SlideShare une entreprise Scribd logo
1  sur  18
Télécharger pour lire hors ligne
Sécurité des réseaux
         informatiques


               Bernard Cousin
            Université de Rennes 1


                Sécurité des réseaux informatiques   1




              Introduction
•   Risques
•   Attaques, services et mécanismes
•   Les attaques
•   Services de sécurité
•   Mécanismes de défense
•   Politique de sécurité
•   Architectures de sécurité

                Sécurité des réseaux informatiques   2




                                                         1
Bibliographie
• Stallings, W. Network Security
  Essentials, 2nd edition. Prentice Hall,
  2003
   – Un grand nombre de figures ont été
     extraites de ce livre
   – Support de cours inspiré de Henric Johnson
     (Blekinge Institute of Technology, Sweden)
• Maiwald, E. Network Security, Mc Graw
  Hill, 2001 (traduction Campus Press)

                      Sécurité des réseaux informatiques                                 3




           Gestion des risques
• Vulnérabilité + menace = risque
   – Menace : cible + agent + conséquence
      • Fichier source + employé + "bug"
                                                                                 Risque majeur
   – Vulnérabilité : cible + agent + procédé
                                                      Menace




      • Fichier source + employé + altération
        (in)volontaire                                                 Risque moyen

• Contre-mesures
      • Exemple : Authentification + contrôle                  Risque mineur
        des droits de modification
                                                                        Vulnérabilités
   – Compromis efficacité/coût des contre-
     mesures
      • coût de l'incident versus coût des
        contre-mesures



                      Sécurité des réseaux informatiques                                 4




                                                                                                 2
Les objets de la sécurité
•   Les informations
•   Le système
•   Le réseau
•   Etc.




                Sécurité des réseaux informatiques   5




      Attaques, Services and
           Mécanismes
• Une Attaque : n’importe quelle action qui
  compromet la sécurité des informations.
• Mécanismes de Sécurité : un mécanisme
  qui est conçu pour détecter, prévenir et lutter
  contre une attaque de sécurité.
• Service de Sécurité : un service qui
  augmente la sécurité des traitements et des
  échanges de données d’un système. Un service
  de sécurité utilise un ou plusieurs mécanismes
  de sécurité.

                Sécurité des réseaux informatiques   6




                                                         3
Attaques




              Sécurité des réseaux informatiques   7




        Buts des attaques
• Interruption: vise la disponibilité des
  informations
• Interception: vise la confidentialité des
  informations
• Modification: vise l’intégrité des
  informations
• Fabrication: vise l’authenticité des
  informations

              Sécurité des réseaux informatiques   8




                                                       4
Attaques passives ou actives




         Sécurité des réseaux informatiques   9




  Description des attaques :
           capture




         Sécurité des réseaux informatiques   10




                                                   5
Description des attaques :
    analyse de trafic




       Sécurité des réseaux informatiques   11




Description des attaques :
       masquarade




       Sécurité des réseaux informatiques   12




                                                 6
Description des attaques : rejeu




           Sécurité des réseaux informatiques   13




  Description des attaques :
 modification ("man in the middle")




           Sécurité des réseaux informatiques   14




                                                     7
Description des attaques : Déni
        de service ("DoS")




                   Sécurité des réseaux informatiques     15




        Services de Sécurité
                    S curit
• Confidentialité : les données (et l'objet et les
  acteurs) de la communication ne peuvent pas être
  connues d’un tiers non-autorisé.
• Authenticité : l’identité des acteurs de la
  communication est vérifiée.
• Intégrité : les données de la communication n’ont pas
  été altérées.
• Non-répudiation : les acteurs impliqués dans la
  communication ne peuvent nier y avoir participer.
• Disponibilité : les acteurs de la communication
  accèdent aux données dans de bonnes conditions.

