share Point Etc⊠RĂŽles du serveur (en plus de ceux de la version Core) GUI, Shell, IE, Media, Frame, .Net etc. WSV AD LDS Media Server IIS Il s'agit de la nouveautĂ© la plus notable proposĂ©e par Windows Server 2008 : lâoption dâinstallation Server Core installe uniquement le strict minimum
20.
31/03/2011 20 39 Installation Fondamentaux Cette installation apporte
plusieurs avantages : - RĂ©duction tout d'abord des ressources nĂ©cessaires ; - RĂ©duction de la maintenance et de la gestion, puisque seuls les Ă©lĂ©ments nĂ©cessaires pour les rĂŽles dĂ©finis sont Ă installer et configurer ; - RĂ©duction enfin de la surface dâexposition aux attaques, directement liĂ© au nombre rĂ©duit dâapplications et services exĂ©cutĂ©es sur le serveur ; 40 Installation de Windows Server 2008 âą Installation âą Par fichier image (fichier .wim) âą 2 modes âą Classique âą Serveur Core âą Configuration initiale âą Initial Configuration Tasks âą Administration du serveur âą Server Manager âą Gestion des rĂŽles âą Gestion des fonctionnalitĂ©s
21.
31/03/2011 21 Machine serveur Core 41 peut
ĂȘtre configurĂ©e pour assurer plusieurs rĂŽles de base : Services de domaine Active Directory (AD DS) Services AD LDS (Active Directory Lightweight Directory Services) Serveur DHCP Serveur DNS Serveur de fichiers Serveur dâimpression Services de diffusion multimĂ©dia en continu Ainsi que les fonctionnalitĂ©s facultatives suivantes : Sauvegarde Chiffrement de lecteur BitLocker Clustering (grappe de serveur) avec basculement Ăquilibrage de la charge rĂ©seau Stockage amovible Protocole SNMP (Simple Network Management Protocol) Sous-systĂšme pour les applications UNIX Client Telnet Service WINS (Windows Internet Name Service) 42 Server Manager âą Votre nouvel ami ï âą Rationnaliser les outils et disposer dâun outil central permettant dâajouter, de configurer et de gĂ©rer les diffĂ©rents rĂŽles et fonctionnalitĂ©s du serveur â Un seul outil pour configurer Windows Server 2008 â Portail dâadministration â Ligne de commande servermanagercmd.exe
22.
31/03/2011 22 43 Active Directory Fondamentaux Objectifs: âą Disposer
de mĂ©canismes permettant une installation granulaire dâActive Directory âą AmĂ©liorer la prise en charge des serveurs distribuĂ©s gĂ©ographiquement (agences) âą Optimiser la consommation de bande passante âą Elever le niveau de sĂ©curitĂ© Active Directory Domain ServicesActive Directory Domain Controller Active Directory Lightweight DirectoryActive Directory Application Mode Active Directory Rights ManagementRights Management Services Active Directory Certificate ServicesWindows Certificate Services 44 Active Directory : nomenclature
23.
31/03/2011 23 45 Active Directory dans
Windows Server 2008 âą Installation â Nouvel assistant de promotion en contrĂŽleur de domaine âą Installation automatisĂ©e amĂ©liorĂ©e â Prise en charge du mode Server Core âą SĂ©curitĂ© â Authentification, autorisations et audit â ContrĂŽleur de domaine en lecture seule âą Performance â RĂ©plication Sysvol diffĂ©rentielle âą Administration â Active Directory sous forme de service â Editeur dâattributs â Protection contre les suppressions accidentelles â Administration des stratĂ©gies de groupe avec GPMC 46 âą Support du server core âą Utilise les âcrĂ©dentielsâ de lâutilisateur connectĂ© pour la promotion âą SĂ©lection des rĂŽles : DNS (dĂ©faut), GC (dĂ©faut), RODC (Read Only Domain Controller) âą Mode avancĂ© (/adv) âą SĂ©lection du site (par dĂ©faut : auto-dĂ©tection) âą RĂ©plication AD durant la promotion: DC particulier, nâimporte quel DC, mĂ©dia (sauvegarde AD) âą Auto-configuration du serveur DNS âą Auto-configuration du client DNS âą CrĂ©ation et configuration des dĂ©lĂ©gations DNS Active Directory Domain Services DCPROMO dans Windows Server 2008
24.
31/03/2011 24 47 Politique de mots
de passe multiples âą Aujourdâhui la politique des mots de passe appliquĂ©e se dĂ©finit pour lâensemble du domaine â Default Domain Policy dans un AD 2000/2003 âą Avec Windows Server 2008 : il devient possible de dĂ©finir des politiques de comptes au niveau des utilisateurs et des groupes du domaine â Ne sâapplique pas ni Ă lâobjet ordinateur ni aux comptes locaux (utilisateurs hors domaine) â NĂ©cessite un niveau fonctionnel de domaine Windows Server 2008 â Le schĂ©ma doit ĂȘtre en version 2008 âą Utilisation dâune nouvelle classe dâobjets msDs-PasswordSettings 48 Hub ` Read Only DC Hub WS 2008 DC Branch Read-Only DC Authentification 1 2 3 4 5 6 6 7 7 1. AS_Req vers le RODC (requĂȘte pour TGT) 2. RODC: regarde dans sa base: âJe nâai pas les crĂ©dentiels de lâutilisateur" 3. Transmet la requĂȘte vers un Windows Server 2008 DC 4. Windows Server 2008 DC authentifie la demande 5. Renvoi la rĂ©ponse et la TGT vers le RODC (Hub signed TGT) 6. RODC fournit le TGT Ă lâutilisateur et met en queue une demande de rĂ©plication pour les crĂ©dentiels 7. Le Hub DC vĂ©rifie la politique de rĂ©plication des mots de passe pour savoir sâil peut ĂȘtre rĂ©pliquĂ©
25.
31/03/2011 25 49 Administration du Serveur Fondamentaux âą
Objectifs: âą Rationaliser les outils dâadministration âą Elargir les possibilitĂ©s offertes en terme dâadministration locale et distante âą DĂ©ployer plus rapidement de nouveaux systĂšmes (postes et serveurs) 50 Administration et Windows Server 2008 âą Le Server Manager âą Windows PowerShell âą Active Directory redĂ©marrable âą Administrateurs locaux sur RODC âą StratĂ©gies de groupes (GPO) (GPMC, admx/adml) âą Journaux et structure des Ă©vĂ©nements âą Planificateur de tĂąches âą Administration Windows Ă distance WinRM âą Sauvegarde / restauration âą Outils de diagnostics âą Outils en ligne de commande
26.
31/03/2011 26 51 Server Core -
Administration âą Locale ou distante en ligne de commande â Outils basiques â WinRM et Windows Remote Shell pour lâexĂ©cution Ă distance â WMI et WMIC (locale et Ă distance) âą Terminal Services (Ă distance) âą Microsoft Management Console (Ă distance) â RPC, DCOM âą SNMP âą Planificateur de tĂąches âą EvĂ©nements et transfert dâĂ©vĂ©nements âą Pas de support du code managĂ© donc pas de support de Windows PowerShell 52 Services de dĂ©ploiement Windows (Windows Deployment Services) âą Solution de dĂ©ploiement pour Windows Server 2008 âą Nouvelles technologies : WIM, IBS, WinPE âą Ensemble dâoutils pour personnaliser lâinstallation âą DĂ©marrage Ă distance dâun environnement de prĂ©-installation (WinPE) âą Notion de serveur PXE âą Support du multicast ï âą Administration graphique et en ligne de commande âą Wdsutil.exe
27.
31/03/2011 27 Domain Name System
:DNS âą Pourquoi un systĂšme de rĂ©solution des noms ? â Communications sur lâInternet basĂ©es sur les adresses IP â Communications «humaines» basĂ©es sur des noms â Besoin dâun mĂ©canisme pour faire correspondre des adresses IP avec des noms dâhĂŽtes => service DNS âą Domain Name System (DNS) â Base de donnĂ©es hiĂ©rarchique distribuĂ©e âą Le systĂšme DNS permet dâidentifier une machine par un nom reprĂ©sentatif de la machine et du rĂ©seau sur lequel elle se trouve. âą Le systĂšme est mis en Ćuvre par une base de donnĂ©es distribuĂ©e au niveau mondial. âą DNS fournit un niveau dâadressage indirect entre un nom dâhĂŽte et sa localisation gĂ©ographique 53 FonctionnalitĂ©s du service DNS âą Espace des noms de domaines = arborescence hiĂ©rarchique â Arborescence indĂ©pendante de la topologie rĂ©seau et|ou de la gĂ©ographie âą Architecture de stockage distribuĂ©e â Zones affectĂ©es Ă des serveurs de noms dans lâarborescence hiĂ©rarchique â Serveurs de sauvegarde pour la redondance et la disponibilitĂ© âą Administration rĂ©partie suivant la hiĂ©rarchie des noms â RĂŽle le plus simple : client DNS ou âResolverâ âą Protocole client/serveur communicant sur le port n° 53 â Protocole UDP utilisĂ© par les clients â Protocole TCP prĂ©conisĂ© pour les Ă©changes entre serveurs 54
28.
31/03/2011 28 Hiérarchie des noms
de domaines âą Arborescence limitĂ©e Ă 128 niveaux âą Un domaine est un sous-ensemble de lâarborescence âą Aucune possibilitĂ© de doublon â hĂŽte : cooper, domaine : ups-tlse, gTLD : fr â Fully Qualified Domain Name : cooper.ups-tlse.fr âą Conventions sur les noms de domaines âą Top Level Domains (TLD) â .com, .net, .org, .edu, .mil, .gov, .int, .biz âą Geographical Top Level Domains (gTLD) â .tn, .de, .fr, .uk, .jp, .au âą Nom du Domain: chaque nĆud possĂšde une Ă©tiquette (label): max 63 caract. â HĂŽte: correspond Ă une machine 55 DNS âą HiĂ©rarchie des serveurs âą Serveurs «distribuĂ©s» dans lâarborescence hiĂ©rarchique â Un serveur ne maintient quâun sous-ensemble de lâarborescence â On parle dâautoritĂ© sur une zone : âAuthoritative Name Serverâ âą Chaque serveur contient tous les enregsitrements dâhĂŽtes dans «sa» zone â Enregistrement = Resource Record (RR) âą Chaque serveur a besoin de connaĂźtre les autres serveurs responsables des autres parties de lâarborescence â Chaque serveur connaĂźt la liste des âRoot Serversâ â Chaque âRoot Serverâ connaĂźt tous les TLDs et gTLDs â Un serveur racine peut ne pas connaĂźtre le serveur qui a autoritĂ© sur une zone â Un serveur racine peut connaĂźtre un serveur intermĂ©diaire Ă contacter pour connaĂźtre le serveur qui a autoritĂ© sur une zone 56
29.
