Téléchargé parinfcom
3,363 vues

Cours admin-secure-4 avril-2011

Le document présente un cours sur l'administration et la sécurité des réseaux, abordant des thèmes tels que l'administration des équipements, la gestion des pannes et la sécurité des données. Il détaille également les rôles des administrateurs système et réseau, ainsi que les divers types de protocoles, gestion de la configuration et mesures de sécurité. Enfin, il décrit les techniques d'adressage IP et les listes de contrôle d'accès (ACL) pour sécuriser les réseaux.

Intégrer la présentation

31/03/2011 1 Administration & Sécurité des réseaux Wafa KAMMOUN 1 2eme Ingénieurs ISITCom H-SouSSe 2010 - 2011 Plan de Cours • Administration : – Introduction à l’administration réseaux – Rappel sur les Protocoles et services IP – Administration des équipements (Firewall, routeur) – Listes ACL – Administration des serveurs DNS, DHCP – Administration SNMP (Simple Network Management Protocol),.. • Sécurité : – Introduction à la sécurité informatique – # types d’attaques (Hacking) – La cryptographie & l’authentification, – Les DMZ et Firewalls – VPN, SSL (Secure Socket Layer) • Références: – http://www.itu.int/cybersecurity/ – http://www.w3.org/P3P/ – Stallings William, Sécurité des réseaux, applications et standards, Vuibert, 2002, ISBN 978-2-71- 178653 2
31/03/2011 2 Quelques définitions • Administrateur : – Administrateur Système: • Personne responsable de la totalité de la gestion du système informatique. Il surveille et en assure la maintenance du système de manière à garantir un fonctionnement irréprochable. Veiller au bon fonctionnement des sauvegardes. – Administrateur réseau: • Chargé de la gestion de tout type d’équipements réseau. Il est responsable de bon fonctionnement configuration des équipements réseau, de la répartition des droits d’accès des utilisateurs à accéder aux serveurs. Lui seul a le droit d’ajouter des utilisateurs ou d’annuler des autorisations d’accès, ainsi que l’installation du SE réseau et de la sécurité des données sur l’ensemble du réseau 3 Fonctions & Objectifs • Administration – Administration des serveurs, Administration des équipements et des applications (FTP, Web, courrier,..) – Déploiement, intégration, gestion des ressources réseaux mais aussi humaine – Gérer des 100 ou des 1000 d’utilisateurs dans des systèmes autonomes – Surveillance, test de performance, d’audit, de configuration du réseau – Évaluation des ressources nécessaires • Sécurité: – Protéger le réseau contre les accès non autorisés, divulgations – Contrôle d’accès: Les pare-feux (Firewalls) – Cryptographie et authentification – Récupérer les données à la suite d’un événement catastrophique • La sauvegarde des données sur bande magnétique (quotidienne, complète, incrémentielle,..) • La configuration des disques de tolérance de pannes (Les techniques de redondance,..) • L’utilisation des dispositifs d’alimentation sans coupure – Se protéger contre les attaques (virus, trojan,..) ….. Et tout ça pour un coût raisonnable !!! 4
31/03/2011 3 Buts • Le réseau est devenu une ressource indispensable (voire vitale) au bon fonctionnement d’une entreprise,.. • L’administration du réseau met en œuvre un ensemble de moyen pour : – offrir aux utilisateurs un service de qualité – Permettre l’évolution du système en intégrant des nouvelles fonctionnalités – Optimiser les performances des services pour les utilisateurs – Permettre une utilisation maximale des ressources avec un coût minimal 5 Administration = Partie opérationnelle d’un réseau • Les fonctions d'administration doivent permettre: – l'extraction des informations des éléments du réseau au moyen d'outils (trace) => récolte un grand nombre d'information, – la réduction du volume d'information au moyen de filtres => sélection d'information significatives (analyser), – le stockage des informations retenues dans une base de données d'administration, – des traitements sur ces informations, – offrir des interfaces (utilisateur administration, opérateur réseau). 6
31/03/2011 4 Les attendus d’une administration de réseau • Les 5 domaines fonctionnels de l'administration tel que définis dans l'OSI: – La gestion des pannes : permet la détection, la localisation, la réparation de pannes et le retour à une situation normale dans l'environnement. – La comptabilité : permet de connaître les charges des objets gérés, les coûts de communication, ... Cette évaluation est établie en fonction du volume et de la durée de la transmission. Ces relevés s'effectuent à deux niveaux : Réseau et Application. – La gestion des configurations : permet d'identifier, de paramétrer les différents objets. Les procédures requises pour gérer une configuration sont la collecte d'information, le contrôle de l'état du système, la sauvegarde de l'état dans un historique – L'audit des performances : permet d'évaluer les performances des ressources du système et leur efficacité. Les performances d'un réseau sont évaluées à partir de quatre paramètres : le temps de réponse, le débit, le taux d'erreur par bit et la disponibilité. – La gestion de la sécurité : une des fonctions de gestion concerne le contrôle et la distribution des informations utilisées pour la sécurité. Un sous-ensemble de la MIB (Management Information Base) concerne les informations de sécurité (SMIB). Il renferme le cryptage et la liste des droits d'accès. 7 L’organisation d’une administration • Qui a besoin d'administration et pour quoi faire ? • Il existe différents types de décision d'administration : – décisions opérationnelles : décision à court terme, concernant l'administration au jour le jour et opérations temps réel sur le système – décisions tactiques : décision à moyen terme concernant l'évolution du réseau et l'application des politiques de long terme – décisions stratégiques : décision de long terme concernant les stratégies pour le futur en exprimant les nouveaux besoins et désirs des utilisateurs. • Ces niveaux déterminent différents niveaux d'administration: – le contrôle opérationnel réseau pour les décisions opérationnelles – la gestion réseau pour les décision tactiques – l'analyse de réseau pour les décision tactiques et stratégiques – la planification pour les décisions stratégiques 8
31/03/2011 5 Administration des réseaux • Protocoles TCP/IP et les protocoles d’application • Principe de routage (IP,ICMP, RIP,OSPF,..) • Administration des serveurs : – Serveur de résolution des noms, DNS – Serveur de configuration dynamique, DHCP – Serveur de transfert des fichiers, FTP – Services pour accéder à des machines distantes, Telnet – Serveur Web – Protocole d’administration réseau, SNMP 9 Les domaines d’activités • La gestion des pannes: – Détection, localisation, isolation, réparation • Gestion des configurations – Identification des ressources – Installation, initialisation, paramétrage, reconfiguration. – Collecte des informations utiles et sauvegarde d’un historique. • Audit des performances – Évaluation: collecter les données et établir des statistiques sur les performances (temps de réponse, taux d’utilisation, débit, taux d’erreur, disponibilité) – Gestion de trafic : satisfaire les besoins des users (à qui attribuer un grand dédit…) 10
31/03/2011 6 Les domaines d’activités • Gestion de la comptabilité: – Gérer la charge des ressources pour empêcher toute surcharge (congestion). – Gérer le coût d’utilisation des ressources et les facturer – Gérer le quota d’exploitation de la ressources ( imprimante, disques…) • Gestion de la sécurité – But: protéger les ressources du réseau et du système d’administration – Commet: Assurer les services de la sécurité (authentification, confidentialité, intégrité, disponibilité et non répudiation). – Moyen : cryptographie + logiciel de supervision + audit  surveillance des journaux. Exemple : sous WinNT Server (journaux d’évènements) • Journal de sécurité • Journal système • Journal application 11 Administrer un réseau IP • Un réseau IP est un ensemble d’équipements: – Possédant chacun une ou plusieurs interfaces – Reliés entre eux par des supports physiques divers – Gestion des pannes – Gestion des configurations – Audit des performances – Gestion de la sécurité • Administrer un réseau IP: – Définir un plan d’adressage cohérent – Affecter une adresse IP à chaque interface – Mettre en œuvre le routage entre ces divers éléments 12
31/03/2011 7 Détecter un problème réseau : • PING : Permet de valider une connexion point à point usage : ping xxx.xxx.xxx.xxx (x : adresse IP de la machine) TRACE ROUTE : Permet de donner les chemins de communication entre deux machines usage : tracert xxx.xxx.xxx.xxx (x : adresse IP de la machine) ARP : Permet d'obtenir l'adresse MAC (fabriquant) d'un épement usage : arp -a xxx.xxx.xxx.xxx (x : adresse IP de la machine) NBTSTAT : Permet d'obtenir le nom de l'utilisateur connecté sur une machine usage : nbtstat -A xxx.xxx.xxx.xxx (x : adresse IP de la machine) nbtstat -a nom.domaine si l'on connait le nom de la station nbtstat -c pour afficher tout le cache Windows NT : IPCONFIG : Affiche la configuration IP UNIX : vmstat ps pstat · netstat · netstat -i · +Ierrs : cable ? · +Oerrs : Ctrl ? · -a send_@ != 0 : Lan Overload · -s Bad CRC != 0 : Router · !LAN>= 0 retrans : timeout <5% = ok · Et enfin pour ajouter une route: · route> add x.x.x.xequip MASK x.x.x.x sub x.x.x.xrouter -p 13 14
31/03/2011 8 Adressage IP • Une adresse IP est constituée de deux numéros: • IP address = <network number><host number> • Le numéro de réseau identifie le réseau sur lequel est connecté le nœud. Ce numéro doit être unique. • Le numéro d'hôte identifie le nœud sur le réseau en question. – classe A : de 1 à 126 – classe B : de 128.1. à 191.254 – classe C : de 192.0.1 à 223.255.254 15 16
31/03/2011 9 Les adresses Privées 17 18
31/03/2011 10 SR & Masque de SR • Le nombre croissant de réseaux, notamment sur Internet, a fini par poser problème, en particulier à cause de la saturation du schéma d'adressage. • Le fractionnement d'un réseau en plusieurs réseaux permet de réduire le trafic sur chacun des réseaux ou d'isoler certains groupes de travail. – <@-IP> = <netw.nr><subnet nr><host nr> – L'échange de messages des stations situées sur deux sous-réseaux différents ne pourra se faire directement, mais uniquement par l'intermédiaire d'un routeur. • Exemple Une classe A avec un masque de SR: 255.255.0.0 est découpée en 254 SR de 65534 stations. – Une classe A avec un masque de SR 255.240.0.0 (11111111 11110000 00000000 00000000) est découpée en 14 SR de 1 048 574 stations (4 bits permettent de coder 16 valeurs - 2 réservées). 19 20
31/03/2011 11 21 Mise en oeuvre • La mise en œuvre de sous-réseaux passe par les étapes suivantes: – Déterminer le nombre de sous-réseaux à adresser. – Déterminer le nombre maximum d'hôtes sur chaque sous-réseau. – Calculer le nombre de bits nécessaires pour les sous-réseaux et pour les stations (en prévoyant les évolutions) – Positionner le masque de sous-réseau. – Lister les différents numéros de sous-réseaux possibles en éliminant les "tout à 0" et les "tout à 1". • Exemple : Un réseau d'adresse 160.16.0.0 est divisé en 8 SR Chacun de ces SR accueille ont au moins 1000 hôtes. 22
31/03/2011 12 Solution • Pour adresser 8 sous-réseaux différents, il faut 8 numéros. 3 bits permettent d'adresser 6 (8-2) sous- réseaux et 4 bits permettent d'adresser 14 sous- réseaux. Il faut donc prendre cette dernière solution. Il reste dans ce cas, 12 bits pour le numéro d'hôte ce qui permet 4094 numéros d'hôtes. Le masque sera donc : – 11111111 11111111 11110000 00000000 réseau SR hôte – soit en représentation décimale : 255.255.240.0 23 Les listes ACL • Les listes de contrôle d’accès sont des instructions qui expriment une liste de règles, imposés par l’administrateur, donnant un contrôle supplémentaire sur les paquets reçus et transmis par le routeur. – Il ne peut y avoir qu’une liste d’accès par protocole par interface et par sens – Une ACL est identifiable par son Nr. attribué suivant le protocole et suivant le type. • ACL Standard: – Permet d’autoriser ou d’interdire des @ spécifiques ou • ACL étendu – un ensemble d’@ ou de protocoles Type de la liste Plage Nr. Liste d’accès standard 1 à 99 Liste d’accès étendues 100 à 199 24
31/03/2011 13 • Le routeur détermine s’il doit acheminer ou bloquer un paquet en fonction de chaque instruction de condition dans l’ordre dans lequel les instructions ont été crées • Si le paquet arrivant à l’interface du routeur satisfait à une condition, il est autorisé ou refusé • Si le paquet ne correspond à aucune instruction dans la liste, celui-ci est rejeté • Le résultat de l’instruction implicite deny any • Any: n’importe quelle @ (de 0.0.0.0 à 255.255.255.255) • Host: abréviation du masque générique – Ex: host 172.16.33.5 équivaut à 172.16.33.5 0.0.0.0 25 Liste standard, étendue..?!! • Liste standard: – Router (config)# access-list numr-liste {permit |deny} source {masque-source} – Ex: access-list 1 deny 172.69.0.0 0.0.255.255 • Liste étendue: – Router (config)# access-list numr-liste {permit|deny} protocole source {masque-source} destination {masque- desti} {opérateur opérande}[established..] 26
31/03/2011 14 Exemple: • Réponse: • Router (config)# access-list 1 permit 205.7.5.0 0.0.0.255 • Router (config)# int e0 • Router (config-if)# access-group 1 out 27 ACL qui permet à tout le réseau 205.7.5.0 l’accès au réseau 192.5.5.0; Extrait de /etc/services : • /etc/services : • ftp 21/tcp • telnet 23/tcp • smtp 25/tcp • mail pop3 110/tcp # Post Office • A consulter, /etc/inetd.conf ; répertoire contient la liste des services activés sur une machine donnée • A Voir l’Extrait de /etc/inetd.conf 28
31/03/2011 15 Les commandes ICMP • Les horloges de 2 machines qui diffèrent de manière importante peuvent poser des problèmes pour des logiciels distribués. • Une machine peut émettre une demande d’horodatage (timestamp request) à une autre machine susceptible de lui répondre (timestamp reply) en donnant l’heure d’arrivée de la demande et l’heure de départ de la réponse. • L’émetteur peut alors estimer le temps de transit ainsi que la différence entre les horloges locale et distante. • Le champ de données spécifiques comprend l’heure originale (originate timestamp) émis par le demandeur, l’heure de réception (receive timestamp) du destinataire, et l’heure de départ (transmit timestamp) de la réponse. 29 Le protocole ICMP • Internet Control Message Protocol TYPE 8 bits; type de message CODE 8 bits; informations complémentaires CHECKSUM 16 bits; champ de contrôle HEAD-DATA en-tête datagramme + 64 premiers bits des données. • 15 messages utilisés – 10 informations • Ping • Messages de routeurs • Horodatage – 5 erreurs • Destination inaccessible • Temps dépassé • Divers • Redirection • Utilisé par les outils applicatifs tels: ping et traceroute. 30 TYPE Message ICMPV.4 0 Echo Reply 3 Destination Unreachable 4 Source Quench 5 Redirect (change a route) 8 Echo Request 11 Time Exceeded (TTL) Parameter Problem with a Datagram 13 Timestamp Request 14 Timestamp Reply 15 Information Request (obsolete)
31/03/2011 16 ICMP : les messages d’ erreurs • Lorsqu’une passerelle émet un message ICMP de type destination inaccessible, le champ code décrit la nature de l’erreur : – 0 Network Unreachable – 1 Host Unreachable – 2 Protocol Unreachable – 3 Port Unreachable – 4 Fragmentation Needed and DF set – 5 Source Route Failed – 6 Destination Network Unknown – 7 Destination Host Unknown – 8 Source Host Isolated – 9 Communication with desination network administratively prohibited – 10 Communication with desination host administratively prohibited – 11 Network Unreachable for type of Service – 12 Host Unreachable for type of Service 31 Paquets ICMPv6 • Utiliser l'utilitaire ping6 (équivalent à l'utilitaire ping) pour tester la présence d'une machine sur le réseau en prenant une @IPv6 • la longueur du message ICMPv6 est limitée à 1 280 octets, afin d’éviter les problèmes de fragmentation, puisqu'il est difficilement envisageable de mettre en œuvre la découverte du MTU 32 Type message Meaning 1 Destination Unreachable 2 Packet Too Big 3 Time Exceeded 4 Parameter Problem 128 Echo Request 129 Echo Reply 130 Group Membership Query 131 Group Membership Report 132 Group Membership Reduction 133 Router Solicitation 134 Router Advertisement 135 Neighbor Solicitation 136 Neighbor Advertisement 137 Redirect
31/03/2011 17 Exemples de gestion des erreurs 33 Administration des serveurs • 2 types de réseaux: – Réseau d’égal à égal: réseau pour groupe de travail et conçu pour un petit nombre de stations • Un nombre limité d’utilisateurs • Création et exploitation peu coûteuse • Pas de nécessité de serveur dédié ou de logiciel supplémentaire – Inconvénients: – aucun point central de gestion – Si le # des users>10 un réseau d’égal à égal est un mauvais choix – Ex: Windows for Workgroups, Win 98. – Réseau client-serveur: gestion centralisée des utilisateurs, de la sécurité et des ressources • Possibilité d’utiliser des serveurs dédiés pour fournir plus efficacement des ressources précises aux clients • L’utilisateur peut avoir accès aux ressources autorisées à l’aide d’un ID réseau et d’un mot de passe – Inconvénients: – Exploitation et maintenance exige du personnel formé – Coût d’exploitation est plus élevé que les réseaux d’égal à égal – Ex: Unix, Linux, Novell Netware et Win-NT/XP? WIN2K server, Win 2008. 34
31/03/2011 18 SécuritéWeb Virtualisation Fondamentaux Succession de 2003 Contient 4 piliers: built-in-web, Virtualization technologies. Peut assurer et produire une infrastructure réseau securisée avec des coûts réduits, en augmentant la flexibilité dans une organisation35 36 • Plateformes – 32 bits (x86) – 64 bits (x64 et IA64*) • Versions « classique » et « Server Core** » – Web – Standard – Enterprise – Datacenter * Rôles et fonctionnalités limités - http://www.microsoft.com/windowsserver/bulletins/longhorn/itanium_bulletin.mspx ** uniquement sur Standard, Enterprise et Datacenter
31/03/2011 19 37 -Amélioration du déploiement, de la récupération et de l'installation basée sur une image source ; - Amélioration des outils de diagnostic, de supervision, de traçabilité des évènements et de rapports ; -Apport de nouvelles fonctionnalités de sécurité telles que Bitlocker (specification de protection des données, qui fournit le chiffrement par partition) et présente une amélioration du Pare-feu - permet aux ressources système d'être partitionnées de façon dynamique à l'aide du module Dynamic Hardware Partitioning (Gestion Dynamique du Partitionnement ) 38 • Option d’installation minimale • Surface d’exposition réduite • Interface en ligne de commande • Ensemble de rôles restreints • Choix à l’installation ! • N’est pas une plateforme applicative Server Core - « Rôles » Server Core Composants Sécurité, TCP/IP, Système de fichiers, RPC, plus d’autre sous-systèmes Core Server DNS DHCP File & Print AD Server Avec .Net 3.0, shell, outils, etc. TS IAS Web Server Share Point Etc… Rôles du serveur (en plus de ceux de la version Core) GUI, Shell, IE, Media, Frame, .Net etc. WSV AD LDS Media Server IIS Il s'agit de la nouveauté la plus notable proposée par Windows Server 2008 : l’option d’installation Server Core installe uniquement le strict minimum
31/03/2011 20 39 Installation Fondamentaux Cette installation apporte plusieurs avantages : - Réduction tout d'abord des ressources nécessaires ; - Réduction de la maintenance et de la gestion, puisque seuls les éléments nécessaires pour les rôles définis sont à installer et configurer ; - Réduction enfin de la surface d’exposition aux attaques, directement lié au nombre réduit d’applications et services exécutées sur le serveur ; 40 Installation de Windows Server 2008 • Installation • Par fichier image (fichier .wim) • 2 modes • Classique • Serveur Core • Configuration initiale • Initial Configuration Tasks • Administration du serveur • Server Manager • Gestion des rôles • Gestion des fonctionnalités
31/03/2011 21 Machine serveur Core 41 peut être configurée pour assurer plusieurs rôles de base : Services de domaine Active Directory (AD DS) Services AD LDS (Active Directory Lightweight Directory Services) Serveur DHCP Serveur DNS Serveur de fichiers Serveur d’impression Services de diffusion multimédia en continu Ainsi que les fonctionnalités facultatives suivantes : Sauvegarde Chiffrement de lecteur BitLocker Clustering (grappe de serveur) avec basculement Équilibrage de la charge réseau Stockage amovible Protocole SNMP (Simple Network Management Protocol) Sous-système pour les applications UNIX Client Telnet Service WINS (Windows Internet Name Service) 42 Server Manager • Votre nouvel ami  • Rationnaliser les outils et disposer d’un outil central permettant d’ajouter, de configurer et de gérer les différents rôles et fonctionnalités du serveur – Un seul outil pour configurer Windows Server 2008 – Portail d’administration – Ligne de commande servermanagercmd.exe
31/03/2011 22 43 Active Directory Fondamentaux Objectifs: • Disposer de mécanismes permettant une installation granulaire d’Active Directory • Améliorer la prise en charge des serveurs distribués géographiquement (agences) • Optimiser la consommation de bande passante • Elever le niveau de sécurité Active Directory Domain ServicesActive Directory Domain Controller Active Directory Lightweight DirectoryActive Directory Application Mode Active Directory Rights ManagementRights Management Services Active Directory Certificate ServicesWindows Certificate Services 44 Active Directory : nomenclature
31/03/2011 23 45 Active Directory dans Windows Server 2008 • Installation – Nouvel assistant de promotion en contrôleur de domaine • Installation automatisée améliorée – Prise en charge du mode Server Core • Sécurité – Authentification, autorisations et audit – Contrôleur de domaine en lecture seule • Performance – Réplication Sysvol différentielle • Administration – Active Directory sous forme de service – Editeur d’attributs – Protection contre les suppressions accidentelles – Administration des stratégies de groupe avec GPMC 46 • Support du server core • Utilise les ‘crédentiels’ de l’utilisateur connecté pour la promotion • Sélection des rôles : DNS (défaut), GC (défaut), RODC (Read Only Domain Controller) • Mode avancé (/adv) • Sélection du site (par défaut : auto-détection) • Réplication AD durant la promotion: DC particulier, n’importe quel DC, média (sauvegarde AD) • Auto-configuration du serveur DNS • Auto-configuration du client DNS • Création et configuration des délégations DNS Active Directory Domain Services DCPROMO dans Windows Server 2008
