31/03/20111Administration&Sécurité des réseauxWafa KAMMOUN12eme IngénieursISITCom H-SouSSe2010 - 2011Plan de Cours• Admini...
31/03/20112Quelques définitions• Administrateur :– Administrateur Système:• Personne responsable de la totalité de la gest...
31/03/20113Buts• Le réseau est devenu une ressource indispensable (voirevitale) au bon fonctionnement d’une entreprise,..•...
31/03/20114Les attendus d’une administration deréseau• Les 5 domaines fonctionnels de ladministration tel que définis dans...
31/03/20115Administration des réseaux• Protocoles TCP/IP et les protocoles d’application• Principe de routage (IP,ICMP, RI...
31/03/20116Les domaines d’activités• Gestion de la comptabilité:– Gérer la charge des ressources pour empêcher toute surch...
31/03/20117Détecter un problème réseau :• PING : Permet de valider une connexion point à pointusage : ping xxx.xxx.xxx.xxx...
31/03/20118Adressage IP• Une adresse IP est constituée dedeux numéros:• IP address = <networknumber><host number>• Le numé...
31/03/20119Les adresses Privées1718
31/03/201110SR & Masque de SR• Le nombre croissant de réseaux, notamment sur Internet, a fini parposer problème, en partic...
31/03/20111121Mise en oeuvre• La mise en œuvre de sous-réseaux passe par les étapessuivantes:– Déterminer le nombre de sou...
31/03/201112Solution• Pour adresser 8 sous-réseaux différents, il faut 8numéros. 3 bits permettent dadresser 6 (8-2) sous-...
31/03/201113• Le routeur détermine s’il doit acheminer ou bloquer unpaquet en fonction de chaque instruction de conditiond...
31/03/201114Exemple:• Réponse:• Router (config)# access-list 1 permit 205.7.5.0 0.0.0.255• Router (config)# int e0• Router...
31/03/201115Les commandes ICMP• Les horloges de 2 machines qui diffèrent de manière importantepeuvent poser des problèmes ...
31/03/201116ICMP : les messages d’ erreurs• Lorsqu’une passerelle émet un message ICMP de type destination inaccessible,le...
31/03/201117Exemples de gestion des erreurs33Administration des serveurs• 2 types de réseaux:– Réseau d’égal à égal: résea...
31/03/201118SécuritéWeb VirtualisationFondamentauxSuccession de 2003 Contient 4 piliers: built-in-web, Virtualizationtechn...
31/03/20111937-Amélioration du déploiement, de la récupération et delinstallation basée sur une image source ;- Améliorati...
31/03/20112039InstallationFondamentauxCette installation apporte plusieurs avantages :- Réduction tout dabord des ressourc...
31/03/201121Machine serveur Core41peut être configurée pour assurer plusieurs rôles de base :Services de domaine Active Di...
31/03/20112243Active DirectoryFondamentauxObjectifs:• Disposer de mécanismes permettant uneinstallation granulaire d’Activ...
31/03/20112345Active Directory dans Windows Server 2008• Installation– Nouvel assistant de promotion en contrôleur de doma...
31/03/20112447Politique de mots de passe multiples• Aujourd’hui la politique des mots de passe appliquée se définitpour l’...
31/03/20112549Administration du ServeurFondamentaux• Objectifs:• Rationaliser les outils d’administration• Elargir les pos...
31/03/20112651Server Core - Administration• Locale ou distante en ligne de commande– Outils basiques– WinRM et Windows Rem...
31/03/201127Domain Name System :DNS• Pourquoi un système de résolution des noms ?– Communications sur l’Internet basées su...
31/03/201128Hiérarchie des noms de domaines• Arborescence limitée à 128 niveaux• Un domaine est un sous-ensemble de l’arbo...
31/03/201129Exemple de requête DNS• Requête du poste Asterix : Adresse IP du sitewww.stri.net ?– Asterix contacte le serve...
31/03/201130• FQDN : Full Qualified Domain NameLe nom complet dun hôte, sur lInternet, cest-à-dire de la machine jusquaudo...
31/03/201131Dynamic Host Configuration Protocol• Objectifs : obtenir automatiquement tous lesparamètres de configuration r...
31/03/201132DHCP Discover63Client DHCP envoie une trame "DHCPDISCOVER", destinée àtrouver un serveur DHCP. Cette trame est...
31/03/201133Serveur DHCP• Le serveur DHCP maintient une plage d‘@ à distribuer à ses clients.Il tient à jour une BD des @ ...
31/03/201134Avantages• Lavantage de DHCP réside essentiellement dansla souplesse de configuration des hôtes :– allocation ...
31/03/201135Accès à distance Telnet• Protocole très utilisé pour l’accés à distance (tests d’application réparties,tests d...
31/03/201136Le concept SNMP• Protocole dadministration de machinesupportant TCP/IP– Conçu en 87-88 par des administrateurs...
31/03/201137Le modèle SNMP• Une administration SNMP est composée de trois types déléments:– La station de supervision (app...
31/03/201138Les types de requêtes:• 4 types de requêtes: GetRequest, GetNextRequest, GetBulk,SetRequest.– La requête GetRe...
31/03/201139MIB• La MIB (Management Information base) est la base de données desinformations de gestion maintenue par lage...
31/03/201140La MIB (Management Information Base)• MIB = Collection structurée d’objets– chaque noeud dans le système doitm...
31/03/201141Object identifier• Les variables de la MIB-2 sont identifiées par le chemindans larborescence, noté de deux fa...
31/03/20114283La sécurité des réseaux84
31/03/201143Introduction à la sécurité• La sécurité dun réseau est un niveau de garantie quelensemble des machines du rése...
31/03/201144Menaces de sécurité• Attaques passives:• Capture de contenu de message et analyse de trafic• écoutes indiscrèt...
31/03/201145Le Hacking (attaques)• C’est l’ensemble des techniques visant à attaquer un réseau un siteou un équipement• Le...
31/03/201146Attaques,services et mécanismes• L’administrateur doit tenir compte des 3 aspects de lasécurité de l’informati...
31/03/20114793Même le site de CIA a été attaqué …!94Même …..
31/03/20114895Problèmes de sécurité• Les problèmes de sécurité des réseaux peuvent êtreclassés en 4 catégories:– La confid...
31/03/201149Objectifs de la sécurité• Identification indique qui vous prétendez être (username)• Authentification valide l...
31/03/201150• confidentialité : Protection de l’information d’une divulgation nonautorisée• lintégrité : Protection contre...
31/03/201151Services Mécanismes classiques Mécanismes digitauxConfidentialité scellés, coffre-forts,cadenascryptage, autor...
31/03/201152Cryptographie:La science du secret !!103Cryptographie• Définition– Science du chiffrement– Meilleur moyen de p...
31/03/201153Encryption Process105Quelques définitions• Cryptage: permet l’encodage des informations. Ilinterdit la lecture...
31/03/201154Application de la cryptographie• Commerce électronique• Protection de la confidentialité de correspondance• Pr...
31/03/201155Principe de cryptage• Tout système de cryptage est composé d’unalgorithme de codage• La Crypt. nécessite 2 fon...
31/03/201156• Alice utilise un système de chiffrement pour envoyer un messageconfidentiel m à Bob. Elle utilise la clé de ...
31/03/201157Ex. de Chiffrement à clé symétrique• Encryptage par substitution– Époque romaine (Code de César)• Texte en cla...
31/03/201158Table de Vigenère115Exemple116C R Y P T O G R A P H I EM A T M A T M A T M A T MO ? ? ? ? ? ? ? ? ? ? ? ?
31/03/201159Chiffrement de Vigenère• Le chiffre de Vigenère est la première méthode de chiffrementpoly alphabétique, cest ...
31/03/201160Schéma de 3DES:119La solution a été dansladoption du triple DES:trois applications de DES à la suiteavec 2 clé...
31/03/201161CryptographieChiffrement Asymétrique• Algorithmes utilisant ce système :– RSA (Rivest, Shamir, Adelman)– DSA– ...
31/03/201162Cryptographie à clé publique: RSA• Ron Rivest, Adi Shamir et Leonard Adleman (Développé en 1977repose sur des ...
31/03/201163Logiciel de chiffrement PGP• PGP (Pretty Good Privacy) étaitconsidéré aux USA, comme unearme et interdit à lex...
31/03/201164How PGP encryption works?127How PGP decryption works?128
31/03/201165Chiffrement du message avec PGP129- Il génère lui même une clé aléatoire (c’est la clé desession).- Il chiffre...
31/03/201166131Ex. d’Algorithme de Diffie Hellman132Algorithme de HachageUsages de l’algorithme de hachageAlice veut trans...
31/03/201167AuthentificationDéfinition• La personne à qui jenvoie un message crypté est-elle biencelle à laquelle je pense...
31/03/201168Technique A Clé PubliquePrincipe• Algorithme RSA = Réversible– ((Mess)CPu)CPr = ((Mess)CPr)CPu• Confidentialit...
31/03/201169Pb du hachage : on n’est pas sûr del’expéditeur Scellement des donnéesSignature électronique (2)137138Récapit...
31/03/201170Societé Mondiale del’Information“HACKERS”(Challenge)Criminalité organisée(Outil d’escroquerie)Terrorisme (“War...
31/03/201171Qu’est ce qu’un ver• Programme capable de se copier vers un autreemplacement par ses propres moyens ou enemplo...
31/03/201172Les bombes logiques• Les bombes logiques sont programméespour sactiver quand survient un événementprécis.• De ...
31/03/201173Comment s’en protéger …??• La plupart des keyloggerssont maintenant reconnuspar les logiciels antivirus, àcond...
31/03/201174Phishing• Appelé aussi lhameçonnage peut se faire par courrier électronique, pardes sites Web falsifiés ou aut...
31/03/201175phishing = spam + mail spoofing + social engineering + URLspoofing +…..• La pratique du phishing consiste à at...
31/03/201176Comment se protéger?• Pare-feu• Mises à jour de votre PC• Logiciels: anti-virus, anti-spyware, anti-spam,..151...
31/03/201177Approche antivirale locale/globale• Mise à jour de la table de définitions de virussur chaque poste client• So...
31/03/201178Les attaques: Les DOS• Denial Of Service (DoS)– rend un réseau, un hôte ou autre inutilisable pour ses utilisa...
31/03/201179Ex: Serveur Symantec Client Security• Un serveur Symantec Client Security peut envoyer des mises àjour de conf...
31/03/201180Contrôle d’accès: Les pare-feux• Un pare-feu isole le réseau de l’organisation du reste del’Internet en laissa...
31/03/201181Filtrage de paquets• Le réseau interne est équipé d’une passerelle le reliant àson FAI. On se faire le filtrag...
31/03/201182Limitations des pare-feux• Usurpation d’identité (IP spoofing) le routeur est impuissant face à cetype d’attaq...
31/03/201183Architecture DMZ• Les serveurs situés dans la DMZ sontappelés « bastions » en raison de leurposition davant po...
31/03/201184NAT• Le principe du NAT consiste à réaliser, au niveau de lapasserelle de connexion à internet, une translatio...
31/03/201185Les différents types de NATOn distingue deux types différents de NAT:NAT statiqueNAT dynamique169Principe de N...
31/03/20118610.0.0.12/2410.0.0.12/24 (@ interne)193.22.35.42/24 (@ externe)Internet171Les avantages et Inconvénients du NA...
31/03/201187Avantages NAT Dynamique• Le NAT dynamique permet de partager une adresseIP routable (ou un nombre réduit dadre...
31/03/201188Architecture IPsec1. Introduction2. Services IPsec3. Modes d’utilisation175IPsec : Introduction• On a conçu IP...
31/03/201189IPsec : Introduction• Internet Protocol Security est un ensemble de protocoles(couche 3 modèle OSI) utilisant ...
31/03/201190Fonctionnement• On établit un tunnel entre deux sites:• IPSec gère l’ensemble des paramètres desécurité associ...
31/03/201191IPsec : Atouts et limites• Atouts :la richesse de son offre de services desécurité qui :– Est exploitable dans...
31/03/201192IPsec : Architecture• 2 protocoles définis pour l’encapsulation– Authentication Header (AH)– Encapsulating Sec...
31/03/201193AH• Les algorithmes dauthentification utilisables avec AH sont répertoriés dans leDOI IPsec; il existe notamme...
31/03/201194ESP• ESP assure quant à lui la confidentialité des données mais peut aussiassurer leur intégrité en mode non c...
31/03/201195IPsec : Architecture• IPsec assure la sécurité en trois situations– Hôte à hôte– Routeur à routeur– Hôte à rou...
31/03/201196Mode tunnel• Tunnel– Le flux est entre deux machines qui se trouvent derrièredeux passerellesfaisant le chiffr...
31/03/201197193Qu’est ce qu’un VPN ?• VPN,acronyme de Virtual Private Network, ou RéseauPrivé Virtuel. Ce réseau est dit v...
31/03/201198195VPN• La mise en place dun réseau privé virtuel permet deconnecter de façon sécurisée des ordinateurs distan...