31/03/2011 29 Exemple de requĂȘte
DNS âą RequĂȘte du poste Asterix : Adresse IP du site www.stri.net ? â Asterix contacte le serveur local Cooper.ups- tlse.fr â Cooper.ups-tlse.fr contacte un serveur racine : J.ROOT-SERVERS.NET â J.ROOT-SERVERS.NET contacte un serveur du domaine â.netâ : G.GTLD-SERVERS.NET â G.GTLD-SERVERS.NET contacte le serveur qui a autoritĂ© sur la zone âstri.netâ : full1.gandi.net â Cooper.ups-tlse.fr renvoie la rĂ©ponse vers Asterix âą Gestion du cache â Cooper.ups-tlse.fr conserve la rĂ©ponse dans son cache â Cooper.ups-tlse.fr rĂ©pond directement Ă toute nouvelle requĂȘte DNS www.stri.net 57 âą En mode interactif, on peut sĂ©lectionner le type de requĂȘte Ă l'aide de la commande « set type=RR ». Exemple: « nslookup www.univ-evry.fr 194.199.90.1 » âą En mode non interactif, on le prĂ©cise avec l'option « -query-type=RR ». â Exemple: pour obtenir les serveurs dns de la zone univ-evry.fr: « nslookup -query- type NS univ-evry.fr ». âą Le tableau suivant,extrait de la documentation de windows Xp indique les types possibles : â A SpĂ©cifie l'adresse IP d'un ordinateur. â ANY SpĂ©cifie tous les types de donnĂ©es. â CNAME SpĂ©cifie un nom canonique d'alias. â GID SpĂ©cifie un identificateur de groupe d'un nom de groupe. â HINFO SpĂ©cifie le type de systĂšme d'exploitation et d'unitĂ© centrale d'un ordinateur. â MB SpĂ©cifie un nom de domaine d'une boĂźte aux lettres. â MG SpĂ©cifie un membre d'un groupe de messagerie. â MINFO SpĂ©cifie des informations sur une liste de messagerie ou une boĂźte aux lettres. â MR SpĂ©cifie le nom de domaine de la messagerie renommĂ©e. â MX SpĂ©cifie le serveur de messagerie. â NS SpĂ©cifie un serveur de noms DNS pour la zone nommĂ©e. âą Exercice: Utilisez la commande nslookup pour obtenir les informations correspondant au nom de la machine qui a comme adresse ip 192.168.202.2 58
30.
31/03/2011 30 âą FQDN :
Full Qualified Domain Name Le nom complet d'un hĂŽte, sur l'Internet, c'est-Ă -dire de la machine jusqu'au domaine, en passant par les sous-domaines. âą URL : Uniform Resource Locator C'est la mĂ©thode d'accĂšs Ă un document distant. Un lien hypertexte avec une syntaxe de la forme: <Type de connexion>://<FQDN>/[<sous-rĂ©pertoire>]/.../<nom du document> Exemple: http://www.ac-aix-marseille.fr/bleue/francais/nouveau.htm â http: Hyper Text Transfert Protocol â www.ac-aix-marseille.fr: FQDN du serveur de pages personnelles â /bleue/francais/: arborescence de rĂ©pertoires â nouveau.htm: nom du document. âą URI : Universal Resource Identifier. c'est la mĂȘme chose que l'URL. Le W3C (World Wide Web Consortium), garant de l'universalitĂ© de l'Internet, voudrait voir abandonner URL au profit d'URI. Notez la trĂšs subtile divergence de sens, qui vaut bien, le changement. 59 DNSSEC âą ImplĂ©mentation de DNSSEC sous Windows 2008 serveur cotĂ© serveur: â Distribution des « trust anchors » ; â DĂ©ploiement des certificats pour les serveurs DNS ; â DĂ©ploiement de la politique de sĂ©curitĂ© dâIPSEC sur le Serveur DNS ; â DĂ©ploiement de la politique de sĂ©curitĂ© dâIPSEC sur un poste client âą http://www.labo-microsoft.org/articles/DNSSECPRES/3/Default.asp â DĂ©ployer les certificats pour lâauthentification du Serveur DNS 60
31.
31/03/2011 31 Dynamic Host Configuration
Protocol âą Objectifs : obtenir automatiquement tous les paramĂštres de configuration rĂ©seau â @ IP â Adresse de diffusion â Masque rĂ©seau â Passerelle par dĂ©faut â Domaine DNS â Adresse IP du serveur de noms DNS âą Dynamic Host Configuration Protocol (DHCP) â Service Internet => couche application â RFCs 2131 et 2132 en 1997 â Communications sur les ports UDP 67 (cĂŽtĂ© client) et le 68 (cĂŽtĂ© serveur) 61 DHCP âą Lâ @ IP est allouĂ©e selon les critĂšres suivants: â Ne pas ĂȘtre dĂ©jĂ allouĂ©e Ă une autre station â La mĂȘme station reçoit toujours la mĂȘme adresse â Cette adresse est allouĂ©e pendant une pĂ©riode dĂ©terminĂ©e (bail) â Le client vĂ©rifie la validitĂ© de lâ@ 62
32.
31/03/2011 32 DHCP Discover 63 Client DHCP
envoie une trame "DHCPDISCOVER", destinĂ©e Ă trouver un serveur DHCP. Cette trame est un "broadcast", donc envoyĂ© Ă l'adresse 255.255.255.255. N'ayant pas encore dâ@ IP, il fournit aussi son @ MAC Les Commandes DHCP âą Client DHCP envoie une trame "DHCPDISCOVER", destinĂ©e Ă trouver un serveur DHCP. Cette trame est un "broadcast", donc envoyĂ© Ă l'adresse 255.255.255.255. N'ayant pas encore dâ@ IP, il fournit aussi son @ MAC âą Le serveur DHCP qui reçoit cette trame va rĂ©pondre par un "DHCPOFFER". Cette trame contient une proposition de bail et la @-MAC du client, avec Ă©galement lâ@ IP du serveur. âą Le client rĂ©pond par un DHCPREQUEST au serveur pour indiquer quâil accepte lâoffre âą Le serveur DHCP ConcernĂ© rĂ©pond dĂ©finitivement par un DHCPACK qui constitue une confirmation du bail. L'adresse du client est alors marquĂ©e comme utilisĂ©e et ne sera plus proposĂ©e Ă un autre client pour toute la durĂ©e du bail. 64
33.
31/03/2011 33 Serveur DHCP âą Le
serveur DHCP maintient une plage dâ@ Ă distribuer Ă ses clients. Il tient Ă jour une BD des @ dĂ©jĂ utilisĂ©es et utilisĂ©es il y a peu (c.a.d que l'on rĂ©cupĂšre souvent la mĂȘme @, le DHCP ayant horreur des changements ) âą Lorsqu'il attribue une adresse, il le fait par l'intermĂ©diaire d'un bail. Ce bail a normalement une durĂ©e limitĂ©e âą AprĂšs expiration du bail, ou rĂ©siliation par le client, les informations concernant ce bail restent mĂ©morisĂ©es dans la BD du serveur pendant un certain temps. Bien que l'adresse IP soit disponible, elle ne sera pas attribuĂ©e en prioritĂ© Ă une autre machine. C'est ce qui explique que l'on retrouve souvent la mĂȘme adresse d'une session Ă l'autre. 65 DĂ©tails sur le bail âą Dans le bail, il y a non seulement une @ IP pour le client, avec une durĂ©e de validitĂ©, mais Ă©galement d'autres informations de configuration comme: â Lâ@ d'un ou de plusieurs DNS (RĂ©solution de noms) â Lâ@ de la passerelle par dĂ©faut â Lâ@ du serveur DHCP âą le client peut renouveler le bail, en s'adressant directement au serveur qui le lui a attribuĂ©. Il n'y aura alors qu'un DHCPREQUEST et un DHCPACK. 66
34.
31/03/2011 34 Avantages âą L'avantage de
DHCP rĂ©side essentiellement dans la souplesse de configuration des hĂŽtes : â allocation dynamique des adresses avec rĂ©duction des risques de conflit â dĂ©finition d'un nombre important de paramĂštres (masque de SR, passerelle par dĂ©faut...) â possibilitĂ© d'avoir plus d'hĂŽtes que d'adresses. 67 InconvĂ©nients âą Sur un rĂ©seau constituĂ© de plusieurs SR, interconnectĂ© par des routeurs, DHCP prĂ©sente une limitation d'utilisation. Le mĂ©canisme de fonctionnement utilise des broadcasts qui ne passent pas les routeurs. âą Puisque requĂȘte de diffusion ne passe pas par un routeur, un client DHCP ne pourra pas recevoir d'adresse DHCP d'un serveur situĂ© derriĂšre un routeur. âą Dans ce cas: â installer un serveur DHCP par SR â installer un agent relais DHCP. Un agent relais DHCP prĂ©sent sur le rĂ©seau du poste client peut transmettre la requĂȘte au(x) serveur(s) DHCP 68
35.
31/03/2011 35 AccĂšs Ă distance
Telnet âą Protocole trĂšs utilisĂ© pour lâaccĂ©s Ă distance (tests dâapplication rĂ©parties, tests de fonctionnement en mode manuel des protocoles HTTP, SMTP,..) âą Permet de se connecter Ă une machine distante âą AccĂšs Ă distance Telnet: â Le client Telnet transmet les caractĂšres entrĂ©s sur le terminal local vers le serveur distant â Le fonctionnement est bidirectionnel: on supporte le mĂȘme Ă©change dans les 2 sens â Ex: Client Telnet : âą Telnet <site distant> <port> Telnet 192.168.19.100 23 commande permet la crĂ©ation dâune connexion TCP avec le serveur de la machine distante Le serveur Telnet: Le serveur sâexĂ©cute sur la machine distante sinon le service nâest pas disponible 69 TCP IP Client Telnet TCP IP Serveur Telnet SNMP (Simple Network Management Protocol) SNMP permet de: Visualiser une quantitĂ© impressionnante dâinformations concernant le matĂ©riel, les connexions rĂ©seau, leur Ă©tat de charge. ïŒModifier le paramĂ©trage de certains composants. ïŒAlerter lâadministrateur en cas dâĂ©vĂ©nement grave. 70
36.
31/03/2011 36 Le concept SNMP âą
Protocole d'administration de machine supportant TCP/IP â Conçu en 87-88 par des administrateurs de rĂ©seau âą Permet de rĂ©pondre Ă un grand nombre de besoins : â disposer d'une cartographie du rĂ©seau â fournir un inventaire prĂ©cis de chaque machine â mesurer la consommation d'une application â signaler les dysfonctionnements âą Avantages : â protocole trĂšs simple, facile d'utilisation â permet une gestion Ă distance des diffĂ©rentes machines â le modĂšle fonctionnel pour la surveillance et pour la â gestion est extensible â indĂ©pendant de l'architecture des machines administrĂ©es 71 Le ModĂšle SNMP âą L'utilisation de SNMP suppose que tous les agents et les stations d'administration supportent IP et UDP. â Ceci limite l'administration de certains pĂ©riphĂ©riques qui ne supportent pas la pile TCP/IP. De plus, certaines machines (ordinateur personnel, station de travail, contrĂŽleur programmable, ... qui implantent TCP/IP pour supporter leurs applications, mais qui ne souhaitent pas ajouter un agent SNMP. => utilisation de la gestion mandataire (les proxies) âą Un protocole activĂ© par une API permet la supervision, le contrĂŽle et la modification des paramĂštres des Ă©lĂ©ments du rĂ©seau. 72
37.
