Sécurité des réseaux

Sécurité des réseaux
Spécialité Administrateur système et réseaux
Formateur: M.Sehla Zayen
1

Plan du module
I. Fondements de la sécurité des systèmes
d’information
II. Logiciels Malveillants & solutions de
protections
III. Principes et dispositifs de Filtrage de trafic
IV. Principes et applications de la cryptanalyse
V. Audit de la sécurité
M S.Zayen 2

Plan partie 1:
Fondements de la sécurité des
systèmes d’information
I.1 Objectifs de la sécurité dans les SI
I.2 Notions de menaces, Vulnérabilités et
attaques
I.3 Attaques et dispositifs de contre-mesures
3

Fondements de la sécurité des SI
Objectifs de la sécurité dans les SI
Avec:
 Le développement de l'utilisation d'internet,
 L’ouverture des entreprises de leurs système d'information à
leurs partenaires, leurs fournisseurs, etc .
 le nomadisme, consistant à permettre aux personnels
◦ De se connecter au système d'information à partir de n'importe quel
endroit,
◦ De « transporter » une partie du système d'information hors de
l'infrastructure sécurisé de l'entreprise.
Il est donc essentiel de :
 connaître les ressources de l'entreprise à protéger
 maîtriser le contrôle d'accès et les droits des utilisateurs du
système d'information.
4

 Le système d'information est généralement défini par
l'ensemble des données et des ressources matérielles et
logicielles de l'entreprise permettant de les stocker ou de
les faire circuler.
Le système d'information représente un patrimoine
essentiel de l'entreprise, qu'il convient de protéger.
 La sécurité informatique, d'une manière générale,
consiste à assurer que les ressources matérielles ou
logicielles d'une organisation sont uniquement
utilisées dans le cadre prévu par la politique de
sécurité.
Formation pré-qualifiante
spécialité Administrateur
système & Réseau 5

La sécurité informatique vise généralement 5
principaux objectifs :
 L'intégrité des données
 La confidentialité des données
 La disponibilité
 La non répudiation
 L'authentification
6

L'intégrité, consiste à déterminer si les données
n'ont pas été altérées durant la communication
c'est-à-dire garantir que les données sont bien
celles que l'on croit être.
7

 La confidentialité consiste à rendre
l'information inintelligible à d'autres personnes
que les seuls acteurs de la transaction c'est-à-
dire assurer que seules les personnes
autorisées aient accès aux ressources
échangées.
8

La disponibilité, permettant de maintenir le bon
fonctionnement du système d'information ainsi
que de garantir l'accès à un service ou à des
ressources.
La non répudiation, permettant de garantir
qu'une transaction ne peut être niée.
9

L'authentification, consiste à assurer l'identité
d'un utilisateur, c'est-à-dire de garantir à
chacun des correspondants que son partenaire
est bien celui qu'il croit être. Un contrôle
d'accès peut permettre (par exemple par le
moyen d'un mot de passe qui devra être
crypté) l'accès à des ressources uniquement
aux personnes autorisées.
10

Notions de menaces, Vulnérabilités et attaques
Une menace est un signe qui laisse prévoir un
danger. Une menace est une source d’attaque
potentielle.
Les actions humaines peuvent être préméditées
ou non , malveillantes ou non.
Une attaque est l'exploitation d'une faille
d'un système informatique (système
d'exploitation, logiciel ou bien même de
l'utilisateur) à des fins non connues par
l'exploitant du système et généralement
préjudiciables.
11

Notions de menaces, Vulnérabilités et attaques
 La Vulnérabilité caractérise les composants
du système susceptibles d’être attaqués avec
succès.
Exemples de vulnérabilité :
 Faibles mots de passe
 Adressage IP statique pour accéder à l'intranet
 Ports non standards ouverts
 Réseau sans fil mal configuré
 Absence de sauvegarde (backup)
12

Attaques et dispositifs de contre-mesures
Les motivations des attaques peuvent être de
différentes sortes :
 obtenir un accès au système
 voler des informations, tels que des secrets
industriels ou des propriétés intellectuelles, des
données bancaires
 troubler le bon fonctionnement d'un service
 utiliser le système de l'utilisateur comme « rebond
» pour une attaque
 utiliser les ressources du système de l'utilisateur,
notamment lorsque le réseau sur lequel il est situé
possède une bande passante élevée
13

14
L’attaque
peut
parvenir à
n’importe
quel maillon
de la chaine
qui
constitue un
système
informatique

Attaque par rebond
15
 Les attaques par rebond, par opposition aux
attaques directes, consistent à attaquer une
machine par l'intermédiaire d'une autre
machine
 Masquer les traces permettant de remonter à
lui (telle que son adresse IP)
 Utiliser les ressources de la machine servant
de rebond.