                   Sécurité des réseaux informatiques     16




                                                               8
Sécurité des réseaux informatiques   17




Sécurité des réseaux informatiques   18




                                          9
Mécanismes de défense
• Chiffrement : algorithme généralement basé sur des
  clefs et transformant les données. Sa sécurité est
  dépendante du niveau de sécurité des clefs.
• Signature numérique: données ajoutées pour vérifier
  l'intégrité ou l'origine des données.
• Bourrage de trafic : données ajoutées pour assurer
  la confidentialité, notamment au niveau du volume du
  trafic.
• Notarisation : utilisation d’un tiers de confiance pour
  assurer certains services de sécurité.
• Contrôle d’accès : vérifie les droits d’accès d'un
  acteur aux données. N'empêche pas l'exploitation
  d'une vulnérabilité.

                             Sécurité des réseaux informatiques                     19




          Mécanismes de défense
•   Antivirus : logiciel censé protéger ordinateur contre les logiciels (ou fichiers
    potentiellement exécutables) néfastes. Ne protège pas contre un intrus qui
    emploie un logiciel légitime, ou contre un utilisateur légitime qui accède à une
    ressource alors qu'il n'est pas autorisé à le faire.
•   Le pare-feu : un élément (logiciel ou matériel) du réseau informatique contrôlant
    les communications qui le traversent. Il a pour fonction de faire respecter la
    politique de sécurité du réseau, celle-ci définissant quels sont les communications
    autorisés ou interdits. N'empêche pas un attaquant d'utiliser une connexion
    autorisée pour attaquer le système. Ne protège pas contre une attaque venant du
    réseau intérieur (qui ne le traverse pas).
•   Détection d'intrusion : repère les activités anormales ou suspectes sur le réseau
    surveillé. Ne détecte pas les accès incorrects mais autorisés par un utilisateur
    légitime. Mauvaise détection : taux de faux positifs, faux négatifs.
•   Journalisation ("logs") : Enregistrement des activités de chaque acteurs. Permet
    de constater que des attaques ont eu lieu, de les analyser et potentiellement de
    faire en sorte qu'elles ne se reproduisent pas.
•   Analyse des vulnérabilité ("security audit") : identification des points de
    vulnérabilité du système. Ne détecte pas les attaques ayant déjà eu lieu, ou
    lorsqu'elles auront lieu.



                             Sécurité des réseaux informatiques                     20




                                                                                          10
Mécanismes de défense
• Contrôle du routage : sécurisation des chemins (liens
  et équipements d'interconnexion).
• Contrôle d'accès aux communications : le moyen de
  communication n'est utilisé que par des acteurs
  autorisés. Par VPN ou tunnels.
• Horodatage : marquage sécurisé des instants
  significatifs .
• Certification : preuve d'un fait, d'un droit accordé.
• Distribution de clefs : distribution sécurisée des
  clefs entre les entités concernées.



                          Sécurité des réseaux informatiques                        21




       Mécanismes de défense
• Authentification : Authentifier un acteur peut se faire en
  utilisant une ou plusieurs de ses éléments.
       • Ce qu'il sait. Par ex. : votre mot de passe, la date anniversaire de votre
         grand-mère
       • Ce qu'il a. Par ex. : une carte à puce
       • Ce qu'il est. Par ex. : la biométrie (empreinte digitale, oculaire ou vocale)
   – Dans le domaine des communications, on authentifie l'émetteur du
     message. Si l'on considère les (deux) extrémités d'une
     communication il faut effectuer un double authentification
       • Par ex. pour lutter contre le "phishing"
   – L'authentification est nécessaire au bon fonctionnement des autres
     mécanismes.

• La protection physique : peut fournir une protection totale, mais
  qui peut être excessive. Par ex. isoler complètement son système
  est une solution qui peut être trop radicale.