31/03/201199Les Protocoles de Tunnelisation• Les principaux protocoles de tunneling sont :– PPTP (Point-to-Point tunneling...
31/03/2011100SSL : Secure Socket Layer• Cest un système qui permet déchanger des informations entre 2ordinateurs de façon ...
Prochain SlideShare
Chargement dans…5
×

Cours admin-secure-4 avril-2011

2 458 vues

Publié le

1 commentaire
6 j’aime
Statistiques
Remarques
Aucun téléchargement
Vues
Nombre de vues
2 458
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
0
Commentaires
1
J’aime
6
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Cours admin-secure-4 avril-2011

  1. 1. 31/03/20111Administration&Sécurité des réseauxWafa KAMMOUN12eme IngénieursISITCom H-SouSSe2010 - 2011Plan de Cours• Administration :– Introduction à l’administration réseaux– Rappel sur les Protocoles et services IP– Administration des équipements (Firewall, routeur)– Listes ACL– Administration des serveurs DNS, DHCP– Administration SNMP (Simple Network Management Protocol),..• Sécurité :– Introduction à la sécurité informatique– # types d’attaques (Hacking)– La cryptographie & l’authentification,– Les DMZ et Firewalls– VPN, SSL (Secure Socket Layer)• Références:– http://www.itu.int/cybersecurity/– http://www.w3.org/P3P/– Stallings William, Sécurité des réseaux, applications et standards, Vuibert, 2002, ISBN 978-2-71-1786532
  2. 2. 31/03/20112Quelques définitions• Administrateur :– Administrateur Système:• Personne responsable de la totalité de la gestion du système informatique.Il surveille et en assure la maintenance du système de manière à garantirun fonctionnement irréprochable. Veiller au bon fonctionnement dessauvegardes.– Administrateur réseau:• Chargé de la gestion de tout type d’équipements réseau. Il est responsablede bon fonctionnement configuration des équipements réseau, de larépartition des droits d’accès des utilisateurs à accéder aux serveurs. Luiseul a le droit d’ajouter des utilisateurs ou d’annuler des autorisationsd’accès, ainsi que l’installation du SE réseau et de la sécurité des donnéessur l’ensemble du réseau3Fonctions & Objectifs• Administration– Administration des serveurs, Administration des équipements et des applications (FTP, Web,courrier,..)– Déploiement, intégration, gestion des ressources réseaux mais aussi humaine– Gérer des 100 ou des 1000 d’utilisateurs dans des systèmes autonomes– Surveillance, test de performance, d’audit, de configuration du réseau– Évaluation des ressources nécessaires• Sécurité:– Protéger le réseau contre les accès non autorisés, divulgations– Contrôle d’accès: Les pare-feux (Firewalls)– Cryptographie et authentification– Récupérer les données à la suite d’un événement catastrophique• La sauvegarde des données sur bande magnétique (quotidienne, complète,incrémentielle,..)• La configuration des disques de tolérance de pannes (Les techniques de redondance,..)• L’utilisation des dispositifs d’alimentation sans coupure– Se protéger contre les attaques (virus, trojan,..)….. Et tout ça pour un coût raisonnable !!!4
  3. 3. 31/03/20113Buts• Le réseau est devenu une ressource indispensable (voirevitale) au bon fonctionnement d’une entreprise,..• L’administration du réseau met en œuvre un ensemblede moyen pour :– offrir aux utilisateurs un service de qualité– Permettre l’évolution du système en intégrant des nouvellesfonctionnalités– Optimiser les performances des services pour les utilisateurs– Permettre une utilisation maximale des ressources avec uncoût minimal5Administration = Partie opérationnelle d’unréseau• Les fonctions dadministration doivent permettre:– lextraction des informations des éléments du réseau au moyendoutils (trace)=> récolte un grand nombre dinformation,– la réduction du volume dinformation au moyen de filtres=> sélection dinformation significatives (analyser),– le stockage des informations retenues dans une base dedonnées dadministration,– des traitements sur ces informations,– offrir des interfaces (utilisateur administration, opérateurréseau).6
  4. 4. 31/03/20114Les attendus d’une administration deréseau• Les 5 domaines fonctionnels de ladministration tel que définis dans lOSI:– La gestion des pannes : permet la détection, la localisation, la réparation de pannes etle retour à une situation normale dans lenvironnement.– La comptabilité : permet de connaître les charges des objets gérés, les coûts decommunication, ... Cette évaluation est établie en fonction du volume et de la durée dela transmission. Ces relevés seffectuent à deux niveaux : Réseau et Application.– La gestion des configurations : permet didentifier, de paramétrer les différents objets.Les procédures requises pour gérer une configuration sont la collecte dinformation, lecontrôle de létat du système, la sauvegarde de létat dans un historique– Laudit des performances : permet dévaluer les performances des ressources dusystème et leur efficacité. Les performances dun réseau sont évaluées à partir dequatre paramètres : le temps de réponse, le débit, le taux derreur par bit et ladisponibilité.– La gestion de la sécurité : une des fonctions de gestion concerne le contrôle et ladistribution des informations utilisées pour la sécurité. Un sous-ensemble de la MIB(Management Information Base) concerne les informations de sécurité (SMIB). Ilrenferme le cryptage et la liste des droits daccès.7L’organisation d’une administration• Qui a besoin dadministration et pour quoi faire ?• Il existe différents types de décision dadministration :– décisions opérationnelles : décision à court terme, concernant ladministrationau jour le jour et opérations temps réel sur le système– décisions tactiques : décision à moyen terme concernant lévolution du réseauet lapplication des politiques de long terme– décisions stratégiques : décision de long terme concernant les stratégies pourle futur en exprimant les nouveaux besoins et désirs des utilisateurs.• Ces niveaux déterminent différents niveaux dadministration:– le contrôle opérationnel réseau pour les décisions opérationnelles– la gestion réseau pour les décision tactiques– lanalyse de réseau pour les décision tactiques et stratégiques– la planification pour les décisions stratégiques8
  5. 5. 31/03/20115Administration des réseaux• Protocoles TCP/IP et les protocoles d’application• Principe de routage (IP,ICMP, RIP,OSPF,..)• Administration des serveurs :– Serveur de résolution des noms, DNS– Serveur de configuration dynamique, DHCP– Serveur de transfert des fichiers, FTP– Services pour accéder à des machines distantes, Telnet– Serveur Web– Protocole d’administration réseau, SNMP9Les domaines d’activités• La gestion des pannes:– Détection, localisation, isolation, réparation• Gestion des configurations– Identification des ressources– Installation, initialisation, paramétrage, reconfiguration.– Collecte des informations utiles et sauvegarde d’un historique.• Audit des performances– Évaluation: collecter les données et établir des statistiques sur lesperformances (temps de réponse, taux d’utilisation, débit, taux d’erreur,disponibilité)– Gestion de trafic : satisfaire les besoins des users (à qui attribuer un granddédit…)10
  6. 6. 31/03/20116Les domaines d’activités• Gestion de la comptabilité:– Gérer la charge des ressources pour empêcher toute surcharge (congestion).– Gérer le coût d’utilisation des ressources et les facturer– Gérer le quota d’exploitation de la ressources ( imprimante, disques…)• Gestion de la sécurité– But: protéger les ressources du réseau et du système d’administration– Commet: Assurer les services de la sécurité (authentification, confidentialité, intégrité,disponibilité et non répudiation).– Moyen : cryptographie + logiciel de supervision + audit  surveillance des journaux.Exemple : sous WinNT Server (journaux d’évènements)• Journal de sécurité• Journal système• Journal application11Administrer un réseau IP• Un réseau IP est un ensemble d’équipements:– Possédant chacun une ou plusieurs interfaces– Reliés entre eux par des supports physiques divers– Gestion des pannes– Gestion des configurations– Audit des performances– Gestion de la sécurité• Administrer un réseau IP:– Définir un plan d’adressage cohérent– Affecter une adresse IP à chaque interface– Mettre en œuvre le routage entre ces divers éléments12
  7. 7. 31/03/20117Détecter un problème réseau :• PING : Permet de valider une connexion point à pointusage : ping xxx.xxx.xxx.xxx (x : adresse IP de la machine)TRACE ROUTE : Permet de donner les chemins de communication entre deux machinesusage : tracert xxx.xxx.xxx.xxx (x : adresse IP de la machine)ARP : Permet dobtenir ladresse MAC (fabriquant) dun épementusage : arp -a xxx.xxx.xxx.xxx (x : adresse IP de la machine)NBTSTAT : Permet dobtenir le nom de lutilisateur connecté sur une machineusage : nbtstat -A xxx.xxx.xxx.xxx (x : adresse IP de la machine)nbtstat -a nom.domaine si lon connait le nom de la stationnbtstat -c pour afficher tout le cacheWindows NT : IPCONFIG : Affiche la configuration IPUNIX : vmstat pspstat· netstat· netstat -i· +Ierrs : cable ?· +Oerrs : Ctrl ?· -a send_@ != 0 : Lan Overload· -s Bad CRC != 0 : Router· !LAN>= 0 retrans : timeout <5% = ok· Et enfin pour ajouter une route:· route> add x.x.x.xequip MASK x.x.x.x sub x.x.x.xrouter -p1314
  8. 8. 31/03/20118Adressage IP• Une adresse IP est constituée dedeux numéros:• IP address = <networknumber><host number>• Le numéro de réseau identifie leréseau sur lequel est connecté lenœud. Ce numéro doit être unique.• Le numéro dhôte identifie le nœudsur le réseau en question.– classe A : de 1 à 126– classe B : de 128.1. à 191.254– classe C : de 192.0.1 à 223.255.2541516
  9. 9. 31/03/20119Les adresses Privées1718
  10. 10. 31/03/201110SR & Masque de SR• Le nombre croissant de réseaux, notamment sur Internet, a fini parposer problème, en particulier à cause de la saturation du schémadadressage.• Le fractionnement dun réseau en plusieurs réseaux permet deréduire le trafic sur chacun des réseaux ou disoler certains groupesde travail.– <@-IP> = <netw.nr><subnet nr><host nr>– Léchange de messages des stations situées sur deux sous-réseaux différentsne pourra se faire directement, mais uniquement par lintermédiaire dunrouteur.• ExempleUne classe A avec un masque de SR: 255.255.0.0 est découpée en 254 SR de65534 stations.– Une classe A avec un masque de SR 255.240.0.0 (11111111 11110000 0000000000000000) est découpée en 14 SR de 1 048 574 stations (4 bits permettent de coder16 valeurs - 2 réservées).1920
  11. 11. 31/03/20111121Mise en oeuvre• La mise en œuvre de sous-réseaux passe par les étapessuivantes:– Déterminer le nombre de sous-réseaux à adresser.– Déterminer le nombre maximum dhôtes sur chaque sous-réseau.– Calculer le nombre de bits nécessaires pour les sous-réseaux et pourles stations (en prévoyant les évolutions)– Positionner le masque de sous-réseau.– Lister les différents numéros de sous-réseaux possibles en éliminantles "tout à 0" et les "tout à 1".• Exemple :Un réseau dadresse 160.16.0.0 est divisé en 8 SR Chacun deces SR accueille ont au moins 1000 hôtes.22
  12. 12. 31/03/201112Solution• Pour adresser 8 sous-réseaux différents, il faut 8numéros. 3 bits permettent dadresser 6 (8-2) sous-réseaux et 4 bits permettent dadresser 14 sous-réseaux. Il faut donc prendre cette dernière solution.Il reste dans ce cas, 12 bits pour le numéro dhôte cequi permet 4094 numéros dhôtes. Le masque seradonc :– 11111111 11111111 11110000 00000000réseau SR hôte– soit en représentation décimale : 255.255.240.023Les listes ACL• Les listes de contrôle d’accès sont desinstructions qui expriment une liste de règles,imposés par l’administrateur, donnant uncontrôle supplémentaire sur les paquets reçuset transmis par le routeur.– Il ne peut y avoir qu’une liste d’accès parprotocole par interface et par sens– Une ACL est identifiable par son Nr. attribuésuivant le protocole et suivant le type.• ACL Standard:– Permet d’autoriser ou d’interdire des @spécifiques ou• ACL étendu– un ensemble d’@ ou de protocolesType de la liste Plage Nr.Liste d’accèsstandard1 à 99Liste d’accèsétendues100 à 19924
  13. 13. 31/03/201113• Le routeur détermine s’il doit acheminer ou bloquer unpaquet en fonction de chaque instruction de conditiondans l’ordre dans lequel les instructions ont été crées• Si le paquet arrivant à l’interface du routeur satisfait à unecondition, il est autorisé ou refusé• Si le paquet ne correspond à aucune instruction dans laliste, celui-ci est rejeté• Le résultat de l’instruction implicite deny any• Any: n’importe quelle @ (de 0.0.0.0 à 255.255.255.255)• Host: abréviation du masque générique– Ex: host 172.16.33.5 équivaut à 172.16.33.5 0.0.0.025Liste standard, étendue..?!!• Liste standard:– Router (config)# access-list numr-liste {permit |deny}source {masque-source}– Ex: access-list 1 deny 172.69.0.0 0.0.255.255• Liste étendue:– Router (config)# access-list numr-liste {permit|deny}protocole source {masque-source} destination {masque-desti} {opérateur opérande}[established..]26