31/03/2011 37 Le modĂšle SNMP âą
Une administration SNMP est composĂ©e de trois types d'Ă©lĂ©ments: â La station de supervision (appelĂ©e aussi manager) exĂ©cute les applications de gestion qui contrĂŽlent les Ă©lĂ©ments rĂ©seaux. Physiquement, la station est un poste de travail. Station de gestion capable dâinterpreter les donnĂ©es â La MIB (Management Information Base) est une collection d'objets rĂ©sidant dans une base d'information virtuelle. Ces collections d'objets sont dĂ©finies dans des modules MIB spĂ©cifiques. â Le protocole, qui permet Ă la station de supervision d'aller chercher les informations sur les Ă©lĂ©ments de rĂ©seaux et de recevoir des alertes provenant de ces mĂȘmes Ă©lĂ©ments. 73 74
38.
31/03/2011 38 Les types de
requĂȘtes: âą 4 types de requĂȘtes: GetRequest, GetNextRequest, GetBulk, SetRequest. â La requĂȘte GetRequest permet la recherche d'une variable sur un agent. â La requĂȘte GetNextRequest permet la recherche de la variable suivante. â La requĂȘte GetBulk permet la recherche d'un ensemble de variables regroupĂ©es. â La requĂȘte SetRequest permet de changer la valeur d'une variable sur un agent. âą Les rĂ©ponses de SNMP Ă la suite de requĂȘtes, l'agent rĂ©pond toujours par GetResponse. Toutefois si la variable demandĂ©e n'est pas disponible, le GetResponse sera accompagnĂ© d'une erreur noSuchObject. âą Les alertes (Traps, Notifications) Les alertes sont envoyĂ©es quand un Ă©vĂ©nement non attendu se produit sur l'agent. Celui-ci en informe la station de supervision via une trap. Les alertes possibles sont: ColdStart, WarmStart, LinkDown, LinkUp, AuthentificationFailure. 75 Les commandes SNMP 76 âą Les commandes get-request, get-next-request et set-request sont toutes Ă©mises par le manager Ă destination d'un agent et attendent toutes une rĂ©ponse get - response de la part de l'agent. âą La commande trap est une alerte. Elle est toujours Ă©mise par l'agent Ă destination du manager, et n'attend pas de rĂ©ponse.
39.
31/03/2011 39 MIB âą La MIB
(Management Information base) est la base de donnĂ©es des informations de gestion maintenue par l'agent, auprĂšs de laquelle le manager doit sâinformer. âą 2 MIB publics ont Ă©tĂ© normalisĂ©es: MIB I et MIB II âą Un fichier MIB est un document texte Ă©crit en langage ASN.1 (Abstract Syntax Notation 1) qui dĂ©crit les variables, les tables et les alarmes gĂ©rĂ©es au sein d'une MIB. âą La MIB est une structure arborescente dont chaque nĆud est dĂ©fini par un nombre ou OID (Object Identifier). Elle contient une partie commune Ă tous les agents SNMP d'un mĂȘme type de matĂ©riel et une partie spĂ©cifique Ă chaque constructeur. Chaque Ă©quipement Ă superviser possĂšde sa propre MIB. 77 Structure de la MIB 78
40.
31/03/2011 40 La MIB (Management
Information Base) âą MIB = Collection structurĂ©e dâobjets â chaque noeud dans le systĂšme doit maintenir une MIB qui reflĂšte l'Ă©tat des ressources gĂ©rĂ©es â une entitĂ© d'administration peut accĂ©der aux ressources du noeud en lisant les valeurs de l'objet et en les modifiant. 79 Lâarborescence MIB: Les informations stockĂ©es dans la MIB sont rangĂ©es dans une arborescence. MIB dispose d'objets supplĂ©mentaires. Elle constitue une branche du groupe iso.org.dod.internet.mgmt. Groupe Commentaires system Informations gĂ©nĂ©rales sur le systĂšme. interfaces Informations sur les interfaces entre le systĂšmes et les sous-rĂ©seaux. at Table de traduction des adresses entre internet et les sous-rĂ©seaux. ip Informations relatives Ă l'implantation et Ă l'Ă©xĂ©cution d'IP (Internet Protocol). icmp Informations relatives Ă l'implantation et Ă l'Ă©xĂ©cution de ICMP (Internet Control Message Protocol). tcp Informations relatives Ă l'implantation et Ă l'Ă©xĂ©cution de TCP (Transmission Control Protocol). udp Informations relatives Ă l'implantation et Ă l'Ă©xĂ©cution de UDP (User Datagram Protocol). egp Informations relatives Ă l'implantation et Ă l'Ă©xĂ©cution de EGP (Exterior Gateway Protocol). transmission Informations sur la transmission et sur les protocoles utilisĂ©s par chaque interface. snmp Informations relatives Ă l'implantation et Ă l'Ă©xĂ©cution de SNMP.80
41.
31/03/2011 41 Object identifier âą Les
variables de la MIB-2 sont identifiĂ©es par le chemin dans l'arborescence, notĂ© de deux façons: âą Ă l'aide des noms de groupes : iso.org.dod âą Ă l'aide des numĂ©ros des groupes: 1.3.6. âą Les identifiants sont dĂ©finis Ă l'aide du langage SMI. Ex: DĂ©finition SMI Notation par "point" Notation par nom mgmt OBJECT IDENTIFIER ::= { internet 2 } 1.3.6.1.2 iso.org.dod.internet.mgmt mib OBJECT IDENTIFIER ::= { mgmt 1 } 1.3.6.1.2.1 iso.org.dod.internet.mgmt.mib interfaces OBJECT IDENTIFIER ::= { mib 2 } 1.3.6.1.2.1.2 iso.org.dod.internet.mgmt.mib. interface 81 Ex: On utilisera l'OID (Object Identification) qui dĂ©signe l'emplacement de la variable Ă consulter dans la MIB. On aura par ex. sur un commutateur Nortel Passport l'OID .1.3.6.1.4.1.2272.1.1.20 dĂ©signant le taux de charge du CPU. Fonctions assurĂ©es Primitives Descriptions GetRequest le manager demande une information Ă l'agent GetNextRequest le manager demande l'information suivante Ă l'agent SetRequest le manager initialise une variable de l'agent GetResponse l'agent retourne l'information Ă lâadministrateur Trap interruption - l'agent envoie une information Ă lâadministrateur 82
42.
31/03/2011 42 83 La sécurité des
réseaux 84
43.
31/03/2011 43 Introduction Ă la
sĂ©curitĂ© âą La sĂ©curitĂ© d'un rĂ©seau est un niveau de garantie que l'ensemble des machines du rĂ©seau fonctionnent de façon optimale et que les utilisateurs possĂšdent uniquement les droits qui leur ont Ă©tĂ© octroyĂ©s âą Il peut s'agir : â d'empĂȘcher des personnes non autorisĂ©es d'agir sur le systĂšme de façon malveillante â d'empĂȘcher les utilisateurs d'effectuer des opĂ©rations involontaires capables de nuire au systĂšme â de sĂ©curiser les donnĂ©es en prĂ©voyant les pannes â de garantir la non-interruption d'un service 85 Les causes dâinsĂ©curitĂ© âą On distingue gĂ©nĂ©ralement deux types d'insĂ©curitĂ© : â l'Ă©tat actif d'insĂ©curitĂ©: la non-connaissance par l'utilisateur des fonctionnalitĂ©s du systĂšme, dont certaines pouvant lui ĂȘtre nuisibles (ex: la non- dĂ©sactivation de services rĂ©seaux non nĂ©cessaires Ă l'utilisateur), ou lorsque l'administrateur (ou l'utilisateur) d'un systĂšme ne connaĂźt pas les dispositifs de sĂ©curitĂ© dont il dispose â l'Ă©tat passif d'insĂ©curitĂ© 86
44.
31/03/2011 44 Menaces de sĂ©curitĂ© âą
Attaques passives: âą Capture de contenu de message et analyse de trafic âą Ă©coutes indiscrĂštes ou surveillance de transmission âą Attaques actives: âą Mascarade, âą modifications des donnĂ©es, âą dĂ©ni de service pour empĂȘcher lâutilisation normale ou la gestion de fonctionnalitĂ©s de communication 87 Le but des agresseurs âą Les motivations des agresseurs que l'on appelle "pirates" peuvent ĂȘtre multiples : â l'attirance de l'interdit â le dĂ©sir d'argent (ex: violer un systĂšme bancaire) â le besoin de renommĂ©e (impressionner des amis) â l'envie de nuire (dĂ©truire des donnĂ©es, empĂȘcher un systĂšme de fonctionner) âą Le but des agresseurs est souvent de prendre le contrĂŽle d'une machine afin de pouvoir rĂ©aliser les actions qu'ils dĂ©sirent. Pour cela il existe diffĂ©rents types de moyens : â l'obtention d'informations utiles pour effectuer des attaques â utiliser les failles d'un systĂšme â l'utilisation de la force pour casser un systĂšme 88
45.
31/03/2011 45 Le Hacking (attaques) âą
Câest lâensemble des techniques visant Ă attaquer un rĂ©seau un site ou un Ă©quipement âą Les attaques sont divers on y trouve: â Lâenvoie de bombe logiciel, chevaux de Troie â La recherche de trou de sĂ©curitĂ© â DĂ©tournement dâidentitĂ© â Les changements des droits dâaccĂšs dâun utilisateur dâun PC â Provocation des erreurs âą Les buts dâun Hacker: â La vĂ©rification de la sĂ©curisation dâun systĂšme â La vol dâinformations, terrorisme (Virus), espionnage â Jeux; pour apprendre âą Les attaques et les mĂ©thodes utilisĂ©es peuvent ĂȘtre offensives ou passives: â Les attaques passives consistent Ă Ă©couter une ligne de communication et Ă interprĂ©ter les donnĂ©es quâils interceptent et Les attaques offensives peuvent ĂȘtre regrouper en : â Les attaques directes: câest le plus simple des attaques, le Hacker attaque directement sa victime Ă partir de son ordinateur. Dans ce type dâattaque, il y a possibilitĂ© de pouvoir remonter Ă lâorigine de lâattaque et Ă identifier lâidentitĂ© du Hacker â Les attaques indirectes (par ruban): passif, cette attaque prĂ©sente 2 avantages: â Masquer lâidentitĂ© (@ IP du Hacker) â Ăventuellement utiliser les ressources du PC intermĂ©diaire 89 Les Menaces: Contexte gĂ©nĂ©ral 90
46.
31/03/2011 46 Attaques,services et mĂ©canismes âą
Lâadministrateur doit tenir compte des 3 aspects de la sĂ©curitĂ© de lâinformation: â Service de sĂ©curitĂ©: pour contrer les attaques de sĂ©curitĂ© et amĂ©liorer la sĂ©curitĂ© des SI â MĂ©canisme de sĂ©curitĂ©: pour dĂ©tecter, prĂ©venir ou rattraper une attaque de sĂ©curitĂ© âą Usage des techniques cryptographiques â ProtĂ©ger contre Attaque de sĂ©curitĂ©: une action qui compromet la sĂ©curitĂ© de lâinformation possĂ©dĂ© par une organisation âą Obtenir un accĂšs non-autorisĂ©, modifier, 91 Les menaces 92
47.