31/03/2011 24 47 Politique de mots de passe multiples • Aujourd’hui la politique des mots de passe appliquée se définit pour l’ensemble du domaine – Default Domain Policy dans un AD 2000/2003 • Avec Windows Server 2008 : il devient possible de définir des politiques de comptes au niveau des utilisateurs et des groupes du domaine – Ne s’applique pas ni à l’objet ordinateur ni aux comptes locaux (utilisateurs hors domaine) – Nécessite un niveau fonctionnel de domaine Windows Server 2008 – Le schéma doit être en version 2008 • Utilisation d’une nouvelle classe d’objets msDs-PasswordSettings 48 Hub ` Read Only DC Hub WS 2008 DC Branch Read-Only DC Authentification 1 2 3 4 5 6 6 7 7 1. AS_Req vers le RODC (requête pour TGT) 2. RODC: regarde dans sa base: “Je n’ai pas les crédentiels de l’utilisateur" 3. Transmet la requête vers un Windows Server 2008 DC 4. Windows Server 2008 DC authentifie la demande 5. Renvoi la réponse et la TGT vers le RODC (Hub signed TGT) 6. RODC fournit le TGT à l’utilisateur et met en queue une demande de réplication pour les crédentiels 7. Le Hub DC vérifie la politique de réplication des mots de passe pour savoir s’il peut être répliqué
31/03/2011 25 49 Administration du Serveur Fondamentaux • Objectifs: • Rationaliser les outils d’administration • Elargir les possibilités offertes en terme d’administration locale et distante • Déployer plus rapidement de nouveaux systèmes (postes et serveurs) 50 Administration et Windows Server 2008 • Le Server Manager • Windows PowerShell • Active Directory redémarrable • Administrateurs locaux sur RODC • Stratégies de groupes (GPO) (GPMC, admx/adml) • Journaux et structure des événements • Planificateur de tâches • Administration Windows à distance WinRM • Sauvegarde / restauration • Outils de diagnostics • Outils en ligne de commande
31/03/2011 26 51 Server Core - Administration • Locale ou distante en ligne de commande – Outils basiques – WinRM et Windows Remote Shell pour l’exécution à distance – WMI et WMIC (locale et à distance) • Terminal Services (à distance) • Microsoft Management Console (à distance) – RPC, DCOM • SNMP • Planificateur de tâches • Evénements et transfert d’événements • Pas de support du code managé donc pas de support de Windows PowerShell 52 Services de déploiement Windows (Windows Deployment Services) • Solution de déploiement pour Windows Server 2008 • Nouvelles technologies : WIM, IBS, WinPE • Ensemble d’outils pour personnaliser l’installation • Démarrage à distance d’un environnement de pré-installation (WinPE) • Notion de serveur PXE • Support du multicast  • Administration graphique et en ligne de commande • Wdsutil.exe
31/03/2011 27 Domain Name System :DNS • Pourquoi un système de résolution des noms ? – Communications sur l’Internet basées sur les adresses IP – Communications «humaines» basées sur des noms – Besoin d’un mécanisme pour faire correspondre des adresses IP avec des noms d’hôtes => service DNS • Domain Name System (DNS) – Base de données hiérarchique distribuée • Le système DNS permet d’identifier une machine par un nom représentatif de la machine et du réseau sur lequel elle se trouve. • Le système est mis en œuvre par une base de données distribuée au niveau mondial. • DNS fournit un niveau d’adressage indirect entre un nom d’hôte et sa localisation géographique 53 Fonctionnalités du service DNS • Espace des noms de domaines = arborescence hiérarchique – Arborescence indépendante de la topologie réseau et|ou de la géographie • Architecture de stockage distribuée – Zones affectées à des serveurs de noms dans l’arborescence hiérarchique – Serveurs de sauvegarde pour la redondance et la disponibilité • Administration répartie suivant la hiérarchie des noms – Rôle le plus simple : client DNS ou ’Resolver’ • Protocole client/serveur communicant sur le port n° 53 – Protocole UDP utilisé par les clients – Protocole TCP préconisé pour les échanges entre serveurs 54
31/03/2011 28 Hiérarchie des noms de domaines • Arborescence limitée à 128 niveaux • Un domaine est un sous-ensemble de l’arborescence • Aucune possibilité de doublon – hôte : cooper, domaine : ups-tlse, gTLD : fr – Fully Qualified Domain Name : cooper.ups-tlse.fr • Conventions sur les noms de domaines • Top Level Domains (TLD) – .com, .net, .org, .edu, .mil, .gov, .int, .biz • Geographical Top Level Domains (gTLD) – .tn, .de, .fr, .uk, .jp, .au • Nom du Domain: chaque nœud possède une étiquette (label): max 63 caract. – Hôte: correspond à une machine 55 DNS • Hiérarchie des serveurs • Serveurs «distribués» dans l’arborescence hiérarchique – Un serveur ne maintient qu’un sous-ensemble de l’arborescence – On parle d’autorité sur une zone : ’Authoritative Name Server’ • Chaque serveur contient tous les enregsitrements d’hôtes dans «sa» zone – Enregistrement = Resource Record (RR) • Chaque serveur a besoin de connaître les autres serveurs responsables des autres parties de l’arborescence – Chaque serveur connaît la liste des ’Root Servers’ – Chaque ’Root Server’ connaît tous les TLDs et gTLDs – Un serveur racine peut ne pas connaître le serveur qui a autorité sur une zone – Un serveur racine peut connaître un serveur intermédiaire à contacter pour connaître le serveur qui a autorité sur une zone 56
31/03/2011 29 Exemple de requête DNS • Requête du poste Asterix : Adresse IP du site www.stri.net ? – Asterix contacte le serveur local Cooper.ups- tlse.fr – Cooper.ups-tlse.fr contacte un serveur racine : J.ROOT-SERVERS.NET – J.ROOT-SERVERS.NET contacte un serveur du domaine ’.net’ : G.GTLD-SERVERS.NET – G.GTLD-SERVERS.NET contacte le serveur qui a autorité sur la zone ’stri.net’ : full1.gandi.net – Cooper.ups-tlse.fr renvoie la réponse vers Asterix • Gestion du cache – Cooper.ups-tlse.fr conserve la réponse dans son cache – Cooper.ups-tlse.fr répond directement à toute nouvelle requête DNS www.stri.net 57 • En mode interactif, on peut sélectionner le type de requête à l'aide de la commande « set type=RR ». Exemple: « nslookup www.univ-evry.fr 194.199.90.1 » • En mode non interactif, on le précise avec l'option « -query-type=RR ». – Exemple: pour obtenir les serveurs dns de la zone univ-evry.fr: « nslookup -query- type NS univ-evry.fr ». • Le tableau suivant,extrait de la documentation de windows Xp indique les types possibles : – A Spécifie l'adresse IP d'un ordinateur. – ANY Spécifie tous les types de données. – CNAME Spécifie un nom canonique d'alias. – GID Spécifie un identificateur de groupe d'un nom de groupe. – HINFO Spécifie le type de système d'exploitation et d'unité centrale d'un ordinateur. – MB Spécifie un nom de domaine d'une boîte aux lettres. – MG Spécifie un membre d'un groupe de messagerie. – MINFO Spécifie des informations sur une liste de messagerie ou une boîte aux lettres. – MR Spécifie le nom de domaine de la messagerie renommée. – MX Spécifie le serveur de messagerie. – NS Spécifie un serveur de noms DNS pour la zone nommée. • Exercice: Utilisez la commande nslookup pour obtenir les informations correspondant au nom de la machine qui a comme adresse ip 192.168.202.2 58
31/03/2011 30 • FQDN : Full Qualified Domain Name Le nom complet d'un hôte, sur l'Internet, c'est-à-dire de la machine jusqu'au domaine, en passant par les sous-domaines. • URL : Uniform Resource Locator C'est la méthode d'accès à un document distant. Un lien hypertexte avec une syntaxe de la forme: <Type de connexion>://<FQDN>/[<sous-répertoire>]/.../<nom du document> Exemple: http://www.ac-aix-marseille.fr/bleue/francais/nouveau.htm – http: Hyper Text Transfert Protocol – www.ac-aix-marseille.fr: FQDN du serveur de pages personnelles – /bleue/francais/: arborescence de répertoires – nouveau.htm: nom du document. • URI : Universal Resource Identifier. c'est la même chose que l'URL. Le W3C (World Wide Web Consortium), garant de l'universalité de l'Internet, voudrait voir abandonner URL au profit d'URI. Notez la très subtile divergence de sens, qui vaut bien, le changement. 59 DNSSEC • Implémentation de DNSSEC sous Windows 2008 serveur coté serveur: – Distribution des « trust anchors » ; – Déploiement des certificats pour les serveurs DNS ; – Déploiement de la politique de sécurité d’IPSEC sur le Serveur DNS ; – Déploiement de la politique de sécurité d’IPSEC sur un poste client • http://www.labo-microsoft.org/articles/DNSSECPRES/3/Default.asp – Déployer les certificats pour l’authentification du Serveur DNS 60
31/03/2011 31 Dynamic Host Configuration Protocol • Objectifs : obtenir automatiquement tous les paramètres de configuration réseau – @ IP – Adresse de diffusion – Masque réseau – Passerelle par défaut – Domaine DNS – Adresse IP du serveur de noms DNS • Dynamic Host Configuration Protocol (DHCP) – Service Internet => couche application – RFCs 2131 et 2132 en 1997 – Communications sur les ports UDP 67 (côté client) et le 68 (côté serveur) 61 DHCP • L’ @ IP est allouée selon les critères suivants: – Ne pas être déjà allouée à une autre station – La même station reçoit toujours la même adresse – Cette adresse est allouée pendant une période déterminée (bail) – Le client vérifie la validité de l’@ 62
31/03/2011 32 DHCP Discover 63 Client DHCP envoie une trame "DHCPDISCOVER", destinée à trouver un serveur DHCP. Cette trame est un "broadcast", donc envoyé à l'adresse 255.255.255.255. N'ayant pas encore d‘@ IP, il fournit aussi son @ MAC Les Commandes DHCP • Client DHCP envoie une trame "DHCPDISCOVER", destinée à trouver un serveur DHCP. Cette trame est un "broadcast", donc envoyé à l'adresse 255.255.255.255. N'ayant pas encore d‘@ IP, il fournit aussi son @ MAC • Le serveur DHCP qui reçoit cette trame va répondre par un "DHCPOFFER". Cette trame contient une proposition de bail et la @-MAC du client, avec également l‘@ IP du serveur. • Le client répond par un DHCPREQUEST au serveur pour indiquer qu’il accepte l’offre • Le serveur DHCP Concerné répond définitivement par un DHCPACK qui constitue une confirmation du bail. L'adresse du client est alors marquée comme utilisée et ne sera plus proposée à un autre client pour toute la durée du bail. 64
31/03/2011 33 Serveur DHCP • Le serveur DHCP maintient une plage d‘@ à distribuer à ses clients. Il tient à jour une BD des @ déjà utilisées et utilisées il y a peu (c.a.d que l'on récupère souvent la même @, le DHCP ayant horreur des changements ) • Lorsqu'il attribue une adresse, il le fait par l'intermédiaire d'un bail. Ce bail a normalement une durée limitée • Après expiration du bail, ou résiliation par le client, les informations concernant ce bail restent mémorisées dans la BD du serveur pendant un certain temps. Bien que l'adresse IP soit disponible, elle ne sera pas attribuée en priorité à une autre machine. C'est ce qui explique que l'on retrouve souvent la même adresse d'une session à l'autre. 65 Détails sur le bail • Dans le bail, il y a non seulement une @ IP pour le client, avec une durée de validité, mais également d'autres informations de configuration comme: – L‘@ d'un ou de plusieurs DNS (Résolution de noms) – L‘@ de la passerelle par défaut – L‘@ du serveur DHCP • le client peut renouveler le bail, en s'adressant directement au serveur qui le lui a attribué. Il n'y aura alors qu'un DHCPREQUEST et un DHCPACK. 66
31/03/2011 34 Avantages • L'avantage de DHCP réside essentiellement dans la souplesse de configuration des hôtes : – allocation dynamique des adresses avec réduction des risques de conflit – définition d'un nombre important de paramètres (masque de SR, passerelle par défaut...) – possibilité d'avoir plus d'hôtes que d'adresses. 67 Inconvénients • Sur un réseau constitué de plusieurs SR, interconnecté par des routeurs, DHCP présente une limitation d'utilisation. Le mécanisme de fonctionnement utilise des broadcasts qui ne passent pas les routeurs. • Puisque requête de diffusion ne passe pas par un routeur, un client DHCP ne pourra pas recevoir d'adresse DHCP d'un serveur situé derrière un routeur. • Dans ce cas: – installer un serveur DHCP par SR – installer un agent relais DHCP. Un agent relais DHCP présent sur le réseau du poste client peut transmettre la requête au(x) serveur(s) DHCP 68
31/03/2011 35 Accès à distance Telnet • Protocole très utilisé pour l’accés à distance (tests d’application réparties, tests de fonctionnement en mode manuel des protocoles HTTP, SMTP,..) • Permet de se connecter à une machine distante • Accès à distance Telnet: – Le client Telnet transmet les caractères entrés sur le terminal local vers le serveur distant – Le fonctionnement est bidirectionnel: on supporte le même échange dans les 2 sens – Ex: Client Telnet : • Telnet <site distant> <port> Telnet 192.168.19.100 23 commande permet la création d’une connexion TCP avec le serveur de la machine distante Le serveur Telnet: Le serveur s’exécute sur la machine distante sinon le service n’est pas disponible 69 TCP IP Client Telnet TCP IP Serveur Telnet SNMP (Simple Network Management Protocol) SNMP permet de: Visualiser une quantité impressionnante d’informations concernant le matériel, les connexions réseau, leur état de charge. Modifier le paramétrage de certains composants. Alerter l’administrateur en cas d’événement grave. 70
31/03/2011 36 Le concept SNMP • Protocole d'administration de machine supportant TCP/IP – Conçu en 87-88 par des administrateurs de réseau • Permet de répondre à un grand nombre de besoins : – disposer d'une cartographie du réseau – fournir un inventaire précis de chaque machine – mesurer la consommation d'une application – signaler les dysfonctionnements • Avantages : – protocole très simple, facile d'utilisation – permet une gestion à distance des différentes machines – le modèle fonctionnel pour la surveillance et pour la – gestion est extensible – indépendant de l'architecture des machines administrées 71 Le Modèle SNMP • L'utilisation de SNMP suppose que tous les agents et les stations d'administration supportent IP et UDP. – Ceci limite l'administration de certains périphériques qui ne supportent pas la pile TCP/IP. De plus, certaines machines (ordinateur personnel, station de travail, contrôleur programmable, ... qui implantent TCP/IP pour supporter leurs applications, mais qui ne souhaitent pas ajouter un agent SNMP. => utilisation de la gestion mandataire (les proxies) • Un protocole activé par une API permet la supervision, le contrôle et la modification des paramètres des éléments du réseau. 72
31/03/2011 37 Le modèle SNMP • Une administration SNMP est composée de trois types d'éléments: – La station de supervision (appelée aussi manager) exécute les applications de gestion qui contrôlent les éléments réseaux. Physiquement, la station est un poste de travail. Station de gestion capable d’interpreter les données – La MIB (Management Information Base) est une collection d'objets résidant dans une base d'information virtuelle. Ces collections d'objets sont définies dans des modules MIB spécifiques. – Le protocole, qui permet à la station de supervision d'aller chercher les informations sur les éléments de réseaux et de recevoir des alertes provenant de ces mêmes éléments. 73 74
31/03/2011 38 Les types de requêtes: • 4 types de requêtes: GetRequest, GetNextRequest, GetBulk, SetRequest. – La requête GetRequest permet la recherche d'une variable sur un agent. – La requête GetNextRequest permet la recherche de la variable suivante. – La requête GetBulk permet la recherche d'un ensemble de variables regroupées. – La requête SetRequest permet de changer la valeur d'une variable sur un agent. • Les réponses de SNMP À la suite de requêtes, l'agent répond toujours par GetResponse. Toutefois si la variable demandée n'est pas disponible, le GetResponse sera accompagné d'une erreur noSuchObject. • Les alertes (Traps, Notifications) Les alertes sont envoyées quand un événement non attendu se produit sur l'agent. Celui-ci en informe la station de supervision via une trap. Les alertes possibles sont: ColdStart, WarmStart, LinkDown, LinkUp, AuthentificationFailure. 75 Les commandes SNMP 76 • Les commandes get-request, get-next-request et set-request sont toutes émises par le manager à destination d'un agent et attendent toutes une réponse get - response de la part de l'agent. • La commande trap est une alerte. Elle est toujours émise par l'agent à destination du manager, et n'attend pas de réponse.
31/03/2011 39 MIB • La MIB (Management Information base) est la base de données des informations de gestion maintenue par l'agent, auprès de laquelle le manager doit s’informer. • 2 MIB publics ont été normalisées: MIB I et MIB II • Un fichier MIB est un document texte écrit en langage ASN.1 (Abstract Syntax Notation 1) qui décrit les variables, les tables et les alarmes gérées au sein d'une MIB. • La MIB est une structure arborescente dont chaque nœud est défini par un nombre ou OID (Object Identifier). Elle contient une partie commune à tous les agents SNMP d'un même type de matériel et une partie spécifique à chaque constructeur. Chaque équipement à superviser possède sa propre MIB. 77 Structure de la MIB 78
31/03/2011 40 La MIB (Management Information Base) • MIB = Collection structurée d’objets – chaque noeud dans le système doit maintenir une MIB qui reflète l'état des ressources gérées – une entité d'administration peut accéder aux ressources du noeud en lisant les valeurs de l'objet et en les modifiant. 79 L’arborescence MIB: Les informations stockées dans la MIB sont rangées dans une arborescence. MIB dispose d'objets supplémentaires. Elle constitue une branche du groupe iso.org.dod.internet.mgmt. Groupe Commentaires system Informations générales sur le système. interfaces Informations sur les interfaces entre le systèmes et les sous-réseaux. at Table de traduction des adresses entre internet et les sous-réseaux. ip Informations relatives à l'implantation et à l'éxécution d'IP (Internet Protocol). icmp Informations relatives à l'implantation et à l'éxécution de ICMP (Internet Control Message Protocol). tcp Informations relatives à l'implantation et à l'éxécution de TCP (Transmission Control Protocol). udp Informations relatives à l'implantation et à l'éxécution de UDP (User Datagram Protocol). egp Informations relatives à l'implantation et à l'éxécution de EGP (Exterior Gateway Protocol). transmission Informations sur la transmission et sur les protocoles utilisés par chaque interface. snmp Informations relatives à l'implantation et à l'éxécution de SNMP.80
31/03/2011 41 Object identifier • Les variables de la MIB-2 sont identifiées par le chemin dans l'arborescence, noté de deux façons: • à l'aide des noms de groupes : iso.org.dod • à l'aide des numéros des groupes: 1.3.6. • Les identifiants sont définis à l'aide du langage SMI. Ex: Définition SMI Notation par "point" Notation par nom mgmt OBJECT IDENTIFIER ::= { internet 2 } 1.3.6.1.2 iso.org.dod.internet.mgmt mib OBJECT IDENTIFIER ::= { mgmt 1 } 1.3.6.1.2.1 iso.org.dod.internet.mgmt.mib interfaces OBJECT IDENTIFIER ::= { mib 2 } 1.3.6.1.2.1.2 iso.org.dod.internet.mgmt.mib. interface 81 Ex: On utilisera l'OID (Object Identification) qui désigne l'emplacement de la variable à consulter dans la MIB. On aura par ex. sur un commutateur Nortel Passport l'OID .1.3.6.1.4.1.2272.1.1.20 désignant le taux de charge du CPU. Fonctions assurées Primitives Descriptions GetRequest le manager demande une information à l'agent GetNextRequest le manager demande l'information suivante à l'agent SetRequest le manager initialise une variable de l'agent GetResponse l'agent retourne l'information à l’administrateur Trap interruption - l'agent envoie une information à l’administrateur 82
31/03/2011 42 83 La sécurité des réseaux 84
31/03/2011 43 Introduction à la sécurité • La sécurité d'un réseau est un niveau de garantie que l'ensemble des machines du réseau fonctionnent de façon optimale et que les utilisateurs possèdent uniquement les droits qui leur ont été octroyés • Il peut s'agir : – d'empêcher des personnes non autorisées d'agir sur le système de façon malveillante – d'empêcher les utilisateurs d'effectuer des opérations involontaires capables de nuire au système – de sécuriser les données en prévoyant les pannes – de garantir la non-interruption d'un service 85 Les causes d’insécurité • On distingue généralement deux types d'insécurité : – l'état actif d'insécurité: la non-connaissance par l'utilisateur des fonctionnalités du système, dont certaines pouvant lui être nuisibles (ex: la non- désactivation de services réseaux non nécessaires à l'utilisateur), ou lorsque l'administrateur (ou l'utilisateur) d'un système ne connaît pas les dispositifs de sécurité dont il dispose – l'état passif d'insécurité 86
31/03/2011 44 Menaces de sécurité • Attaques passives: • Capture de contenu de message et analyse de trafic • écoutes indiscrètes ou surveillance de transmission • Attaques actives: • Mascarade, • modifications des données, • déni de service pour empêcher l’utilisation normale ou la gestion de fonctionnalités de communication 87 Le but des agresseurs • Les motivations des agresseurs que l'on appelle "pirates" peuvent être multiples : – l'attirance de l'interdit – le désir d'argent (ex: violer un système bancaire) – le besoin de renommée (impressionner des amis) – l'envie de nuire (détruire des données, empêcher un système de fonctionner) • Le but des agresseurs est souvent de prendre le contrôle d'une machine afin de pouvoir réaliser les actions qu'ils désirent. Pour cela il existe différents types de moyens : – l'obtention d'informations utiles pour effectuer des attaques – utiliser les failles d'un système – l'utilisation de la force pour casser un système 88