  14. 14. 31/03/201114Exemple:• Réponse:• Router (config)# access-list 1 permit 205.7.5.0 0.0.0.255• Router (config)# int e0• Router (config-if)# access-group 1 out27ACL qui permet à tout le réseau 205.7.5.0 l’accès au réseau 192.5.5.0;Extrait de /etc/services :• /etc/services :• ftp 21/tcp• telnet 23/tcp• smtp 25/tcp• mail pop3 110/tcp # Post Office• A consulter, /etc/inetd.conf ; répertoire contient laliste des services activés sur une machine donnée• A Voir l’Extrait de /etc/inetd.conf28
  15. 15. 31/03/201115Les commandes ICMP• Les horloges de 2 machines qui diffèrent de manière importantepeuvent poser des problèmes pour des logiciels distribués.• Une machine peut émettre une demande d’horodatage(timestamp request) à une autre machine susceptible de luirépondre (timestamp reply) en donnant l’heure d’arrivée de lademande et l’heure de départ de la réponse.• L’émetteur peut alors estimer le temps de transit ainsi que ladifférence entre les horloges locale et distante.• Le champ de données spécifiques comprend l’heure originale(originate timestamp) émis par le demandeur, l’heure deréception (receive timestamp) du destinataire, et l’heure dedépart (transmit timestamp) de la réponse.29Le protocole ICMP• Internet Control Message ProtocolTYPE 8 bits; type de messageCODE 8 bits; informations complémentairesCHECKSUM 16 bits; champ de contrôleHEAD-DATA en-tête datagramme + 64 premiers bits des données.• 15 messages utilisés– 10 informations• Ping• Messages de routeurs• Horodatage– 5 erreurs• Destination inaccessible• Temps dépassé• Divers• Redirection• Utilisé par les outils applicatifs tels:ping et traceroute.30TYPE Message ICMPV.40 Echo Reply3 Destination Unreachable4 Source Quench5 Redirect (change a route)8 Echo Request11 Time Exceeded (TTL)Parameter Problem with a Datagram13 Timestamp Request14 Timestamp Reply15 Information Request(obsolete)
  16. 16. 31/03/201116ICMP : les messages d’ erreurs• Lorsqu’une passerelle émet un message ICMP de type destination inaccessible,le champ code décrit la nature de l’erreur :– 0 Network Unreachable– 1 Host Unreachable– 2 Protocol Unreachable– 3 Port Unreachable– 4 Fragmentation Needed and DF set– 5 Source Route Failed– 6 Destination Network Unknown– 7 Destination Host Unknown– 8 Source Host Isolated– 9 Communication with desination network administratively prohibited– 10 Communication with desination host administratively prohibited– 11 Network Unreachable for type of Service– 12 Host Unreachable for type of Service31Paquets ICMPv6• Utiliser lutilitaire ping6 (équivalent à lutilitaire ping) pour tester la présencedune machine sur le réseau en prenant une @IPv6• la longueur du message ICMPv6 est limitée à 1 280 octets, afin d’éviter lesproblèmes de fragmentation, puisquil est difficilement envisageable de mettreen œuvre la découverte du MTU32Type message Meaning1 Destination Unreachable2 Packet Too Big3 Time Exceeded4 Parameter Problem128 Echo Request129 Echo Reply130 Group Membership Query131 Group Membership Report132 Group Membership Reduction133 Router Solicitation134 Router Advertisement135 Neighbor Solicitation136 Neighbor Advertisement137 Redirect
  17. 17. 31/03/201117Exemples de gestion des erreurs33Administration des serveurs• 2 types de réseaux:– Réseau d’égal à égal: réseau pour groupe de travail et conçu pour un petitnombre de stations• Un nombre limité d’utilisateurs• Création et exploitation peu coûteuse• Pas de nécessité de serveur dédié ou de logiciel supplémentaire– Inconvénients:– aucun point central de gestion– Si le # des users>10 un réseau d’égal à égal est un mauvais choix– Ex: Windows for Workgroups, Win 98.– Réseau client-serveur: gestion centralisée des utilisateurs, de la sécurité et desressources• Possibilité d’utiliser des serveurs dédiés pour fournir plus efficacement desressources précises aux clients• L’utilisateur peut avoir accès aux ressources autorisées à l’aide d’un ID réseau etd’un mot de passe– Inconvénients:– Exploitation et maintenance exige du personnel formé– Coût d’exploitation est plus élevé que les réseaux d’égal à égal– Ex: Unix, Linux, Novell Netware et Win-NT/XP? WIN2K server, Win 2008.34
  18. 18. 31/03/201118SécuritéWeb VirtualisationFondamentauxSuccession de 2003 Contient 4 piliers: built-in-web, Virtualizationtechnologies. Peut assurer et produire une infrastructure réseau securiséeavec des coûts réduits, en augmentant la flexibilité dans une organisation3536• Plateformes– 32 bits (x86)– 64 bits (x64 et IA64*)• Versions « classique » et « Server Core** »– Web– Standard– Enterprise– Datacenter* Rôles et fonctionnalités limités -http://www.microsoft.com/windowsserver/bulletins/longhorn/itanium_bulletin.mspx** uniquement sur Standard, Enterprise et Datacenter
  19. 19. 31/03/20111937-Amélioration du déploiement, de la récupération et delinstallation basée sur une image source ;- Amélioration des outils de diagnostic, de supervision, detraçabilité des évènements et de rapports ;-Apport de nouvelles fonctionnalités de sécurité telles queBitlocker (specification de protection des données, qui fournitle chiffrement par partition) et présente une amélioration duPare-feu- permet aux ressources système dêtre partitionnées defaçon dynamique à laide du module Dynamic HardwarePartitioning (Gestion Dynamique du Partitionnement )38• Option d’installation minimale• Surface d’exposition réduite• Interface en ligne de commande• Ensemble de rôles restreints• Choix à l’installation !• N’est pas une plateforme applicativeServer Core - « Rôles »Server CoreComposants Sécurité, TCP/IP, Système de fichiers, RPC,plus d’autre sous-systèmes Core ServerDNS DHCPFile&PrintADServerAvec .Net 3.0, shell, outils, etc.TS IASWebServerSharePointEtc…Rôles du serveur(en plus de ceux de la version Core)GUI, Shell, IE,Media, Frame, .Netetc.WSVADLDSMediaServerIISIl sagit de la nouveauté la plus notable proposée par Windows Server 2008 : l’optiond’installation Server Core installe uniquement le strict minimum
  20. 20. 31/03/20112039InstallationFondamentauxCette installation apporte plusieurs avantages :- Réduction tout dabord des ressources nécessaires ;- Réduction de la maintenance et de la gestion, puisque seuls leséléments nécessaires pour les rôles définis sont à installer etconfigurer ;- Réduction enfin de la surface d’exposition aux attaques,directement lié au nombre réduit d’applications et servicesexécutées sur le serveur ;40Installation de Windows Server 2008• Installation• Par fichier image (fichier .wim)• 2 modes• Classique• Serveur Core• Configuration initiale• Initial Configuration Tasks• Administration du serveur• Server Manager• Gestion des rôles• Gestion des fonctionnalités
  21. 21. 31/03/201121Machine serveur Core41peut être configurée pour assurer plusieurs rôles de base :Services de domaine Active Directory (AD DS)Services AD LDS (Active Directory Lightweight Directory Services)Serveur DHCPServeur DNSServeur de fichiersServeur d’impressionServices de diffusion multimédia en continuAinsi que les fonctionnalités facultatives suivantes :SauvegardeChiffrement de lecteur BitLockerClustering (grappe de serveur) avec basculementÉquilibrage de la charge réseauStockage amovibleProtocole SNMP (Simple Network Management Protocol)Sous-système pour les applications UNIXClient TelnetService WINS (Windows Internet Name Service)42Server Manager• Votre nouvel ami • Rationnaliser les outils et disposer d’un outil central permettantd’ajouter, de configurer et de gérer les différents rôles et fonctionnalitésdu serveur– Un seul outil pour configurerWindows Server 2008– Portail d’administration– Ligne de commandeservermanagercmd.exe
  22. 22. 31/03/20112243Active DirectoryFondamentauxObjectifs:• Disposer de mécanismes permettant uneinstallation granulaire d’Active Directory• Améliorer la prise en charge des serveursdistribués géographiquement (agences)• Optimiser la consommation de bande passante• Elever le niveau de sécuritéActive Directory Domain ServicesActive Directory Domain ControllerActive Directory Lightweight DirectoryActive Directory Application ModeActive Directory Rights ManagementRights Management ServicesActive Directory Certificate ServicesWindows Certificate Services44Active Directory : nomenclature
  23. 23. 31/03/20112345Active Directory dans Windows Server 2008• Installation– Nouvel assistant de promotion en contrôleur de domaine• Installation automatisée améliorée– Prise en charge du mode Server Core• Sécurité– Authentification, autorisations et audit– Contrôleur de domaine en lecture seule• Performance– Réplication Sysvol différentielle• Administration– Active Directory sous forme de service– Editeur d’attributs– Protection contre les suppressions accidentelles– Administration des stratégies de groupe avec GPMC46• Support du server core• Utilise les ‘crédentiels’ de l’utilisateur connecté pour la promotion• Sélection des rôles : DNS (défaut), GC (défaut), RODC (Read OnlyDomain Controller)• Mode avancé (/adv)• Sélection du site (par défaut : auto-détection)• Réplication AD durant la promotion: DC particulier, n’importe quel DC,média (sauvegarde AD)• Auto-configuration du serveur DNS• Auto-configuration du client DNS• Création et configuration des délégations DNSActive Directory Domain ServicesDCPROMO dans Windows Server 2008
  24. 24. 31/03/20112447Politique de mots de passe multiples• Aujourd’hui la politique des mots de passe appliquée se définitpour l’ensemble du domaine– Default Domain Policy dans un AD 2000/2003• Avec Windows Server 2008 : il devient possible de définir despolitiques de comptes au niveau des utilisateurs et des groupes dudomaine– Ne s’applique pas ni à l’objet ordinateur ni aux comptes locaux (utilisateurshors domaine)– Nécessite un niveau fonctionnel de domaine Windows Server 2008– Le schéma doit être en version 2008• Utilisation d’une nouvelle classe d’objets msDs-PasswordSettings48Hub`Read Only DCHub WS 2008 DCBranchRead-Only DCAuthentification1234566771. AS_Req vers le RODC (requêtepour TGT)2. RODC: regarde dans sa base:“Je n’ai pas les crédentiels del’utilisateur"3. Transmet la requête vers unWindows Server 2008 DC4. Windows Server 2008 DCauthentifie la demande5. Renvoi la réponse et la TGTvers le RODC (Hub signed TGT)6. RODC fournit le TGT àl’utilisateur et met en queueune demande de réplicationpour les crédentiels7. Le Hub DC vérifie la politiquede réplication des mots depasse pour savoir s’il peut êtrerépliqué
  25. 25. 31/03/20112549Administration du ServeurFondamentaux• Objectifs:• Rationaliser les outils d’administration• Elargir les possibilités offertes en terme d’administrationlocale et distante• Déployer plus rapidement de nouveaux systèmes (posteset serveurs)50Administration et Windows Server 2008• Le Server Manager• Windows PowerShell• Active Directory redémarrable• Administrateurs locaux sur RODC• Stratégies de groupes (GPO) (GPMC, admx/adml)• Journaux et structure des événements• Planificateur de tâches• Administration Windows à distance WinRM• Sauvegarde / restauration• Outils de diagnostics• Outils en ligne de commande
  26. 26. 31/03/20112651Server Core - Administration• Locale ou distante en ligne de commande– Outils basiques– WinRM et Windows Remote Shell pour l’exécution à distance– WMI et WMIC (locale et à distance)• Terminal Services (à distance)• Microsoft Management Console (à distance)– RPC, DCOM• SNMP• Planificateur de tâches• Evénements et transfert d’événements• Pas de support du code managé donc pas de support deWindows PowerShell52Services de déploiement Windows(Windows Deployment Services)• Solution de déploiement pour Windows Server 2008• Nouvelles technologies : WIM, IBS, WinPE• Ensemble d’outils pour personnaliser l’installation• Démarrage à distance d’un environnement de pré-installation(WinPE)• Notion de serveur PXE• Support du multicast • Administration graphique et en ligne de commande• Wdsutil.exe
  27. 27. 31/03/201127Domain Name System :DNS• Pourquoi un système de résolution des noms ?– Communications sur l’Internet basées sur les adresses IP– Communications «humaines» basées sur des noms– Besoin d’un mécanisme pour faire correspondre des adresses IP avecdes noms d’hôtes => service DNS• Domain Name System (DNS)– Base de données hiérarchique distribuée• Le système DNS permet d’identifier une machine par un nomreprésentatif de la machine et du réseau sur lequel elle setrouve.• Le système est mis en œuvre par une base de donnéesdistribuée au niveau mondial.• DNS fournit un niveau d’adressage indirect entre un nomd’hôte et sa localisation géographique53Fonctionnalités du service DNS• Espace des noms de domaines = arborescence hiérarchique– Arborescence indépendante de la topologie réseau et|ou de la géographie• Architecture de stockage distribuée– Zones affectées à des serveurs de noms dans l’arborescence hiérarchique– Serveurs de sauvegarde pour la redondance et la disponibilité• Administration répartie suivant la hiérarchie des noms– Rôle le plus simple : client DNS ou ’Resolver’• Protocole client/serveur communicant sur le port n° 53– Protocole UDP utilisé par les clients– Protocole TCP préconisé pour les échanges entre serveurs54