                          Sécurité des réseaux informatiques                        22




                                                                                         11
Remarques sur la confiance
• Confiance dans la sécurité d'un système:
   – Système réparti = {système de communication, les sous-systèmes
     locaux}
   – Niveau de confiance d'un système = min (niveau de confiance de ses
     sous-systèmes)
• Dans un système sûre de confiance
   – Les mécanismes de sécurité peuvent formellement établir la
     confiance
   – Création d'un chaîne de confiance
       • Les amis surs de mes amis sont des amis surs
   – Problème du point de départ de la chaîne de confiance
       • L'authentification des centres de certification
   – Renforcement de la confiance, au cours des échanges
       • Graphe de confiance
   – Révocation de la confiance accordée

                       Sécurité des réseaux informatiques             23




Remarques sur les mécanismes de
           sécurité

• Aucun des mécanismes de sécurité ne
  suffit par lui-même. Il les faut tous !




                       Sécurité des réseaux informatiques             24




                                                                           12
Politique de sécurité
• Une politique de sécurité ce n'est pas
  seulement :
   – Les paramètres de sécurité
       •   longueur des clefs,
       •   choix des algorithmes,
       •   fréquence de changement des "passwords",
       •   etc.
• Une fois une politique de sécurité définie, sa
  mise en oeuvre (utilisation d'outils appropriés)
  et sa bonne gestion (maintien de la cohérence)
  sont des points critiques

                           Sécurité des réseaux informatiques   25




      Le processus de sécurité
•   Evaluation/audit
•   Politique
•   Implémentation/(In)Formation
•   Evaluation …

                             Evaluation/audit



       Implémentation/(In)Formation             Politique




                           Sécurité des réseaux informatiques   26




                                                                     13
Quelques procédures de sécurité
•   Définition du domaine à protéger
•   Définition de l'architecture et de la politique de sécurité
     – Equipements/Points de sécurité
     – Paramètres de sécurité
     – C-à-d mécanismes de prévention, détection et enregistrement des incidents
•   Plan de réponse après incident
     – Procédure de reprise
     – Procédure pour empêcher que cela se renouvelle
         • Suppression de la vulnérabilité, ou suppression de l'attaquant
•   Charte du bon comportement de l'employé
•   Procédures d'intégration et de départ des employés
•   Politique de mise à jour des logiciels
•   Méthodologie de développement des logiciels
•   Définition des responsabilités (organigramme)
•   Etc.



                              Sécurité des réseaux informatiques               27




                  Le facteur humain
• Le facteur humain est souvent
  prépondérant:
     – Respect des règles de sécurité
     – Compréhension de l'utilité des règles,
     – Surcharge induit par les moyens de sécurité
• L'ingénierie sociale



                              Sécurité des réseaux informatiques               28




                                                                                    14
Eléments d'architecture
•   Pare-feu
•   DMZ
•   IDS
•   Log
•   VPN




                            Sécurité des réseaux informatiques                   29




          Eléments d'architecture

                                                           DMZ

                      IDS

                                        Serveur externe

    Serveur interne
                                              Hub/switch
                             Firewall                       Routeur
                                                                      Internet
                                log




                            Sécurité des réseaux informatiques                   30




                                                                                      15
Virtual Private Network
• Seuls les agents autorisés peuvent avoir accès
  aux réseaux virtuels
  – Authentification des agents
  – Chiffrement des communications
• Remarques:
  – Le réseau virtuel est un moyen d'accéder à des
    services (extension au réseau de la notion de
    contrôle d'accès aux fichiers)
  – On limite délibérément la capacité
    d'interconnexion totale proposée par l'Internet
  – Le nombre des réseaux virtuels dépend du nombre
    des types d'agents (et donc des services
    accessibles à chaque type d'agent)
                 Sécurité des réseaux informatiques   31




             Réseau virtuel
• Il existe de nombreuses implémentations
  du concept de réseau virtuel :
  – Au niveau 2 : VLAN
     • Les trames Ethernet sont complétées par un VID
  – Au niveau 3 : IPsec+
     • Accompagné d'une phase d'authentification
       (serveur d'authentification)
     • Les paquets sont chiffrés (serveurs de sécurité)