Attaque par Déni de service (DoS)
 Une attaque par déni de service (Denial of
Service) est un type d'attaque visant à rendre
indisponible pendant un temps indéterminé les
services ou ressources d'une organisation.
 La plupart du temps ces attaques sont à
l'encontre des serveurs , afin qu'ils ne puissent
être utilisés et consultés.
!!! La plupart des attaques par déni de service
exploitent des failles liées à l'implémentation
d'un protocole du modèle TCP/IP.

Formation pré-quaifiante
On distingue habituellement deux types de
dénis de service :
 Les dénis de service par saturation,
consistant à submerger une machine de
requêtes, afin qu'elle ne soit plus capable de
répondre aux requêtes réelles.
 Les dénis de service par exploitation de
vulnérabilités, consistant à exploiter une
faille du système distant afin de le rendre
inutilisable.

Lorsqu'un déni de service est provoqué par
plusieurs machines, on parle alors de « déni
de service distribué » (noté DDOS pour
Distributed Denial of Service).

 La première attaque DDOS médiatisée dans la
presse grand public a eu lieu en février 2000,
causé par Michael Calce, mieux connu sous le nom
de Mafiaboy. Le 7 février, Yahoo! a été victime
d'une attaque DDOS qui a rendu son portail
Internet inaccessible pendant trois heures.
 Le 8 février, Amazon.com, Buy.com, CNN et eBay
ont été touchés par des attaques DDOS qui ont
provoqué soit l'arrêt soit un fort ralentissement de
leur fonctionnement (passé de 100 % de
disponibilité à 9,4 % ).
 Le 9 février, E-Trade et ZDNet ont à leur tour été
victimes d’attaques DDOS.

 Les analystes estiment que durant les trois
heures d'inaccessibilité, Yahoo! a subi une
perte de l'e-commerce et de recettes
publicitaires s'élevant à environ 500 000 $.
 Selon Amazon.com, son attaque a entraîné
une perte de 600 000 $ sur 10 heures.
 Michael Calce, celui qui a piraté Amazon.com,
Yahoo!, CNN et Ebay, fut condamné à 8 mois
dans un centre de détention pour jeune (il
n'avait que 15 ans au moment des faits)

Exemples d’attaque par Déni de service (DoS)
Exploitation des failles ou des limites des
machines
Une des attaques les plus courantes consistait à envoyer
un paquet ICMP de plus de 65 535 octets.
Au dessus de cette limite, les piles IP ne savaient pas
gérer le paquet proprement, ce qui entrainait des
erreurs de fragmentation UDP
Ex :
[root@localhost root]# hping3 -SARFU -L 0 -M 0
-p 80 www.cible.com --flood

Attaque par déni de service SYN Flood
Une attaque SYN Flood est une attaque visant à
provoquer un déni de service en émettant un nombre
important de demandes de synchronisation TCP
incomplète avec un serveur.

Attaque par déni de service SYN Flood
SOLUTION
[root@nowhere /root]# iptables –A INPUT -p tcp --syn -m limit --limit 1/second -j ACCEPT

Attaque par UDP Flooding
L'attaquant envoie un grand nombre de
requêtes UDP sur une machine. Le trafic
UDP étant prioritaire sur le trafic TCP, ce
type d'attaque peut vite troubler et saturer
le trafic transitant sur le réseau.
Solution
[root@nowhere /root]# iptables -A FORWARD -p udp
-m limit --limit 1/second -j ACCEPT

Attaque par par réflexion:
Smurfing
Cette attaque utilise le protocole ICMP.
Quand un ping (message ICMP ECHO) est
envoyé à une adresse de broadcast (par
exemple 10.255.255.255), celui-ci est
démultiplié et envoyé à chacune des
machines du réseau.

Smurfing
Le principe de l’attaque est de spoofer les
paquets ICMP ECHO REQUEST envoyés en
mettant comme adresse IP source celle de
la cible. Le hacker envoie un flux continu
de ping vers l’adresse de broadcast d’un
réseau et toutes les machines répondent
alors par un message ICMP ECHO REPLY en
direction de la cible.