31/03/2011 45 Le Hacking (attaques) • C’est l’ensemble des techniques visant à attaquer un réseau un site ou un équipement • Les attaques sont divers on y trouve: – L’envoie de bombe logiciel, chevaux de Troie – La recherche de trou de sécurité – Détournement d’identité – Les changements des droits d’accès d’un utilisateur d’un PC – Provocation des erreurs • Les buts d’un Hacker: – La vérification de la sécurisation d’un système – La vol d’informations, terrorisme (Virus), espionnage – Jeux; pour apprendre • Les attaques et les méthodes utilisées peuvent être offensives ou passives: – Les attaques passives consistent à écouter une ligne de communication et à interpréter les données qu’ils interceptent et Les attaques offensives peuvent être regrouper en : – Les attaques directes: c’est le plus simple des attaques, le Hacker attaque directement sa victime à partir de son ordinateur. Dans ce type d’attaque, il y a possibilité de pouvoir remonter à l’origine de l’attaque et à identifier l’identité du Hacker – Les attaques indirectes (par ruban): passif, cette attaque présente 2 avantages: – Masquer l’identité (@ IP du Hacker) – Éventuellement utiliser les ressources du PC intermédiaire 89 Les Menaces: Contexte général 90
31/03/2011 46 Attaques,services et mécanismes • L’administrateur doit tenir compte des 3 aspects de la sécurité de l’information: – Service de sécurité: pour contrer les attaques de sécurité et améliorer la sécurité des SI – Mécanisme de sécurité: pour détecter, prévenir ou rattraper une attaque de sécurité • Usage des techniques cryptographiques – Protéger contre Attaque de sécurité: une action qui compromet la sécurité de l’information possédé par une organisation • Obtenir un accès non-autorisé, modifier, 91 Les menaces 92
31/03/2011 47 93 Même le site de CIA a été attaqué …! 94 Même …..
31/03/2011 48 95 Problèmes de sécurité • Les problèmes de sécurité des réseaux peuvent être classés en 4 catégories: – La confidentialité: seuls les utilisateurs autorisés peuvent accéder à l’information – Contrôle d’intégrité: comment être sûr que le message reçu est bien celui qui a été envoyé (celui-ci n’a pas été altéré et modifié) – L’authentification: avoir la certitude que l’entité avec laquelle on dialogue est bien celle que l’on croit – Non-répudiation: concerne les signatures 96
31/03/2011 49 Objectifs de la sécurité • Identification indique qui vous prétendez être (username) • Authentification valide l’identité prétendue (password) • Autorisation détermine les actions et ressources auxquelles un utilisateur identifié et autorisé a accès • Non-répudiation garantie qu’un message a bien été envoyé par un émetteur authentifié • Traçabilité permet de retrouver les opérations réalisées sur les ressources (logs) 97 Les services de sécurité – Confidentialité des messages transmis: est la protection contre les attaques passives – Authentification des interlocuteurs: pour assurer que le destinataire reçoive le msg d’origine émis par la source – Intégrité et non répudiation des messages: assure que les messages envoyés seront aussitôt reçus sans duplication ni modification – Non-répudiation: empêche tant l’expéditeur que le receveur de nier avoir transmis un message. Ainsi que le message envoyé a été bien reçu – Disponibilité et contrôle d’accès (les personnes doivent pouvoir s’échanger des messages): est la faculté de limiter et de contrôler l’accès aux systèmes et aux applications (droits d’accès) 98
31/03/2011 50 • confidentialité : Protection de l’information d’une divulgation non autorisée • l'intégrité : Protection contre la modification non autorisée de l’information • Disponibilité : S’assurer que les ressources sont accessibles que par les utilisateurs légitimes • Authentification – Authentification des entités (entity authentication) procédé permettant à une entité d’être sûre de l’identité d’une seconde entité à l’appui d’une évidence corroborante (certifiant, ex.: présence physique, cryptographique, biométrique, etc.). Le terme identification est parfois utilisé pour désigner également ce service. – Authentification de l’origine des données (data origine authentication) procédé permettant à une entité d’être sûre qu’une deuxième entité est la source original d’un ensemble de données. Par définition, ce service assure également l’intégrité de ces données. • non-répudiation: Offre la garantie qu’une entité ne pourra pas nier être impliquée dans une transaction • Non-Duplication: Protection contre les copie illicites 99 Dangers et Attaques Services Dangers Attaques Confidentialité fuite d’informations masquerade, écoutes illicites, analyse du trafic Intégrité modification de l’information création, altération ou destruction illicite Disponibilité denial of service, usage illicite virus, accès répétés visant à inutiliser un système Auth. d’entités accès non autorisés masquerade, vol de mot de passe, faille dans le protocole d’auth. Auth. de données falsification d’informations falsification de signature, faille dans le protocole d’auth. Non-répudiation nier la participation à une transaction prétendre un vol de clé ou une faille dans le protocole de signature Non-duplication duplication falsification, imitation 100
31/03/2011 51 Services Mécanismes classiques Mécanismes digitaux Confidentialité scellés, coffre-forts, cadenas cryptage, autorisation logique Intégrité encre spéciale, hologrammes fonctions à sens unique + cryptage Disponibilité contrôle d’accès physique, surveillance vidéo contrôle d’accès logique, audit, anti-virus Auth. d’entités présence, voix, pièce d’identité, reconnaissance biométrique secret + protocole d’auth., adresse réseau + userid carte à puce + PIN Auth. de données sceaux, signature, empreinte digitale fonctions à sens unique + cryptage Non- répudiation sceaux, signature, signature notariale, envoi recommandé fonctions à sens unique + cryptage + signature digitale Non- duplication encre spéciale, hologrammes, tatouage tatouage digital (watermarks), verrouillage cryptographique 101 Mécanismes de protection Problématique: Authentification 102 But: Bob veut prouver son identité à Alice  rencontre physique : son apparence  au téléphone : sa voie  à la douane : son passeport  Intégrité des messages  Signatures électroniques
31/03/2011 52 Cryptographie: La science du secret !! 103 Cryptographie • Définition – Science du chiffrement – Meilleur moyen de protéger une information = la rendre illisible ou incompréhensible • Bases – Une clé = chaîne de nombres binaires (0 et 1) – Un Algorithme = fonction mathématique qui va combiner la clé et le texte à crypter pour rendre ce texte illisible 104
31/03/2011 53 Encryption Process 105 Quelques définitions • Cryptage: permet l’encodage des informations. Il interdit la lecture d’informations par des personnes non autorisées • On distingue 2 procédés de cryptage: – Procédés de transposition, qui modifie la succession des caractères à l’aide d’un algorithme. – Procédés de substitution, qui remplace les caractères d’origine par d’autres prélevés dans une liste – Règle ou clé de cryptage s’appelle Code – Ex: PGP (Pretty Good Privacy): progr. Destiné au cryptage des messages électroniques (conçu par Philip Zimmermann 1991) • Cryptanalyse: analyse de données cryptées 106
31/03/2011 54 Application de la cryptographie • Commerce électronique • Protection de la confidentialité de correspondance • Protection des bases de données contre les intrusions et la dé vulgarisation à des tiers non autorisés • Transmission sécurisée des données sensibles à travers les réseaux internationaux Preuve informatique: Identification et authentification 107 Cryptographie • Ensemble de processus de cryptage visant à protéger les données contre l’accès non autorisés • Repose sur l’emploi des formules mathématiques et des algorithmes complexes afin de coder l’information • Il existe 2 systèmes de cryptographie: – Les systèmes symétriques: la même clé utilisé pour coder et décoder (DES: Data Encryption standard)) – Les systèmes asymétriques: la clé qui sert à coder est différente de celle qui peut déchiffrer (RSA:Rivest Shamir Adelmann 77) 108
31/03/2011 55 Principe de cryptage • Tout système de cryptage est composé d’un algorithme de codage • La Crypt. nécessite 2 fonctions essentielles: – Le message M est crypté par une fonction de cryptage E(M)=C – Le cryptogramme C est décrypté par le destinataire par une fonction de décryptage D(C)=D(E(M)) = M 109 Système de chiffrement • Définition: Un système de chiffrement ou crypto système est un 5- tuple (P,C,K,e,D) ayant les propriétés suivantes: – 1. P est un ensemble appelé l’espace des messages en clair. Un élément de P s’appelle message en clair (Plaintext) – 2. C est un ensemble appelé l’espace des messages chiffrés. Un élément de C s’appelle un message chiffré ou cryptogramme (cyphertext) – 3. K est un ensemble appelé l’espace des clés, ses éléments sont les clés. – 4. e={ek : k Є K } est une famille de fonctions: • ek : P  C, ses éléments sont les fonctions de chiffrement – 5. D={Dk : k Є K } est une famille de fonctions • Dk : C  P, ses éléments sont les fonctions de déchiffrement – 6. A chaque clé e Є K est associé une clé d Є K/ • D d (ee(p))=p pour tout message p Є P 110
31/03/2011 56 • Alice utilise un système de chiffrement pour envoyer un message confidentiel m à Bob. Elle utilise la clé de chiffrement e et Bob utilise la clé de déchiffrement d qui lui correspond. • Alice calcule C= Ee(m) et l’envoie à Bob qui reconstitue m= Dd(C), en gardant la clé de chiffrement secrète – Ex: l’alphabet: A B C … Z et 0 1 2 … 25 – Correspondance entre lettres et nombres, la fonction de chiffrement Ee associé à e Є Z26 est: • Ee: x  (x+e) mod 26 • Dd: x  (x-d) mod 26 lorsque d=e cryptage symétrique. – Exemple: En appliquant le chiffre de César, au mot CRYPTOGRAPHIE, la clé e = 5, fournit le cryptogramme suivant : HWDUYTLWFUMNJ qui est facile à casser. 111 Cryptographie Chiffrement Symétrique • Les Algorithmes utilisant ce système : – DES (Data Encryption Standard, très répandu) : les données sont découpées en blocs de 64 bits et codées grâce à la clé secrète de 56 bits propre à un couple d’utilisateurs – IDEA, RC2, RC4 • Avantage : – Rapide • Inconvénients : – Il faut autant de paires de clés que de couples de correspondants – La non-répudiation n’est pas assurée. Mon correspondant possédant la même clé que moi, il peut fabriquer un message en usurpant mon identité – Transmission de clé 112
31/03/2011 57 Ex. de Chiffrement à clé symétrique • Encryptage par substitution – Époque romaine (Code de César) • Texte en clair : abcdefghijklmnopqrstuvwxyz • Texte crypté : mnbvcxzasdfghjklpoiuytrewq 113 Exemple : Texte en clair: bob. i meat you. alice Texte crypté: nkn. s hcmu wky. mgsbc Difficulté ? 1026 combinaisons possibles.... mais par l'utilisation de règles statistiques on trouve facilement la clé ... ... naissance il y a 500 ans du chiffrement polyalphabétique Algorithmes de cryptographie • Par substitution – On change les lettres suivant une règle précise (ex: A → D la clé est : 3) • Par Transposition – La position des caractères est modifiée. Pour crypter un message on l’écrit en colonne de taille fixe et on lit les colonnes – Ex: Nombre de colonne ici 6 – Texte crypté: TRLFAOREFMDSNZOCAZIASPZT NU.. B R I Q U E S 1 5 3 4 7 2 6 T R A N S F E R E Z U N M I L L I O N D E F R A N C S D A N S M O N C O M P T E Z E R O Z E R O S E P T A B C D 114
31/03/2011 58 Table de Vigenère 115 Exemple 116 C R Y P T O G R A P H I E M A T M A T M A T M A T M O ? ? ? ? ? ? ? ? ? ? ? ?
31/03/2011 59 Chiffrement de Vigenère • Le chiffre de Vigenère est la première méthode de chiffrement poly alphabétique, c'est à dire qui combine deux alphabets pour crypter une même lettre. • Ce chiffrement introduit la notion de clé, qui se présente généralement sous la forme d'un mot ou d'une phrase. Pour pouvoir chiffrer notre texte, à chaque caractère nous utilisons une lettre de la clé pour effectuer la substitution • Mathématiquement, on considère que les lettres de l'alphabet sont numérotées de 0 à 25 (A=0, B=1 ...). La transformation lettre par lettre se formalise simplement par : – Chiffré = (Texte + Clé) mod 26 117 Chiffrement à clé symétrique: DES • Data Encryption Standard (1977 par IBM) • Principe : – découpe le message en clair en morceau de 64 bits auxquelles on applique une transposition – clé de 64 bits (56 bits de clé + 8 bits de parité impaire) • Difficulté et limites? – concours organisé par RSA Data Security 1997 : 4 mois pour casser le code DES 56 bits en brute force par des amateurs 1999 : 22 h pour casser DESIII • solution pour le rendre plus sur .... Passer l'algorithme DES plusieurs fois sur le message avec à chaque fois des clés différentes (ex : 3DES) 118
31/03/2011 60 Schéma de 3DES: 119 La solution a été dans l'adoption du triple DES: trois applications de DES à la suite avec 2 clés différentes (d'où une clé de 112 bits) DES (IBM 77) • Data Encryption Standard • Principe : – découpe le message en clair en morceau de 64 bits auxquelles on applique une transposition – clé de 64 bits (56 bits de clé+8 bits de parité impaire) 120 La recherche exhaustive sur 56 bits (256) est maintenant réaliste. Mars 2007 : 6:4 j, COPACOBANA (utilisation de FPGA) par l’université de Bochum et Kiel (coût 10 000 $)
31/03/2011 61 Cryptographie Chiffrement Asymétrique • Algorithmes utilisant ce système : – RSA (Rivest, Shamir, Adelman) – DSA – El-Gamal – Diffie-Helmann • Avantage : – pas besoin de se transmettre les clés au départ par un autre vecteur de transmission. • Inconvénient : – Lenteur 121 Algorithme RSA 122 • Développé par: Ron Rivest, Adi Shamir et Leonard Adleman en 1977 repose sur des fonctions mathématique Le RSA est un système qui repose intégralement sur la difficulté de factoriser de grands nombres entiers (au moins 100 chiffres actuellement).
31/03/2011 62 Cryptographie à clé publique: RSA • Ron Rivest, Adi Shamir et Leonard Adleman (Développé en 1977 repose sur des fonctions math. De puissance et exponentielles appliqués aux grands nombres) • Algorithme de sélection des clés : – 1) Sélection de 2 grands nombres premiers p et q (1024 bit par ex) – 2) Calculer n=pq et z=(p-1)(q-1) – 3) Choisir un e (e<n) qui n'a pas de facteur commun avec z. (e et z premier entre eux) – 4) Trouver un d tel que ed-1 est exactement divisible par z (ed mod z =1) – 5) Clé public est : (n,e) Clé privé est : (n,d) 123 Ex: RSA, chiffrement, déchiffrement • 1) Clé public est : (n,e) Clé privé est : (n,d) • 2) Alice veut envoyer un nombre m à Bob : c = me mod n • 3) Bob reçoit le message c et calcule : m = cd mod n • Exemple : • p = 5, q = 7 donc n = 35 et z = 24 • Bob choisit e = 5 et d = 29 • ALICE : (chiffrement) m = 12 me=248832 et c = me mod n = 17 • BOB : (déchiffrement) c = 17 , m = cd mod n = 12 • Clé public est : (35, 5) • Clé privé est : (35, 29) 124
31/03/2011 63 Logiciel de chiffrement PGP • PGP (Pretty Good Privacy) était considéré aux USA, comme une arme et interdit à l'exportation • L'algorithme utilisé par PGP, le RSA, permet de chiffrer des informations de manière tellement efficace qu'aucun gouvernement n'est en mesure d'en lire le contenu. • Comme toute invention "dangereuse", incontrôlable et susceptible d'être utilisée contre la mère-patrie, le gouvernement américain en a interdit l'exportation et a classé PGP et le RSA dans la catégorie "armes". • Le code est écrit en Perl 125 • Cette restriction à l'exportation de la cryptographie a eu diverses conséquences: – Pendant longtemps, les navigateurs tels qu'Internet Explorer ont été limités à 40 bits pour tous les "étrangers". Seuls les américains pouvaient télécharger la version 128 bits. – Si on ajoute à cela que l'algorithme RSA était breveté jusqu'en septembre 2000, il n'en a pas fallu plus aux internautes pour créer GPG (Gnu Privacy Guard), un logiciel compatible avec PGP et utilisant Diffie-Hellman à la place de RSA, et hors de contrôle du gouvernement américain puisque créé en Europe. 126
31/03/2011 64 How PGP encryption works? 127 How PGP decryption works? 128
31/03/2011 65 Chiffrement du message avec PGP 129 - Il génère lui même une clé aléatoire (c’est la clé de session). - Il chiffre le message avec la clé de session selon un algorithme à clé privé (DES par exemple) - Il chiffre la clé de session grâce à l’algorithme à clé publique (RSA par exemple) avec la clé publique du destinataire. -Il assemble message chiffré et clé chiffrée en un message prêt à l’expédition. -..MM-sécuritéTDLe logiciel PGP.htm 130 Algorithme de chiffrement asymétrique: Diffie Hellman Algorithme de sécurisation des échanges des clés Apparition suite au problème de l’échange des clés de la cryptographie symétrique (coursier malhonnête) Alice veut transmettre une clé à Bob pour pouvoir échanger un document confidentiel Alice chiffre une clé par une autre clé gardée secrète Alice envoie la clé chiffrée à Bob Bob surchiffre la clé chiffrée avec sa clé secrète puis la transmet à Alice Alice opère alors un déchiffrement de sa partie du chiffrement de la clé et l’envoie a Bob Bob déchiffre la clé chiffrée avec sa clé secrète Ils disposent ainsi tous les deux d’une clé qui n’a à aucun moment circulé en clair
31/03/2011 66 131 Ex. d’Algorithme de Diffie Hellman 132 Algorithme de Hachage Usages de l’algorithme de hachage Alice veut transmettre un document à Bob en lui garantissant son intégrité Alice calcule l’empreinte de son fichier et l’envoie simultanément avec le document Bob recalcule l’empreinte du document et la compare à celle que lui a envoyé Alice S’ils ne sont pas exacts c’est que Ève a intercepté le document et l’a changé Notons que le document échangé n’est pas chiffré Ève peut prendre connaissance de son contenu
31/03/2011 67 Authentification Définition • La personne à qui j'envoie un message crypté est-elle bien celle à laquelle je pense ? • La personne qui m'envoie un message crypté est-elle bien celle à qui je pense ? 133 Authentification Technique d’Identification • Prouveur – Celui qui s’identifie, qui prétend être… • Vérifieur – Fournisseur du service • Challenge – Le Vérifieur va lancer un challenge au prouveur que ce dernier doit réaliser 134
31/03/2011 68 Technique A Clé Publique Principe • Algorithme RSA = Réversible – ((Mess)CPu)CPr = ((Mess)CPr)CPu • Confidentialité • Authentification 135 Comment savoir que le message n’a pas été altéré ?  Fonction de hachage algorithmes de hachage les plus utilisés: MD5 (128 bits) et SHA (160 bits) Signature électronique (1) 136
31/03/2011 69 Pb du hachage : on n’est pas sûr de l’expéditeur  Scellement des données Signature électronique (2) 137 138 Récapitulatif Cryptographie symétrique répond au besoin de la confidentialité DES, 3DES, AES, Blowfish, RC2, RC4, RC5 et DEA Diffie-Hellman répond au besoin de la confidentialité de l’échange des clefs Diffie Hellman Key Exchange Algorithmes de hachage répond au besoin de l’intégrité des documents MD4, MD5 et SHA1 Cryptographie asymétrique répond au besoin de la confidentialité, authentification et non-répudiation RSA, ElGamal et DSA
31/03/2011 70 Societé Mondiale de l’Information“HACKERS” (Challenge) Criminalité organisée (Outil d’escroquerie) Terrorisme (“Warefare”) (Arme) Espionnage (Outil) Societé Mondiale des Intrusions Intenet = « Espace Sans Loi » + «Difficulté de retraçage»Impunité 139 Les virus • Qu’est ce qu’un virus? – Un petit programme ou un élément d'un programme, développés à des fins nuisibles, qui s'installe secrètement sur des ordinateurs et parasite des programmes. • Certains virus, apparus récemment, sont très perfectionnés, qui dans la plupart des cas, exploitent les erreurs commises par les utilisateurs peu informés ou les failles des logiciels. • Les utilisateurs à domicile ne sont pas les seuls à être exposés au danger. Les entreprises et autres organisations peuvent également être victimes d'attaques ciblées, menées par des cybercriminels qui tirent parti d'informations dérobées aux employés. • Les traces  Les virus infectent des applications, copient leur code dans ces programmes. Pour ne pas infecté plusieurs fois le même fichier ils intègrent dans l’application infectée une signature virale. 140
31/03/2011 71 Qu’est ce qu’un ver • Programme capable de se copier vers un autre emplacement par ses propres moyens ou en employant d'autres applications. • Sert à dégrader les performances du réseau dans une entreprise. Comme un virus, un ver peut contenir une action nuisible du type destruction de données ou envoi d'informations confidentielles. • Ex: E-mail Worms – un outil de collecte d'adresses e-mail dans la machine infectée et un outil d'envoie du courrier électroniques • IRC Worms – zones de chat..., – Ver est classé à "IRC Worm 141 Exemple : Koobface • Ver informatique découvert en Novembre 2008 par McAfee, qui sévit sur le site communautaireFacebook. • Le ver Koobface se propage en envoyant des e-mails aux amis des personnes dont l'ordinateur a été infecté, si l’utilisateur a la malheureuse idée de télécharger le programme, son ordinateur va être infecté et dirigera ses utilisateurs sur des sites contaminés lors de recherches sur Google, Yahoo ou encore MSN. • Il serait également capable de dérober des informations de nature personnelle comme un numéro de carte de crédit. • Une réaction officielle par la voix de Barry Schnitt, porte-parole de Facebook a communiqué que : "quelques autres virus ont tenté de se servir de Facebook de manière similaire pour se propager mais jamais aussi important", • Concernant la sécurité des informations personnelles de plus de 200 millions de personnes, une enquête au sein du FBI a été mise en place. 142
31/03/2011 72 Les bombes logiques • Les bombes logiques sont programmées pour s'activer quand survient un événement précis. • De façon générale, les bombes logiques visent à faire le plus de dégât possible sur le système en un minimum de temps. 143 « Keylogger »: • Un Keylogger est un programme parasite qui se propage souvent grâce à des virus, vers ou spywares. • Sa principale fonction est d'espionner toutes les actions effectuées sur votre ordinateur (saisie au clavier, ouverture d'applications, déplacement de fichiers...). • Les traces de ces actions sont stockées dans un emplacement précis puis envoyées vers une boîte aux lettres ou sur un site web. Certaines de vos données les plus confidentielles peuvent ainsi vous être soutirées à l'insu de votre plein gré. 144