31/03/2011 47 93 MĂȘme le site
de CIA a Ă©tĂ© attaquĂ© âŠ! 94 MĂȘme âŠ..
48.
31/03/2011 48 95 ProblĂšmes de sĂ©curitĂ© âą
Les problĂšmes de sĂ©curitĂ© des rĂ©seaux peuvent ĂȘtre classĂ©s en 4 catĂ©gories: â La confidentialitĂ©: seuls les utilisateurs autorisĂ©s peuvent accĂ©der Ă lâinformation â ContrĂŽle dâintĂ©gritĂ©: comment ĂȘtre sĂ»r que le message reçu est bien celui qui a Ă©tĂ© envoyĂ© (celui-ci nâa pas Ă©tĂ© altĂ©rĂ© et modifiĂ©) â Lâauthentification: avoir la certitude que lâentitĂ© avec laquelle on dialogue est bien celle que lâon croit â Non-rĂ©pudiation: concerne les signatures 96
49.
31/03/2011 49 Objectifs de la
sĂ©curitĂ© âą Identification indique qui vous prĂ©tendez ĂȘtre (username) âą Authentification valide lâidentitĂ© prĂ©tendue (password) âą Autorisation dĂ©termine les actions et ressources auxquelles un utilisateur identifiĂ© et autorisĂ© a accĂšs âą Non-rĂ©pudiation garantie quâun message a bien Ă©tĂ© envoyĂ© par un Ă©metteur authentifiĂ© âą TraçabilitĂ© permet de retrouver les opĂ©rations rĂ©alisĂ©es sur les ressources (logs) 97 Les services de sĂ©curitĂ© â ConfidentialitĂ© des messages transmis: est la protection contre les attaques passives â Authentification des interlocuteurs: pour assurer que le destinataire reçoive le msg dâorigine Ă©mis par la source â IntĂ©gritĂ© et non rĂ©pudiation des messages: assure que les messages envoyĂ©s seront aussitĂŽt reçus sans duplication ni modification â Non-rĂ©pudiation: empĂȘche tant lâexpĂ©diteur que le receveur de nier avoir transmis un message. Ainsi que le message envoyĂ© a Ă©tĂ© bien reçu â DisponibilitĂ© et contrĂŽle dâaccĂšs (les personnes doivent pouvoir sâĂ©changer des messages): est la facultĂ© de limiter et de contrĂŽler lâaccĂšs aux systĂšmes et aux applications (droits dâaccĂšs) 98
50.
31/03/2011 50 ⹠confidentialité :
Protection de lâinformation dâune divulgation non autorisĂ©e âą l'intĂ©gritĂ© : Protection contre la modification non autorisĂ©e de lâinformation âą DisponibilitĂ© : Sâassurer que les ressources sont accessibles que par les utilisateurs lĂ©gitimes âą Authentification â Authentification des entitĂ©s (entity authentication) procĂ©dĂ© permettant Ă une entitĂ© dâĂȘtre sĂ»re de lâidentitĂ© dâune seconde entitĂ© Ă lâappui dâune Ă©vidence corroborante (certifiant, ex.: prĂ©sence physique, cryptographique, biomĂ©trique, etc.). Le terme identification est parfois utilisĂ© pour dĂ©signer Ă©galement ce service. â Authentification de lâorigine des donnĂ©es (data origine authentication) procĂ©dĂ© permettant Ă une entitĂ© dâĂȘtre sĂ»re quâune deuxiĂšme entitĂ© est la source original dâun ensemble de donnĂ©es. Par dĂ©finition, ce service assure Ă©galement lâintĂ©gritĂ© de ces donnĂ©es. âą non-rĂ©pudiation: Offre la garantie quâune entitĂ© ne pourra pas nier ĂȘtre impliquĂ©e dans une transaction âą Non-Duplication: Protection contre les copie illicites 99 Dangers et Attaques Services Dangers Attaques ConfidentialitĂ© fuite dâinformations masquerade, Ă©coutes illicites, analyse du trafic IntĂ©gritĂ© modification de lâinformation crĂ©ation, altĂ©ration ou destruction illicite DisponibilitĂ© denial of service, usage illicite virus, accĂšs rĂ©pĂ©tĂ©s visant Ă inutiliser un systĂšme Auth. dâentitĂ©s accĂšs non autorisĂ©s masquerade, vol de mot de passe, faille dans le protocole dâauth. Auth. de donnĂ©es falsification dâinformations falsification de signature, faille dans le protocole dâauth. Non-rĂ©pudiation nier la participation Ă une transaction prĂ©tendre un vol de clĂ© ou une faille dans le protocole de signature Non-duplication duplication falsification, imitation 100
51.
31/03/2011 51 Services MĂ©canismes classiques
MĂ©canismes digitaux ConfidentialitĂ© scellĂ©s, coffre-forts, cadenas cryptage, autorisation logique IntĂ©gritĂ© encre spĂ©ciale, hologrammes fonctions Ă sens unique + cryptage DisponibilitĂ© contrĂŽle dâaccĂšs physique, surveillance vidĂ©o contrĂŽle dâaccĂšs logique, audit, anti-virus Auth. dâentitĂ©s prĂ©sence, voix, piĂšce dâidentitĂ©, reconnaissance biomĂ©trique secret + protocole dâauth., adresse rĂ©seau + userid carte Ă puce + PIN Auth. de donnĂ©es sceaux, signature, empreinte digitale fonctions Ă sens unique + cryptage Non- rĂ©pudiation sceaux, signature, signature notariale, envoi recommandĂ© fonctions Ă sens unique + cryptage + signature digitale Non- duplication encre spĂ©ciale, hologrammes, tatouage tatouage digital (watermarks), verrouillage cryptographique 101 MĂ©canismes de protection ProblĂ©matique: Authentification 102 But: Bob veut prouver son identitĂ© Ă Alice ï± rencontre physique : son apparence ï± au tĂ©lĂ©phone : sa voie ï± Ă la douane : son passeport ï IntĂ©gritĂ© des messages ï± Signatures Ă©lectroniques
52.
31/03/2011 52 Cryptographie: La science du
secret !! 103 Cryptographie âą DĂ©finition â Science du chiffrement â Meilleur moyen de protĂ©ger une information = la rendre illisible ou incomprĂ©hensible âą Bases â Une clĂ© = chaĂźne de nombres binaires (0 et 1) â Un Algorithme = fonction mathĂ©matique qui va combiner la clĂ© et le texte Ă crypter pour rendre ce texte illisible 104
53.
31/03/2011 53 Encryption Process 105 Quelques dĂ©finitions âą
Cryptage: permet lâencodage des informations. Il interdit la lecture dâinformations par des personnes non autorisĂ©es âą On distingue 2 procĂ©dĂ©s de cryptage: â ProcĂ©dĂ©s de transposition, qui modifie la succession des caractĂšres Ă lâaide dâun algorithme. â ProcĂ©dĂ©s de substitution, qui remplace les caractĂšres dâorigine par dâautres prĂ©levĂ©s dans une liste â RĂšgle ou clĂ© de cryptage sâappelle Code â Ex: PGP (Pretty Good Privacy): progr. DestinĂ© au cryptage des messages Ă©lectroniques (conçu par Philip Zimmermann 1991) âą Cryptanalyse: analyse de donnĂ©es cryptĂ©es 106
54.
31/03/2011 54 Application de la
cryptographie âą Commerce Ă©lectronique âą Protection de la confidentialitĂ© de correspondance âą Protection des bases de donnĂ©es contre les intrusions et la dĂ© vulgarisation Ă des tiers non autorisĂ©s âą Transmission sĂ©curisĂ©e des donnĂ©es sensibles Ă travers les rĂ©seaux internationaux ïPreuve informatique: Identification et authentification 107 Cryptographie âą Ensemble de processus de cryptage visant Ă protĂ©ger les donnĂ©es contre lâaccĂšs non autorisĂ©s âą Repose sur lâemploi des formules mathĂ©matiques et des algorithmes complexes afin de coder lâinformation âą Il existe 2 systĂšmes de cryptographie: â Les systĂšmes symĂ©triques: la mĂȘme clĂ© utilisĂ© pour coder et dĂ©coder (DES: Data Encryption standard)) â Les systĂšmes asymĂ©triques: la clĂ© qui sert Ă coder est diffĂ©rente de celle qui peut dĂ©chiffrer (RSA:Rivest Shamir Adelmann 77) 108
55.
31/03/2011 55 Principe de cryptage âą
Tout systĂšme de cryptage est composĂ© dâun algorithme de codage âą La Crypt. nĂ©cessite 2 fonctions essentielles: â Le message M est cryptĂ© par une fonction de cryptage E(M)=C â Le cryptogramme C est dĂ©cryptĂ© par le destinataire par une fonction de dĂ©cryptage D(C)=D(E(M)) = M 109 SystĂšme de chiffrement âą DĂ©finition: Un systĂšme de chiffrement ou crypto systĂšme est un 5- tuple (P,C,K,e,D) ayant les propriĂ©tĂ©s suivantes: â 1. P est un ensemble appelĂ© lâespace des messages en clair. Un Ă©lĂ©ment de P sâappelle message en clair (Plaintext) â 2. C est un ensemble appelĂ© lâespace des messages chiffrĂ©s. Un Ă©lĂ©ment de C sâappelle un message chiffrĂ© ou cryptogramme (cyphertext) â 3. K est un ensemble appelĂ© lâespace des clĂ©s, ses Ă©lĂ©ments sont les clĂ©s. â 4. e={ek : k Đ K } est une famille de fonctions: âą ek : P ïš C, ses Ă©lĂ©ments sont les fonctions de chiffrement â 5. D={Dk : k Đ K } est une famille de fonctions âą Dk : C ïš P, ses Ă©lĂ©ments sont les fonctions de dĂ©chiffrement â 6. A chaque clĂ© e Đ K est associĂ© une clĂ© d Đ K/ âą D d (ee(p))=p pour tout message p Đ P 110
56.
31/03/2011 56 âą Alice utilise
un systĂšme de chiffrement pour envoyer un message confidentiel m Ă Bob. Elle utilise la clĂ© de chiffrement e et Bob utilise la clĂ© de dĂ©chiffrement d qui lui correspond. âą Alice calcule C= Ee(m) et lâenvoie Ă Bob qui reconstitue m= Dd(C), en gardant la clĂ© de chiffrement secrĂšte â Ex: lâalphabet: A B C ⊠Z et 0 1 2 ⊠25 â Correspondance entre lettres et nombres, la fonction de chiffrement Ee associĂ© Ă e Đ Z26 est: âą Ee: x ï (x+e) mod 26 âą Dd: x ï (x-d) mod 26 lorsque d=e cryptage symĂ©trique. â Exemple: En appliquant le chiffre de CĂ©sar, au mot CRYPTOGRAPHIE, la clĂ© e = 5, fournit le cryptogramme suivant : HWDUYTLWFUMNJ qui est facile Ă casser. 111 Cryptographie Chiffrement SymĂ©trique âą Les Algorithmes utilisant ce systĂšme : â DES (Data Encryption Standard, trĂšs rĂ©pandu) : les donnĂ©es sont dĂ©coupĂ©es en blocs de 64 bits et codĂ©es grĂące Ă la clĂ© secrĂšte de 56 bits propre Ă un couple dâutilisateurs â IDEA, RC2, RC4 âą Avantage : â Rapide âą InconvĂ©nients : â Il faut autant de paires de clĂ©s que de couples de correspondants â La non-rĂ©pudiation nâest pas assurĂ©e. Mon correspondant possĂ©dant la mĂȘme clĂ© que moi, il peut fabriquer un message en usurpant mon identitĂ© â Transmission de clĂ© 112
57.