                 Sécurité des réseaux informatiques   32




                                                           16
Réseaux virtuels
   Réseau d'entreprise

                                                                       Station distante

                                  log      Serveur 1

   Serveur 2


                             Routeur 1     Routeur 2

                                                                Internet
                         Station locale




                           Sécurité des réseaux informatiques                             33




                 Réseaux virtuels


                                                  Serveur 1


                  Réseau d'interconnexion total
Serveur 2
                                          Réseau virtuel bleu
            Réseau virtuel rouge




                           Sécurité des réseaux informatiques                             34




                                                                                               17
Conclusion
• Présentation des risques (attaques),
  services et mécanismes de sécurité
• Introduction à la politique et
  architecture de sécurité




              Sécurité des réseaux informatiques   35




                                                        18

Contenu connexe

Tendances

Supervision V2 ppt
Supervision V2 pptSupervision V2 ppt
Supervision V2 ppt
jeehane
 

Tendances (20)

Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
Siem OSSIM
Siem OSSIMSiem OSSIM
Siem OSSIM
 
Ch2 reglementation cryptographie
Ch2 reglementation cryptographieCh2 reglementation cryptographie
Ch2 reglementation cryptographie
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Alphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide complet
 
configuration vpn-ipsec-routeur
 configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
Supervision V2 ppt
Supervision V2 pptSupervision V2 ppt
Supervision V2 ppt
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques
 
Protection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdfProtection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdf
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
 
Vpn
VpnVpn
Vpn
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 

En vedette

LemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libreLemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libre
Clément OUDOT
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Sylvain Maret
 

En vedette (20)

Cc Presentation Tsec Tri(31mai2010)
Cc Presentation Tsec Tri(31mai2010)Cc Presentation Tsec Tri(31mai2010)
Cc Presentation Tsec Tri(31mai2010)
 
Stage Avant-Vente réseau et sécurité H/F
Stage Avant-Vente réseau et sécurité H/FStage Avant-Vente réseau et sécurité H/F
Stage Avant-Vente réseau et sécurité H/F
 
Les besoins et les verrous dans la filière produits de la mer. Authentificati...
Les besoins et les verrous dans la filière produits de la mer. Authentificati...Les besoins et les verrous dans la filière produits de la mer. Authentificati...
Les besoins et les verrous dans la filière produits de la mer. Authentificati...
 
Authentification Forte 2
Authentification Forte 2Authentification Forte 2
Authentification Forte 2
 
Claroline : Present et Futur
Claroline : Present et FuturClaroline : Present et Futur
Claroline : Present et Futur
 
Avast 10 points clés de la sécurité informatique des pme
Avast   10 points clés de la sécurité informatique des pmeAvast   10 points clés de la sécurité informatique des pme
Avast 10 points clés de la sécurité informatique des pme
 
LemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libreLemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libre
 
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
 
Biométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesBiométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériques
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
 
SSO une solution pertinente
SSO une solution pertinenteSSO une solution pertinente
SSO une solution pertinente
 
Présentation de Microsoft Office 365 et des briques de sécurité Fédération, P...
Présentation de Microsoft Office 365 et des briques de sécurité Fédération, P...Présentation de Microsoft Office 365 et des briques de sécurité Fédération, P...
Présentation de Microsoft Office 365 et des briques de sécurité Fédération, P...
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002
 
Menaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en franceMenaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en france
 
Naviguer en sécurité
Naviguer en sécuritéNaviguer en sécurité
Naviguer en sécurité
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPN
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
 
2194 A 04
2194 A 042194 A 04
2194 A 04
 

Similaire à 1 securite-des-reseaux.2 p

Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
simogamer3
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
Amineelbouabidi
 
1 réseaux et protocoles-sécurité-partie 1 v2
1   réseaux et protocoles-sécurité-partie 1 v21   réseaux et protocoles-sécurité-partie 1 v2
1 réseaux et protocoles-sécurité-partie 1 v2
Hossin Mzaourou
 

Similaire à 1 securite-des-reseaux.2 p (20)

1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
resume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfresume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdf
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.ppt
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.ppt
 