31/03/2011 73 Comment s’en protéger …?? • La plupart des keyloggers sont maintenant reconnus par les logiciels antivirus, à condition que ceux-ci soient correctement mis à jour. • Certains keyloggers sont par contre identifiés comme spywares; le recours à un logiciel antispyware est donc nécessaire. 145 Spyware  Les logiciels espions (spyware) : ils sont souvent cachés dans certains graticiels (freeware, mais pas dans les logiciels libres), partagiciels (shareware) et pilotes de périphériques, pour s'installer discrètement afin de collecter et envoyer des informations personnelles à des tiers.  Ex: GATOR, appelé aussi GAIN (Gator Advertising and Information Network) est un type de spyware qui fournit l'option de se rappeler le nom de l’utilisateur et les mots de passe.  Soyez donc vigilants, Il peut aussi se présenter sous la forme d'une fenêtre d'installation de Plug-in sous Internet Explorer. Dans ce cas, refusez catégoriquement...  de logiciels connus pour embarquer un ou plusieurs spywares : Babylon Translator, GetRight, Go!Zilla, Download Accelerator, Cute FTP, PKZip, KaZaA ou encore iMesh. 146
31/03/2011 74 Phishing • Appelé aussi l'hameçonnage peut se faire par courrier électronique, par des sites Web falsifiés ou autres moyens électroniques • C’est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels • consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance (ex: banque, administration, etc.) afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. • forme d'attaque informatique reposant sur l'ingénierie sociale 147 Phishing • Tout commence par la réception d'un mail. Vous recevez de votre banque, de votre fournisseur d'accès ou d'un cyber marchant un message de forme tout à fait habituelle (avec le logo et les couleurs de l'entreprise) vous informant qu'un regrettable incident technique a effacé vos coordonnées. • Vous êtes invité à cliquer sur un lien vous menant au site de l'entreprise en question pour ressaisir soit votre numéro de carte bleue, vos identifiants et mot de passe de connexion. Vous êtes en confiance et suivez attentivement les consignes… 148
31/03/2011 75 phishing = spam + mail spoofing + social engineering + URL spoofing +….. • La pratique du phishing consiste à attirer l'internaute à l’aide d'e-mails non sollicités (Spam) comme envoyés d'adresses officielles (mail_spoofing), incitant la victime, à cliquer sur un lien proposé dans le message. • Ce lien est en réalité malicieux et conçu pour usurper une destination de confiance (URL_spoofing), • Ce qui a pour conséquence de conduire l’internaute sur un site Web visuellement identique au site officiel mais dont la véritable adresse est dissimulée aux yeux de l’internaute victime. 149 Les étapes de sécurité 150 Prendre des mesures
31/03/2011 76 Comment se protéger? • Pare-feu • Mises à jour de votre PC • Logiciels: anti-virus, anti- spyware, anti-spam,.. 151 Stratégies • Approche locale – Poste client • Approche globale – Poste serveur • Ces deux solutions sont complémentaires et doivent faire appel à des moteurs antiviraux de fournisseurs différents 152
31/03/2011 77 Approche antivirale locale/globale • Mise à jour de la table de définitions de virus sur chaque poste client • Solution automatique ou manuelle 153 Serveur antivirus En cas de mise à jour, Notification aux clients présents Requête de mise à jour planifiée Puis téléchargement des mises à jour Interrogation du serveur à chaque démarrage des clients Téléchargement des mises à jour (localement) Les attaques: imitation malicieuse • Tout équipement connecté à un réseau injecte des datagrammes IP – @ IP de l'expéditeur + données de couche supérieure • Si l'utilisateur peut intervenir sur les logiciels ou son système d'exploitation il peut inscrire une @ IP factice (IP spoofing) – permet au pirate responsable de DoS de dissimuler leur identité car il est très difficile de remonter à la source d'un datagramme portant une fausse @ IP • Contre-Mesure : (ingress filtering) – les routeurs vérifient si l'@ IP des paquets entrant font partie des @ IP accessibles via cette interface. 154
31/03/2011 78 Les attaques: Les DOS • Denial Of Service (DoS) – rend un réseau, un hôte ou autre inutilisable pour ses utilisateurs légitimes. – basé sur la production d'un volume de données supérieur à la capacité de traitement de l'entité ciblée. exemple : • SYN flooding avec des @ IP factices : accumulation d'un gd nb de connexions partiellement ouvertes • envoie de fragments IP sans les fragments de terminaison • attaque smurf : envoie de paquets de requête d'échos ICMP en masse • Distributed Denial of Service (DDos) – Le pirate obtient un grand nombre de comptes utilisateurs (sniffing ou brute force) – Il installe et exécute un logiciel esclave au niveau de chaque hôte qui attend les ordres en provenance d'un logiciel maître – Puis le pirate ordonne à tous ses logiciels esclaves de lancer une attaque DoS contre le même hôte ciblé 155 Les outils 156 Workstation Via Email File Server Workstation Mail Server Internet Web Server Via Web Page Workstation Web Server Mail Gateway Anti Virus Firewall Intrusion Detection Vulnerability Management
31/03/2011 79 Ex: Serveur Symantec Client Security • Un serveur Symantec Client Security peut envoyer des mises à jour de configuration et des fichiers de définitions de virus à des clients • SymantecClient security protége les ordinateurs sur lesquels il s’exécute • Le programme client Symantec Client Security fournit une protection antivirus, pare-feu et contre les intrusions aux ordinateurs réseau et autonomes • Alert Management System2 (AMS2). AMS2 assure la gestion des urgences et prend en charge les alertes issues de serveurs et des postes de travail 157 Firewall • Le pare-feu est un système permettant de filtrer les paquets de données échangés avec le réseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces réseau suivante : – une interface pour le réseau à protéger (réseau interne) – une interface pour le réseau externe • Un système pare-feu contient un ensemble de règles prédéfinies permettant : – D'autoriser la connexion (allow) – De bloquer la connexion (deny) – De rejeter la demande de connexion sans avertir l'émetteur (drop). 158
31/03/2011 80 Contrôle d’accès: Les pare-feux • Un pare-feu isole le réseau de l’organisation du reste de l’Internet en laissant pénétrer certains paquets et en bloquant d’autres • Il existe 2 types de pare-feux: – Filtrage simple des paquets (Ex: liste ACL) – Filtrage applicatif (niv. Application) 159 Rôle du pare-feux • Les firewall protègent les installations informatiques des intrusions • surveille (autoriser/denier) les communications d'un PC vers Internet et vice versa • Prévenir les attaques du type Denial Of Service – Inondation des messages SYN avec des @IP d’origine factices, qui paralyse l’hôte. Les tampons de l’hôte sont remplis de messages factices, ce qui ne laissent plus de place pour les vrais messages – Prévenir les modifications de données internes Ex: changer la page Web de l’entreprise – Empêcher les pirates d’accéder à des données sensibles, – Analyser, bloquer ou autoriser les communications via les ports UDP et TCP 160
31/03/2011 81 Filtrage de paquets • Le réseau interne est équipé d’une passerelle le reliant à son FAI. On se faire le filtrage des paquets • Filtrage basé sur l’étude des en-tête de paquet – @ IP d’origine et de destination – Des types des messages ICMP – Des datagrammes de connexion et d’inintialisation utilisant les bits TCP SYN ou Ack – Ex/ filtre les segments UDP et les connexions Telnet (segment TCP avec Port 23). Évite toute intrusion étrangère via une session Telnet. • Mise en place d'une passerelle d'application (gateway) Serveur spécifique aux applications que toutes les données d'applications doivent traverser avant de quitter ou d'entrer dans le réseau 161 Filtrage applicatif • Appelé aussi « passerelle applicative » ou proxy • le filtrage applicatif permet la destruction des en-têtes précédant le message applicatif, ce qui permet de fournir un niveau de sécurité supplémentaire. • En contrepartie, une analyse fine des données applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communications, chaque paquet devant être finement analysé. • Afin de limiter les risques le proxy doit nécessairement être en mesure d'interpréter une vaste gamme de protocoles et doit connaître les failles afférentes pour être efficace. 162
31/03/2011 82 Limitations des pare-feux • Usurpation d’identité (IP spoofing) le routeur est impuissant face à ce type d’attaque • Si chaque application nécessite un traitement particulier Il faut une passerelle par application Les client de ces applications doivent pouvoir configurer les logiciels (ex: navigateur avec les proxy) • Les filtres sont très grossiers: Les spyware et adware (des progr. Commerciaux sont nuisibles ne sont pas détectés par les anti-virus) utilisant le port 80 ne sont donc en aucun cas pris en compte par un firewall hardware. • il est nécessaire d'administrer le pare-feu et notamment de surveiller son journal d'activité afin d'être en mesure de détecter les tentatives d'intrusion et les anomalies. 163 Zone Démilitarisée DMZ • Il est nécessaire de mettre en place des architectures de systèmes pare-feux permettant d'isoler les différents réseaux de l'entreprise: on parle ainsi de « cloisonnement des réseaux » (isolation) • « Zone DéMilitarisée » ( DMZ pour DeMilitarized Zone) pour désigner cette zone isolée hébergeant des applications mises à disposition du public 164
31/03/2011 83 Architecture DMZ • Les serveurs situés dans la DMZ sont appelés « bastions » en raison de leur position d'avant poste dans le réseau de l'entreprise. • La DMZ possède donc un niveau de sécurité intermédiaire, mais son niveau de sécurisation n'est pas suffisant pour y stocker des données critiques pour l'entreprise. 165 Politique de sécurité • La politique de sécurité mise en oeuvre sur la DMZ est généralement la suivante : – Traffic du réseau externe vers la DMZ autorisé ; – Traffic du réseau externe vers le réseau interne interdit ; – Traffic du réseau interne vers la DMZ autorisé ; – Traffic du réseau interne vers le réseau externe autorisé ; – Traffic de la DMZ vers le réseau interne interdit ; – Traffic de la DMZ vers le réseau externe refusé. 166
31/03/2011 84 NAT • Le principe du NAT consiste à réaliser, au niveau de la passerelle de connexion à internet, une translation entre l'adresse interne (non routable) de la machine souhaitant se connecter et l'adresse IP de la passerelle. • Le terme NAT représente la modification des adresses IP dans l'en-tête d'un datagramme IP effectuée par un routeur. SNAT : @source du paquet qui est modifiée (altérée) DNAT : @destination qui est modifiée (altérée) 167 Network Address Translation: NAT • Fonctionnement du NAT: – Translation des @IP de l’en tête – Recalcul et vérification du checksum – Recalcul et modification du checksum TCP – NAT cache l’identité « réelle » des Hosts – Tout paquet de données qui doit être translater doit passer par un routeur NAT – permet de sécuriser le réseau interne étant donné qu'il camoufle complètement l'adressage interne. Pour un observateur externe au réseau, toutes les requêtes semblent provenir de la même adresse IP. 168
31/03/2011 85 Les différents types de NAT On distingue deux types différents de NAT: NAT statique NAT dynamique 169 Principe de NAT • Le principe du NAT statique: – consiste à associer une @IP publique à une @IP privée interne au réseau. Le routeur (passerelle) permet donc d'associer à une @IP privée (ex: 192.168.0.1) une @IP publique routable sur Internet et de faire la traduction, dans un sens comme dans l'autre, en modifiant l‘@ dans le paquet IP. – La translation d‘@-statique permet ainsi de connecter des machines du réseau interne à internet de manière transparente • NAT dynamique – permet de partager une @IP routable entre plusieurs machines en @ privé. Ainsi, toutes les machines du réseau interne possèdent virtuellement, vu de l'extérieur, la même @IP. C'est la raison pour laquelle le terme de « mascarade IP » (IP masquerading) est parfois utilisé pour désigner le mécanisme de translation d'adresse dynamique. 170
31/03/2011 86 10.0.0.12/24 10.0.0.12/24 (@ interne) 193.22.35.42/24 (@ externe) Internet 171 Les avantages et Inconvénients du NAT Statiques • NAT statique a permis de rendre une machine accessible sur Internet alors qu'elle possédait une adresse privée. • la NAT statique permet de rendre disponible une application sur Internet ( serveur web, mail ou serveur FTP). Le principe du NAT statique ne résout pas le problème de la pénurie d'adresse puisque n adresses IP routables sont nécessaires pour connecter n machines du réseau interne. 172
31/03/2011 87 Avantages NAT Dynamique • Le NAT dynamique permet de partager une adresse IP routable (ou un nombre réduit d'adresses IP routables) entre plusieurs machines en adressage privé. • NAT dynamique utilise la translation de port (PAT - Port Address Translation) • Elle permet d’économiser les adresse IP. cela permet de répondre au problème de pénurie d'adresses. • Elle permet une sécurité accrue, car il n'existe aucun moyen pour quelqu'un de l'extérieur, d'accéder aux machines internes. 173 Les inconvénients • Elle est donc utile pour partager un accès Internet, mais pas pour rendre un serveur accessible. • IPSec est totalement incompatible avec le NAT • La NAT dynamique seule ne peut pas être considérée comme une sécurité suffisante. Il est indispensable d'utiliser un filtrage si l'on veut obtenir un bon niveau de sécurité. 174
31/03/2011 88 Architecture IPsec 1. Introduction 2. Services IPsec 3. Modes d’utilisation 175 IPsec : Introduction • On a conçu IPSec (Internet Protocol Security) pour sécuriser le protocole IPv6. La lenteur de déploiement de ce dernier a imposé une adaptation d’IPSec à l’actuel protocole IPv4. • Plusieurs RFC successives décrivent les différents éléments d’IPSec : RFC 2401, 2402, 2406, 2408… 176
31/03/2011 89 IPsec : Introduction • Internet Protocol Security est un ensemble de protocoles (couche 3 modèle OSI) utilisant des algorithmes permettant le transport de données sécurisées sur un réseau IP. • Composante indissociable d’IPV6, optionnelle en IPV4 • Composant de VPN • Permet l’établissement de communication sécurisée • Les services et algorithmes utilisés sont paramétrables. 177 IPsec : 4 services • Authentification des données : – chaque paquet échangé a bien été émis par la bonne machine et qu’il est bien à destination de la seconde machine • Confidentialité des données échangées : – chiffrer le contenu des paquets IP pour empêcher qu’une personne extérieure ne le lise • Intégrité des données échangées : – s’assurer qu’aucun paquet n’a subit une quelconque modification durant son trajet. • Protection contre l’analyse de trafic : – chiffrer les adresses réelles de l’expéditeur et du destinataire, ainsi que tout l’en-tête IP correspondant. C’est le principe de base du tunneling. 178
31/03/2011 90 Fonctionnement • On établit un tunnel entre deux sites: • IPSec gère l’ensemble des paramètres de sécurité associés à la communication. • Deux machines passerelles, situées à chaque extrémité du tunnel, négocient les conditions de l’échange des informations : – Quels algorithmes de chiffrement, quelles méthodes de signature numérique ainsi que les clés utilisées pour ces mécanismes. – La protection est apportée à tous les trafics et elle est transparente aux différentes applications. 179 • IPSec prévoit la définition de la politique de sécurité avec le choix des algorithmes utilisés et leur portée. • Une fois qu’une politique est définie, il y a échange des clés avec un mécanisme IKE (Internet Key Exchange) [utilisant le port 500 et le transport UDP]. • On peut mettre en oeuvre l’authentification soit en supposant que les deux extrémités se partagent déjà un secret pour la génération de clés de sessions, soit en utilisant des certificats et des signatures RSA. • Les machines passerelles traitent ensuite les données avec la politique de sécurité associée. • IPSec propose ensuite deux mécanismes au choix pour les données de l’échange : ESP (Encapsulating Security Payload) et AH (Authentication Header). • ESP fournit l’intégrité et la confidentialité, AH ne fournit que l’intégrité. 180
31/03/2011 91 IPsec : Atouts et limites • Atouts :la richesse de son offre de services de sécurité qui : – Est exploitable dans les couches hautes de TCP-IP. – Est ouvert à tous les équipements. – Peut intervenir dans différentes configurations. • Un point faible de IPSec : la gestion des clés  solution un PKI (Public Key Infrastructure). 181 IPsec : Architecture • Ensemble de protocoles couvrant deux aspects – Encapsulation des datagrammes IP dans d’autres datagrammes IP •  services de sécurité (intégrité, confidentialité, …etc.) – Négociation des clés et des associations de sécurité •  utilisées lors de l ’encapsulation 182
31/03/2011 92 IPsec : Architecture • 2 protocoles définis pour l’encapsulation – Authentication Header (AH) – Encapsulating Security Payload (ESP) • 1 protocole pour l’échange de clés – Internet Key Exchange (IKE) 183 DOI IPsec -RFC 2407: Architecture 184
31/03/2011 93 AH • Les algorithmes d'authentification utilisables avec AH sont répertoriés dans le DOI IPsec; il existe notamment HMAC-MD5 et HMAC-SHA-1. • Assure l’authentification de la source – Protection contre source spoofing • Assure l’intégrité des données – Algorithme d’hachage 96 bits – Utilise une cryptographie à clé symétrique – HMAC-SHA-96, HMAC-MD5-96 • Protection contre le rejeu – Utilise un mécanisme anti-rejeu (nombre de séquence) • Non répudiation – Utilisation du RSA • Aucune protection de confidentialité – Données signées et non chiffrées 185 • Selon les modes de fonctionnement choisis (transport ou tunnel) la position de l'en tête d'authentification AH est la suivante : • Les algorithmes d’authentification utilisables avec AH sont listés dans le DOI IPsec (RFC 2407). 186 Position de AH en mode transport. Position de AH en mode tunnel.
31/03/2011 94 ESP • ESP assure quant à lui la confidentialité des données mais peut aussi assurer leur intégrité en mode non connecté et l'authentification de leur origine. • A partir du datagramme IP classique, un nouveau datagramme dans lequel les données et éventuellement l'en tête originale sont chiffrées, est crée. C'est une réelle encapsulation entre un en tête et un trailer. • La protection contre le rejeu est fournie grâce à un numéro de séquence si les fonctions précédentes ont été retenues • Idem plus la confidentialité des données – utilise une encryption à clés symétrique 187 • Suivant les modes de fonctionnement choisis (transport ou tunnel) la position de ESP est la suivante : 188 Position de ESP en mode transport. Position de ESP en mode tunnel.
31/03/2011 95 IPsec : Architecture • IPsec assure la sécurité en trois situations – Hôte à hôte – Routeur à routeur – Hôte à routeur • IPsec opère en deux mode – Mode transport – Mode tunnel (VPN) 189 Mode transport • Transport – Utilisé uniquement entre deux machines qui elles-mêmes responsable du chiffrement/déchiffrement . – Seulement les données qui sont chiffrées. Les en-tête IP sont conservés 190 Internet VPN Security gateway 1 Security gateway 2 Server B A B data encrypted Workstation A
31/03/2011 96 Mode tunnel • Tunnel – Le flux est entre deux machines qui se trouvent derrièredeux passerelles faisant le chiffrement/déchiffrement – En-tête IP et données sont chiffrés et un nouveau en-tête est généré avec l’adresse IP du serveur VPN. 191 A B data A B data1 2 Internet VPN Security gateway 1 Security gateway 2 Workstation A Server B encryptedA B data source destination Capture ISAKMP: Internet Security Association and Key Management Protocol 192 • Capture d’écran à l’aide de Wireshark réalisée dans la séance de TP avec IPSEC. On peut voir le déploiement de l’ISAKMP lors de l’échange
31/03/2011 97 193 Qu’est ce qu’un VPN ? • VPN,acronyme de Virtual Private Network, ou Réseau Privé Virtuel. Ce réseau est dit virtuel car il relie des réseaux "physiques" (réseaux locaux) via un réseau public, en général Internet, et privé car seuls les ordinateurs des réseaux locaux faisant partie du VPN peuvent accéder aux données. • Cette technique assure l’authentification en contrôlant l’accès, l’intégrité des données et le chiffrage de celles-ci. 194
31/03/2011 98 195 VPN • La mise en place d'un réseau privé virtuel permet de connecter de façon sécurisée des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils étaient sur le même réseau local. • Ce procédé est utilisé par de nombreuses entreprises afin de permettre à leurs utilisateurs de se connecter au réseau d'entreprise hors de leur lieu de travail. On peut facilement imaginer un grand nombre d'applications possibles : – Accès au réseau local (d'entreprise) à distance et de façon sécurisée pour les travailleurs nomades – Partage de fichiers sécurisés – Jeu en réseau local avec des machines distantes 196
31/03/2011 99 Les Protocoles de Tunnelisation • Les principaux protocoles de tunneling sont : – PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2 développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics. – L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco Systems, Northern Telecom (Nortel) et Shiva. – L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 2661) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP. – IPsec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données chiffrées pour les réseaux IP. – SSL/TLS offre une très bonne solution de tunneling. L'avantage de cette solution est d'utiliser un simple navigateur comme client VPN. – SSH Initialement connu comme remplacement sécurisé de telnet, SSH offre la possibilité de tunneliser des connections de type TCP. 197 198 Une entreprise Multi-site désire de plus en plus ouvrir son réseau à ses employés travaillant à distance, en toute sécurité. C’est l’enjeu auquel répond efficacement une solution de type VPN
31/03/2011 100 SSL : Secure Socket Layer • C'est un système qui permet d'échanger des informations entre 2 ordinateurs de façon sûre. SSL assure 3 aspects: – Confidentialité: Il est impossible d'espionner les informations échangées. – Intégrité: Il est impossible de truquer les informations échangées. – Authentification: Il permet de s'assurer de l'identité du programme, de la personne ou de l'entreprise avec laquelle on communique. • SSL est un complément à TCP/IP et permet (potentiellement) de sécuriser n'importe quel protocole ou programme utilisant TCP/IP. • SSL a été créé et développé par la société Netscape et RSA Security. 199 Récapitulatif • Accès non autorisé Authentification • Confidentialité Chiffrement • Virus Antivirus • Intrusion IDS/IPS Firewall • Modification Hachage consiste à verrouiller les données à l’aide des composants matériels: clipper-chips 200