31/03/2011 57 Ex. de Chiffrement
Ă clĂ© symĂ©trique âą Encryptage par substitution â Ăpoque romaine (Code de CĂ©sar) âą Texte en clair : abcdefghijklmnopqrstuvwxyz âą Texte cryptĂ© : mnbvcxzasdfghjklpoiuytrewq 113 Exemple : Texte en clair: bob. i meat you. alice Texte cryptĂ©: nkn. s hcmu wky. mgsbc DifficultĂ© ? 1026 combinaisons possibles.... mais par l'utilisation de rĂšgles statistiques on trouve facilement la clĂ© ... ... naissance il y a 500 ans du chiffrement polyalphabĂ©tique Algorithmes de cryptographie âą Par substitution â On change les lettres suivant une rĂšgle prĂ©cise (ex: A â D la clĂ© est : 3) âą Par Transposition â La position des caractĂšres est modifiĂ©e. Pour crypter un message on lâĂ©crit en colonne de taille fixe et on lit les colonnes â Ex: Nombre de colonne ici 6 â Texte cryptĂ©: TRLFAOREFMDSNZOCAZIASPZT NU.. B R I Q U E S 1 5 3 4 7 2 6 T R A N S F E R E Z U N M I L L I O N D E F R A N C S D A N S M O N C O M P T E Z E R O Z E R O S E P T A B C D 114
58.
31/03/2011 58 Table de VigenĂšre 115 Exemple 116 C
R Y P T O G R A P H I E M A T M A T M A T M A T M O ? ? ? ? ? ? ? ? ? ? ? ?
59.
31/03/2011 59 Chiffrement de VigenĂšre âą
Le chiffre de VigenĂšre est la premiĂšre mĂ©thode de chiffrement poly alphabĂ©tique, c'est Ă dire qui combine deux alphabets pour crypter une mĂȘme lettre. âą Ce chiffrement introduit la notion de clĂ©, qui se prĂ©sente gĂ©nĂ©ralement sous la forme d'un mot ou d'une phrase. Pour pouvoir chiffrer notre texte, Ă chaque caractĂšre nous utilisons une lettre de la clĂ© pour effectuer la substitution âą MathĂ©matiquement, on considĂšre que les lettres de l'alphabet sont numĂ©rotĂ©es de 0 Ă 25 (A=0, B=1 ...). La transformation lettre par lettre se formalise simplement par : â ChiffrĂ© = (Texte + ClĂ©) mod 26 117 Chiffrement Ă clĂ© symĂ©trique: DES âą Data Encryption Standard (1977 par IBM) âą Principe : â dĂ©coupe le message en clair en morceau de 64 bits auxquelles on applique une transposition â clĂ© de 64 bits (56 bits de clĂ© + 8 bits de paritĂ© impaire) âą DifficultĂ© et limites? â concours organisĂ© par RSA Data Security 1997 : 4 mois pour casser le code DES 56 bits en brute force par des amateurs 1999 : 22 h pour casser DESIII âą solution pour le rendre plus sur .... Passer l'algorithme DES plusieurs fois sur le message avec Ă chaque fois des clĂ©s diffĂ©rentes (ex : 3DES) 118
60.
31/03/2011 60 Schéma de 3DES: 119 La
solution a Ă©tĂ© dans l'adoption du triple DES: trois applications de DES Ă la suite avec 2 clĂ©s diffĂ©rentes (d'oĂč une clĂ© de 112 bits) DES (IBM 77) âą Data Encryption Standard âą Principe : â dĂ©coupe le message en clair en morceau de 64 bits auxquelles on applique une transposition â clĂ© de 64 bits (56 bits de clĂ©+8 bits de paritĂ© impaire) 120 La recherche exhaustive sur 56 bits (256) est maintenant rĂ©aliste. Mars 2007 : 6:4 j, COPACOBANA (utilisation de FPGA) par lâuniversitĂ© de Bochum et Kiel (coĂ»t 10 000 $)
61.
31/03/2011 61 Cryptographie Chiffrement Asymétrique ⹠Algorithmes
utilisant ce systĂšme : â RSA (Rivest, Shamir, Adelman) â DSA â El-Gamal â Diffie-Helmann âą Avantage : â pas besoin de se transmettre les clĂ©s au dĂ©part par un autre vecteur de transmission. âą InconvĂ©nient : â Lenteur 121 Algorithme RSA 122 âą DĂ©veloppĂ© par: Ron Rivest, Adi Shamir et Leonard Adleman en 1977 repose sur des fonctions mathĂ©matique Le RSA est un systĂšme qui repose intĂ©gralement sur la difficultĂ© de factoriser de grands nombres entiers (au moins 100 chiffres actuellement).
62.
31/03/2011 62 Cryptographie à clé
publique: RSA âą Ron Rivest, Adi Shamir et Leonard Adleman (DĂ©veloppĂ© en 1977 repose sur des fonctions math. De puissance et exponentielles appliquĂ©s aux grands nombres) âą Algorithme de sĂ©lection des clĂ©s : â 1) SĂ©lection de 2 grands nombres premiers p et q (1024 bit par ex) â 2) Calculer n=pq et z=(p-1)(q-1) â 3) Choisir un e (e<n) qui n'a pas de facteur commun avec z. (e et z premier entre eux) â 4) Trouver un d tel que ed-1 est exactement divisible par z (ed mod z =1) â 5) ClĂ© public est : (n,e) ClĂ© privĂ© est : (n,d) 123 Ex: RSA, chiffrement, dĂ©chiffrement âą 1) ClĂ© public est : (n,e) ClĂ© privĂ© est : (n,d) âą 2) Alice veut envoyer un nombre m Ă Bob : c = me mod n âą 3) Bob reçoit le message c et calcule : m = cd mod n âą Exemple : âą p = 5, q = 7 donc n = 35 et z = 24 âą Bob choisit e = 5 et d = 29 âą ALICE : (chiffrement) m = 12 me=248832 et c = me mod n = 17 âą BOB : (dĂ©chiffrement) c = 17 , m = cd mod n = 12 âą ClĂ© public est : (35, 5) âą ClĂ© privĂ© est : (35, 29) 124
63.
31/03/2011 63 Logiciel de chiffrement
PGP âą PGP (Pretty Good Privacy) Ă©tait considĂ©rĂ© aux USA, comme une arme et interdit Ă l'exportation âą L'algorithme utilisĂ© par PGP, le RSA, permet de chiffrer des informations de maniĂšre tellement efficace qu'aucun gouvernement n'est en mesure d'en lire le contenu. âą Comme toute invention "dangereuse", incontrĂŽlable et susceptible d'ĂȘtre utilisĂ©e contre la mĂšre-patrie, le gouvernement amĂ©ricain en a interdit l'exportation et a classĂ© PGP et le RSA dans la catĂ©gorie "armes". âą Le code est Ă©crit en Perl 125 âą Cette restriction Ă l'exportation de la cryptographie a eu diverses consĂ©quences: â Pendant longtemps, les navigateurs tels qu'Internet Explorer ont Ă©tĂ© limitĂ©s Ă 40 bits pour tous les "Ă©trangers". Seuls les amĂ©ricains pouvaient tĂ©lĂ©charger la version 128 bits. â Si on ajoute Ă cela que l'algorithme RSA Ă©tait brevetĂ© jusqu'en septembre 2000, il n'en a pas fallu plus aux internautes pour crĂ©er GPG (Gnu Privacy Guard), un logiciel compatible avec PGP et utilisant Diffie-Hellman Ă la place de RSA, et hors de contrĂŽle du gouvernement amĂ©ricain puisque crĂ©Ă© en Europe. 126
64.
31/03/2011 64 How PGP encryption
works? 127 How PGP decryption works? 128
65.
31/03/2011 65 Chiffrement du message
avec PGP 129 - Il gĂ©nĂšre lui mĂȘme une clĂ© alĂ©atoire (câest la clĂ© de session). - Il chiffre le message avec la clĂ© de session selon un algorithme Ă clĂ© privĂ© (DES par exemple) - Il chiffre la clĂ© de session grĂące Ă lâalgorithme Ă clĂ© publique (RSA par exemple) avec la clĂ© publique du destinataire. -Il assemble message chiffrĂ© et clĂ© chiffrĂ©e en un message prĂȘt Ă lâexpĂ©dition. -..MM-sĂ©curitĂ©TDLe logiciel PGP.htm 130 Algorithme de chiffrement asymĂ©trique: Diffie Hellman Algorithme de sĂ©curisation des Ă©changes des clĂ©s Apparition suite au problĂšme de lâĂ©change des clĂ©s de la cryptographie symĂ©trique (coursier malhonnĂȘte) Alice veut transmettre une clĂ© Ă Bob pour pouvoir Ă©changer un document confidentiel Alice chiffre une clĂ© par une autre clĂ© gardĂ©e secrĂšte Alice envoie la clĂ© chiffrĂ©e Ă Bob Bob surchiffre la clĂ© chiffrĂ©e avec sa clĂ© secrĂšte puis la transmet Ă Alice Alice opĂšre alors un dĂ©chiffrement de sa partie du chiffrement de la clĂ© et lâenvoie a Bob Bob dĂ©chiffre la clĂ© chiffrĂ©e avec sa clĂ© secrĂšte Ils disposent ainsi tous les deux dâune clĂ© qui nâa Ă aucun moment circulĂ© en clair
66.
31/03/2011 66 131 Ex. dâAlgorithme de
Diffie Hellman 132 Algorithme de Hachage Usages de lâalgorithme de hachage Alice veut transmettre un document Ă Bob en lui garantissant son intĂ©gritĂ© Alice calcule lâempreinte de son fichier et lâenvoie simultanĂ©ment avec le document Bob recalcule lâempreinte du document et la compare Ă celle que lui a envoyĂ© Alice Sâils ne sont pas exacts câest que Ăve a interceptĂ© le document et lâa changĂ© Notons que le document Ă©changĂ© nâest pas chiffrĂ© Ăve peut prendre connaissance de son contenu
67.
31/03/2011 67 Authentification DĂ©finition âą La personne
Ă qui j'envoie un message cryptĂ© est-elle bien celle Ă laquelle je pense ? âą La personne qui m'envoie un message cryptĂ© est-elle bien celle Ă qui je pense ? 133 Authentification Technique dâIdentification âą Prouveur â Celui qui sâidentifie, qui prĂ©tend ĂȘtre⊠⹠VĂ©rifieur â Fournisseur du service âą Challenge â Le VĂ©rifieur va lancer un challenge au prouveur que ce dernier doit rĂ©aliser 134
68.