  28. 28. 31/03/201128Hiérarchie des noms de domaines• Arborescence limitée à 128 niveaux• Un domaine est un sous-ensemble de l’arborescence• Aucune possibilité de doublon– hôte : cooper, domaine : ups-tlse, gTLD : fr– Fully Qualified Domain Name : cooper.ups-tlse.fr• Conventions sur les noms de domaines• Top Level Domains (TLD)– .com, .net, .org, .edu, .mil, .gov, .int, .biz• Geographical Top Level Domains (gTLD)– .tn, .de, .fr, .uk, .jp, .au• Nom du Domain: chaque nœud possède une étiquette (label): max 63 caract.– Hôte: correspond à une machine55DNS• Hiérarchie des serveurs• Serveurs «distribués» dans l’arborescence hiérarchique– Un serveur ne maintient qu’un sous-ensemble de l’arborescence– On parle d’autorité sur une zone : ’Authoritative Name Server’• Chaque serveur contient tous les enregsitrements d’hôtes dans«sa» zone– Enregistrement = Resource Record (RR)• Chaque serveur a besoin de connaître les autres serveursresponsables des autres parties de l’arborescence– Chaque serveur connaît la liste des ’Root Servers’– Chaque ’Root Server’ connaît tous les TLDs et gTLDs– Un serveur racine peut ne pas connaître le serveur qui a autorité sur unezone– Un serveur racine peut connaître un serveur intermédiaire à contacterpour connaître le serveur qui a autorité sur une zone56
  29. 29. 31/03/201129Exemple de requête DNS• Requête du poste Asterix : Adresse IP du sitewww.stri.net ?– Asterix contacte le serveur local Cooper.ups-tlse.fr– Cooper.ups-tlse.fr contacte un serveur racine :J.ROOT-SERVERS.NET– J.ROOT-SERVERS.NET contacte un serveur dudomaine ’.net’ : G.GTLD-SERVERS.NET– G.GTLD-SERVERS.NET contacte le serveur qui aautorité sur la zone ’stri.net’ : full1.gandi.net– Cooper.ups-tlse.fr renvoie la réponse vers Asterix• Gestion du cache– Cooper.ups-tlse.fr conserve la réponse dans soncache– Cooper.ups-tlse.fr répond directement à toutenouvelle requête DNS www.stri.net57• En mode interactif, on peut sélectionner le type de requête à laide de lacommande « set type=RR ». Exemple: « nslookup www.univ-evry.fr194.199.90.1 »• En mode non interactif, on le précise avec loption « -query-type=RR ».– Exemple: pour obtenir les serveurs dns de la zone univ-evry.fr: « nslookup -query-type NS univ-evry.fr ».• Le tableau suivant,extrait de la documentation de windows Xp indique lestypes possibles :– A Spécifie ladresse IP dun ordinateur.– ANY Spécifie tous les types de données.– CNAME Spécifie un nom canonique dalias.– GID Spécifie un identificateur de groupe dun nom de groupe.– HINFO Spécifie le type de système dexploitation et dunité centrale dunordinateur.– MB Spécifie un nom de domaine dune boîte aux lettres.– MG Spécifie un membre dun groupe de messagerie.– MINFO Spécifie des informations sur une liste de messagerie ou une boîte auxlettres.– MR Spécifie le nom de domaine de la messagerie renommée.– MX Spécifie le serveur de messagerie.– NS Spécifie un serveur de noms DNS pour la zone nommée.• Exercice: Utilisez la commande nslookup pour obtenir les informationscorrespondant au nom de la machine qui a comme adresse ip 192.168.202.258
  30. 30. 31/03/201130• FQDN : Full Qualified Domain NameLe nom complet dun hôte, sur lInternet, cest-à-dire de la machine jusquaudomaine, en passant par les sous-domaines.• URL : Uniform Resource LocatorCest la méthode daccès à un document distant. Un lien hypertexte avec unesyntaxe de la forme:<Type de connexion>://<FQDN>/[<sous-répertoire>]/.../<nom du document>Exemple: http://www.ac-aix-marseille.fr/bleue/francais/nouveau.htm– http: Hyper Text Transfert Protocol– www.ac-aix-marseille.fr: FQDN du serveur de pages personnelles– /bleue/francais/: arborescence de répertoires– nouveau.htm: nom du document.• URI : Universal Resource Identifier.cest la même chose que lURL. Le W3C (World Wide Web Consortium), garant deluniversalité de lInternet, voudrait voir abandonner URL au profit dURI. Notez latrès subtile divergence de sens, qui vaut bien, le changement.59DNSSEC• Implémentation de DNSSEC sous Windows 2008serveur coté serveur:– Distribution des « trust anchors » ;– Déploiement des certificats pour les serveurs DNS ;– Déploiement de la politique de sécurité d’IPSEC sur leServeur DNS ;– Déploiement de la politique de sécurité d’IPSEC sur unposte client• http://www.labo-microsoft.org/articles/DNSSECPRES/3/Default.asp– Déployer les certificats pour l’authentification du Serveur DNS60
  31. 31. 31/03/201131Dynamic Host Configuration Protocol• Objectifs : obtenir automatiquement tous lesparamètres de configuration réseau– @ IP– Adresse de diffusion– Masque réseau– Passerelle par défaut– Domaine DNS– Adresse IP du serveur de noms DNS• Dynamic Host Configuration Protocol (DHCP)– Service Internet => couche application– RFCs 2131 et 2132 en 1997– Communications sur les ports UDP 67 (côté client) et le 68(côté serveur)61DHCP• L’ @ IP est allouée selon les critères suivants:– Ne pas être déjà allouée à une autre station– La même station reçoit toujours la même adresse– Cette adresse est allouée pendant une périodedéterminée (bail)– Le client vérifie la validité de l’@62
  32. 32. 31/03/201132DHCP Discover63Client DHCP envoie une trame "DHCPDISCOVER", destinée àtrouver un serveur DHCP. Cette trame est un "broadcast", doncenvoyé à ladresse 255.255.255.255. Nayant pas encore d‘@IP, il fournit aussi son @ MACLes Commandes DHCP• Client DHCP envoie une trame "DHCPDISCOVER", destinée à trouver un serveurDHCP. Cette trame est un "broadcast", donc envoyé à ladresse 255.255.255.255.Nayant pas encore d‘@ IP, il fournit aussi son @ MAC• Le serveur DHCP qui reçoit cette trame va répondre par un "DHCPOFFER". Cettetrame contient une proposition de bail et la @-MAC du client, avec égalementl‘@ IP du serveur.• Le client répond par un DHCPREQUEST au serveur pour indiquer qu’il acceptel’offre• Le serveur DHCP Concerné répond définitivement par un DHCPACK qui constitueune confirmation du bail. Ladresse du client est alors marquée comme utilisée etne sera plus proposée à un autre client pour toute la durée du bail.64
  33. 33. 31/03/201133Serveur DHCP• Le serveur DHCP maintient une plage d‘@ à distribuer à ses clients.Il tient à jour une BD des @ déjà utilisées et utilisées il y a peu(c.a.d que lon récupère souvent la même @, le DHCP ayant horreurdes changements )• Lorsquil attribue une adresse, il le fait par lintermédiaire dun bail.Ce bail a normalement une durée limitée• Après expiration du bail, ou résiliation par le client, les informationsconcernant ce bail restent mémorisées dans la BD du serveurpendant un certain temps. Bien que ladresse IP soit disponible, ellene sera pas attribuée en priorité à une autre machine. Cest ce quiexplique que lon retrouve souvent la même adresse dune sessionà lautre.65Détails sur le bail• Dans le bail, il y a non seulement une @ IP pour le client,avec une durée de validité, mais également dautresinformations de configuration comme:– L‘@ dun ou de plusieurs DNS (Résolution de noms)– L‘@ de la passerelle par défaut– L‘@ du serveur DHCP• le client peut renouveler le bail, en sadressantdirectement au serveur qui le lui a attribué. Il ny auraalors quun DHCPREQUEST et un DHCPACK.66
  34. 34. 31/03/201134Avantages• Lavantage de DHCP réside essentiellement dansla souplesse de configuration des hôtes :– allocation dynamique des adresses avec réductiondes risques de conflit– définition dun nombre important de paramètres(masque de SR, passerelle par défaut...)– possibilité davoir plus dhôtes que dadresses.67Inconvénients• Sur un réseau constitué de plusieurs SR, interconnecté par desrouteurs, DHCP présente une limitation dutilisation. Lemécanisme de fonctionnement utilise des broadcasts qui nepassent pas les routeurs.• Puisque requête de diffusion ne passe pas par un routeur, unclient DHCP ne pourra pas recevoir dadresse DHCP dunserveur situé derrière un routeur.• Dans ce cas:– installer un serveur DHCP par SR– installer un agent relais DHCP. Un agent relais DHCP présent sur leréseau du poste client peut transmettre la requête au(x) serveur(s)DHCP68
  35. 35. 31/03/201135Accès à distance Telnet• Protocole très utilisé pour l’accés à distance (tests d’application réparties,tests de fonctionnement en mode manuel des protocoles HTTP, SMTP,..)• Permet de se connecter à une machine distante• Accès à distance Telnet:– Le client Telnet transmet les caractères entrés sur le terminal local vers le serveurdistant– Le fonctionnement est bidirectionnel: on supporte le même échange dans les 2sens– Ex: Client Telnet :• Telnet <site distant> <port>Telnet 192.168.19.100 23 commande permet la création d’une connexionTCP avec le serveur de la machine distanteLe serveur Telnet: Le serveur s’exécute sur la machine distante sinon le service n’estpas disponible69TCPIPClient TelnetTCPIPServeur TelnetSNMP(Simple Network Management Protocol)SNMP permet de:Visualiser une quantité impressionnanted’informations concernant le matériel, lesconnexions réseau, leur état de charge.Modifier le paramétrage de certains composants.Alerter l’administrateur en cas d’événementgrave.70
  36. 36. 31/03/201136Le concept SNMP• Protocole dadministration de machinesupportant TCP/IP– Conçu en 87-88 par des administrateursde réseau• Permet de répondre à un grandnombre de besoins :– disposer dune cartographie du réseau– fournir un inventaire précis de chaquemachine– mesurer la consommation duneapplication– signaler les dysfonctionnements• Avantages :– protocole très simple, facile dutilisation– permet une gestion à distance desdifférentes machines– le modèle fonctionnel pour lasurveillance et pour la– gestion est extensible– indépendant de larchitecture desmachines administrées71Le Modèle SNMP• Lutilisation de SNMP suppose que tous les agents etles stations dadministration supportent IP et UDP.– Ceci limite ladministration de certains périphériques quine supportent pas la pile TCP/IP. De plus, certainesmachines (ordinateur personnel, station de travail,contrôleur programmable, ... qui implantent TCP/IP poursupporter leurs applications, mais qui ne souhaitent pasajouter un agent SNMP.=> utilisation de la gestion mandataire (les proxies)• Un protocole activé par une API permet lasupervision, le contrôle et la modification desparamètres des éléments du réseau.72
  37. 37. 31/03/201137Le modèle SNMP• Une administration SNMP est composée de trois types déléments:– La station de supervision (appelée aussi manager) exécute les applications degestion qui contrôlent les éléments réseaux. Physiquement, la station estun poste de travail. Station de gestion capable d’interpreter les données– La MIB (Management Information Base) est une collection dobjets résidantdans une base dinformation virtuelle. Ces collections dobjets sont définiesdans des modules MIB spécifiques.– Le protocole, qui permet à la station de supervision daller chercher lesinformations sur les éléments de réseaux et de recevoir des alertesprovenant de ces mêmes éléments.7374
  38. 38. 31/03/201138Les types de requêtes:• 4 types de requêtes: GetRequest, GetNextRequest, GetBulk,SetRequest.– La requête GetRequest permet la recherche dune variable sur un agent.– La requête GetNextRequest permet la recherche de la variable suivante.– La requête GetBulk permet la recherche dun ensemble de variables regroupées.– La requête SetRequest permet de changer la valeur dune variable sur un agent.• Les réponses de SNMPÀ la suite de requêtes, lagent répond toujours par GetResponse. Toutefois si lavariable demandée nest pas disponible, le GetResponse sera accompagné duneerreur noSuchObject.• Les alertes (Traps, Notifications)Les alertes sont envoyées quand un événement non attendu se produit surlagent. Celui-ci en informe la station de supervision via une trap. Les alertespossibles sont: ColdStart, WarmStart, LinkDown, LinkUp, AuthentificationFailure.75Les commandes SNMP76• Les commandes get-request, get-next-request et set-request sont toutes émisespar le manager à destination dun agent et attendent toutes une réponse get -response de la part de lagent.• La commande trap est une alerte. Elle est toujours émise par lagent àdestination du manager, et nattend pas de réponse.