Contenu connexe

PDF
Administration réseau snmp 2
parMohamed Faraji
 
PDF
Poly reseau transparents_ppt
parLily Babou
 
PDF
Rapport fiifo4 snmp
parCoko Mirindi Musaza
 
PPTX
Le concept de réseaux
parFadhel El Fahem
 
PDF
1 securite-des-reseaux.2 p
parAbdellah Alahyane
 
PPTX
Administration réseaux sous linux cours 1
parStephen Salama
 
PDF
1 réseaux et protocoles-sécurité-partie 1 v2
parHossin Mzaourou
 
PPTX
Exposéréseau
parNoura Mohamed
 
Administration réseau snmp 2
parMohamed Faraji
 
Poly reseau transparents_ppt
parLily Babou
 
Rapport fiifo4 snmp
parCoko Mirindi Musaza
 
Le concept de réseaux
parFadhel El Fahem
 
1 securite-des-reseaux.2 p
parAbdellah Alahyane
 
Administration réseaux sous linux cours 1
parStephen Salama
 
1 réseaux et protocoles-sécurité-partie 1 v2
parHossin Mzaourou
 
Exposéréseau
parNoura Mohamed
 

Tendances

PDF
Cours sécurité 2_asr
parTECOS
 
PPT
2 aaz fonctionnement d'un nids
parkaser info2aaz
 
PPTX
IDS,SNORT ET SÉCURITÉ RESEAU
parCHAOUACHI marwen
 
PDF
1 securite-des-reseaux.2 p
parsimomans
 
PPT
Mécanismes de sécurité
parGhazouani Mahdi
 
PDF
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
parSmartnSkilled
 
PPTX
Installation et configuration d'un système de Détection d'intrusion (IDS)
parCharif Khrichfa
 
Cours sécurité 2_asr
parTECOS
 
2 aaz fonctionnement d'un nids
parkaser info2aaz
 
IDS,SNORT ET SÉCURITÉ RESEAU
parCHAOUACHI marwen
 
1 securite-des-reseaux.2 p
parsimomans
 
Mécanismes de sécurité
parGhazouani Mahdi
 
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
parSmartnSkilled
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
parCharif Khrichfa
 

En vedette

PDF
Wafa kamoun-admin-sec-reseaux
parinfcom
 
PDF
Tpdba1
parinfcom
 
PDF
Examens Khaled Jouini ISITCOM ORACLE BD
parinfcom
 
PDF
Examens Zaki Brahmi ISITCOM
parinfcom
 
PDF
T2 corrections-qc md
parinfcom
 
PDF
19
parZied Bouzghaya
 
PDF
Problématique de l'énergie pour les réseaux de capteurs isolés Dominique Jute...
parAFEIT
 
PDF
T1 corrections-qcm
parinfcom
 
PPT
installation et configuration du DNS sous Windows serveur 2003
parSouhaib El
 
PPT
Socket programming
parchandramouligunnemeda
 
PDF
Slides capteurs partie 1
parzinoha
 
PPTX
Réseau de capteurs sans fils wsn
parAchref Ben helel
 
Wafa kamoun-admin-sec-reseaux
parinfcom
 
Tpdba1
parinfcom
 
Examens Khaled Jouini ISITCOM ORACLE BD
parinfcom
 
Examens Zaki Brahmi ISITCOM
parinfcom
 
T2 corrections-qc md
parinfcom
 
19
parZied Bouzghaya
 
Problématique de l'énergie pour les réseaux de capteurs isolés Dominique Jute...
parAFEIT
 
T1 corrections-qcm
parinfcom
 
installation et configuration du DNS sous Windows serveur 2003
parSouhaib El
 
Socket programming
parchandramouligunnemeda
 
Slides capteurs partie 1
parzinoha
 
Réseau de capteurs sans fils wsn
parAchref Ben helel
 

Similaire à Cours admin-secure-4 avril-2011

PDF
Support de cours d'Administration Réseau Sous Windows/ L1 UKV 2024
parBernardKabuatila
 
PDF
Cours Administration Reseau-Domga-2020_2021_New.pdf
parJEANMEBENGAMBALLA
 
PDF
Administration Reseau
pardenischef1
 
PPTX
Administration reseau
parnadimoc
 
PPT
Introduction algorithme et programmation.ppt
parFchtlMounim
 
PPT
Intro1_IO4.ppt
parAboulayeOuattara2
 
PDF
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
parCERTyou Formation
 
PPTX
Administration_et_Supervision_RESEAU (1).pptx
parJordaniMike
 
PDF
ADMINISTRATION DES RESEAUX INFORMATIQUES By Prof. YENDE R..pdf
parFatimaMEBCHOUR2
 
PDF
NOTES D'ADMINISTRATION réseaux RX. Ir Denis NDJADI_075928.pdf
parFondation Denis Ndjadi
 
PDF
Principes fondamentaux de la sécurité du réseau.
parDjibyMbaye1
 
PDF
TUNDA OLEMBE DJAMBA, LA SUPERVISION DES RÉSEAUX ET SES APPLICATIONS. VERSION 2
parTUNDA-OLEMBE DJAMBA
 
PPTX
RADIUS ET TACACS+.pptx
parZokomElie
 
PDF
Ft administration de réseau
paradifopi
 
PPT
admin_reseaux_5B1_5D_1_Informatiques.ppt
parPatrickVingi
 
PPT
administration reseaux.ppt
parHassanSaadaoui2
 
PPTX
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
parAlbertSmithTambwe
 
PPTX
Présentation _réseaux_protocoles_sécurité.pptx
parmahmoudrim1
 
PDF
cours-ADMINISTRATION DUN RESEAU INFORMATIQUE.pdf
parGodefroyCheumaniTche1
 
DOCX
SESEN_Atilgan_fr_20150511
parAtilgan Sesen
 
Support de cours d'Administration Réseau Sous Windows/ L1 UKV 2024
parBernardKabuatila
 
Cours Administration Reseau-Domga-2020_2021_New.pdf
parJEANMEBENGAMBALLA
 
Administration Reseau
pardenischef1
 
Administration reseau
parnadimoc
 
Introduction algorithme et programmation.ppt
parFchtlMounim
 
Intro1_IO4.ppt
parAboulayeOuattara2
 
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
parCERTyou Formation
 
Administration_et_Supervision_RESEAU (1).pptx
parJordaniMike
 
ADMINISTRATION DES RESEAUX INFORMATIQUES By Prof. YENDE R..pdf
parFatimaMEBCHOUR2
 
NOTES D'ADMINISTRATION réseaux RX. Ir Denis NDJADI_075928.pdf
parFondation Denis Ndjadi
 