31/03/2011 68 Technique A Clé
Publique Principe âą Algorithme RSA = RĂ©versible â ((Mess)CPu)CPr = ((Mess)CPr)CPu âą ConfidentialitĂ© âą Authentification 135 Comment savoir que le message nâa pas Ă©tĂ© altĂ©rĂ© ? ï Fonction de hachage algorithmes de hachage les plus utilisĂ©s: MD5 (128 bits) et SHA (160 bits) Signature Ă©lectronique (1) 136
69.
31/03/2011 69 Pb du hachage
: on nâest pas sĂ»r de lâexpĂ©diteur ï Scellement des donnĂ©es Signature Ă©lectronique (2) 137 138 RĂ©capitulatif Cryptographie symĂ©trique rĂ©pond au besoin de la confidentialitĂ© DES, 3DES, AES, Blowfish, RC2, RC4, RC5 et DEA Diffie-Hellman rĂ©pond au besoin de la confidentialitĂ© de lâĂ©change des clefs Diffie Hellman Key Exchange Algorithmes de hachage rĂ©pond au besoin de lâintĂ©gritĂ© des documents MD4, MD5 et SHA1 Cryptographie asymĂ©trique rĂ©pond au besoin de la confidentialitĂ©, authentification et non-rĂ©pudiation RSA, ElGamal et DSA
70.
31/03/2011 70 SocietĂ© Mondiale de lâInformationâHACKERSâ (Challenge) CriminalitĂ©
organisĂ©e (Outil dâescroquerie) Terrorisme (âWarefareâ) (Arme) Espionnage (Outil) SocietĂ© Mondiale des Intrusions Intenet = « Espace Sans Loi » + «DifficultĂ© de retraçage»ImpunitĂ© 139 Les virus âą Quâest ce quâun virus? â Un petit programme ou un Ă©lĂ©ment d'un programme, dĂ©veloppĂ©s Ă des fins nuisibles, qui s'installe secrĂštement sur des ordinateurs et parasite des programmes. âą Certains virus, apparus rĂ©cemment, sont trĂšs perfectionnĂ©s, qui dans la plupart des cas, exploitent les erreurs commises par les utilisateurs peu informĂ©s ou les failles des logiciels. âą Les utilisateurs Ă domicile ne sont pas les seuls Ă ĂȘtre exposĂ©s au danger. Les entreprises et autres organisations peuvent Ă©galement ĂȘtre victimes d'attaques ciblĂ©es, menĂ©es par des cybercriminels qui tirent parti d'informations dĂ©robĂ©es aux employĂ©s. âą Les traces ïŹ Les virus infectent des applications, copient leur code dans ces programmes. Pour ne pas infectĂ© plusieurs fois le mĂȘme fichier ils intĂšgrent dans lâapplication infectĂ©e une signature virale. 140
71.
31/03/2011 71 Quâest ce quâun
ver âą Programme capable de se copier vers un autre emplacement par ses propres moyens ou en employant d'autres applications. âą Sert Ă dĂ©grader les performances du rĂ©seau dans une entreprise. Comme un virus, un ver peut contenir une action nuisible du type destruction de donnĂ©es ou envoi d'informations confidentielles. âą Ex: E-mail Worms â un outil de collecte d'adresses e-mail dans la machine infectĂ©e et un outil d'envoie du courrier Ă©lectroniques âą IRC Worms â zones de chat..., â Ver est classĂ© Ă "IRC Worm 141 Exemple : Koobface âą Ver informatique dĂ©couvert en Novembre 2008 par McAfee, qui sĂ©vit sur le site communautaireFacebook. âą Le ver Koobface se propage en envoyant des e-mails aux amis des personnes dont l'ordinateur a Ă©tĂ© infectĂ©, si lâutilisateur a la malheureuse idĂ©e de tĂ©lĂ©charger le programme, son ordinateur va ĂȘtre infectĂ© et dirigera ses utilisateurs sur des sites contaminĂ©s lors de recherches sur Google, Yahoo ou encore MSN. âą Il serait Ă©galement capable de dĂ©rober des informations de nature personnelle comme un numĂ©ro de carte de crĂ©dit. âą Une rĂ©action officielle par la voix de Barry Schnitt, porte-parole de Facebook a communiquĂ© que : "quelques autres virus ont tentĂ© de se servir de Facebook de maniĂšre similaire pour se propager mais jamais aussi important", âą Concernant la sĂ©curitĂ© des informations personnelles de plus de 200 millions de personnes, une enquĂȘte au sein du FBI a Ă©tĂ© mise en place. 142
72.
31/03/2011 72 Les bombes logiques âą
Les bombes logiques sont programmĂ©es pour s'activer quand survient un Ă©vĂ©nement prĂ©cis. âą De façon gĂ©nĂ©rale, les bombes logiques visent Ă faire le plus de dĂ©gĂąt possible sur le systĂšme en un minimum de temps. 143 « Keylogger »: âą Un Keylogger est un programme parasite qui se propage souvent grĂące Ă des virus, vers ou spywares. âą Sa principale fonction est d'espionner toutes les actions effectuĂ©es sur votre ordinateur (saisie au clavier, ouverture d'applications, dĂ©placement de fichiers...). âą Les traces de ces actions sont stockĂ©es dans un emplacement prĂ©cis puis envoyĂ©es vers une boĂźte aux lettres ou sur un site web. Certaines de vos donnĂ©es les plus confidentielles peuvent ainsi vous ĂȘtre soutirĂ©es Ă l'insu de votre plein grĂ©. 144
73.
31/03/2011 73 Comment sâen protĂ©ger
âŠ?? âą La plupart des keyloggers sont maintenant reconnus par les logiciels antivirus, Ă condition que ceux-ci soient correctement mis Ă jour. âą Certains keyloggers sont par contre identifiĂ©s comme spywares; le recours Ă un logiciel antispyware est donc nĂ©cessaire. 145 Spyware ï Les logiciels espions (spyware) : ils sont souvent cachĂ©s dans certains graticiels (freeware, mais pas dans les logiciels libres), partagiciels (shareware) et pilotes de pĂ©riphĂ©riques, pour s'installer discrĂštement afin de collecter et envoyer des informations personnelles Ă des tiers. ï Ex: GATOR, appelĂ© aussi GAIN (Gator Advertising and Information Network) est un type de spyware qui fournit l'option de se rappeler le nom de lâutilisateur et les mots de passe. ï Soyez donc vigilants, Il peut aussi se prĂ©senter sous la forme d'une fenĂȘtre d'installation de Plug-in sous Internet Explorer. Dans ce cas, refusez catĂ©goriquement... ï de logiciels connus pour embarquer un ou plusieurs spywares : Babylon Translator, GetRight, Go!Zilla, Download Accelerator, Cute FTP, PKZip, KaZaA ou encore iMesh. 146
74.
31/03/2011 74 Phishing ⹠Appelé aussi
l'hameçonnage peut se faire par courrier Ă©lectronique, par des sites Web falsifiĂ©s ou autres moyens Ă©lectroniques âą Câest une technique utilisĂ©e par des fraudeurs pour obtenir des renseignements personnels âą consiste Ă faire croire Ă la victime qu'elle s'adresse Ă un tiers de confiance (ex: banque, administration, etc.) afin de lui soutirer des renseignements personnels : mot de passe, numĂ©ro de carte de crĂ©dit, date de naissance, etc. âą forme d'attaque informatique reposant sur l'ingĂ©nierie sociale 147 Phishing âą Tout commence par la rĂ©ception d'un mail. Vous recevez de votre banque, de votre fournisseur d'accĂšs ou d'un cyber marchant un message de forme tout Ă fait habituelle (avec le logo et les couleurs de l'entreprise) vous informant qu'un regrettable incident technique a effacĂ© vos coordonnĂ©es. âą Vous ĂȘtes invitĂ© Ă cliquer sur un lien vous menant au site de l'entreprise en question pour ressaisir soit votre numĂ©ro de carte bleue, vos identifiants et mot de passe de connexion. Vous ĂȘtes en confiance et suivez attentivement les consignes⊠148
75.
31/03/2011 75 phishing = spam
+ mail spoofing + social engineering + URL spoofing +âŠ.. âą La pratique du phishing consiste Ă attirer l'internaute Ă lâaide d'e-mails non sollicitĂ©s (Spam) comme envoyĂ©s d'adresses officielles (mail_spoofing), incitant la victime, Ă cliquer sur un lien proposĂ© dans le message. âą Ce lien est en rĂ©alitĂ© malicieux et conçu pour usurper une destination de confiance (URL_spoofing), âą Ce qui a pour consĂ©quence de conduire lâinternaute sur un site Web visuellement identique au site officiel mais dont la vĂ©ritable adresse est dissimulĂ©e aux yeux de lâinternaute victime. 149 Les Ă©tapes de sĂ©curitĂ© 150 Prendre des mesures
76.
31/03/2011 76 Comment se protĂ©ger? âą
Pare-feu âą Mises Ă jour de votre PC âą Logiciels: anti-virus, anti- spyware, anti-spam,.. 151 StratĂ©gies âą Approche locale â Poste client âą Approche globale â Poste serveur âą Ces deux solutions sont complĂ©mentaires et doivent faire appel Ă des moteurs antiviraux de fournisseurs diffĂ©rents 152
77.
31/03/2011 77 Approche antivirale locale/globale âą
Mise Ă jour de la table de dĂ©finitions de virus sur chaque poste client âą Solution automatique ou manuelle 153 Serveur antivirus En cas de mise Ă jour, Notification aux clients prĂ©sents RequĂȘte de mise Ă jour planifiĂ©e Puis tĂ©lĂ©chargement des mises Ă jour Interrogation du serveur Ă chaque dĂ©marrage des clients TĂ©lĂ©chargement des mises Ă jour (localement) Les attaques: imitation malicieuse âą Tout Ă©quipement connectĂ© Ă un rĂ©seau injecte des datagrammes IP â @ IP de l'expĂ©diteur + donnĂ©es de couche supĂ©rieure âą Si l'utilisateur peut intervenir sur les logiciels ou son systĂšme d'exploitation il peut inscrire une @ IP factice (IP spoofing) â permet au pirate responsable de DoS de dissimuler leur identitĂ© car il est trĂšs difficile de remonter Ă la source d'un datagramme portant une fausse @ IP âą Contre-Mesure : (ingress filtering) â les routeurs vĂ©rifient si l'@ IP des paquets entrant font partie des @ IP accessibles via cette interface. 154
78.
31/03/2011 78 Les attaques: Les
DOS âą Denial Of Service (DoS) â rend un rĂ©seau, un hĂŽte ou autre inutilisable pour ses utilisateurs lĂ©gitimes. â basĂ© sur la production d'un volume de donnĂ©es supĂ©rieur Ă la capacitĂ© de traitement de l'entitĂ© ciblĂ©e. exemple : âą SYN flooding avec des @ IP factices : accumulation d'un gd nb de connexions partiellement ouvertes âą envoie de fragments IP sans les fragments de terminaison âą attaque smurf : envoie de paquets de requĂȘte d'Ă©chos ICMP en masse âą Distributed Denial of Service (DDos) â Le pirate obtient un grand nombre de comptes utilisateurs (sniffing ou brute force) â Il installe et exĂ©cute un logiciel esclave au niveau de chaque hĂŽte qui attend les ordres en provenance d'un logiciel maĂźtre â Puis le pirate ordonne Ă tous ses logiciels esclaves de lancer une attaque DoS contre le mĂȘme hĂŽte ciblĂ© 155 Les outils 156 Workstation Via Email File Server Workstation Mail Server Internet Web Server Via Web Page Workstation Web Server Mail Gateway Anti Virus Firewall Intrusion Detection Vulnerability Management
79.