Smurfing
Le flux est alors multiplié par le nombre
d’hôte composant le réseau. Dans ce cas
tout le réseau cible subit le déni de service,
car l’énorme quantité de trafic générée par
cette attaque entraîne une congestion du
réseau.
Solution:
# iptables -A FORWARD -p icmp --icmp-type echo-
request -m limit --limit 1/second -j ACCEPT

Les outils de DDoS (Distributed Denial of
Service) les plus connus sont

Attaque par IP Spoofing
C’est l'usurpation d'adresse IP c’est une
technique consistant à remplacer l'adresse IP
de l'expéditeur IP par l'adresse IP d'une autre
machine.
Cette technique permet ainsi à un pirate
d'envoyer des paquets anonymement.

Attaque par IP Spoofing
Il ne s'agit pas pour autant d'un changement
d'adresse IP, mais d'une mascarade de
l'adresse IP au niveau des paquets émis.
Vu que les FIREWALL fonctionne la plupart du
temps grâce à des règles de filtrage indiquant
les adresses IP autorisées à communiquer avec
les machines internes au réseau. L’usurpation
d’IP permet de les contourner.
Exemple:
#iptables -t nat -A POSTROUTING -s
192.168.1.2 -o ppp0 -j MASQUERADE

Attaque par Sniffing
 Un sniffer est un « analyseur réseau ». C’est
un logiciel qui permettrai à un agresseur
d’écouter le trafic d'un réseau, c'est-à-dire de
capturer les informations qui y circulent.
 Exemple : Ethereal, wireshark
 Parade: utilisation de protocole de cryptage
des données (chiffrage)

Attaque par Balayage des Ports
 Un scanner de ports est capable de déterminer
les ports ouverts sur un système en envoyant
des requêtes successives sur les différents
ports et analyse les réponses afin de
déterminer lesquels sont actifs.
 En analysant les paquets TCP/IP reçus, les
scanners de sécurité sont parfois capables de
déterminer:
◦ le système d'exploitation de la machine distante
◦ les versions des applications associées aux ports
 Exemple: nmap, nmapfe,etc.

Contre mesure: FIRWALL
 Un pare-feu est un système permettant de
protéger un ordinateur ou un réseau
d'ordinateurs des intrusions provenant d'un
réseau tiers (notamment internet).
 Le pare-feu est un système permettant de
filtrer les paquets de données échangés avec le
réseau.

 Il s'agit ainsi d'une passerelle filtrante
comportant les interfaces réseau suivante :
◦ une interface pour le réseau à protéger (réseau
interne) ;
◦ une interface pour le réseau externe.
Le système firewall est un
système logiciel

Un système pare-feu contient un ensemble de
règles prédéfinies permettant :
 D'autoriser la connexion (allow) ;
 De bloquer la connexion (deny) ;
 De rejeter la demande de connexion sans
avertir l'émetteur (drop).

L'ensemble de ces règles permet de mettre en
oeuvre une méthode de filtrage dépendant de
la politique de sécurité adoptée par l'entité. On
distingue habituellement deux types de
politiques de sécurité permettant :
 soit d'autoriser uniquement les
communications ayant été explicitement
autorisées :
"Tout ce qui n'est pas explicitement autorisé est
interdit".

 soit d'empêcher les échanges qui ont été
explicitement interdits.
La première méthode est sans doute la plus
sûre, mais elle impose toutefois une définition
précise et contraignante des besoins en
communication.

Contre mesure:
Les systèmes de détection d'intrusion IDS
 Un système de détection d'intrusion est un
mécanisme destiné à repérer des activités
anormales ou suspectes sur la cible analysée
(un réseau ou un hôte).
 Il permet ainsi d'avoir une connaissance sur
les tentatives réussies et échouées des
intrusions.

Contre mesure:
Il existe trois grandes familles distinctes d’IDS :
 Les NIDS (Network Based Intrusion Detection
System), qui surveillent l'état de la sécurité au
niveau du réseau.
 Les HIDS (HostBased Intrusion Detection
System), qui surveillent l'état de la sécurité au
niveau des hôtes.
 Les IDS hybrides, qui utilisent les NIDS et
HIDS pour avoir des alertes plus pertinentes.