Sécurité des Systèmes Répartis- Partie 1
Sécurité des Systèmes Répartis- Partie 1 Sécurité des Systèmes Répartis- Partie 1
Sécurité des Systèmes Répartis- Partie 1
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
securite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptsecurite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).ppt
 
Gestion d'incidents pour développeurs
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeurs
 
1 réseaux et protocoles-sécurité-partie 1 v2
1   réseaux et protocoles-sécurité-partie 1 v21   réseaux et protocoles-sécurité-partie 1 v2
1 réseaux et protocoles-sécurité-partie 1 v2
 
Cybercrime Update : sensibilisation
Cybercrime Update : sensibilisationCybercrime Update : sensibilisation
Cybercrime Update : sensibilisation
 
SÉCURITÉ INFORMATIQUE Partie 1_SÉCURITÉ INFORMATIQUE.pdf
SÉCURITÉ INFORMATIQUE Partie 1_SÉCURITÉ INFORMATIQUE.pdfSÉCURITÉ INFORMATIQUE Partie 1_SÉCURITÉ INFORMATIQUE.pdf
SÉCURITÉ INFORMATIQUE Partie 1_SÉCURITÉ INFORMATIQUE.pdf
 

1 securite-des-reseaux.2 p

  • 1. Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction • Risques • Attaques, services et mécanismes • Les attaques • Services de sécurité • Mécanismes de défense • Politique de sécurité • Architectures de sécurité Sécurité des réseaux informatiques 2 1
  • 2. Bibliographie • Stallings, W. Network Security Essentials, 2nd edition. Prentice Hall, 2003 – Un grand nombre de figures ont été extraites de ce livre – Support de cours inspiré de Henric Johnson (Blekinge Institute of Technology, Sweden) • Maiwald, E. Network Security, Mc Graw Hill, 2001 (traduction Campus Press) Sécurité des réseaux informatiques 3 Gestion des risques • Vulnérabilité + menace = risque – Menace : cible + agent + conséquence • Fichier source + employé + "bug" Risque majeur – Vulnérabilité : cible + agent + procédé Menace • Fichier source + employé + altération (in)volontaire Risque moyen • Contre-mesures • Exemple : Authentification + contrôle Risque mineur des droits de modification Vulnérabilités – Compromis efficacité/coût des contre- mesures • coût de l'incident versus coût des contre-mesures Sécurité des réseaux informatiques 4 2
  • 3. Les objets de la sécurité • Les informations • Le système • Le réseau • Etc. Sécurité des réseaux informatiques 5 Attaques, Services and Mécanismes • Une Attaque : n’importe quelle action qui compromet la sécurité des informations. • Mécanismes de Sécurité : un mécanisme qui est conçu pour détecter, prévenir et lutter contre une attaque de sécurité. • Service de Sécurité : un service qui augmente la sécurité des traitements et des échanges de données d’un système. Un service de sécurité utilise un ou plusieurs mécanismes de sécurité. Sécurité des réseaux informatiques 6 3
  • 4. Attaques Sécurité des réseaux informatiques 7 Buts des attaques • Interruption: vise la disponibilité des informations • Interception: vise la confidentialité des informations • Modification: vise l’intégrité des informations • Fabrication: vise l’authenticité des informations Sécurité des réseaux informatiques 8 4
  • 5. Attaques passives ou actives Sécurité des réseaux informatiques 9 Description des attaques : capture Sécurité des réseaux informatiques 10 5
  • 6. Description des attaques : analyse de trafic Sécurité des réseaux informatiques 11 Description des attaques : masquarade Sécurité des réseaux informatiques 12 6
  • 7. Description des attaques : rejeu Sécurité des réseaux informatiques 13 Description des attaques : modification ("man in the middle") Sécurité des réseaux informatiques 14 7
  • 8. Description des attaques : Déni de service ("DoS") Sécurité des réseaux informatiques 15 Services de Sécurité S curit • Confidentialité : les données (et l'objet et les acteurs) de la communication ne peuvent pas être connues d’un tiers non-autorisé. • Authenticité : l’identité des acteurs de la communication est vérifiée. • Intégrité : les données de la communication n’ont pas été altérées. • Non-répudiation : les acteurs impliqués dans la communication ne peuvent nier y avoir participer. • Disponibilité : les acteurs de la communication accèdent aux données dans de bonnes conditions. Sécurité des réseaux informatiques 16 8