Principes fondamentaux de la sécurité du réseau.
parDjibyMbaye1
 
TUNDA OLEMBE DJAMBA, LA SUPERVISION DES RÉSEAUX ET SES APPLICATIONS. VERSION 2
parTUNDA-OLEMBE DJAMBA
 
RADIUS ET TACACS+.pptx
parZokomElie
 
Ft administration de réseau
paradifopi
 
admin_reseaux_5B1_5D_1_Informatiques.ppt
parPatrickVingi
 
administration reseaux.ppt
parHassanSaadaoui2
 
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
parAlbertSmithTambwe
 
Présentation _réseaux_protocoles_sécurité.pptx
parmahmoudrim1
 
cours-ADMINISTRATION DUN RESEAU INFORMATIQUE.pdf
parGodefroyCheumaniTche1
 
SESEN_Atilgan_fr_20150511
parAtilgan Sesen
 

Plus de infcom

PDF
Dba oracle-v1
parinfcom
 
PDF
Examens Linda Jedidi ISITCOM
parinfcom
 
PDF
Examens Iyed Ben Slimene ISITCOM Communication sans fil
parinfcom
 
PDF
Db aing td3v1
parinfcom
 
PPT
Chap06 (méthodes de vérification)
parinfcom
 
PDF
Db aing td2v1
parinfcom
 
PPT
Chap05 (buchi)
parinfcom
 
PDF
Db aing td1v1
parinfcom
 
PDF
Examens heykel Tej ISITCOM ingénierie protocoles
parinfcom
 
PDF
Tpdba3
parinfcom
 
PPT
Chap02 fsm-mpssr-ht
parinfcom
 
PPT
Ch4
parinfcom
 
PPT
Ch2
parinfcom
 
PPT
Ch1
parinfcom
 
PPT
Ch3 ing
parinfcom
 
PDF
Examens Aline Laatiri ISITCOM
parinfcom
 
Dba oracle-v1
parinfcom
 
Examens Linda Jedidi ISITCOM
parinfcom
 
Examens Iyed Ben Slimene ISITCOM Communication sans fil
parinfcom
 
Db aing td3v1
parinfcom
 
Chap06 (méthodes de vérification)
parinfcom
 
Db aing td2v1
parinfcom
 
Chap05 (buchi)
parinfcom
 
Db aing td1v1
parinfcom
 
Examens heykel Tej ISITCOM ingénierie protocoles
parinfcom
 
Tpdba3
parinfcom
 
Chap02 fsm-mpssr-ht
parinfcom
 
Ch4
parinfcom
 
Ch2
parinfcom
 
Ch1
parinfcom
 
Ch3 ing
parinfcom
 
Examens Aline Laatiri ISITCOM
parinfcom
 

Cours admin-secure-4 avril-2011

  • 1.
    31/03/2011 1 Administration & Sécurité des réseaux WafaKAMMOUN 1 2eme Ingénieurs ISITCom H-SouSSe 2010 - 2011 Plan de Cours • Administration : – Introduction à l’administration réseaux – Rappel sur les Protocoles et services IP – Administration des équipements (Firewall, routeur) – Listes ACL – Administration des serveurs DNS, DHCP – Administration SNMP (Simple Network Management Protocol),.. • Sécurité : – Introduction à la sécurité informatique – # types d’attaques (Hacking) – La cryptographie & l’authentification, – Les DMZ et Firewalls – VPN, SSL (Secure Socket Layer) • Références: – http://www.itu.int/cybersecurity/ – http://www.w3.org/P3P/ – Stallings William, Sécurité des réseaux, applications et standards, Vuibert, 2002, ISBN 978-2-71- 178653 2
  • 2.
    31/03/2011 2 Quelques définitions • Administrateur: – Administrateur Système: • Personne responsable de la totalité de la gestion du système informatique. Il surveille et en assure la maintenance du système de manière à garantir un fonctionnement irréprochable. Veiller au bon fonctionnement des sauvegardes. – Administrateur réseau: • Chargé de la gestion de tout type d’équipements réseau. Il est responsable de bon fonctionnement configuration des équipements réseau, de la répartition des droits d’accès des utilisateurs à accéder aux serveurs. Lui seul a le droit d’ajouter des utilisateurs ou d’annuler des autorisations d’accès, ainsi que l’installation du SE réseau et de la sécurité des données sur l’ensemble du réseau 3 Fonctions & Objectifs • Administration – Administration des serveurs, Administration des équipements et des applications (FTP, Web, courrier,..) – Déploiement, intégration, gestion des ressources réseaux mais aussi humaine – Gérer des 100 ou des 1000 d’utilisateurs dans des systèmes autonomes – Surveillance, test de performance, d’audit, de configuration du réseau – Évaluation des ressources nécessaires • Sécurité: – Protéger le réseau contre les accès non autorisés, divulgations – Contrôle d’accès: Les pare-feux (Firewalls) – Cryptographie et authentification – Récupérer les données à la suite d’un événement catastrophique • La sauvegarde des données sur bande magnétique (quotidienne, complète, incrémentielle,..) • La configuration des disques de tolérance de pannes (Les techniques de redondance,..) • L’utilisation des dispositifs d’alimentation sans coupure – Se protéger contre les attaques (virus, trojan,..) ….. Et tout ça pour un coût raisonnable !!! 4
  • 3.
    31/03/2011 3 Buts • Le réseauest devenu une ressource indispensable (voire vitale) au bon fonctionnement d’une entreprise,.. • L’administration du réseau met en œuvre un ensemble de moyen pour : – offrir aux utilisateurs un service de qualité – Permettre l’évolution du système en intégrant des nouvelles fonctionnalités – Optimiser les performances des services pour les utilisateurs – Permettre une utilisation maximale des ressources avec un coût minimal 5 Administration = Partie opérationnelle d’un réseau • Les fonctions d'administration doivent permettre: – l'extraction des informations des éléments du réseau au moyen d'outils (trace) => récolte un grand nombre d'information, – la réduction du volume d'information au moyen de filtres => sélection d'information significatives (analyser), – le stockage des informations retenues dans une base de données d'administration, – des traitements sur ces informations, – offrir des interfaces (utilisateur administration, opérateur réseau). 6
  • 4.
    31/03/2011 4 Les attendus d’uneadministration de réseau • Les 5 domaines fonctionnels de l'administration tel que définis dans l'OSI: – La gestion des pannes : permet la détection, la localisation, la réparation de pannes et le retour à une situation normale dans l'environnement. – La comptabilité : permet de connaître les charges des objets gérés, les coûts de communication, ... Cette évaluation est établie en fonction du volume et de la durée de la transmission. Ces relevés s'effectuent à deux niveaux : Réseau et Application. – La gestion des configurations : permet d'identifier, de paramétrer les différents objets. Les procédures requises pour gérer une configuration sont la collecte d'information, le contrôle de l'état du système, la sauvegarde de l'état dans un historique – L'audit des performances : permet d'évaluer les performances des ressources du système et leur efficacité. Les performances d'un réseau sont évaluées à partir de quatre paramètres : le temps de réponse, le débit, le taux d'erreur par bit et la disponibilité. – La gestion de la sécurité : une des fonctions de gestion concerne le contrôle et la distribution des informations utilisées pour la sécurité. Un sous-ensemble de la MIB (Management Information Base) concerne les informations de sécurité (SMIB). Il renferme le cryptage et la liste des droits d'accès. 7 L’organisation d’une administration • Qui a besoin d'administration et pour quoi faire ? • Il existe différents types de décision d'administration : – décisions opérationnelles : décision à court terme, concernant l'administration au jour le jour et opérations temps réel sur le système – décisions tactiques : décision à moyen terme concernant l'évolution du réseau et l'application des politiques de long terme – décisions stratégiques : décision de long terme concernant les stratégies pour le futur en exprimant les nouveaux besoins et désirs des utilisateurs. • Ces niveaux déterminent différents niveaux d'administration: – le contrôle opérationnel réseau pour les décisions opérationnelles – la gestion réseau pour les décision tactiques – l'analyse de réseau pour les décision tactiques et stratégiques – la planification pour les décisions stratégiques 8
  • 5.
    31/03/2011 5 Administration des réseaux •Protocoles TCP/IP et les protocoles d’application • Principe de routage (IP,ICMP, RIP,OSPF,..) • Administration des serveurs : – Serveur de résolution des noms, DNS – Serveur de configuration dynamique, DHCP – Serveur de transfert des fichiers, FTP – Services pour accéder à des machines distantes, Telnet – Serveur Web – Protocole d’administration réseau, SNMP 9 Les domaines d’activités • La gestion des pannes: – Détection, localisation, isolation, réparation • Gestion des configurations – Identification des ressources – Installation, initialisation, paramétrage, reconfiguration. – Collecte des informations utiles et sauvegarde d’un historique. • Audit des performances – Évaluation: collecter les données et établir des statistiques sur les performances (temps de réponse, taux d’utilisation, débit, taux d’erreur, disponibilité) – Gestion de trafic : satisfaire les besoins des users (à qui attribuer un grand dédit…) 10
  • 6.
    31/03/2011 6 Les domaines d’activités •Gestion de la comptabilité: – Gérer la charge des ressources pour empêcher toute surcharge (congestion). – Gérer le coût d’utilisation des ressources et les facturer – Gérer le quota d’exploitation de la ressources ( imprimante, disques…) • Gestion de la sécurité – But: protéger les ressources du réseau et du système d’administration – Commet: Assurer les services de la sécurité (authentification, confidentialité, intégrité, disponibilité et non répudiation). – Moyen : cryptographie + logiciel de supervision + audit  surveillance des journaux. Exemple : sous WinNT Server (journaux d’évènements) • Journal de sécurité • Journal système • Journal application 11 Administrer un réseau IP • Un réseau IP est un ensemble d’équipements: – Possédant chacun une ou plusieurs interfaces – Reliés entre eux par des supports physiques divers – Gestion des pannes – Gestion des configurations – Audit des performances – Gestion de la sécurité • Administrer un réseau IP: – Définir un plan d’adressage cohérent – Affecter une adresse IP à chaque interface – Mettre en œuvre le routage entre ces divers éléments 12
  • 7.
    31/03/2011 7 Détecter un problèmeréseau : • PING : Permet de valider une connexion point à point usage : ping xxx.xxx.xxx.xxx (x : adresse IP de la machine) TRACE ROUTE : Permet de donner les chemins de communication entre deux machines usage : tracert xxx.xxx.xxx.xxx (x : adresse IP de la machine) ARP : Permet d'obtenir l'adresse MAC (fabriquant) d'un épement usage : arp -a xxx.xxx.xxx.xxx (x : adresse IP de la machine) NBTSTAT : Permet d'obtenir le nom de l'utilisateur connecté sur une machine usage : nbtstat -A xxx.xxx.xxx.xxx (x : adresse IP de la machine) nbtstat -a nom.domaine si l'on connait le nom de la station nbtstat -c pour afficher tout le cache Windows NT : IPCONFIG : Affiche la configuration IP UNIX : vmstat ps pstat · netstat · netstat -i · +Ierrs : cable ? · +Oerrs : Ctrl ? · -a send_@ != 0 : Lan Overload · -s Bad CRC != 0 : Router · !LAN>= 0 retrans : timeout <5% = ok · Et enfin pour ajouter une route: · route> add x.x.x.xequip MASK x.x.x.x sub x.x.x.xrouter -p 13 14
  • 8.
    31/03/2011 8 Adressage IP • Uneadresse IP est constituée de deux numéros: • IP address = <network number><host number> • Le numéro de réseau identifie le réseau sur lequel est connecté le nœud. Ce numéro doit être unique. • Le numéro d'hôte identifie le nœud sur le réseau en question. – classe A : de 1 à 126 – classe B : de 128.1. à 191.254 – classe C : de 192.0.1 à 223.255.254 15 16
  • 9.
  • 10.
    31/03/2011 10 SR & Masquede SR • Le nombre croissant de réseaux, notamment sur Internet, a fini par poser problème, en particulier à cause de la saturation du schéma d'adressage. • Le fractionnement d'un réseau en plusieurs réseaux permet de réduire le trafic sur chacun des réseaux ou d'isoler certains groupes de travail. – <@-IP> = <netw.nr><subnet nr><host nr> – L'échange de messages des stations situées sur deux sous-réseaux différents ne pourra se faire directement, mais uniquement par l'intermédiaire d'un routeur. • Exemple Une classe A avec un masque de SR: 255.255.0.0 est découpée en 254 SR de 65534 stations. – Une classe A avec un masque de SR 255.240.0.0 (11111111 11110000 00000000 00000000) est découpée en 14 SR de 1 048 574 stations (4 bits permettent de coder 16 valeurs - 2 réservées). 19 20
  • 11.
    31/03/2011 11 21 Mise en oeuvre •La mise en œuvre de sous-réseaux passe par les étapes suivantes: – Déterminer le nombre de sous-réseaux à adresser. – Déterminer le nombre maximum d'hôtes sur chaque sous-réseau. – Calculer le nombre de bits nécessaires pour les sous-réseaux et pour les stations (en prévoyant les évolutions) – Positionner le masque de sous-réseau. – Lister les différents numéros de sous-réseaux possibles en éliminant les "tout à 0" et les "tout à 1". • Exemple : Un réseau d'adresse 160.16.0.0 est divisé en 8 SR Chacun de ces SR accueille ont au moins 1000 hôtes. 22
  • 12.
    31/03/2011 12 Solution • Pour adresser8 sous-réseaux différents, il faut 8 numéros. 3 bits permettent d'adresser 6 (8-2) sous- réseaux et 4 bits permettent d'adresser 14 sous- réseaux. Il faut donc prendre cette dernière solution. Il reste dans ce cas, 12 bits pour le numéro d'hôte ce qui permet 4094 numéros d'hôtes. Le masque sera donc : – 11111111 11111111 11110000 00000000 réseau SR hôte – soit en représentation décimale : 255.255.240.0 23 Les listes ACL • Les listes de contrôle d’accès sont des instructions qui expriment une liste de règles, imposés par l’administrateur, donnant un contrôle supplémentaire sur les paquets reçus et transmis par le routeur. – Il ne peut y avoir qu’une liste d’accès par protocole par interface et par sens – Une ACL est identifiable par son Nr. attribué suivant le protocole et suivant le type. • ACL Standard: – Permet d’autoriser ou d’interdire des @ spécifiques ou • ACL étendu – un ensemble d’@ ou de protocoles Type de la liste Plage Nr. Liste d’accès standard 1 à 99 Liste d’accès étendues 100 à 199 24
  • 13.
    31/03/2011 13 • Le routeurdétermine s’il doit acheminer ou bloquer un paquet en fonction de chaque instruction de condition dans l’ordre dans lequel les instructions ont été crées • Si le paquet arrivant à l’interface du routeur satisfait à une condition, il est autorisé ou refusé • Si le paquet ne correspond à aucune instruction dans la liste, celui-ci est rejeté • Le résultat de l’instruction implicite deny any • Any: n’importe quelle @ (de 0.0.0.0 à 255.255.255.255) • Host: abréviation du masque générique – Ex: host 172.16.33.5 équivaut à 172.16.33.5 0.0.0.0 25 Liste standard, étendue..?!! • Liste standard: – Router (config)# access-list numr-liste {permit |deny} source {masque-source} – Ex: access-list 1 deny 172.69.0.0 0.0.255.255 • Liste étendue: – Router (config)# access-list numr-liste {permit|deny} protocole source {masque-source} destination {masque- desti} {opérateur opérande}[established..] 26
  • 14.
    31/03/2011 14 Exemple: • Réponse: • Router(config)# access-list 1 permit 205.7.5.0 0.0.0.255 • Router (config)# int e0 • Router (config-if)# access-group 1 out 27 ACL qui permet à tout le réseau 205.7.5.0 l’accès au réseau 192.5.5.0; Extrait de /etc/services : • /etc/services : • ftp 21/tcp • telnet 23/tcp • smtp 25/tcp • mail pop3 110/tcp # Post Office • A consulter, /etc/inetd.conf ; répertoire contient la liste des services activés sur une machine donnée • A Voir l’Extrait de /etc/inetd.conf 28
  • 15.
    31/03/2011 15 Les commandes ICMP •Les horloges de 2 machines qui diffèrent de manière importante peuvent poser des problèmes pour des logiciels distribués. • Une machine peut émettre une demande d’horodatage (timestamp request) à une autre machine susceptible de lui répondre (timestamp reply) en donnant l’heure d’arrivée de la demande et l’heure de départ de la réponse. • L’émetteur peut alors estimer le temps de transit ainsi que la différence entre les horloges locale et distante. • Le champ de données spécifiques comprend l’heure originale (originate timestamp) émis par le demandeur, l’heure de réception (receive timestamp) du destinataire, et l’heure de départ (transmit timestamp) de la réponse. 29 Le protocole ICMP • Internet Control Message Protocol TYPE 8 bits; type de message CODE 8 bits; informations complémentaires CHECKSUM 16 bits; champ de contrôle HEAD-DATA en-tête datagramme + 64 premiers bits des données. • 15 messages utilisés – 10 informations • Ping • Messages de routeurs • Horodatage – 5 erreurs • Destination inaccessible • Temps dépassé • Divers • Redirection • Utilisé par les outils applicatifs tels: ping et traceroute. 30 TYPE Message ICMPV.4 0 Echo Reply 3 Destination Unreachable 4 Source Quench 5 Redirect (change a route) 8 Echo Request 11 Time Exceeded (TTL) Parameter Problem with a Datagram 13 Timestamp Request 14 Timestamp Reply 15 Information Request (obsolete)
  • 16.
    31/03/2011 16 ICMP : lesmessages d’ erreurs • Lorsqu’une passerelle émet un message ICMP de type destination inaccessible, le champ code décrit la nature de l’erreur : – 0 Network Unreachable – 1 Host Unreachable – 2 Protocol Unreachable – 3 Port Unreachable – 4 Fragmentation Needed and DF set – 5 Source Route Failed – 6 Destination Network Unknown – 7 Destination Host Unknown – 8 Source Host Isolated – 9 Communication with desination network administratively prohibited – 10 Communication with desination host administratively prohibited – 11 Network Unreachable for type of Service – 12 Host Unreachable for type of Service 31 Paquets ICMPv6 • Utiliser l'utilitaire ping6 (équivalent à l'utilitaire ping) pour tester la présence d'une machine sur le réseau en prenant une @IPv6 • la longueur du message ICMPv6 est limitée à 1 280 octets, afin d’éviter les problèmes de fragmentation, puisqu'il est difficilement envisageable de mettre en œuvre la découverte du MTU 32 Type message Meaning 1 Destination Unreachable 2 Packet Too Big 3 Time Exceeded 4 Parameter Problem 128 Echo Request 129 Echo Reply 130 Group Membership Query 131 Group Membership Report 132 Group Membership Reduction 133 Router Solicitation 134 Router Advertisement 135 Neighbor Solicitation 136 Neighbor Advertisement 137 Redirect
  • 17.
    31/03/2011 17 Exemples de gestiondes erreurs 33 Administration des serveurs • 2 types de réseaux: – Réseau d’égal à égal: réseau pour groupe de travail et conçu pour un petit nombre de stations • Un nombre limité d’utilisateurs • Création et exploitation peu coûteuse • Pas de nécessité de serveur dédié ou de logiciel supplémentaire – Inconvénients: – aucun point central de gestion – Si le # des users>10 un réseau d’égal à égal est un mauvais choix – Ex: Windows for Workgroups, Win 98. – Réseau client-serveur: gestion centralisée des utilisateurs, de la sécurité et des ressources • Possibilité d’utiliser des serveurs dédiés pour fournir plus efficacement des ressources précises aux clients • L’utilisateur peut avoir accès aux ressources autorisées à l’aide d’un ID réseau et d’un mot de passe – Inconvénients: – Exploitation et maintenance exige du personnel formé – Coût d’exploitation est plus élevé que les réseaux d’égal à égal – Ex: Unix, Linux, Novell Netware et Win-NT/XP? WIN2K server, Win 2008. 34
  • 18.
    31/03/2011 18 SécuritéWeb Virtualisation Fondamentaux Succession de2003 Contient 4 piliers: built-in-web, Virtualization technologies. Peut assurer et produire une infrastructure réseau securisée avec des coûts réduits, en augmentant la flexibilité dans une organisation35 36 • Plateformes – 32 bits (x86) – 64 bits (x64 et IA64*) • Versions « classique » et « Server Core** » – Web – Standard – Enterprise – Datacenter * Rôles et fonctionnalités limités - http://www.microsoft.com/windowsserver/bulletins/longhorn/itanium_bulletin.mspx ** uniquement sur Standard, Enterprise et Datacenter
  • 19.