  39. 39. 31/03/201139MIB• La MIB (Management Information base) est la base de données desinformations de gestion maintenue par lagent, auprès de laquellele manager doit s’informer.• 2 MIB publics ont été normalisées: MIB I et MIB II• Un fichier MIB est un document texte écrit en langage ASN.1(Abstract Syntax Notation 1) qui décrit les variables, les tables et lesalarmes gérées au sein dune MIB.• La MIB est une structure arborescente dont chaque nœud estdéfini par un nombre ou OID (Object Identifier).Elle contient une partie commune à tous les agents SNMP dunmême type de matériel et une partie spécifique à chaqueconstructeur. Chaque équipement à superviser possède sa propreMIB.77Structure de la MIB78
  40. 40. 31/03/201140La MIB (Management Information Base)• MIB = Collection structurée d’objets– chaque noeud dans le système doitmaintenir une MIB qui reflète létat desressources gérées– une entité dadministration peut accéderaux ressources du noeud en lisant lesvaleurs de lobjet et en les modifiant.79L’arborescence MIB:Les informations stockées dans la MIBsont rangées dans une arborescence. MIBdispose dobjets supplémentaires.Elle constitue une branche du groupeiso.org.dod.internet.mgmt.Groupe Commentairessystem Informations générales sur le système.interfaces Informations sur les interfaces entre le systèmes et les sous-réseaux.at Table de traduction des adresses entre internet et les sous-réseaux.ipInformations relatives à limplantation et à léxécution dIP (InternetProtocol).icmpInformations relatives à limplantation et à léxécution de ICMP(Internet Control Message Protocol).tcpInformations relatives à limplantation et à léxécution de TCP(Transmission Control Protocol).udpInformations relatives à limplantation et à léxécution de UDP (UserDatagram Protocol).egpInformations relatives à limplantation et à léxécution de EGP(Exterior Gateway Protocol).transmissionInformations sur la transmission et sur les protocoles utilisés parchaque interface.snmp Informations relatives à limplantation et à léxécution de SNMP.80
  41. 41. 31/03/201141Object identifier• Les variables de la MIB-2 sont identifiées par le chemindans larborescence, noté de deux façons:• à laide des noms de groupes : iso.org.dod• à laide des numéros des groupes: 1.3.6.• Les identifiants sont définis à laide du langage SMI. Ex:Définition SMINotation par"point"Notation par nommgmt OBJECT IDENTIFIER ::= { internet2 }1.3.6.1.2 iso.org.dod.internet.mgmtmib OBJECT IDENTIFIER ::= { mgmt 1 } 1.3.6.1.2.1 iso.org.dod.internet.mgmt.mibinterfaces OBJECT IDENTIFIER ::= { mib2 }1.3.6.1.2.1.2iso.org.dod.internet.mgmt.mib.interface81Ex: On utilisera lOID (Object Identification) qui désigne lemplacement de la variable àconsulter dans la MIB. On aura par ex. sur un commutateur Nortel Passport lOID.1.3.6.1.4.1.2272.1.1.20 désignant le taux de charge du CPU.Fonctions assuréesPrimitives DescriptionsGetRequest le manager demande une information à lagentGetNextRequest le manager demande linformation suivante à lagentSetRequest le manager initialise une variable de lagentGetResponse lagent retourne linformation à l’administrateurTrap interruption - lagent envoie une information à l’administrateur82
  42. 42. 31/03/20114283La sécurité des réseaux84
  43. 43. 31/03/201143Introduction à la sécurité• La sécurité dun réseau est un niveau de garantie quelensemble des machines du réseau fonctionnent defaçon optimale et que les utilisateurs possèdentuniquement les droits qui leur ont été octroyés• Il peut sagir :– dempêcher des personnes non autorisées dagir sur le systèmede façon malveillante– dempêcher les utilisateurs deffectuer des opérationsinvolontaires capables de nuire au système– de sécuriser les données en prévoyant les pannes– de garantir la non-interruption dun service85Les causes d’insécurité• On distingue généralement deux types dinsécurité:– létat actif dinsécurité: la non-connaissance parlutilisateur des fonctionnalités du système, dontcertaines pouvant lui être nuisibles (ex: la non-désactivation de services réseaux non nécessaires àlutilisateur), ou lorsque ladministrateur (oulutilisateur) dun système ne connaît pas les dispositifsde sécurité dont il dispose– létat passif dinsécurité86
  44. 44. 31/03/201144Menaces de sécurité• Attaques passives:• Capture de contenu de message et analyse de trafic• écoutes indiscrètes ou surveillance de transmission• Attaques actives:• Mascarade,• modifications des données,• déni de service pour empêcher l’utilisation normale ou la gestionde fonctionnalités de communication87Le but des agresseurs• Les motivations des agresseurs que lon appelle "pirates" peuventêtre multiples :– lattirance de linterdit– le désir dargent (ex: violer un système bancaire)– le besoin de renommée (impressionner des amis)– lenvie de nuire (détruire des données, empêcher un système de fonctionner)• Le but des agresseurs est souvent de prendre le contrôle dunemachine afin de pouvoir réaliser les actions quils désirent. Pour cela ilexiste différents types de moyens :– lobtention dinformations utiles pour effectuer des attaques– utiliser les failles dun système– lutilisation de la force pour casser un système88
  45. 45. 31/03/201145Le Hacking (attaques)• C’est l’ensemble des techniques visant à attaquer un réseau un siteou un équipement• Les attaques sont divers on y trouve:– L’envoie de bombe logiciel, chevaux de Troie– La recherche de trou de sécurité– Détournement d’identité– Les changements des droits d’accès d’un utilisateur d’un PC– Provocation des erreurs• Les buts d’un Hacker:– La vérification de la sécurisation d’un système– La vol d’informations, terrorisme (Virus), espionnage– Jeux; pour apprendre• Les attaques et les méthodes utilisées peuvent être offensives ou passives:– Les attaques passives consistent à écouter une ligne de communication et à interpréter lesdonnées qu’ils interceptent et Les attaques offensives peuvent être regrouper en :– Les attaques directes: c’est le plus simple des attaques, le Hacker attaque directement sa victime àpartir de son ordinateur. Dans ce type d’attaque, il y a possibilité de pouvoir remonter à l’origine del’attaque et à identifier l’identité du Hacker– Les attaques indirectes (par ruban): passif, cette attaque présente 2 avantages:– Masquer l’identité (@ IP du Hacker)– Éventuellement utiliser les ressources du PC intermédiaire89Les Menaces: Contexte général90
  46. 46. 31/03/201146Attaques,services et mécanismes• L’administrateur doit tenir compte des 3 aspects de lasécurité de l’information:– Service de sécurité: pour contrer les attaques de sécurité etaméliorer la sécurité des SI– Mécanisme de sécurité: pour détecter, prévenir ou rattraper uneattaque de sécurité• Usage des techniques cryptographiques– Protéger contre Attaque de sécurité: une action qui compromet lasécurité de l’information possédé par une organisation• Obtenir un accès non-autorisé, modifier,91Les menaces92
  47. 47. 31/03/20114793Même le site de CIA a été attaqué …!94Même …..
  48. 48. 31/03/20114895Problèmes de sécurité• Les problèmes de sécurité des réseaux peuvent êtreclassés en 4 catégories:– La confidentialité: seuls les utilisateurs autorisés peuventaccéder à l’information– Contrôle d’intégrité: comment être sûr que le message reçuest bien celui qui a été envoyé (celui-ci n’a pas été altéré etmodifié)– L’authentification: avoir la certitude que l’entité avec laquelleon dialogue est bien celle que l’on croit– Non-répudiation: concerne les signatures96
  49. 49. 31/03/201149Objectifs de la sécurité• Identification indique qui vous prétendez être (username)• Authentification valide l’identité prétendue (password)• Autorisation détermine les actions et ressourcesauxquelles un utilisateur identifié et autorisé a accès• Non-répudiation garantie qu’un message a bien étéenvoyé par un émetteur authentifié• Traçabilité permet de retrouver les opérations réaliséessur les ressources (logs)97Les services de sécurité– Confidentialité des messages transmis: est la protection contre lesattaques passives– Authentification des interlocuteurs: pour assurer que ledestinataire reçoive le msg d’origine émis par la source– Intégrité et non répudiation des messages: assure que lesmessages envoyés seront aussitôt reçus sans duplication nimodification– Non-répudiation: empêche tant l’expéditeur que le receveur denier avoir transmis un message. Ainsi que le message envoyé a étébien reçu– Disponibilité et contrôle d’accès (les personnes doivent pouvoirs’échanger des messages): est la faculté de limiter et de contrôlerl’accès aux systèmes et aux applications (droits d’accès)98
  50. 50. 31/03/201150• confidentialité : Protection de l’information d’une divulgation nonautorisée• lintégrité : Protection contre la modification non autorisée del’information• Disponibilité : S’assurer que les ressources sont accessibles que parles utilisateurs légitimes• Authentification– Authentification des entités (entity authentication) procédé permettant à uneentité d’être sûre de l’identité d’une seconde entité à l’appui d’une évidencecorroborante (certifiant, ex.: présence physique, cryptographique, biométrique,etc.). Le terme identification est parfois utilisé pour désigner également ceservice.– Authentification de l’origine des données (data origine authentication) procédépermettant à une entité d’être sûre qu’une deuxième entité est la sourceoriginal d’un ensemble de données. Par définition, ce service assure égalementl’intégrité de ces données.• non-répudiation: Offre la garantie qu’une entité ne pourra pas nierêtre impliquée dans une transaction• Non-Duplication: Protection contre les copie illicites99Dangers et AttaquesServices Dangers AttaquesConfidentialité fuite d’informations masquerade, écoutesillicites, analyse du traficIntégrité modification del’informationcréation, altération oudestruction illiciteDisponibilité denial of service,usage illicitevirus, accès répétés visant àinutiliser un systèmeAuth. d’entités accès non autorisés masquerade, vol de mot depasse, faille dans leprotocole d’auth.Auth. dedonnéesfalsificationd’informationsfalsification de signature,faille dans le protocoled’auth.Non-répudiation nier la participation àune transactionprétendre un vol de clé ouune faille dans le protocolede signatureNon-duplication duplication falsification, imitation100
  51. 51. 31/03/201151Services Mécanismes classiques Mécanismes digitauxConfidentialité scellés, coffre-forts,cadenascryptage, autorisationlogiqueIntégrité encre spéciale,hologrammesfonctions à sens unique +cryptageDisponibilité contrôle d’accès physique,surveillance vidéocontrôle d’accès logique,audit, anti-virusAuth. d’entités présence, voix, pièced’identité, reconnaissancebiométriquesecret + protocole d’auth.,adresse réseau + useridcarte à puce + PINAuth. dedonnéessceaux, signature, empreintedigitalefonctions à sens unique +cryptageNon-répudiationsceaux, signature, signaturenotariale, envoirecommandéfonctions à sens unique +cryptage + signature digitaleNon-duplicationencre spéciale,hologrammes, tatouagetatouage digital(watermarks), verrouillagecryptographique 101Mécanismes de protectionProblématique: Authentification102But: Bob veut prouver son identité à Alice rencontre physique : son apparence au téléphone : sa voie à la douane : son passeport Intégrité des messages Signatures électroniques
  52. 52. 31/03/201152Cryptographie:La science du secret !!103Cryptographie• Définition– Science du chiffrement– Meilleur moyen de protéger une information = la rendre illisible ouincompréhensible• Bases– Une clé = chaîne de nombres binaires (0 et 1)– Un Algorithme = fonction mathématique qui va combiner la clé et letexte à crypter pour rendre ce texte illisible104
  53. 53. 31/03/201153Encryption Process105Quelques définitions• Cryptage: permet l’encodage des informations. Ilinterdit la lecture d’informations par des personnesnon autorisées• On distingue 2 procédés de cryptage:– Procédés de transposition, qui modifie la succession descaractères à l’aide d’un algorithme.– Procédés de substitution, qui remplace les caractèresd’origine par d’autres prélevés dans une liste– Règle ou clé de cryptage s’appelle Code– Ex: PGP (Pretty Good Privacy): progr. Destiné au cryptagedes messages électroniques (conçu par PhilipZimmermann 1991)• Cryptanalyse: analyse de données cryptées106