  • 9. Sécurité des réseaux informatiques 17 Sécurité des réseaux informatiques 18 9
  • 10. Mécanismes de défense • Chiffrement : algorithme généralement basé sur des clefs et transformant les données. Sa sécurité est dépendante du niveau de sécurité des clefs. • Signature numérique: données ajoutées pour vérifier l'intégrité ou l'origine des données. • Bourrage de trafic : données ajoutées pour assurer la confidentialité, notamment au niveau du volume du trafic. • Notarisation : utilisation d’un tiers de confiance pour assurer certains services de sécurité. • Contrôle d’accès : vérifie les droits d’accès d'un acteur aux données. N'empêche pas l'exploitation d'une vulnérabilité. Sécurité des réseaux informatiques 19 Mécanismes de défense • Antivirus : logiciel censé protéger ordinateur contre les logiciels (ou fichiers potentiellement exécutables) néfastes. Ne protège pas contre un intrus qui emploie un logiciel légitime, ou contre un utilisateur légitime qui accède à une ressource alors qu'il n'est pas autorisé à le faire. • Le pare-feu : un élément (logiciel ou matériel) du réseau informatique contrôlant les communications qui le traversent. Il a pour fonction de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les communications autorisés ou interdits. N'empêche pas un attaquant d'utiliser une connexion autorisée pour attaquer le système. Ne protège pas contre une attaque venant du réseau intérieur (qui ne le traverse pas). • Détection d'intrusion : repère les activités anormales ou suspectes sur le réseau surveillé. Ne détecte pas les accès incorrects mais autorisés par un utilisateur légitime. Mauvaise détection : taux de faux positifs, faux négatifs. • Journalisation ("logs") : Enregistrement des activités de chaque acteurs. Permet de constater que des attaques ont eu lieu, de les analyser et potentiellement de faire en sorte qu'elles ne se reproduisent pas. • Analyse des vulnérabilité ("security audit") : identification des points de vulnérabilité du système. Ne détecte pas les attaques ayant déjà eu lieu, ou lorsqu'elles auront lieu. Sécurité des réseaux informatiques 20 10
  • 11. Mécanismes de défense • Contrôle du routage : sécurisation des chemins (liens et équipements d'interconnexion). • Contrôle d'accès aux communications : le moyen de communication n'est utilisé que par des acteurs autorisés. Par VPN ou tunnels. • Horodatage : marquage sécurisé des instants significatifs . • Certification : preuve d'un fait, d'un droit accordé. • Distribution de clefs : distribution sécurisée des clefs entre les entités concernées. Sécurité des réseaux informatiques 21 Mécanismes de défense • Authentification : Authentifier un acteur peut se faire en utilisant une ou plusieurs de ses éléments. • Ce qu'il sait. Par ex. : votre mot de passe, la date anniversaire de votre grand-mère • Ce qu'il a. Par ex. : une carte à puce • Ce qu'il est. Par ex. : la biométrie (empreinte digitale, oculaire ou vocale) – Dans le domaine des communications, on authentifie l'émetteur du message. Si l'on considère les (deux) extrémités d'une communication il faut effectuer un double authentification • Par ex. pour lutter contre le "phishing" – L'authentification est nécessaire au bon fonctionnement des autres mécanismes. • La protection physique : peut fournir une protection totale, mais qui peut être excessive. Par ex. isoler complètement son système est une solution qui peut être trop radicale. Sécurité des réseaux informatiques 22 11