31/03/2011 79 Ex: Serveur Symantec
Client Security âą Un serveur Symantec Client Security peut envoyer des mises Ă jour de configuration et des fichiers de dĂ©finitions de virus Ă des clients âą SymantecClient security protĂ©ge les ordinateurs sur lesquels il sâexĂ©cute âą Le programme client Symantec Client Security fournit une protection antivirus, pare-feu et contre les intrusions aux ordinateurs rĂ©seau et autonomes âą Alert Management System2 (AMS2). AMS2 assure la gestion des urgences et prend en charge les alertes issues de serveurs et des postes de travail 157 Firewall âą Le pare-feu est un systĂšme permettant de filtrer les paquets de donnĂ©es Ă©changĂ©s avec le rĂ©seau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces rĂ©seau suivante : â une interface pour le rĂ©seau Ă protĂ©ger (rĂ©seau interne) â une interface pour le rĂ©seau externe âą Un systĂšme pare-feu contient un ensemble de rĂšgles prĂ©dĂ©finies permettant : â D'autoriser la connexion (allow) â De bloquer la connexion (deny) â De rejeter la demande de connexion sans avertir l'Ă©metteur (drop). 158
80.
31/03/2011 80 ContrĂŽle dâaccĂšs: Les
pare-feux âą Un pare-feu isole le rĂ©seau de lâorganisation du reste de lâInternet en laissant pĂ©nĂ©trer certains paquets et en bloquant dâautres âą Il existe 2 types de pare-feux: â Filtrage simple des paquets (Ex: liste ACL) â Filtrage applicatif (niv. Application) 159 RĂŽle du pare-feux âą Les firewall protĂšgent les installations informatiques des intrusions âą surveille (autoriser/denier) les communications d'un PC vers Internet et vice versa âą PrĂ©venir les attaques du type Denial Of Service â Inondation des messages SYN avec des @IP dâorigine factices, qui paralyse lâhĂŽte. Les tampons de lâhĂŽte sont remplis de messages factices, ce qui ne laissent plus de place pour les vrais messages â PrĂ©venir les modifications de donnĂ©es internes Ex: changer la page Web de lâentreprise â EmpĂȘcher les pirates dâaccĂ©der Ă des donnĂ©es sensibles, â Analyser, bloquer ou autoriser les communications via les ports UDP et TCP 160
81.
31/03/2011 81 Filtrage de paquets âą
Le rĂ©seau interne est Ă©quipĂ© dâune passerelle le reliant Ă son FAI. On se faire le filtrage des paquets âą Filtrage basĂ© sur lâĂ©tude des en-tĂȘte de paquet â @ IP dâorigine et de destination â Des types des messages ICMP â Des datagrammes de connexion et dâinintialisation utilisant les bits TCP SYN ou Ack â Ex/ filtre les segments UDP et les connexions Telnet (segment TCP avec Port 23). Ăvite toute intrusion Ă©trangĂšre via une session Telnet. âą Mise en place d'une passerelle d'application (gateway) Serveur spĂ©cifique aux applications que toutes les donnĂ©es d'applications doivent traverser avant de quitter ou d'entrer dans le rĂ©seau 161 Filtrage applicatif âą AppelĂ© aussi « passerelle applicative » ou proxy âą le filtrage applicatif permet la destruction des en-tĂȘtes prĂ©cĂ©dant le message applicatif, ce qui permet de fournir un niveau de sĂ©curitĂ© supplĂ©mentaire. âą En contrepartie, une analyse fine des donnĂ©es applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communications, chaque paquet devant ĂȘtre finement analysĂ©. âą Afin de limiter les risques le proxy doit nĂ©cessairement ĂȘtre en mesure d'interprĂ©ter une vaste gamme de protocoles et doit connaĂźtre les failles affĂ©rentes pour ĂȘtre efficace. 162
82.
31/03/2011 82 Limitations des pare-feux âą
Usurpation dâidentitĂ© (IP spoofing) le routeur est impuissant face Ă ce type dâattaque âą Si chaque application nĂ©cessite un traitement particulier Il faut une passerelle par application Les client de ces applications doivent pouvoir configurer les logiciels (ex: navigateur avec les proxy) âą Les filtres sont trĂšs grossiers: Les spyware et adware (des progr. Commerciaux sont nuisibles ne sont pas dĂ©tectĂ©s par les anti-virus) utilisant le port 80 ne sont donc en aucun cas pris en compte par un firewall hardware. âą il est nĂ©cessaire d'administrer le pare-feu et notamment de surveiller son journal d'activitĂ© afin d'ĂȘtre en mesure de dĂ©tecter les tentatives d'intrusion et les anomalies. 163 Zone DĂ©militarisĂ©e DMZ âą Il est nĂ©cessaire de mettre en place des architectures de systĂšmes pare-feux permettant d'isoler les diffĂ©rents rĂ©seaux de l'entreprise: on parle ainsi de « cloisonnement des rĂ©seaux » (isolation) ⹠« Zone DĂ©MilitarisĂ©e » ( DMZ pour DeMilitarized Zone) pour dĂ©signer cette zone isolĂ©e hĂ©bergeant des applications mises Ă disposition du public 164
83.
31/03/2011 83 Architecture DMZ âą Les
serveurs situĂ©s dans la DMZ sont appelĂ©s « bastions » en raison de leur position d'avant poste dans le rĂ©seau de l'entreprise. âą La DMZ possĂšde donc un niveau de sĂ©curitĂ© intermĂ©diaire, mais son niveau de sĂ©curisation n'est pas suffisant pour y stocker des donnĂ©es critiques pour l'entreprise. 165 Politique de sĂ©curitĂ© âą La politique de sĂ©curitĂ© mise en oeuvre sur la DMZ est gĂ©nĂ©ralement la suivante : â Traffic du rĂ©seau externe vers la DMZ autorisĂ© ; â Traffic du rĂ©seau externe vers le rĂ©seau interne interdit ; â Traffic du rĂ©seau interne vers la DMZ autorisĂ© ; â Traffic du rĂ©seau interne vers le rĂ©seau externe autorisĂ© ; â Traffic de la DMZ vers le rĂ©seau interne interdit ; â Traffic de la DMZ vers le rĂ©seau externe refusĂ©. 166
84.
31/03/2011 84 NAT âą Le principe
du NAT consiste Ă rĂ©aliser, au niveau de la passerelle de connexion Ă internet, une translation entre l'adresse interne (non routable) de la machine souhaitant se connecter et l'adresse IP de la passerelle. âą Le terme NAT reprĂ©sente la modification des adresses IP dans l'en-tĂȘte d'un datagramme IP effectuĂ©e par un routeur. SNAT : @source du paquet qui est modifiĂ©e (altĂ©rĂ©e) DNAT : @destination qui est modifiĂ©e (altĂ©rĂ©e) 167 Network Address Translation: NAT âą Fonctionnement du NAT: â Translation des @IP de lâen tĂȘte â Recalcul et vĂ©rification du checksum â Recalcul et modification du checksum TCP â NAT cache lâidentitĂ© « rĂ©elle » des Hosts â Tout paquet de donnĂ©es qui doit ĂȘtre translater doit passer par un routeur NAT â permet de sĂ©curiser le rĂ©seau interne Ă©tant donnĂ© qu'il camoufle complĂštement l'adressage interne. Pour un observateur externe au rĂ©seau, toutes les requĂȘtes semblent provenir de la mĂȘme adresse IP. 168
85.
31/03/2011 85 Les différents types
de NAT On distingue deux types diffĂ©rents de NAT: NAT statique NAT dynamique 169 Principe de NAT âą Le principe du NAT statique: â consiste Ă associer une @IP publique Ă une @IP privĂ©e interne au rĂ©seau. Le routeur (passerelle) permet donc d'associer Ă une @IP privĂ©e (ex: 192.168.0.1) une @IP publique routable sur Internet et de faire la traduction, dans un sens comme dans l'autre, en modifiant lâ@ dans le paquet IP. â La translation dâ@-statique permet ainsi de connecter des machines du rĂ©seau interne Ă internet de maniĂšre transparente âą NAT dynamique â permet de partager une @IP routable entre plusieurs machines en @ privĂ©. Ainsi, toutes les machines du rĂ©seau interne possĂšdent virtuellement, vu de l'extĂ©rieur, la mĂȘme @IP. C'est la raison pour laquelle le terme de « mascarade IP » (IP masquerading) est parfois utilisĂ© pour dĂ©signer le mĂ©canisme de translation d'adresse dynamique. 170
86.
31/03/2011 86 10.0.0.12/24 10.0.0.12/24 (@ interne) 193.22.35.42/24
(@ externe) Internet 171 Les avantages et Inconvénients du NAT Statiques ⹠NAT statique a permis de rendre une machine accessible sur Internet alors qu'elle possédait une adresse privée. ⹠la NAT statique permet de rendre disponible une application sur Internet ( serveur web, mail ou serveur FTP). Le principe du NAT statique ne résout pas le problÚme de la pénurie d'adresse puisque n adresses IP routables sont nécessaires pour connecter n machines du réseau interne. 172
87.
31/03/2011 87 Avantages NAT Dynamique âą
Le NAT dynamique permet de partager une adresse IP routable (ou un nombre rĂ©duit d'adresses IP routables) entre plusieurs machines en adressage privĂ©. âą NAT dynamique utilise la translation de port (PAT - Port Address Translation) âą Elle permet dâĂ©conomiser les adresse IP. cela permet de rĂ©pondre au problĂšme de pĂ©nurie d'adresses. âą Elle permet une sĂ©curitĂ© accrue, car il n'existe aucun moyen pour quelqu'un de l'extĂ©rieur, d'accĂ©der aux machines internes. 173 Les inconvĂ©nients âą Elle est donc utile pour partager un accĂšs Internet, mais pas pour rendre un serveur accessible. âą IPSec est totalement incompatible avec le NAT âą La NAT dynamique seule ne peut pas ĂȘtre considĂ©rĂ©e comme une sĂ©curitĂ© suffisante. Il est indispensable d'utiliser un filtrage si l'on veut obtenir un bon niveau de sĂ©curitĂ©. 174
88.
31/03/2011 88 Architecture IPsec 1. Introduction 2.
Services IPsec 3. Modes dâutilisation 175 IPsec : Introduction âą On a conçu IPSec (Internet Protocol Security) pour sĂ©curiser le protocole IPv6. La lenteur de dĂ©ploiement de ce dernier a imposĂ© une adaptation dâIPSec Ă lâactuel protocole IPv4. âą Plusieurs RFC successives dĂ©crivent les diffĂ©rents Ă©lĂ©ments dâIPSec : RFC 2401, 2402, 2406, 2408⊠176
89.