  54. 54. 31/03/201154Application de la cryptographie• Commerce électronique• Protection de la confidentialité de correspondance• Protection des bases de données contre les intrusionset la dé vulgarisation à des tiers non autorisés• Transmission sécurisée des données sensibles à traversles réseaux internationauxPreuve informatique: Identification et authentification107Cryptographie• Ensemble de processus de cryptage visant à protéger lesdonnées contre l’accès non autorisés• Repose sur l’emploi des formules mathématiques et desalgorithmes complexes afin de coder l’information• Il existe 2 systèmes de cryptographie:– Les systèmes symétriques: la même clé utilisé pour coder etdécoder (DES: Data Encryption standard))– Les systèmes asymétriques: la clé qui sert à coder est différentede celle qui peut déchiffrer (RSA:Rivest Shamir Adelmann 77)108
  55. 55. 31/03/201155Principe de cryptage• Tout système de cryptage est composé d’unalgorithme de codage• La Crypt. nécessite 2 fonctions essentielles:– Le message M est crypté par une fonction de cryptageE(M)=C– Le cryptogramme C est décrypté par le destinatairepar une fonction de décryptage D(C)=D(E(M)) = M109Système de chiffrement• Définition: Un système de chiffrement ou crypto système est un 5-tuple (P,C,K,e,D) ayant les propriétés suivantes:– 1. P est un ensemble appelé l’espace des messages en clair. Unélément de P s’appelle message en clair (Plaintext)– 2. C est un ensemble appelé l’espace des messages chiffrés. Unélément de C s’appelle un message chiffré ou cryptogramme(cyphertext)– 3. K est un ensemble appelé l’espace des clés, ses éléments sontles clés.– 4. e={ek : k Є K } est une famille de fonctions:• ek : P  C, ses éléments sont les fonctions de chiffrement– 5. D={Dk : k Є K } est une famille de fonctions• Dk : C  P, ses éléments sont les fonctions de déchiffrement– 6. A chaque clé e Є K est associé une clé d Є K/• D d (ee(p))=p pour tout message p Є P110
  56. 56. 31/03/201156• Alice utilise un système de chiffrement pour envoyer un messageconfidentiel m à Bob. Elle utilise la clé de chiffrement e et Bob utilisela clé de déchiffrement d qui lui correspond.• Alice calcule C= Ee(m) et l’envoie à Bob qui reconstitue m=Dd(C), en gardant la clé de chiffrement secrète– Ex: l’alphabet: A B C … Z et 0 1 2 … 25– Correspondance entre lettres et nombres, la fonction dechiffrement Ee associé à e Є Z26 est:• Ee: x  (x+e) mod 26• Dd: x  (x-d) mod 26 lorsque d=e cryptage symétrique.– Exemple: En appliquant le chiffre de César, au motCRYPTOGRAPHIE, la clé e = 5, fournit le cryptogrammesuivant : HWDUYTLWFUMNJ qui est facile à casser.111CryptographieChiffrement Symétrique• Les Algorithmes utilisant ce système :– DES (Data Encryption Standard, très répandu) : les données sontdécoupées en blocs de 64 bits et codées grâce à la clé secrète de 56bits propre à un couple d’utilisateurs– IDEA, RC2, RC4• Avantage :– Rapide• Inconvénients :– Il faut autant de paires de clés que de couples de correspondants– La non-répudiation n’est pas assurée. Mon correspondant possédantla même clé que moi, il peut fabriquer un message en usurpant monidentité– Transmission de clé112
  57. 57. 31/03/201157Ex. de Chiffrement à clé symétrique• Encryptage par substitution– Époque romaine (Code de César)• Texte en clair : abcdefghijklmnopqrstuvwxyz• Texte crypté : mnbvcxzasdfghjklpoiuytrewq113Exemple :Texte en clair: bob. i meat you. aliceTexte crypté: nkn. s hcmu wky. mgsbcDifficulté ?1026 combinaisons possibles.... mais par lutilisation de règlesstatistiqueson trouve facilement la clé ...... naissance il y a 500 ans du chiffrement polyalphabétiqueAlgorithmes de cryptographie• Par substitution– On change les lettres suivantune règle précise (ex: A → D laclé est : 3)• Par Transposition– La position des caractères estmodifiée. Pour crypter unmessage on l’écrit en colonnede taille fixe et on lit lescolonnes– Ex: Nombre de colonne ici 6– Texte crypté:TRLFAOREFMDSNZOCAZIASPZTNU..B R I Q U E S1 5 3 4 7 2 6T R A N S F ER E Z U N M IL L I O N D EF R A N C S DA N S M O N CO M P T E Z ER O Z E R O SE P T A B C D114
  58. 58. 31/03/201158Table de Vigenère115Exemple116C R Y P T O G R A P H I EM A T M A T M A T M A T MO ? ? ? ? ? ? ? ? ? ? ? ?
  59. 59. 31/03/201159Chiffrement de Vigenère• Le chiffre de Vigenère est la première méthode de chiffrementpoly alphabétique, cest à dire qui combine deux alphabets pourcrypter une même lettre.• Ce chiffrement introduit la notion de clé, qui se présentegénéralement sous la forme dun mot ou dune phrase. Pourpouvoir chiffrer notre texte, à chaque caractère nous utilisonsune lettre de la clé pour effectuer la substitution• Mathématiquement, on considère que les lettres de lalphabetsont numérotées de 0 à 25 (A=0, B=1 ...). La transformation lettrepar lettre se formalise simplement par :– Chiffré = (Texte + Clé) mod 26117Chiffrement à clé symétrique: DES• Data Encryption Standard (1977 par IBM)• Principe :– découpe le message en clair en morceau de64 bits auxquelles on applique unetransposition– clé de 64 bits (56 bits de clé + 8 bits de paritéimpaire)• Difficulté et limites?– concours organisé par RSA Data Security1997 : 4 mois pour casser le code DES 56 bits enbrute force par des amateurs1999 : 22 h pour casser DESIII• solution pour le rendre plus sur .... Passerlalgorithme DES plusieurs fois sur le messageavec à chaque fois des clés différentes (ex : 3DES)118
  60. 60. 31/03/201160Schéma de 3DES:119La solution a été dansladoption du triple DES:trois applications de DES à la suiteavec 2 clés différentes(doù une clé de 112 bits)DES (IBM 77)• Data Encryption Standard• Principe :– découpe le message en clair enmorceau de 64 bits auxquelles onapplique une transposition– clé de 64 bits (56 bits de clé+8 bitsde parité impaire)120La recherche exhaustive sur 56 bits(256) est maintenant réaliste.Mars 2007 : 6:4 j, COPACOBANA(utilisation de FPGA) par l’universitéde Bochum et Kiel (coût 10 000 $)
  61. 61. 31/03/201161CryptographieChiffrement Asymétrique• Algorithmes utilisant ce système :– RSA (Rivest, Shamir, Adelman)– DSA– El-Gamal– Diffie-Helmann• Avantage :– pas besoin de se transmettre les clés au départ par un autrevecteur de transmission.• Inconvénient :– Lenteur121Algorithme RSA122• Développé par: Ron Rivest, Adi Shamir et Leonard Adlemanen 1977 repose sur des fonctions mathématiqueLe RSA est un système qui reposeintégralement sur la difficulté de factoriserde grands nombres entiers (au moins 100 chiffres actuellement).
  62. 62. 31/03/201162Cryptographie à clé publique: RSA• Ron Rivest, Adi Shamir et Leonard Adleman (Développé en 1977repose sur des fonctions math. De puissance et exponentiellesappliqués aux grands nombres)• Algorithme de sélection des clés :– 1) Sélection de 2 grands nombres premiers p et q (1024 bit par ex)– 2) Calculer n=pq et z=(p-1)(q-1)– 3) Choisir un e (e<n) qui na pas de facteur commun avec z. (e et zpremier entre eux)– 4) Trouver un d tel que ed-1 est exactement divisible par z (edmod z =1)– 5) Clé public est : (n,e) Clé privé est : (n,d)123Ex: RSA, chiffrement, déchiffrement• 1) Clé public est : (n,e) Clé privé est : (n,d)• 2) Alice veut envoyer un nombre m à Bob : c = me mod n• 3) Bob reçoit le message c et calcule : m = cd mod n• Exemple :• p = 5, q = 7 donc n = 35 et z = 24• Bob choisit e = 5 et d = 29• ALICE : (chiffrement) m = 12 me=248832 et c = me mod n = 17• BOB : (déchiffrement) c = 17 , m = cd mod n = 12• Clé public est : (35, 5)• Clé privé est : (35, 29)124
  63. 63. 31/03/201163Logiciel de chiffrement PGP• PGP (Pretty Good Privacy) étaitconsidéré aux USA, comme unearme et interdit à lexportation• Lalgorithme utilisé par PGP, leRSA, permet de chiffrer desinformations de manièretellement efficace quaucungouvernement nest en mesureden lire le contenu.• Comme toute invention"dangereuse", incontrôlable etsusceptible dêtre utiliséecontre la mère-patrie, legouvernement américain en ainterdit lexportation et a classéPGP et le RSA dans la catégorie"armes".• Le code est écrit en Perl125• Cette restriction à lexportation de la cryptographie a eudiverses conséquences:– Pendant longtemps, les navigateurs tels quInternet Explorer ontété limités à 40 bits pour tous les "étrangers". Seuls lesaméricains pouvaient télécharger la version 128 bits.– Si on ajoute à cela que lalgorithme RSA était breveté jusquenseptembre 2000, il nen a pas fallu plus aux internautes pourcréer GPG (Gnu Privacy Guard), un logiciel compatible avec PGPet utilisant Diffie-Hellman à la place de RSA, et hors de contrôledu gouvernement américain puisque créé en Europe.126
  64. 64. 31/03/201164How PGP encryption works?127How PGP decryption works?128
  65. 65. 31/03/201165Chiffrement du message avec PGP129- Il génère lui même une clé aléatoire (c’est la clé desession).- Il chiffre le message avec la clé de session selon unalgorithme à clé privé (DES par exemple)- Il chiffre la clé de session grâce à l’algorithme à clépublique (RSA par exemple) avec la clé publique dudestinataire.-Il assemble message chiffré et clé chiffrée en un messageprêt à l’expédition.-..MM-sécuritéTDLe logiciel PGP.htm130Algorithme de chiffrement asymétrique:Diffie HellmanAlgorithme de sécurisation des échanges des clésApparition suite au problème de l’échange des clés de lacryptographie symétrique (coursier malhonnête)Alice veut transmettre une clé à Bob pour pouvoir échanger undocument confidentielAlice chiffre une clé par une autre clé gardée secrèteAlice envoie la clé chiffrée à BobBob surchiffre la clé chiffrée avec sa clé secrète puis la transmetà AliceAlice opère alors un déchiffrement de sa partie du chiffrement dela clé et l’envoie a BobBob déchiffre la clé chiffrée avec sa clé secrèteIls disposent ainsi tous les deux d’une clé qui n’a àaucun moment circulé en clair
  66. 66. 31/03/201166131Ex. d’Algorithme de Diffie Hellman132Algorithme de HachageUsages de l’algorithme de hachageAlice veut transmettre un document à Bob en lui garantissantson intégritéAlice calcule l’empreinte de son fichier et l’envoiesimultanément avec le documentBob recalcule l’empreinte du document et la compare àcelle que lui a envoyé AliceS’ils ne sont pas exacts c’est que Ève a intercepté ledocument et l’a changéNotons que le document échangé n’est pas chiffréÈve peut prendre connaissance de son contenu
  67. 67. 31/03/201167AuthentificationDéfinition• La personne à qui jenvoie un message crypté est-elle biencelle à laquelle je pense ?• La personne qui menvoie un message crypté est-elle biencelle à qui je pense ?133AuthentificationTechnique d’Identification• Prouveur– Celui qui s’identifie, qui prétend être…• Vérifieur– Fournisseur du service• Challenge– Le Vérifieur va lancer un challenge au prouveur que ce dernier doitréaliser134
  68. 68. 31/03/201168Technique A Clé PubliquePrincipe• Algorithme RSA = Réversible– ((Mess)CPu)CPr = ((Mess)CPr)CPu• Confidentialité• Authentification135Comment savoir que le message n’a pas été altéré ? Fonction de hachagealgorithmes de hachage les plus utilisés:MD5 (128 bits) et SHA (160 bits)Signature électronique (1)136
  69. 69. 31/03/201169Pb du hachage : on n’est pas sûr del’expéditeur Scellement des donnéesSignature électronique (2)137138RécapitulatifCryptographie symétrique répond au besoin de laconfidentialitéDES, 3DES, AES, Blowfish, RC2, RC4, RC5 et DEADiffie-Hellman répond au besoin de la confidentialité del’échange des clefsDiffie Hellman Key ExchangeAlgorithmes de hachage répond au besoin de l’intégritédes documentsMD4, MD5 et SHA1Cryptographie asymétrique répond au besoin de laconfidentialité, authentification et non-répudiationRSA, ElGamal et DSA
  70. 70. 31/03/201170Societé Mondiale del’Information“HACKERS”(Challenge)Criminalité organisée(Outil d’escroquerie)Terrorisme (“Warefare”)(Arme)Espionnage(Outil)Societé Mondiale desIntrusionsIntenet = « Espace Sans Loi » + «Difficulté de retraçage»Impunité 139Les virus• Qu’est ce qu’un virus?– Un petit programme ou un élément dun programme,développés à des fins nuisibles, qui sinstalle secrètement sur desordinateurs et parasite des programmes.• Certains virus, apparus récemment, sont très perfectionnés,qui dans la plupart des cas, exploitent les erreurs commisespar les utilisateurs peu informés ou les failles des logiciels.• Les utilisateurs à domicile ne sont pas les seuls à êtreexposés au danger. Les entreprises et autres organisationspeuvent également être victimes dattaques ciblées, menéespar des cybercriminels qui tirent parti dinformationsdérobées aux employés.• Les traces Les virus infectent des applications, copient leur code dans cesprogrammes. Pour ne pas infecté plusieurs fois le même fichier ilsintègrent dans l’application infectée une signature virale.140