  • 12. Remarques sur la confiance • Confiance dans la sécurité d'un système: – Système réparti = {système de communication, les sous-systèmes locaux} – Niveau de confiance d'un système = min (niveau de confiance de ses sous-systèmes) • Dans un système sûre de confiance – Les mécanismes de sécurité peuvent formellement établir la confiance – Création d'un chaîne de confiance • Les amis surs de mes amis sont des amis surs – Problème du point de départ de la chaîne de confiance • L'authentification des centres de certification – Renforcement de la confiance, au cours des échanges • Graphe de confiance – Révocation de la confiance accordée Sécurité des réseaux informatiques 23 Remarques sur les mécanismes de sécurité • Aucun des mécanismes de sécurité ne suffit par lui-même. Il les faut tous ! Sécurité des réseaux informatiques 24 12
  • 13. Politique de sécurité • Une politique de sécurité ce n'est pas seulement : – Les paramètres de sécurité • longueur des clefs, • choix des algorithmes, • fréquence de changement des "passwords", • etc. • Une fois une politique de sécurité définie, sa mise en oeuvre (utilisation d'outils appropriés) et sa bonne gestion (maintien de la cohérence) sont des points critiques Sécurité des réseaux informatiques 25 Le processus de sécurité • Evaluation/audit • Politique • Implémentation/(In)Formation • Evaluation … Evaluation/audit Implémentation/(In)Formation Politique Sécurité des réseaux informatiques 26 13
  • 14. Quelques procédures de sécurité • Définition du domaine à protéger • Définition de l'architecture et de la politique de sécurité – Equipements/Points de sécurité – Paramètres de sécurité – C-à-d mécanismes de prévention, détection et enregistrement des incidents • Plan de réponse après incident – Procédure de reprise – Procédure pour empêcher que cela se renouvelle • Suppression de la vulnérabilité, ou suppression de l'attaquant • Charte du bon comportement de l'employé • Procédures d'intégration et de départ des employés • Politique de mise à jour des logiciels • Méthodologie de développement des logiciels • Définition des responsabilités (organigramme) • Etc. Sécurité des réseaux informatiques 27 Le facteur humain • Le facteur humain est souvent prépondérant: – Respect des règles de sécurité – Compréhension de l'utilité des règles, – Surcharge induit par les moyens de sécurité • L'ingénierie sociale Sécurité des réseaux informatiques 28 14
  • 15. Eléments d'architecture • Pare-feu • DMZ • IDS • Log • VPN Sécurité des réseaux informatiques 29 Eléments d'architecture DMZ IDS Serveur externe Serveur interne Hub/switch Firewall Routeur Internet log Sécurité des réseaux informatiques 30 15
  • 16. Virtual Private Network • Seuls les agents autorisés peuvent avoir accès aux réseaux virtuels – Authentification des agents – Chiffrement des communications • Remarques: – Le réseau virtuel est un moyen d'accéder à des services (extension au réseau de la notion de contrôle d'accès aux fichiers) – On limite délibérément la capacité d'interconnexion totale proposée par l'Internet – Le nombre des réseaux virtuels dépend du nombre des types d'agents (et donc des services accessibles à chaque type d'agent) Sécurité des réseaux informatiques 31 Réseau virtuel • Il existe de nombreuses implémentations du concept de réseau virtuel : – Au niveau 2 : VLAN • Les trames Ethernet sont complétées par un VID – Au niveau 3 : IPsec+ • Accompagné d'une phase d'authentification (serveur d'authentification) • Les paquets sont chiffrés (serveurs de sécurité) Sécurité des réseaux informatiques 32 16
  • 17. Réseaux virtuels Réseau d'entreprise Station distante log Serveur 1 Serveur 2 Routeur 1 Routeur 2 Internet Station locale Sécurité des réseaux informatiques 33 Réseaux virtuels Serveur 1 Réseau d'interconnexion total Serveur 2 Réseau virtuel bleu Réseau virtuel rouge Sécurité des réseaux informatiques 34 17
  • 18. Conclusion • Présentation des risques (attaques), services et mécanismes de sécurité • Introduction à la politique et architecture de sécurité Sécurité des réseaux informatiques 35 18