31/03/2011 89 IPsec : Introduction âą
Internet Protocol Security est un ensemble de protocoles (couche 3 modĂšle OSI) utilisant des algorithmes permettant le transport de donnĂ©es sĂ©curisĂ©es sur un rĂ©seau IP. âą Composante indissociable dâIPV6, optionnelle en IPV4 âą Composant de VPN âą Permet lâĂ©tablissement de communication sĂ©curisĂ©e âą Les services et algorithmes utilisĂ©s sont paramĂ©trables. 177 IPsec : 4 services âą Authentification des donnĂ©es : â chaque paquet Ă©changĂ© a bien Ă©tĂ© Ă©mis par la bonne machine et quâil est bien Ă destination de la seconde machine âą ConfidentialitĂ© des donnĂ©es Ă©changĂ©es : â chiffrer le contenu des paquets IP pour empĂȘcher quâune personne extĂ©rieure ne le lise âą IntĂ©gritĂ© des donnĂ©es Ă©changĂ©es : â sâassurer quâaucun paquet nâa subit une quelconque modification durant son trajet. âą Protection contre lâanalyse de trafic : â chiffrer les adresses rĂ©elles de lâexpĂ©diteur et du destinataire, ainsi que tout lâen-tĂȘte IP correspondant. Câest le principe de base du tunneling. 178
90.
31/03/2011 90 Fonctionnement âą On Ă©tablit
un tunnel entre deux sites: âą IPSec gĂšre lâensemble des paramĂštres de sĂ©curitĂ© associĂ©s Ă la communication. âą Deux machines passerelles, situĂ©es Ă chaque extrĂ©mitĂ© du tunnel, nĂ©gocient les conditions de lâĂ©change des informations : â Quels algorithmes de chiffrement, quelles mĂ©thodes de signature numĂ©rique ainsi que les clĂ©s utilisĂ©es pour ces mĂ©canismes. â La protection est apportĂ©e Ă tous les trafics et elle est transparente aux diffĂ©rentes applications. 179 âą IPSec prĂ©voit la dĂ©finition de la politique de sĂ©curitĂ© avec le choix des algorithmes utilisĂ©s et leur portĂ©e. âą Une fois quâune politique est dĂ©finie, il y a Ă©change des clĂ©s avec un mĂ©canisme IKE (Internet Key Exchange) [utilisant le port 500 et le transport UDP]. âą On peut mettre en oeuvre lâauthentification soit en supposant que les deux extrĂ©mitĂ©s se partagent dĂ©jĂ un secret pour la gĂ©nĂ©ration de clĂ©s de sessions, soit en utilisant des certificats et des signatures RSA. âą Les machines passerelles traitent ensuite les donnĂ©es avec la politique de sĂ©curitĂ© associĂ©e. âą IPSec propose ensuite deux mĂ©canismes au choix pour les donnĂ©es de lâĂ©change : ESP (Encapsulating Security Payload) et AH (Authentication Header). âą ESP fournit lâintĂ©gritĂ© et la confidentialitĂ©, AH ne fournit que lâintĂ©gritĂ©. 180
91.
31/03/2011 91 IPsec : Atouts
et limites âą Atouts :la richesse de son offre de services de sĂ©curitĂ© qui : â Est exploitable dans les couches hautes de TCP-IP. â Est ouvert Ă tous les Ă©quipements. â Peut intervenir dans diffĂ©rentes configurations. âą Un point faible de IPSec : la gestion des clĂ©s ï solution un PKI (Public Key Infrastructure). 181 IPsec : Architecture âą Ensemble de protocoles couvrant deux aspects â Encapsulation des datagrammes IP dans dâautres datagrammes IP âą ï services de sĂ©curitĂ© (intĂ©gritĂ©, confidentialitĂ©, âŠetc.) â NĂ©gociation des clĂ©s et des associations de sĂ©curitĂ© âą ï utilisĂ©es lors de l âencapsulation 182
92.
31/03/2011 92 IPsec : Architecture âą
2 protocoles dĂ©finis pour lâencapsulation â Authentication Header (AH) â Encapsulating Security Payload (ESP) âą 1 protocole pour lâĂ©change de clĂ©s â Internet Key Exchange (IKE) 183 DOI IPsec -RFC 2407: Architecture 184
93.
31/03/2011 93 AH âą Les algorithmes
d'authentification utilisables avec AH sont rĂ©pertoriĂ©s dans le DOI IPsec; il existe notamment HMAC-MD5 et HMAC-SHA-1. âą Assure lâauthentification de la source â Protection contre source spoofing âą Assure lâintĂ©gritĂ© des donnĂ©es â Algorithme dâhachage 96 bits â Utilise une cryptographie Ă clĂ© symĂ©trique â HMAC-SHA-96, HMAC-MD5-96 âą Protection contre le rejeu â Utilise un mĂ©canisme anti-rejeu (nombre de sĂ©quence) âą Non rĂ©pudiation â Utilisation du RSA âą Aucune protection de confidentialitĂ© â DonnĂ©es signĂ©es et non chiffrĂ©es 185 âą Selon les modes de fonctionnement choisis (transport ou tunnel) la position de l'en tĂȘte d'authentification AH est la suivante : âą Les algorithmes dâauthentification utilisables avec AH sont listĂ©s dans le DOI IPsec (RFC 2407). 186 Position de AH en mode transport. Position de AH en mode tunnel.
94.
31/03/2011 94 ESP âą ESP assure
quant Ă lui la confidentialitĂ© des donnĂ©es mais peut aussi assurer leur intĂ©gritĂ© en mode non connectĂ© et l'authentification de leur origine. âą A partir du datagramme IP classique, un nouveau datagramme dans lequel les donnĂ©es et Ă©ventuellement l'en tĂȘte originale sont chiffrĂ©es, est crĂ©e. C'est une rĂ©elle encapsulation entre un en tĂȘte et un trailer. âą La protection contre le rejeu est fournie grĂące Ă un numĂ©ro de sĂ©quence si les fonctions prĂ©cĂ©dentes ont Ă©tĂ© retenues âą Idem plus la confidentialitĂ© des donnĂ©es â utilise une encryption Ă clĂ©s symĂ©trique 187 âą Suivant les modes de fonctionnement choisis (transport ou tunnel) la position de ESP est la suivante : 188 Position de ESP en mode transport. Position de ESP en mode tunnel.
95.
31/03/2011 95 IPsec : Architecture âą
IPsec assure la sĂ©curitĂ© en trois situations â HĂŽte Ă hĂŽte â Routeur Ă routeur â HĂŽte Ă routeur âą IPsec opĂšre en deux mode â Mode transport â Mode tunnel (VPN) 189 Mode transport âą Transport â UtilisĂ© uniquement entre deux machines qui elles-mĂȘmes responsable du chiffrement/dĂ©chiffrement . â Seulement les donnĂ©es qui sont chiffrĂ©es. Les en-tĂȘte IP sont conservĂ©s 190 Internet VPN Security gateway 1 Security gateway 2 Server B A B data encrypted Workstation A
96.
31/03/2011 96 Mode tunnel âą Tunnel â
Le flux est entre deux machines qui se trouvent derriĂšredeux passerelles faisant le chiffrement/dĂ©chiffrement â En-tĂȘte IP et donnĂ©es sont chiffrĂ©s et un nouveau en-tĂȘte est gĂ©nĂ©rĂ© avec lâadresse IP du serveur VPN. 191 A B data A B data1 2 Internet VPN Security gateway 1 Security gateway 2 Workstation A Server B encryptedA B data source destination Capture ISAKMP: Internet Security Association and Key Management Protocol 192 âą Capture dâĂ©cran Ă lâaide de Wireshark rĂ©alisĂ©e dans la sĂ©ance de TP avec IPSEC. On peut voir le dĂ©ploiement de lâISAKMP lors de lâĂ©change
97.
31/03/2011 97 193 Quâest ce quâun
VPN ? âą VPN,acronyme de Virtual Private Network, ou RĂ©seau PrivĂ© Virtuel. Ce rĂ©seau est dit virtuel car il relie des rĂ©seaux "physiques" (rĂ©seaux locaux) via un rĂ©seau public, en gĂ©nĂ©ral Internet, et privĂ© car seuls les ordinateurs des rĂ©seaux locaux faisant partie du VPN peuvent accĂ©der aux donnĂ©es. âą Cette technique assure lâauthentification en contrĂŽlant lâaccĂšs, lâintĂ©gritĂ© des donnĂ©es et le chiffrage de celles-ci. 194
98.
31/03/2011 98 195 VPN âą La mise
en place d'un rĂ©seau privĂ© virtuel permet de connecter de façon sĂ©curisĂ©e des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils Ă©taient sur le mĂȘme rĂ©seau local. âą Ce procĂ©dĂ© est utilisĂ© par de nombreuses entreprises afin de permettre Ă leurs utilisateurs de se connecter au rĂ©seau d'entreprise hors de leur lieu de travail. On peut facilement imaginer un grand nombre d'applications possibles : â AccĂšs au rĂ©seau local (d'entreprise) Ă distance et de façon sĂ©curisĂ©e pour les travailleurs nomades â Partage de fichiers sĂ©curisĂ©s â Jeu en rĂ©seau local avec des machines distantes 196
99.
31/03/2011 99 Les Protocoles de
Tunnelisation âą Les principaux protocoles de tunneling sont : â PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2 dĂ©veloppĂ© par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics. â L2F (Layer Two Forwarding) est un protocole de niveau 2 dĂ©veloppĂ© par Cisco Systems, Northern Telecom (Nortel) et Shiva. â L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 2661) pour faire converger les fonctionnalitĂ©s de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP. â IPsec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des donnĂ©es chiffrĂ©es pour les rĂ©seaux IP. â SSL/TLS offre une trĂšs bonne solution de tunneling. L'avantage de cette solution est d'utiliser un simple navigateur comme client VPN. â SSH Initialement connu comme remplacement sĂ©curisĂ© de telnet, SSH offre la possibilitĂ© de tunneliser des connections de type TCP. 197 198 Une entreprise Multi-site dĂ©sire de plus en plus ouvrir son rĂ©seau Ă ses employĂ©s travaillant Ă distance, en toute sĂ©curitĂ©. Câest lâenjeu auquel rĂ©pond efficacement une solution de type VPN
100.
31/03/2011 100 SSL : Secure
Socket Layer âą C'est un systĂšme qui permet d'Ă©changer des informations entre 2 ordinateurs de façon sĂ»re. SSL assure 3 aspects: â ConfidentialitĂ©: Il est impossible d'espionner les informations Ă©changĂ©es. â IntĂ©gritĂ©: Il est impossible de truquer les informations Ă©changĂ©es. â Authentification: Il permet de s'assurer de l'identitĂ© du programme, de la personne ou de l'entreprise avec laquelle on communique. âą SSL est un complĂ©ment Ă TCP/IP et permet (potentiellement) de sĂ©curiser n'importe quel protocole ou programme utilisant TCP/IP. âą SSL a Ă©tĂ© crĂ©Ă© et dĂ©veloppĂ© par la sociĂ©tĂ© Netscape et RSA Security. 199 RĂ©capitulatif âą AccĂšs non autorisĂ© Authentification âą ConfidentialitĂ© Chiffrement âą Virus Antivirus âą Intrusion IDS/IPS Firewall âą Modification Hachage consiste Ă verrouiller les donnĂ©es Ă lâaide des composants matĂ©riels: clipper-chips 200