Contre mesure:
Fonctionnement d’un IDS

Contre mesure:
Exemples:
 Snort
 Prelude
 Nessus
 Enterasys
 Checkpoint
 Tripwire

Plan partie 2:
Logiciels Malveillants & solutions de
protections
II.1 Principes des Virus et des logiciels
Antiviraux
II.2 Spywares, Troyens et bombes logiques
II.3 Spam et protection de la messagerie

Logiciels Malveillants & solutions de protections
Principes des Virus et des logiciels Antiviraux
Les menaces logiciels:
 Virus
 Vers
 Spywares
 Troyens
 Bombes logique
 Comment se protéger des virus, vers,
spywares ...?

 Un virus informatique est un logiciel
malveillant conçu pour se propager à d'autres
ordinateurs en s'insérant dans des
programmes légitimes.
 Il peut perturber plus ou moins gravement le
fonctionnement de l'ordinateur infecté.
 Il peut se répandre à travers tout moyen
d'échange de données numériques.

Effets des virus:
 supprimer des données
 formater un disque dur
La majorité des virus se propagent par courrier
électronique en pièce-jointe.

On peut classer les virus en plusieurs catégories:
 Virus furtif Ces virus, comme leur nom
l'indique, vont se camoufler de façon à ne pas
être détecté par les antivirus.
 Virus polymorphe Ces virus, assez rare, ont
la faculté de changer de signature de façon à
berner les antivirus.

 Macros Ces virus sont écrits en VBA (Visual
Basic Application) de la suite Microsoft Office.
Ils sont très dangereux étant donné le nombre
d'utilisateurs utilisant les fichiers tels que
Word, Excel, ...
 Virus composite Ces virus sont tout
simplement une combinaison des catégories
mentionnées ci-dessus.

vers
 Un ver (en anglais worm) est un programme
qui se propage d'ordinateur à ordinateur via un
réseau comme l'Internet.
 Contrairement à un virus, le vers n'a pas
besoin d'un programme hôte pour assurer sa
reproduction.
 Son poids est très léger, ce qui lui permet de
se propager à une vitesse impressionnante sur
un réseau, et pouvant donc saturer ce dernier.

Vers
Le risque ?
 Tant que le ver n'a pas été exécuté, on ne
risque rien.
 Lorsqu'il est activé, il peut avoir des
fonctionnalités malsaines comme pour les virus
 Ils vont aussi utiliser les ressources du réseau,
pouvant amener ce dernier à saturation.

Les antiviraux
Les antivirus sont des programmes résidents
dans la mémoire vive de l'ordinateur.
Ils possèdent deux fonctions principales:
 Analyser les fichiers utilisés et prévenir
lorsqu'un fichier suspect est détecté
 Scanner le disque dur par exemple chaque
semaine et de vérifier plus attentivement si
l'ordinateur n'est pas infecté par un virus.

Les antiviraux
La vérification consiste en une comparaison du
fichier avec une banque de données reprenant
les signatures des virus connus.
Les signatures des virus sont des suites de
caractères qui caractérise et définit chaque
virus informatique.
Si un virus est trouvé, alors l'antivirus stoppe
l'action en cours (lecture ou écriture) et
demande que l'utilisateur intervienne.

Les antiviraux
Quelques liens tout de même :
 www.pandasoftware.com : Panda Antivirus
 http://www.symantec.fr/ : Norton Antivirus
 http://www.drsolomon.com/ : Dr Salomon
 www.mcafee.com : Mc Afee Antivirus
 www.thunderbyte.com

Spywares , Troyens et bombes logiques
Spywares
 Un spyware, ou logiciel espion, est un logiciel
nuisible qui transmet à des tiers des
informations contenues dans votre ordinateur.
 Les spywares sont souvent présents dans des
gratuiciels (différents des logiciels libres), ou
des partagiciels.
 En général les logiciels à code source libre
comme Mozilla FireFox n'en contiennent aucun.

Spywares
Le risque?
 La diffusion de données personnelles, qui sont
ensuite utilisées par des personnes tierces.
 La présence d'un grand nombre de spyware
sur un ordinateur provoque une diminution des
performances. En effet ces logiciels étant lancé
dès le démarrage, ils nécessitent des
ressources systèmes (en mémoire et
processeur).