    31/03/2011 19 37 -Amélioration du déploiement,de la récupération et de l'installation basée sur une image source ; - Amélioration des outils de diagnostic, de supervision, de traçabilité des évènements et de rapports ; -Apport de nouvelles fonctionnalités de sécurité telles que Bitlocker (specification de protection des données, qui fournit le chiffrement par partition) et présente une amélioration du Pare-feu - permet aux ressources système d'être partitionnées de façon dynamique à l'aide du module Dynamic Hardware Partitioning (Gestion Dynamique du Partitionnement ) 38 • Option d’installation minimale • Surface d’exposition réduite • Interface en ligne de commande • Ensemble de rôles restreints • Choix à l’installation ! • N’est pas une plateforme applicative Server Core - « Rôles » Server Core Composants Sécurité, TCP/IP, Système de fichiers, RPC, plus d’autre sous-systèmes Core Server DNS DHCP File & Print AD Server Avec .Net 3.0, shell, outils, etc. TS IAS Web Server Share Point Etc… Rôles du serveur (en plus de ceux de la version Core) GUI, Shell, IE, Media, Frame, .Net etc. WSV AD LDS Media Server IIS Il s'agit de la nouveauté la plus notable proposée par Windows Server 2008 : l’option d’installation Server Core installe uniquement le strict minimum
  • 20.
    31/03/2011 20 39 Installation Fondamentaux Cette installation apporteplusieurs avantages : - Réduction tout d'abord des ressources nécessaires ; - Réduction de la maintenance et de la gestion, puisque seuls les éléments nécessaires pour les rôles définis sont à installer et configurer ; - Réduction enfin de la surface d’exposition aux attaques, directement lié au nombre réduit d’applications et services exécutées sur le serveur ; 40 Installation de Windows Server 2008 • Installation • Par fichier image (fichier .wim) • 2 modes • Classique • Serveur Core • Configuration initiale • Initial Configuration Tasks • Administration du serveur • Server Manager • Gestion des rôles • Gestion des fonctionnalités
  • 21.
    31/03/2011 21 Machine serveur Core 41 peutêtre configurée pour assurer plusieurs rôles de base : Services de domaine Active Directory (AD DS) Services AD LDS (Active Directory Lightweight Directory Services) Serveur DHCP Serveur DNS Serveur de fichiers Serveur d’impression Services de diffusion multimédia en continu Ainsi que les fonctionnalités facultatives suivantes : Sauvegarde Chiffrement de lecteur BitLocker Clustering (grappe de serveur) avec basculement Équilibrage de la charge réseau Stockage amovible Protocole SNMP (Simple Network Management Protocol) Sous-système pour les applications UNIX Client Telnet Service WINS (Windows Internet Name Service) 42 Server Manager • Votre nouvel ami  • Rationnaliser les outils et disposer d’un outil central permettant d’ajouter, de configurer et de gérer les différents rôles et fonctionnalités du serveur – Un seul outil pour configurer Windows Server 2008 – Portail d’administration – Ligne de commande servermanagercmd.exe
  • 22.
    31/03/2011 22 43 Active Directory Fondamentaux Objectifs: • Disposerde mécanismes permettant une installation granulaire d’Active Directory • Améliorer la prise en charge des serveurs distribués géographiquement (agences) • Optimiser la consommation de bande passante • Elever le niveau de sécurité Active Directory Domain ServicesActive Directory Domain Controller Active Directory Lightweight DirectoryActive Directory Application Mode Active Directory Rights ManagementRights Management Services Active Directory Certificate ServicesWindows Certificate Services 44 Active Directory : nomenclature
  • 23.
    31/03/2011 23 45 Active Directory dansWindows Server 2008 • Installation – Nouvel assistant de promotion en contrôleur de domaine • Installation automatisée améliorée – Prise en charge du mode Server Core • Sécurité – Authentification, autorisations et audit – Contrôleur de domaine en lecture seule • Performance – Réplication Sysvol différentielle • Administration – Active Directory sous forme de service – Editeur d’attributs – Protection contre les suppressions accidentelles – Administration des stratégies de groupe avec GPMC 46 • Support du server core • Utilise les ‘crédentiels’ de l’utilisateur connecté pour la promotion • Sélection des rôles : DNS (défaut), GC (défaut), RODC (Read Only Domain Controller) • Mode avancé (/adv) • Sélection du site (par défaut : auto-détection) • Réplication AD durant la promotion: DC particulier, n’importe quel DC, média (sauvegarde AD) • Auto-configuration du serveur DNS • Auto-configuration du client DNS • Création et configuration des délégations DNS Active Directory Domain Services DCPROMO dans Windows Server 2008
  • 24.
    31/03/2011 24 47 Politique de motsde passe multiples • Aujourd’hui la politique des mots de passe appliquée se définit pour l’ensemble du domaine – Default Domain Policy dans un AD 2000/2003 • Avec Windows Server 2008 : il devient possible de définir des politiques de comptes au niveau des utilisateurs et des groupes du domaine – Ne s’applique pas ni à l’objet ordinateur ni aux comptes locaux (utilisateurs hors domaine) – Nécessite un niveau fonctionnel de domaine Windows Server 2008 – Le schéma doit être en version 2008 • Utilisation d’une nouvelle classe d’objets msDs-PasswordSettings 48 Hub ` Read Only DC Hub WS 2008 DC Branch Read-Only DC Authentification 1 2 3 4 5 6 6 7 7 1. AS_Req vers le RODC (requête pour TGT) 2. RODC: regarde dans sa base: “Je n’ai pas les crédentiels de l’utilisateur" 3. Transmet la requête vers un Windows Server 2008 DC 4. Windows Server 2008 DC authentifie la demande 5. Renvoi la réponse et la TGT vers le RODC (Hub signed TGT) 6. RODC fournit le TGT à l’utilisateur et met en queue une demande de réplication pour les crédentiels 7. Le Hub DC vérifie la politique de réplication des mots de passe pour savoir s’il peut être répliqué
  • 25.
    31/03/2011 25 49 Administration du Serveur Fondamentaux •Objectifs: • Rationaliser les outils d’administration • Elargir les possibilités offertes en terme d’administration locale et distante • Déployer plus rapidement de nouveaux systèmes (postes et serveurs) 50 Administration et Windows Server 2008 • Le Server Manager • Windows PowerShell • Active Directory redémarrable • Administrateurs locaux sur RODC • Stratégies de groupes (GPO) (GPMC, admx/adml) • Journaux et structure des événements • Planificateur de tâches • Administration Windows à distance WinRM • Sauvegarde / restauration • Outils de diagnostics • Outils en ligne de commande
  • 26.
    31/03/2011 26 51 Server Core -Administration • Locale ou distante en ligne de commande – Outils basiques – WinRM et Windows Remote Shell pour l’exécution à distance – WMI et WMIC (locale et à distance) • Terminal Services (à distance) • Microsoft Management Console (à distance) – RPC, DCOM • SNMP • Planificateur de tâches • Evénements et transfert d’événements • Pas de support du code managé donc pas de support de Windows PowerShell 52 Services de déploiement Windows (Windows Deployment Services) • Solution de déploiement pour Windows Server 2008 • Nouvelles technologies : WIM, IBS, WinPE • Ensemble d’outils pour personnaliser l’installation • Démarrage à distance d’un environnement de pré-installation (WinPE) • Notion de serveur PXE • Support du multicast  • Administration graphique et en ligne de commande • Wdsutil.exe
  • 27.
    31/03/2011 27 Domain Name System:DNS • Pourquoi un système de résolution des noms ? – Communications sur l’Internet basées sur les adresses IP – Communications «humaines» basées sur des noms – Besoin d’un mécanisme pour faire correspondre des adresses IP avec des noms d’hôtes => service DNS • Domain Name System (DNS) – Base de données hiérarchique distribuée • Le système DNS permet d’identifier une machine par un nom représentatif de la machine et du réseau sur lequel elle se trouve. • Le système est mis en œuvre par une base de données distribuée au niveau mondial. • DNS fournit un niveau d’adressage indirect entre un nom d’hôte et sa localisation géographique 53 Fonctionnalités du service DNS • Espace des noms de domaines = arborescence hiérarchique – Arborescence indépendante de la topologie réseau et|ou de la géographie • Architecture de stockage distribuée – Zones affectées à des serveurs de noms dans l’arborescence hiérarchique – Serveurs de sauvegarde pour la redondance et la disponibilité • Administration répartie suivant la hiérarchie des noms – Rôle le plus simple : client DNS ou ’Resolver’ • Protocole client/serveur communicant sur le port n° 53 – Protocole UDP utilisé par les clients – Protocole TCP préconisé pour les échanges entre serveurs 54
  • 28.
    31/03/2011 28 Hiérarchie des nomsde domaines • Arborescence limitée à 128 niveaux • Un domaine est un sous-ensemble de l’arborescence • Aucune possibilité de doublon – hôte : cooper, domaine : ups-tlse, gTLD : fr – Fully Qualified Domain Name : cooper.ups-tlse.fr • Conventions sur les noms de domaines • Top Level Domains (TLD) – .com, .net, .org, .edu, .mil, .gov, .int, .biz • Geographical Top Level Domains (gTLD) – .tn, .de, .fr, .uk, .jp, .au • Nom du Domain: chaque nœud possède une étiquette (label): max 63 caract. – Hôte: correspond à une machine 55 DNS • Hiérarchie des serveurs • Serveurs «distribués» dans l’arborescence hiérarchique – Un serveur ne maintient qu’un sous-ensemble de l’arborescence – On parle d’autorité sur une zone : ’Authoritative Name Server’ • Chaque serveur contient tous les enregsitrements d’hôtes dans «sa» zone – Enregistrement = Resource Record (RR) • Chaque serveur a besoin de connaître les autres serveurs responsables des autres parties de l’arborescence – Chaque serveur connaît la liste des ’Root Servers’ – Chaque ’Root Server’ connaît tous les TLDs et gTLDs – Un serveur racine peut ne pas connaître le serveur qui a autorité sur une zone – Un serveur racine peut connaître un serveur intermédiaire à contacter pour connaître le serveur qui a autorité sur une zone 56
  • 29.
    31/03/2011 29 Exemple de requêteDNS • Requête du poste Asterix : Adresse IP du site www.stri.net ? – Asterix contacte le serveur local Cooper.ups- tlse.fr – Cooper.ups-tlse.fr contacte un serveur racine : J.ROOT-SERVERS.NET – J.ROOT-SERVERS.NET contacte un serveur du domaine ’.net’ : G.GTLD-SERVERS.NET – G.GTLD-SERVERS.NET contacte le serveur qui a autorité sur la zone ’stri.net’ : full1.gandi.net – Cooper.ups-tlse.fr renvoie la réponse vers Asterix • Gestion du cache – Cooper.ups-tlse.fr conserve la réponse dans son cache – Cooper.ups-tlse.fr répond directement à toute nouvelle requête DNS www.stri.net 57 • En mode interactif, on peut sélectionner le type de requête à l'aide de la commande « set type=RR ». Exemple: « nslookup www.univ-evry.fr 194.199.90.1 » • En mode non interactif, on le précise avec l'option « -query-type=RR ». – Exemple: pour obtenir les serveurs dns de la zone univ-evry.fr: « nslookup -query- type NS univ-evry.fr ». • Le tableau suivant,extrait de la documentation de windows Xp indique les types possibles : – A Spécifie l'adresse IP d'un ordinateur. – ANY Spécifie tous les types de données. – CNAME Spécifie un nom canonique d'alias. – GID Spécifie un identificateur de groupe d'un nom de groupe. – HINFO Spécifie le type de système d'exploitation et d'unité centrale d'un ordinateur. – MB Spécifie un nom de domaine d'une boîte aux lettres. – MG Spécifie un membre d'un groupe de messagerie. – MINFO Spécifie des informations sur une liste de messagerie ou une boîte aux lettres. – MR Spécifie le nom de domaine de la messagerie renommée. – MX Spécifie le serveur de messagerie. – NS Spécifie un serveur de noms DNS pour la zone nommée. • Exercice: Utilisez la commande nslookup pour obtenir les informations correspondant au nom de la machine qui a comme adresse ip 192.168.202.2 58
  • 30.
    31/03/2011 30 • FQDN :Full Qualified Domain Name Le nom complet d'un hôte, sur l'Internet, c'est-à-dire de la machine jusqu'au domaine, en passant par les sous-domaines. • URL : Uniform Resource Locator C'est la méthode d'accès à un document distant. Un lien hypertexte avec une syntaxe de la forme: <Type de connexion>://<FQDN>/[<sous-répertoire>]/.../<nom du document> Exemple: http://www.ac-aix-marseille.fr/bleue/francais/nouveau.htm – http: Hyper Text Transfert Protocol – www.ac-aix-marseille.fr: FQDN du serveur de pages personnelles – /bleue/francais/: arborescence de répertoires – nouveau.htm: nom du document. • URI : Universal Resource Identifier. c'est la même chose que l'URL. Le W3C (World Wide Web Consortium), garant de l'universalité de l'Internet, voudrait voir abandonner URL au profit d'URI. Notez la très subtile divergence de sens, qui vaut bien, le changement. 59 DNSSEC • Implémentation de DNSSEC sous Windows 2008 serveur coté serveur: – Distribution des « trust anchors » ; – Déploiement des certificats pour les serveurs DNS ; – Déploiement de la politique de sécurité d’IPSEC sur le Serveur DNS ; – Déploiement de la politique de sécurité d’IPSEC sur un poste client • http://www.labo-microsoft.org/articles/DNSSECPRES/3/Default.asp – Déployer les certificats pour l’authentification du Serveur DNS 60
  • 31.
    31/03/2011 31 Dynamic Host ConfigurationProtocol • Objectifs : obtenir automatiquement tous les paramètres de configuration réseau – @ IP – Adresse de diffusion – Masque réseau – Passerelle par défaut – Domaine DNS – Adresse IP du serveur de noms DNS • Dynamic Host Configuration Protocol (DHCP) – Service Internet => couche application – RFCs 2131 et 2132 en 1997 – Communications sur les ports UDP 67 (côté client) et le 68 (côté serveur) 61 DHCP • L’ @ IP est allouée selon les critères suivants: – Ne pas être déjà allouée à une autre station – La même station reçoit toujours la même adresse – Cette adresse est allouée pendant une période déterminée (bail) – Le client vérifie la validité de l’@ 62
  • 32.
    31/03/2011 32 DHCP Discover 63 Client DHCPenvoie une trame "DHCPDISCOVER", destinée à trouver un serveur DHCP. Cette trame est un "broadcast", donc envoyé à l'adresse 255.255.255.255. N'ayant pas encore d‘@ IP, il fournit aussi son @ MAC Les Commandes DHCP • Client DHCP envoie une trame "DHCPDISCOVER", destinée à trouver un serveur DHCP. Cette trame est un "broadcast", donc envoyé à l'adresse 255.255.255.255. N'ayant pas encore d‘@ IP, il fournit aussi son @ MAC • Le serveur DHCP qui reçoit cette trame va répondre par un "DHCPOFFER". Cette trame contient une proposition de bail et la @-MAC du client, avec également l‘@ IP du serveur. • Le client répond par un DHCPREQUEST au serveur pour indiquer qu’il accepte l’offre • Le serveur DHCP Concerné répond définitivement par un DHCPACK qui constitue une confirmation du bail. L'adresse du client est alors marquée comme utilisée et ne sera plus proposée à un autre client pour toute la durée du bail. 64
  • 33.
    31/03/2011 33 Serveur DHCP • Leserveur DHCP maintient une plage d‘@ à distribuer à ses clients. Il tient à jour une BD des @ déjà utilisées et utilisées il y a peu (c.a.d que l'on récupère souvent la même @, le DHCP ayant horreur des changements ) • Lorsqu'il attribue une adresse, il le fait par l'intermédiaire d'un bail. Ce bail a normalement une durée limitée • Après expiration du bail, ou résiliation par le client, les informations concernant ce bail restent mémorisées dans la BD du serveur pendant un certain temps. Bien que l'adresse IP soit disponible, elle ne sera pas attribuée en priorité à une autre machine. C'est ce qui explique que l'on retrouve souvent la même adresse d'une session à l'autre. 65 Détails sur le bail • Dans le bail, il y a non seulement une @ IP pour le client, avec une durée de validité, mais également d'autres informations de configuration comme: – L‘@ d'un ou de plusieurs DNS (Résolution de noms) – L‘@ de la passerelle par défaut – L‘@ du serveur DHCP • le client peut renouveler le bail, en s'adressant directement au serveur qui le lui a attribué. Il n'y aura alors qu'un DHCPREQUEST et un DHCPACK. 66
  • 34.
    31/03/2011 34 Avantages • L'avantage deDHCP réside essentiellement dans la souplesse de configuration des hôtes : – allocation dynamique des adresses avec réduction des risques de conflit – définition d'un nombre important de paramètres (masque de SR, passerelle par défaut...) – possibilité d'avoir plus d'hôtes que d'adresses. 67 Inconvénients • Sur un réseau constitué de plusieurs SR, interconnecté par des routeurs, DHCP présente une limitation d'utilisation. Le mécanisme de fonctionnement utilise des broadcasts qui ne passent pas les routeurs. • Puisque requête de diffusion ne passe pas par un routeur, un client DHCP ne pourra pas recevoir d'adresse DHCP d'un serveur situé derrière un routeur. • Dans ce cas: – installer un serveur DHCP par SR – installer un agent relais DHCP. Un agent relais DHCP présent sur le réseau du poste client peut transmettre la requête au(x) serveur(s) DHCP 68
  • 35.
    31/03/2011 35 Accès à distanceTelnet • Protocole très utilisé pour l’accés à distance (tests d’application réparties, tests de fonctionnement en mode manuel des protocoles HTTP, SMTP,..) • Permet de se connecter à une machine distante • Accès à distance Telnet: – Le client Telnet transmet les caractères entrés sur le terminal local vers le serveur distant – Le fonctionnement est bidirectionnel: on supporte le même échange dans les 2 sens – Ex: Client Telnet : • Telnet <site distant> <port> Telnet 192.168.19.100 23 commande permet la création d’une connexion TCP avec le serveur de la machine distante Le serveur Telnet: Le serveur s’exécute sur la machine distante sinon le service n’est pas disponible 69 TCP IP Client Telnet TCP IP Serveur Telnet SNMP (Simple Network Management Protocol) SNMP permet de: Visualiser une quantité impressionnante d’informations concernant le matériel, les connexions réseau, leur état de charge. Modifier le paramétrage de certains composants. Alerter l’administrateur en cas d’événement grave. 70
  • 36.
    31/03/2011 36 Le concept SNMP •Protocole d'administration de machine supportant TCP/IP – Conçu en 87-88 par des administrateurs de réseau • Permet de répondre à un grand nombre de besoins : – disposer d'une cartographie du réseau – fournir un inventaire précis de chaque machine – mesurer la consommation d'une application – signaler les dysfonctionnements • Avantages : – protocole très simple, facile d'utilisation – permet une gestion à distance des différentes machines – le modèle fonctionnel pour la surveillance et pour la – gestion est extensible – indépendant de l'architecture des machines administrées 71 Le Modèle SNMP • L'utilisation de SNMP suppose que tous les agents et les stations d'administration supportent IP et UDP. – Ceci limite l'administration de certains périphériques qui ne supportent pas la pile TCP/IP. De plus, certaines machines (ordinateur personnel, station de travail, contrôleur programmable, ... qui implantent TCP/IP pour supporter leurs applications, mais qui ne souhaitent pas ajouter un agent SNMP. => utilisation de la gestion mandataire (les proxies) • Un protocole activé par une API permet la supervision, le contrôle et la modification des paramètres des éléments du réseau. 72
  • 37.
    31/03/2011 37 Le modèle SNMP •Une administration SNMP est composée de trois types d'éléments: – La station de supervision (appelée aussi manager) exécute les applications de gestion qui contrôlent les éléments réseaux. Physiquement, la station est un poste de travail. Station de gestion capable d’interpreter les données – La MIB (Management Information Base) est une collection d'objets résidant dans une base d'information virtuelle. Ces collections d'objets sont définies dans des modules MIB spécifiques. – Le protocole, qui permet à la station de supervision d'aller chercher les informations sur les éléments de réseaux et de recevoir des alertes provenant de ces mêmes éléments. 73 74