  71. 71. 31/03/201171Qu’est ce qu’un ver• Programme capable de se copier vers un autreemplacement par ses propres moyens ou enemployant dautres applications.• Sert à dégrader les performances du réseau dansune entreprise. Comme un virus, un ver peutcontenir une action nuisible du type destruction dedonnées ou envoi dinformations confidentielles.• Ex: E-mail Worms– un outil de collecte dadresses e-mail dans la machineinfectée et un outil denvoie du courrier électroniques• IRC Worms– zones de chat...,– Ver est classé à "IRC Worm141Exemple : Koobface• Ver informatique découvert en Novembre 2008 par McAfee, qui sévit surle site communautaireFacebook.• Le ver Koobface se propage en envoyant des e-mails aux amis despersonnes dont lordinateur a été infecté, si l’utilisateur a la malheureuseidée de télécharger le programme, son ordinateur va être infecté etdirigera ses utilisateurs sur des sites contaminés lors de recherches surGoogle, Yahoo ou encore MSN.• Il serait également capable de dérober des informations de naturepersonnelle comme un numéro de carte de crédit.• Une réaction officielle par la voix de Barry Schnitt, porte-parole deFacebook a communiqué que : "quelques autres virus ont tenté de seservir de Facebook de manière similaire pour se propager mais jamaisaussi important",• Concernant la sécurité des informations personnelles de plus de 200millions de personnes, une enquête au sein du FBI a été mise en place.142
  72. 72. 31/03/201172Les bombes logiques• Les bombes logiques sont programméespour sactiver quand survient un événementprécis.• De façon générale, les bombes logiquesvisent à faire le plus de dégât possible sur lesystème en un minimum de temps.143« Keylogger »:• Un Keylogger est un programme parasite qui sepropage souvent grâce à des virus, vers ou spywares.• Sa principale fonction est despionner toutes lesactions effectuées sur votre ordinateur (saisie auclavier, ouverture dapplications, déplacement defichiers...).• Les traces de ces actions sont stockées dans unemplacement précis puis envoyées vers une boîte auxlettres ou sur un site web. Certaines de vos donnéesles plus confidentielles peuvent ainsi vous êtresoutirées à linsu de votre plein gré.144
  73. 73. 31/03/201173Comment s’en protéger …??• La plupart des keyloggerssont maintenant reconnuspar les logiciels antivirus, àcondition que ceux-ci soientcorrectement mis à jour.• Certains keyloggers sont parcontre identifiés commespywares; le recours à unlogiciel antispyware est doncnécessaire.145Spyware Les logiciels espions (spyware) : ils sont souventcachés dans certains graticiels (freeware, maispas dans les logiciels libres), partagiciels(shareware) et pilotes de périphériques, poursinstaller discrètement afin de collecter etenvoyer des informations personnelles à destiers. Ex: GATOR, appelé aussi GAIN (Gator Advertisingand Information Network) est un type despyware qui fournit loption de se rappeler lenom de l’utilisateur et les mots de passe. Soyez donc vigilants, Il peut aussi se présentersous la forme dune fenêtre dinstallation dePlug-in sous Internet Explorer. Dans ce cas,refusez catégoriquement... de logiciels connus pour embarquer un ouplusieurs spywares : Babylon Translator,GetRight, Go!Zilla, Download Accelerator, CuteFTP, PKZip, KaZaA ou encore iMesh.146
  74. 74. 31/03/201174Phishing• Appelé aussi lhameçonnage peut se faire par courrier électronique, pardes sites Web falsifiés ou autres moyens électroniques• C’est une technique utilisée par des fraudeurs pour obtenir desrenseignements personnels• consiste à faire croire à la victime quelle sadresse à un tiers de confiance(ex: banque, administration, etc.) afin de lui soutirer des renseignementspersonnels : mot de passe, numéro de carte de crédit, date de naissance, etc.• forme dattaque informatique reposant sur lingénierie sociale147Phishing• Tout commence par la réceptiondun mail. Vous recevez de votrebanque, de votre fournisseurdaccès ou dun cyber marchant unmessage de forme tout à faithabituelle (avec le logo et lescouleurs de lentreprise) vousinformant quun regrettableincident technique a effacé voscoordonnées.• Vous êtes invité à cliquer sur unlien vous menant au site delentreprise en question pourressaisir soit votre numéro de cartebleue, vos identifiants et mot depasse de connexion. Vous êtes enconfiance et suivez attentivementles consignes…148
  75. 75. 31/03/201175phishing = spam + mail spoofing + social engineering + URLspoofing +…..• La pratique du phishing consiste à attirerlinternaute à l’aide de-mails nonsollicités (Spam) comme envoyésdadresses officielles (mail_spoofing),incitant la victime, à cliquer sur un lienproposé dans le message.• Ce lien est en réalité malicieux et conçupour usurper une destination deconfiance (URL_spoofing),• Ce qui a pour conséquence de conduirel’internaute sur un site Web visuellementidentique au site officiel mais dont lavéritable adresse est dissimulée aux yeuxde l’internaute victime. 149Les étapes de sécurité150Prendre des mesures
  76. 76. 31/03/201176Comment se protéger?• Pare-feu• Mises à jour de votre PC• Logiciels: anti-virus, anti-spyware, anti-spam,..151Stratégies• Approche locale– Poste client• Approche globale– Poste serveur• Ces deux solutions sont complémentaires etdoivent faire appel à des moteurs antiviraux defournisseurs différents152
  77. 77. 31/03/201177Approche antivirale locale/globale• Mise à jour de la table de définitions de virussur chaque poste client• Solution automatique ou manuelle153ServeurantivirusEn cas de mise à jour,Notification aux clients présentsRequête de mise à jour planifiéePuis téléchargement des mises à jourInterrogation du serveurà chaque démarrage des clientsTéléchargement des mises à jour(localement)Les attaques: imitation malicieuse• Tout équipement connecté à un réseau injecte desdatagrammes IP– @ IP de lexpéditeur + données de couche supérieure• Si lutilisateur peut intervenir sur les logiciels ou sonsystème dexploitation il peut inscrire une @ IP factice(IP spoofing)– permet au pirate responsable de DoS de dissimuler leuridentité car il est très difficile de remonter à la source dundatagramme portant une fausse @ IP• Contre-Mesure : (ingress filtering)– les routeurs vérifient si l@ IP des paquets entrant font partiedes @ IP accessibles via cette interface.154
  78. 78. 31/03/201178Les attaques: Les DOS• Denial Of Service (DoS)– rend un réseau, un hôte ou autre inutilisable pour ses utilisateurslégitimes.– basé sur la production dun volume de données supérieur à lacapacité de traitement de lentité ciblée. exemple :• SYN flooding avec des @ IP factices : accumulation dun gd nb deconnexions partiellement ouvertes• envoie de fragments IP sans les fragments de terminaison• attaque smurf : envoie de paquets de requête déchos ICMP en masse• Distributed Denial of Service (DDos)– Le pirate obtient un grand nombre de comptes utilisateurs(sniffing ou brute force)– Il installe et exécute un logiciel esclave au niveau de chaque hôtequi attend les ordres en provenance dun logiciel maître– Puis le pirate ordonne à tous ses logiciels esclaves de lancer uneattaque DoS contre le même hôte ciblé 155Les outils156WorkstationVia EmailFile ServerWorkstationMail ServerInternetWeb ServerVia Web PageWorkstationWeb ServerMail GatewayAnti VirusFirewallIntrusion DetectionVulnerability Management
  79. 79. 31/03/201179Ex: Serveur Symantec Client Security• Un serveur Symantec Client Security peut envoyer des mises àjour de configuration et des fichiers de définitions de virus àdes clients• SymantecClient security protége les ordinateurs sur lesquels ils’exécute• Le programme client Symantec Client Security fournit uneprotection antivirus, pare-feu et contre les intrusions auxordinateurs réseau et autonomes• Alert Management System2 (AMS2). AMS2 assure la gestiondes urgences et prend en charge les alertes issues de serveurset des postes de travail157Firewall• Le pare-feu est un système permettant de filtrerles paquets de données échangés avec le réseau,il sagit ainsi dune passerelle filtrantecomportant au minimum les interfaces réseausuivante :– une interface pour le réseau à protéger(réseau interne)– une interface pour le réseau externe• Un système pare-feu contient un ensemble derègles prédéfinies permettant :– Dautoriser la connexion (allow)– De bloquer la connexion (deny)– De rejeter la demande de connexion sansavertir lémetteur (drop).158
  80. 80. 31/03/201180Contrôle d’accès: Les pare-feux• Un pare-feu isole le réseau de l’organisation du reste del’Internet en laissant pénétrer certains paquets et enbloquant d’autres• Il existe 2 types de pare-feux:– Filtrage simple des paquets (Ex: liste ACL)– Filtrage applicatif (niv. Application)159Rôle du pare-feux• Les firewall protègent les installations informatiques desintrusions• surveille (autoriser/denier) les communications dun PC versInternet et vice versa• Prévenir les attaques du type Denial Of Service– Inondation des messages SYN avec des @IP d’origine factices, quiparalyse l’hôte. Les tampons de l’hôte sont remplis de messagesfactices, ce qui ne laissent plus de place pour les vrais messages– Prévenir les modifications de données internesEx: changer la page Web de l’entreprise– Empêcher les pirates d’accéder à des données sensibles,– Analyser, bloquer ou autoriser les communications via les ports UDP etTCP160
  81. 81. 31/03/201181Filtrage de paquets• Le réseau interne est équipé d’une passerelle le reliant àson FAI. On se faire le filtrage des paquets• Filtrage basé sur l’étude des en-tête de paquet– @ IP d’origine et de destination– Des types des messages ICMP– Des datagrammes de connexion et d’inintialisation utilisant lesbits TCP SYN ou Ack– Ex/ filtre les segments UDP et les connexions Telnet (segmentTCP avec Port 23). Évite toute intrusion étrangère via unesession Telnet.• Mise en place dune passerelle dapplication (gateway)Serveur spécifique aux applications que toutes lesdonnées dapplications doivent traverser avant dequitter ou dentrer dans le réseau161Filtrage applicatif• Appelé aussi « passerelle applicative » ou proxy• le filtrage applicatif permet la destruction des en-têtes précédantle message applicatif, ce qui permet de fournir un niveau desécurité supplémentaire.• En contrepartie, une analyse fine des données applicativesrequiert une grande puissance de calcul et se traduit donc souventpar un ralentissement des communications, chaque paquetdevant être finement analysé.• Afin de limiter les risques le proxy doit nécessairement être enmesure dinterpréter une vaste gamme de protocoles et doitconnaître les failles afférentes pour être efficace.162
  82. 82. 31/03/201182Limitations des pare-feux• Usurpation d’identité (IP spoofing) le routeur est impuissant face à cetype d’attaque• Si chaque application nécessite un traitement particulier Il faut unepasserelle par application Les client de ces applications doiventpouvoir configurer les logiciels (ex: navigateur avec les proxy)• Les filtres sont très grossiers: Les spyware et adware (des progr.Commerciaux sont nuisibles ne sont pas détectés par les anti-virus)utilisant le port 80 ne sont donc en aucun cas pris en compte par unfirewall hardware.• il est nécessaire dadministrer le pare-feu et notamment de surveillerson journal dactivité afin dêtre en mesure de détecter les tentativesdintrusion et les anomalies.163Zone Démilitarisée DMZ• Il est nécessaire de mettre en place desarchitectures de systèmes pare-feux permettantdisoler les différents réseaux de lentreprise: onparle ainsi de « cloisonnement des réseaux »(isolation)• « Zone DéMilitarisée » ( DMZ pour DeMilitarizedZone) pour désigner cette zone isolée hébergeantdes applications mises à disposition du public164
  83. 83. 31/03/201183Architecture DMZ• Les serveurs situés dans la DMZ sontappelés « bastions » en raison de leurposition davant poste dans le réseaude lentreprise.• La DMZ possède donc un niveau desécurité intermédiaire, mais sonniveau de sécurisation nest passuffisant pour y stocker des donnéescritiques pour lentreprise.165Politique de sécurité• La politique de sécurité mise en oeuvre sur laDMZ est généralement la suivante :– Traffic du réseau externe vers la DMZ autorisé ;– Traffic du réseau externe vers le réseau interneinterdit ;– Traffic du réseau interne vers la DMZ autorisé ;– Traffic du réseau interne vers le réseau externeautorisé ;– Traffic de la DMZ vers le réseau interne interdit ;– Traffic de la DMZ vers le réseau externe refusé.166