Troyens (Cheval de Troie)
 Un troyen est programme qui a une apparence
saine, souvent même attirante, mais lorsqu'il
est exécuté, il effectue, discrètement ou pas,
des actions supplémentaires.
 Ces actions peuvent être de toute forme,
comme l'installation d'une backdoor par
exemple.

Spywares, Troyens et bombes logiques
Backdoor ?
 Une backdoor (en français, une porte dérobée)
est un moyen (compte système secret, serveur
d’accès distant…) laissé par une personne
malveillante pour revenir dans un système.
 Une backdoor permettra:
◦ l'espionnage
◦ lancer des attaques à partir de cette
machine
◦ Etc.

Le risque ?
L’exécution d’un troyen l’attaquant pourra:
 rentrer sur le système si le troyen a installé
une backdoor.
 Ces dernières années ont vu l'arrivée d'un
nouveau type de troyens. Ce troyen se
compose d'un programme client et d'un autre
serveur. Le pirate envoie le serveur à la
victime. Lorsque celle-ci a exécuté le
programme, le pirate, à l'aide du programme
client, pourra contrôler l'ordinateur cible.

Bombes Logiques
 Ce sont des dispositifs programmés dont le
déclenchement s'effectue à un moment
déterminé en exploitant la date du système, le
lancement d'une commande, ou n'importe quel
appel au système.
 Ce type de virus est capable de s'activer à un
moment précis sur un grand nombre de
machines.

Bombes Logiques
 Exemple :La bombe logique Tchernobyl a été
un des virus les plus destructeurs. Il détruisait
l'ensemble des informations de l'ordinateur
attaqué et parfois il rendait la machine
quasiment inutilisable. Ce virus s'est activé le
26 avril 1999 et il a sévi jusqu'en 2002.
 Les bombes logiques sont généralement
utilisées dans le but de créer un déni de
service en saturant les connexions réseau d'un
site, d'un service en ligne ou d'une entreprise !

Comment s’en protéger?
 Avoir un antivirus, et le mettre à jour
régulièrement.
 Avoir un parefeu et le configurer correctement.
 Avoir un antispyware, et scanner son
ordinateur régulièrement
 Ne pas ouvrir une pièce-jointe d'une personne
inconnue sinon toujours passer la pièce-jointe
au scanner.

Comment s’en protéger?
 Se renseigner sur la présence de spywares
dans les logiciels que vous installés.
 Utiliser un navigateur moins ciblé par des
attaques et ayant moins de faille de sécurité,
comme Mozilla Firefox.
 Etre vigilant lorsque sur internet.

Spam et protection de la messagerie
Spam
 Le spamming (ou encore pourriel, courrier
rebut) consiste à envoyer des messages
appelés "spam" à une ou plusieurs personnes.
Ces spams sont souvent d'ordre publicitaire.
 Exemple de spamming:
◦ Envoyer un même mail, une ou plusieurs fois à une ou
plusieurs personnes en faisant de la publicité.
◦ Poster un ou plusieurs messages dans un forum qui
n'a rien à voir avec le thème.
◦ Faire apparaître un message publicitaire lorsque l'on
navigue sur un site.

Spam
Le risque ?
 Généralement on ne risque rien. Ce n'est pas
du tout dangereux. Mais ce n'est vraiment pas
agréable de recevoir du spam dans sa boîte
aux lettres.
Comment s'en protéger ?
 Activer les options de filtrage de votre
messagerie.
 Si cela ne suffit pas, installer un logiciel anti-
spam.

Mailbombing
 Le mailbombing s'apparente un peu au
spamming puisqu'il a pour but de provoquer
une gêne pour la victime.
Il s'agit de saturer la boîte aux lettres
électronique de la victime en envoyant
plusieurs mails, des milliers par exemple.

Mailbombing
Le risque ?
 Perdre votre boîte.
 Emails infectés par des virus.
 Ne plus se servir de sa boîte.
Comment s'en protéger ?
 Le mieux est d'avoir une deuxième adresse
mail. Ainsi l’adresse personnelle ne sera founie
qu'aux personnes de confiance.
 Utilitaires permettant d'éviter les mailbombers
comme eremove (Email Remover Free).

Sécurité des réseaux

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Andere mochten auch

Andere mochten auch (20)

Ähnlich wie Sécurité des réseaux

Ähnlich wie Sécurité des réseaux (20)

Sécurité des réseaux