  84. 84. 31/03/201184NAT• Le principe du NAT consiste à réaliser, au niveau de lapasserelle de connexion à internet, une translation entreladresse interne (non routable) de la machine souhaitantse connecter et ladresse IP de la passerelle.• Le terme NAT représente la modification des adresses IPdans len-tête dun datagramme IP effectuée par unrouteur.SNAT : @source du paquet qui est modifiée (altérée)DNAT : @destination qui est modifiée (altérée)167Network Address Translation: NAT• Fonctionnement du NAT:– Translation des @IP de l’en tête– Recalcul et vérification du checksum– Recalcul et modification du checksum TCP– NAT cache l’identité « réelle » des Hosts– Tout paquet de données qui doit être translater doit passer par un routeur NAT– permet de sécuriser le réseau interne étant donné quil camouflecomplètement ladressage interne. Pour un observateur externe au réseau,toutes les requêtes semblent provenir de la même adresse IP.168
  85. 85. 31/03/201185Les différents types de NATOn distingue deux types différents de NAT:NAT statiqueNAT dynamique169Principe de NAT• Le principe du NAT statique:– consiste à associer une @IP publique à une @IP privée interne au réseau. Lerouteur (passerelle) permet donc dassocier à une @IP privée (ex: 192.168.0.1)une @IP publique routable sur Internet et de faire la traduction, dans un senscomme dans lautre, en modifiant l‘@ dans le paquet IP.– La translation d‘@-statique permet ainsi de connecter des machines du réseauinterne à internet de manière transparente• NAT dynamique– permet de partager une @IP routable entre plusieurs machines en @ privé.Ainsi, toutes les machines du réseau interne possèdent virtuellement, vu delextérieur, la même @IP. Cest la raison pour laquelle le terme de « mascaradeIP » (IP masquerading) est parfois utilisé pour désigner le mécanisme detranslation dadresse dynamique.170
  86. 86. 31/03/20118610.0.0.12/2410.0.0.12/24 (@ interne)193.22.35.42/24 (@ externe)Internet171Les avantages et Inconvénients du NATStatiques• NAT statique a permis de rendre une machine accessiblesur Internet alors quelle possédait une adresse privée.• la NAT statique permet de rendredisponible une application sur Internet ( serveur web, mailou serveur FTP).Le principe du NAT statique ne résout pas le problème de lapénurie dadresse puisque n adresses IP routables sontnécessaires pour connecter n machines du réseau interne.172
  87. 87. 31/03/201187Avantages NAT Dynamique• Le NAT dynamique permet de partager une adresseIP routable (ou un nombre réduit dadresses IProutables) entre plusieurs machines en adressageprivé.• NAT dynamique utilise la translation de port (PAT -Port Address Translation)• Elle permet d’économiser les adresse IP. cela permetde répondre au problème de pénurie dadresses.• Elle permet une sécurité accrue, car il nexiste aucunmoyen pour quelquun de lextérieur, daccéder auxmachines internes.173Les inconvénients• Elle est donc utile pour partager un accès Internet,mais pas pour rendre un serveur accessible.• IPSec est totalement incompatible avec le NAT• La NAT dynamique seule ne peut pas être considéréecomme une sécurité suffisante. Il est indispensabledutiliser un filtrage si lon veut obtenir un bonniveau de sécurité.174
  88. 88. 31/03/201188Architecture IPsec1. Introduction2. Services IPsec3. Modes d’utilisation175IPsec : Introduction• On a conçu IPSec (Internet Protocol Security)pour sécuriser le protocole IPv6. La lenteur dedéploiement de ce dernier a imposé uneadaptation d’IPSec à l’actuel protocole IPv4.• Plusieurs RFC successives décrivent lesdifférents éléments d’IPSec : RFC 2401, 2402,2406, 2408…176
  89. 89. 31/03/201189IPsec : Introduction• Internet Protocol Security est un ensemble de protocoles(couche 3 modèle OSI) utilisant des algorithmes permettant letransport de données sécurisées sur un réseau IP.• Composante indissociable d’IPV6, optionnelle en IPV4• Composant de VPN• Permet l’établissement de communication sécurisée• Les services et algorithmes utilisés sont paramétrables.177IPsec : 4 services• Authentification des données :– chaque paquet échangé a bien été émis par la bonne machine et qu’il estbien à destination de la seconde machine• Confidentialité des données échangées :– chiffrer le contenu des paquets IP pour empêcher qu’une personneextérieure ne le lise• Intégrité des données échangées :– s’assurer qu’aucun paquet n’a subit une quelconque modification durant sontrajet.• Protection contre l’analyse de trafic :– chiffrer les adresses réelles de l’expéditeur et du destinataire, ainsi que toutl’en-tête IP correspondant. C’est le principe de base du tunneling.178
  90. 90. 31/03/201190Fonctionnement• On établit un tunnel entre deux sites:• IPSec gère l’ensemble des paramètres desécurité associés à la communication.• Deux machines passerelles, situées àchaque extrémité du tunnel, négocientles conditions de l’échange desinformations :– Quels algorithmes de chiffrement,quelles méthodes de signaturenumérique ainsi que les clés utiliséespour ces mécanismes.– La protection est apportée à tous lestrafics et elle est transparente auxdifférentes applications.179• IPSec prévoit la définition de la politique de sécurité avec lechoix des algorithmes utilisés et leur portée.• Une fois qu’une politique est définie, il y a échange des clés avecun mécanisme IKE (Internet Key Exchange) [utilisant le port 500et le transport UDP].• On peut mettre en oeuvre l’authentification soit en supposantque les deux extrémités se partagent déjà un secret pour lagénération de clés de sessions, soit en utilisant des certificats etdes signatures RSA.• Les machines passerelles traitent ensuite les données avec lapolitique de sécurité associée.• IPSec propose ensuite deux mécanismes au choix pour lesdonnées de l’échange : ESP (Encapsulating Security Payload) etAH (Authentication Header).• ESP fournit l’intégrité et la confidentialité, AH ne fournit quel’intégrité.180
  91. 91. 31/03/201191IPsec : Atouts et limites• Atouts :la richesse de son offre de services desécurité qui :– Est exploitable dans les couches hautes de TCP-IP.– Est ouvert à tous les équipements.– Peut intervenir dans différentes configurations.• Un point faible de IPSec : la gestion des clés solution un PKI (Public Key Infrastructure).181IPsec : Architecture• Ensemble de protocoles couvrant deuxaspects– Encapsulation des datagrammes IP dans d’autresdatagrammes IP•  services de sécurité (intégrité, confidentialité, …etc.)– Négociation des clés et des associations desécurité•  utilisées lors de l ’encapsulation182
  92. 92. 31/03/201192IPsec : Architecture• 2 protocoles définis pour l’encapsulation– Authentication Header (AH)– Encapsulating Security Payload (ESP)• 1 protocole pour l’échange de clés– Internet Key Exchange (IKE)183DOI IPsec -RFC 2407: Architecture184
  93. 93. 31/03/201193AH• Les algorithmes dauthentification utilisables avec AH sont répertoriés dans leDOI IPsec; il existe notamment HMAC-MD5 et HMAC-SHA-1.• Assure l’authentification de la source– Protection contre source spoofing• Assure l’intégrité des données– Algorithme d’hachage 96 bits– Utilise une cryptographie à clé symétrique– HMAC-SHA-96, HMAC-MD5-96• Protection contre le rejeu– Utilise un mécanisme anti-rejeu (nombre de séquence)• Non répudiation– Utilisation du RSA• Aucune protection de confidentialité– Données signées et non chiffrées185• Selon les modes de fonctionnement choisis (transport ou tunnel) laposition de len tête dauthentification AH est la suivante :• Les algorithmes d’authentification utilisables avec AH sont listés dans leDOI IPsec (RFC 2407).186Position de AH en mode transport.Position de AH en mode tunnel.
  94. 94. 31/03/201194ESP• ESP assure quant à lui la confidentialité des données mais peut aussiassurer leur intégrité en mode non connecté et lauthentification de leurorigine.• A partir du datagramme IP classique, un nouveau datagramme danslequel les données et éventuellement len tête originale sont chiffrées,est crée. Cest une réelle encapsulation entre un en tête et un trailer.• La protection contre le rejeu est fournie grâce à un numéro de séquencesi les fonctions précédentes ont été retenues• Idem plus la confidentialité des données– utilise une encryption à clés symétrique187• Suivant les modes de fonctionnement choisis (transport ou tunnel) la positionde ESP est la suivante :188Position de ESP en mode transport.Position de ESP en mode tunnel.
  95. 95. 31/03/201195IPsec : Architecture• IPsec assure la sécurité en trois situations– Hôte à hôte– Routeur à routeur– Hôte à routeur• IPsec opère en deux mode– Mode transport– Mode tunnel (VPN)189Mode transport• Transport– Utilisé uniquement entre deux machines qui elles-mêmes responsable duchiffrement/déchiffrement .– Seulement les données qui sont chiffrées. Les en-tête IP sont conservés190InternetVPNSecuritygateway 1Securitygateway 2Server BA B dataencryptedWorkstation A
  96. 96. 31/03/201196Mode tunnel• Tunnel– Le flux est entre deux machines qui se trouvent derrièredeux passerellesfaisant le chiffrement/déchiffrement– En-tête IP et données sont chiffrés et un nouveau en-tête est généré avecl’adresse IP du serveur VPN.191A B dataA B data1 2InternetVPNSecuritygateway 1Securitygateway 2Workstation AServer BencryptedA B datasource destinationCapture ISAKMP: Internet SecurityAssociation and Key ManagementProtocol192• Capture d’écran à l’aide de Wireshark réalisée dans la séance de TP avecIPSEC. On peut voir le déploiement de l’ISAKMP lors de l’échange
  97. 97. 31/03/201197193Qu’est ce qu’un VPN ?• VPN,acronyme de Virtual Private Network, ou RéseauPrivé Virtuel. Ce réseau est dit virtuel car il relie desréseaux "physiques" (réseaux locaux) via un réseaupublic, en général Internet, et privé car seuls lesordinateurs des réseaux locaux faisant partie du VPNpeuvent accéder aux données.• Cette technique assure l’authentification encontrôlant l’accès, l’intégrité des données et lechiffrage de celles-ci.194
  98. 98. 31/03/201198195VPN• La mise en place dun réseau privé virtuel permet deconnecter de façon sécurisée des ordinateurs distants autravers dune liaison non fiable (Internet), comme sils étaientsur le même réseau local.• Ce procédé est utilisé par de nombreuses entreprises afin depermettre à leurs utilisateurs de se connecter au réseaudentreprise hors de leur lieu de travail. On peut facilementimaginer un grand nombre dapplications possibles :– Accès au réseau local (dentreprise) à distance et de façon sécuriséepour les travailleurs nomades– Partage de fichiers sécurisés– Jeu en réseau local avec des machines distantes196
  99. 99. 31/03/201199Les Protocoles de Tunnelisation• Les principaux protocoles de tunneling sont :– PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.– L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par CiscoSystems, Northern Telecom (Nortel) et Shiva.– L2TP (Layer Two Tunneling Protocol) est laboutissement des travaux de lIETF(RFC 2661) pour faire converger les fonctionnalités de PPTP et L2F. Il sagitainsi dun protocole de niveau 2 sappuyant sur PPP.– IPsec est un protocole de niveau 3, issu des travaux de lIETF, permettant detransporter des données chiffrées pour les réseaux IP.– SSL/TLS offre une très bonne solution de tunneling. Lavantage de cettesolution est dutiliser un simple navigateur comme client VPN.– SSH Initialement connu comme remplacement sécurisé de telnet, SSH offre lapossibilité de tunneliser des connections de type TCP.197198Une entreprise Multi-site désire de plus en plus ouvrir sonréseau à ses employés travaillant à distance, en toutesécurité. C’est l’enjeu auquel répond efficacement unesolution de type VPN
  100. 100. 31/03/2011100SSL : Secure Socket Layer• Cest un système qui permet déchanger des informations entre 2ordinateurs de façon sûre. SSL assure 3 aspects:– Confidentialité: Il est impossible despionner les informationséchangées.– Intégrité: Il est impossible de truquer les informations échangées.– Authentification: Il permet de sassurer de lidentité duprogramme, de la personne ou de lentreprise avec laquelle oncommunique.• SSL est un complément à TCP/IP et permet (potentiellement) desécuriser nimporte quel protocole ou programme utilisant TCP/IP.• SSL a été créé et développé par la société Netscape et RSA Security.199Récapitulatif• Accès non autorisé Authentification• Confidentialité Chiffrement• Virus Antivirus• Intrusion IDS/IPS Firewall• Modification Hachageconsiste à verrouiller les données à l’aide descomposants matériels: clipper-chips200

×