  • 38.
    31/03/2011 38 Les types derequêtes: • 4 types de requêtes: GetRequest, GetNextRequest, GetBulk, SetRequest. – La requête GetRequest permet la recherche d'une variable sur un agent. – La requête GetNextRequest permet la recherche de la variable suivante. – La requête GetBulk permet la recherche d'un ensemble de variables regroupées. – La requête SetRequest permet de changer la valeur d'une variable sur un agent. • Les réponses de SNMP À la suite de requêtes, l'agent répond toujours par GetResponse. Toutefois si la variable demandée n'est pas disponible, le GetResponse sera accompagné d'une erreur noSuchObject. • Les alertes (Traps, Notifications) Les alertes sont envoyées quand un événement non attendu se produit sur l'agent. Celui-ci en informe la station de supervision via une trap. Les alertes possibles sont: ColdStart, WarmStart, LinkDown, LinkUp, AuthentificationFailure. 75 Les commandes SNMP 76 • Les commandes get-request, get-next-request et set-request sont toutes émises par le manager à destination d'un agent et attendent toutes une réponse get - response de la part de l'agent. • La commande trap est une alerte. Elle est toujours émise par l'agent à destination du manager, et n'attend pas de réponse.
  • 39.
    31/03/2011 39 MIB • La MIB(Management Information base) est la base de données des informations de gestion maintenue par l'agent, auprès de laquelle le manager doit s’informer. • 2 MIB publics ont été normalisées: MIB I et MIB II • Un fichier MIB est un document texte écrit en langage ASN.1 (Abstract Syntax Notation 1) qui décrit les variables, les tables et les alarmes gérées au sein d'une MIB. • La MIB est une structure arborescente dont chaque nœud est défini par un nombre ou OID (Object Identifier). Elle contient une partie commune à tous les agents SNMP d'un même type de matériel et une partie spécifique à chaque constructeur. Chaque équipement à superviser possède sa propre MIB. 77 Structure de la MIB 78
  • 40.
    31/03/2011 40 La MIB (ManagementInformation Base) • MIB = Collection structurée d’objets – chaque noeud dans le système doit maintenir une MIB qui reflète l'état des ressources gérées – une entité d'administration peut accéder aux ressources du noeud en lisant les valeurs de l'objet et en les modifiant. 79 L’arborescence MIB: Les informations stockées dans la MIB sont rangées dans une arborescence. MIB dispose d'objets supplémentaires. Elle constitue une branche du groupe iso.org.dod.internet.mgmt. Groupe Commentaires system Informations générales sur le système. interfaces Informations sur les interfaces entre le systèmes et les sous-réseaux. at Table de traduction des adresses entre internet et les sous-réseaux. ip Informations relatives à l'implantation et à l'éxécution d'IP (Internet Protocol). icmp Informations relatives à l'implantation et à l'éxécution de ICMP (Internet Control Message Protocol). tcp Informations relatives à l'implantation et à l'éxécution de TCP (Transmission Control Protocol). udp Informations relatives à l'implantation et à l'éxécution de UDP (User Datagram Protocol). egp Informations relatives à l'implantation et à l'éxécution de EGP (Exterior Gateway Protocol). transmission Informations sur la transmission et sur les protocoles utilisés par chaque interface. snmp Informations relatives à l'implantation et à l'éxécution de SNMP.80
  • 41.
    31/03/2011 41 Object identifier • Lesvariables de la MIB-2 sont identifiées par le chemin dans l'arborescence, noté de deux façons: • à l'aide des noms de groupes : iso.org.dod • à l'aide des numéros des groupes: 1.3.6. • Les identifiants sont définis à l'aide du langage SMI. Ex: Définition SMI Notation par "point" Notation par nom mgmt OBJECT IDENTIFIER ::= { internet 2 } 1.3.6.1.2 iso.org.dod.internet.mgmt mib OBJECT IDENTIFIER ::= { mgmt 1 } 1.3.6.1.2.1 iso.org.dod.internet.mgmt.mib interfaces OBJECT IDENTIFIER ::= { mib 2 } 1.3.6.1.2.1.2 iso.org.dod.internet.mgmt.mib. interface 81 Ex: On utilisera l'OID (Object Identification) qui désigne l'emplacement de la variable à consulter dans la MIB. On aura par ex. sur un commutateur Nortel Passport l'OID .1.3.6.1.4.1.2272.1.1.20 désignant le taux de charge du CPU. Fonctions assurées Primitives Descriptions GetRequest le manager demande une information à l'agent GetNextRequest le manager demande l'information suivante à l'agent SetRequest le manager initialise une variable de l'agent GetResponse l'agent retourne l'information à l’administrateur Trap interruption - l'agent envoie une information à l’administrateur 82
  • 42.
  • 43.
    31/03/2011 43 Introduction à lasécurité • La sécurité d'un réseau est un niveau de garantie que l'ensemble des machines du réseau fonctionnent de façon optimale et que les utilisateurs possèdent uniquement les droits qui leur ont été octroyés • Il peut s'agir : – d'empêcher des personnes non autorisées d'agir sur le système de façon malveillante – d'empêcher les utilisateurs d'effectuer des opérations involontaires capables de nuire au système – de sécuriser les données en prévoyant les pannes – de garantir la non-interruption d'un service 85 Les causes d’insécurité • On distingue généralement deux types d'insécurité : – l'état actif d'insécurité: la non-connaissance par l'utilisateur des fonctionnalités du système, dont certaines pouvant lui être nuisibles (ex: la non- désactivation de services réseaux non nécessaires à l'utilisateur), ou lorsque l'administrateur (ou l'utilisateur) d'un système ne connaît pas les dispositifs de sécurité dont il dispose – l'état passif d'insécurité 86
  • 44.
    31/03/2011 44 Menaces de sécurité •Attaques passives: • Capture de contenu de message et analyse de trafic • écoutes indiscrètes ou surveillance de transmission • Attaques actives: • Mascarade, • modifications des données, • déni de service pour empêcher l’utilisation normale ou la gestion de fonctionnalités de communication 87 Le but des agresseurs • Les motivations des agresseurs que l'on appelle "pirates" peuvent être multiples : – l'attirance de l'interdit – le désir d'argent (ex: violer un système bancaire) – le besoin de renommée (impressionner des amis) – l'envie de nuire (détruire des données, empêcher un système de fonctionner) • Le but des agresseurs est souvent de prendre le contrôle d'une machine afin de pouvoir réaliser les actions qu'ils désirent. Pour cela il existe différents types de moyens : – l'obtention d'informations utiles pour effectuer des attaques – utiliser les failles d'un système – l'utilisation de la force pour casser un système 88
  • 45.
    31/03/2011 45 Le Hacking (attaques) •C’est l’ensemble des techniques visant à attaquer un réseau un site ou un équipement • Les attaques sont divers on y trouve: – L’envoie de bombe logiciel, chevaux de Troie – La recherche de trou de sécurité – Détournement d’identité – Les changements des droits d’accès d’un utilisateur d’un PC – Provocation des erreurs • Les buts d’un Hacker: – La vérification de la sécurisation d’un système – La vol d’informations, terrorisme (Virus), espionnage – Jeux; pour apprendre • Les attaques et les méthodes utilisées peuvent être offensives ou passives: – Les attaques passives consistent à écouter une ligne de communication et à interpréter les données qu’ils interceptent et Les attaques offensives peuvent être regrouper en : – Les attaques directes: c’est le plus simple des attaques, le Hacker attaque directement sa victime à partir de son ordinateur. Dans ce type d’attaque, il y a possibilité de pouvoir remonter à l’origine de l’attaque et à identifier l’identité du Hacker – Les attaques indirectes (par ruban): passif, cette attaque présente 2 avantages: – Masquer l’identité (@ IP du Hacker) – Éventuellement utiliser les ressources du PC intermédiaire 89 Les Menaces: Contexte général 90
  • 46.
    31/03/2011 46 Attaques,services et mécanismes •L’administrateur doit tenir compte des 3 aspects de la sécurité de l’information: – Service de sécurité: pour contrer les attaques de sécurité et améliorer la sécurité des SI – Mécanisme de sécurité: pour détecter, prévenir ou rattraper une attaque de sécurité • Usage des techniques cryptographiques – Protéger contre Attaque de sécurité: une action qui compromet la sécurité de l’information possédé par une organisation • Obtenir un accès non-autorisé, modifier, 91 Les menaces 92
  • 47.
    31/03/2011 47 93 Même le sitede CIA a été attaqué …! 94 Même …..
  • 48.
    31/03/2011 48 95 Problèmes de sécurité •Les problèmes de sécurité des réseaux peuvent être classés en 4 catégories: – La confidentialité: seuls les utilisateurs autorisés peuvent accéder à l’information – Contrôle d’intégrité: comment être sûr que le message reçu est bien celui qui a été envoyé (celui-ci n’a pas été altéré et modifié) – L’authentification: avoir la certitude que l’entité avec laquelle on dialogue est bien celle que l’on croit – Non-répudiation: concerne les signatures 96
  • 49.
    31/03/2011 49 Objectifs de lasécurité • Identification indique qui vous prétendez être (username) • Authentification valide l’identité prétendue (password) • Autorisation détermine les actions et ressources auxquelles un utilisateur identifié et autorisé a accès • Non-répudiation garantie qu’un message a bien été envoyé par un émetteur authentifié • Traçabilité permet de retrouver les opérations réalisées sur les ressources (logs) 97 Les services de sécurité – Confidentialité des messages transmis: est la protection contre les attaques passives – Authentification des interlocuteurs: pour assurer que le destinataire reçoive le msg d’origine émis par la source – Intégrité et non répudiation des messages: assure que les messages envoyés seront aussitôt reçus sans duplication ni modification – Non-répudiation: empêche tant l’expéditeur que le receveur de nier avoir transmis un message. Ainsi que le message envoyé a été bien reçu – Disponibilité et contrôle d’accès (les personnes doivent pouvoir s’échanger des messages): est la faculté de limiter et de contrôler l’accès aux systèmes et aux applications (droits d’accès) 98
  • 50.
    31/03/2011 50 • confidentialité :Protection de l’information d’une divulgation non autorisée • l'intégrité : Protection contre la modification non autorisée de l’information • Disponibilité : S’assurer que les ressources sont accessibles que par les utilisateurs légitimes • Authentification – Authentification des entités (entity authentication) procédé permettant à une entité d’être sûre de l’identité d’une seconde entité à l’appui d’une évidence corroborante (certifiant, ex.: présence physique, cryptographique, biométrique, etc.). Le terme identification est parfois utilisé pour désigner également ce service. – Authentification de l’origine des données (data origine authentication) procédé permettant à une entité d’être sûre qu’une deuxième entité est la source original d’un ensemble de données. Par définition, ce service assure également l’intégrité de ces données. • non-répudiation: Offre la garantie qu’une entité ne pourra pas nier être impliquée dans une transaction • Non-Duplication: Protection contre les copie illicites 99 Dangers et Attaques Services Dangers Attaques Confidentialité fuite d’informations masquerade, écoutes illicites, analyse du trafic Intégrité modification de l’information création, altération ou destruction illicite Disponibilité denial of service, usage illicite virus, accès répétés visant à inutiliser un système Auth. d’entités accès non autorisés masquerade, vol de mot de passe, faille dans le protocole d’auth. Auth. de données falsification d’informations falsification de signature, faille dans le protocole d’auth. Non-répudiation nier la participation à une transaction prétendre un vol de clé ou une faille dans le protocole de signature Non-duplication duplication falsification, imitation 100
  • 51.
    31/03/2011 51 Services Mécanismes classiquesMécanismes digitaux Confidentialité scellés, coffre-forts, cadenas cryptage, autorisation logique Intégrité encre spéciale, hologrammes fonctions à sens unique + cryptage Disponibilité contrôle d’accès physique, surveillance vidéo contrôle d’accès logique, audit, anti-virus Auth. d’entités présence, voix, pièce d’identité, reconnaissance biométrique secret + protocole d’auth., adresse réseau + userid carte à puce + PIN Auth. de données sceaux, signature, empreinte digitale fonctions à sens unique + cryptage Non- répudiation sceaux, signature, signature notariale, envoi recommandé fonctions à sens unique + cryptage + signature digitale Non- duplication encre spéciale, hologrammes, tatouage tatouage digital (watermarks), verrouillage cryptographique 101 Mécanismes de protection Problématique: Authentification 102 But: Bob veut prouver son identité à Alice  rencontre physique : son apparence  au téléphone : sa voie  à la douane : son passeport  Intégrité des messages  Signatures électroniques
  • 52.
    31/03/2011 52 Cryptographie: La science dusecret !! 103 Cryptographie • Définition – Science du chiffrement – Meilleur moyen de protéger une information = la rendre illisible ou incompréhensible • Bases – Une clé = chaîne de nombres binaires (0 et 1) – Un Algorithme = fonction mathématique qui va combiner la clé et le texte à crypter pour rendre ce texte illisible 104
  • 53.
    31/03/2011 53 Encryption Process 105 Quelques définitions •Cryptage: permet l’encodage des informations. Il interdit la lecture d’informations par des personnes non autorisées • On distingue 2 procédés de cryptage: – Procédés de transposition, qui modifie la succession des caractères à l’aide d’un algorithme. – Procédés de substitution, qui remplace les caractères d’origine par d’autres prélevés dans une liste – Règle ou clé de cryptage s’appelle Code – Ex: PGP (Pretty Good Privacy): progr. Destiné au cryptage des messages électroniques (conçu par Philip Zimmermann 1991) • Cryptanalyse: analyse de données cryptées 106
  • 54.
    31/03/2011 54 Application de lacryptographie • Commerce électronique • Protection de la confidentialité de correspondance • Protection des bases de données contre les intrusions et la dé vulgarisation à des tiers non autorisés • Transmission sécurisée des données sensibles à travers les réseaux internationaux Preuve informatique: Identification et authentification 107 Cryptographie • Ensemble de processus de cryptage visant à protéger les données contre l’accès non autorisés • Repose sur l’emploi des formules mathématiques et des algorithmes complexes afin de coder l’information • Il existe 2 systèmes de cryptographie: – Les systèmes symétriques: la même clé utilisé pour coder et décoder (DES: Data Encryption standard)) – Les systèmes asymétriques: la clé qui sert à coder est différente de celle qui peut déchiffrer (RSA:Rivest Shamir Adelmann 77) 108
  • 55.
    31/03/2011 55 Principe de cryptage •Tout système de cryptage est composé d’un algorithme de codage • La Crypt. nécessite 2 fonctions essentielles: – Le message M est crypté par une fonction de cryptage E(M)=C – Le cryptogramme C est décrypté par le destinataire par une fonction de décryptage D(C)=D(E(M)) = M 109 Système de chiffrement • Définition: Un système de chiffrement ou crypto système est un 5- tuple (P,C,K,e,D) ayant les propriétés suivantes: – 1. P est un ensemble appelé l’espace des messages en clair. Un élément de P s’appelle message en clair (Plaintext) – 2. C est un ensemble appelé l’espace des messages chiffrés. Un élément de C s’appelle un message chiffré ou cryptogramme (cyphertext) – 3. K est un ensemble appelé l’espace des clés, ses éléments sont les clés. – 4. e={ek : k Є K } est une famille de fonctions: • ek : P  C, ses éléments sont les fonctions de chiffrement – 5. D={Dk : k Є K } est une famille de fonctions • Dk : C  P, ses éléments sont les fonctions de déchiffrement – 6. A chaque clé e Є K est associé une clé d Є K/ • D d (ee(p))=p pour tout message p Є P 110
  • 56.
    31/03/2011 56 • Alice utiliseun système de chiffrement pour envoyer un message confidentiel m à Bob. Elle utilise la clé de chiffrement e et Bob utilise la clé de déchiffrement d qui lui correspond. • Alice calcule C= Ee(m) et l’envoie à Bob qui reconstitue m= Dd(C), en gardant la clé de chiffrement secrète – Ex: l’alphabet: A B C … Z et 0 1 2 … 25 – Correspondance entre lettres et nombres, la fonction de chiffrement Ee associé à e Є Z26 est: • Ee: x  (x+e) mod 26 • Dd: x  (x-d) mod 26 lorsque d=e cryptage symétrique. – Exemple: En appliquant le chiffre de César, au mot CRYPTOGRAPHIE, la clé e = 5, fournit le cryptogramme suivant : HWDUYTLWFUMNJ qui est facile à casser. 111 Cryptographie Chiffrement Symétrique • Les Algorithmes utilisant ce système : – DES (Data Encryption Standard, très répandu) : les données sont découpées en blocs de 64 bits et codées grâce à la clé secrète de 56 bits propre à un couple d’utilisateurs – IDEA, RC2, RC4 • Avantage : – Rapide • Inconvénients : – Il faut autant de paires de clés que de couples de correspondants – La non-répudiation n’est pas assurée. Mon correspondant possédant la même clé que moi, il peut fabriquer un message en usurpant mon identité – Transmission de clé 112
  • 57.
    31/03/2011 57 Ex. de Chiffrementà clé symétrique • Encryptage par substitution – Époque romaine (Code de César) • Texte en clair : abcdefghijklmnopqrstuvwxyz • Texte crypté : mnbvcxzasdfghjklpoiuytrewq 113 Exemple : Texte en clair: bob. i meat you. alice Texte crypté: nkn. s hcmu wky. mgsbc Difficulté ? 1026 combinaisons possibles.... mais par l'utilisation de règles statistiques on trouve facilement la clé ... ... naissance il y a 500 ans du chiffrement polyalphabétique Algorithmes de cryptographie • Par substitution – On change les lettres suivant une règle précise (ex: A → D la clé est : 3) • Par Transposition – La position des caractères est modifiée. Pour crypter un message on l’écrit en colonne de taille fixe et on lit les colonnes – Ex: Nombre de colonne ici 6 – Texte crypté: TRLFAOREFMDSNZOCAZIASPZT NU.. B R I Q U E S 1 5 3 4 7 2 6 T R A N S F E R E Z U N M I L L I O N D E F R A N C S D A N S M O N C O M P T E Z E R O Z E R O S E P T A B C D 114
  • 58.
    31/03/2011 58 Table de Vigenère 115 Exemple 116 CR Y P T O G R A P H I E M A T M A T M A T M A T M O ? ? ? ? ? ? ? ? ? ? ? ?
  • 59.
    31/03/2011 59 Chiffrement de Vigenère •Le chiffre de Vigenère est la première méthode de chiffrement poly alphabétique, c'est à dire qui combine deux alphabets pour crypter une même lettre. • Ce chiffrement introduit la notion de clé, qui se présente généralement sous la forme d'un mot ou d'une phrase. Pour pouvoir chiffrer notre texte, à chaque caractère nous utilisons une lettre de la clé pour effectuer la substitution • Mathématiquement, on considère que les lettres de l'alphabet sont numérotées de 0 à 25 (A=0, B=1 ...). La transformation lettre par lettre se formalise simplement par : – Chiffré = (Texte + Clé) mod 26 117 Chiffrement à clé symétrique: DES • Data Encryption Standard (1977 par IBM) • Principe : – découpe le message en clair en morceau de 64 bits auxquelles on applique une transposition – clé de 64 bits (56 bits de clé + 8 bits de parité impaire) • Difficulté et limites? – concours organisé par RSA Data Security 1997 : 4 mois pour casser le code DES 56 bits en brute force par des amateurs 1999 : 22 h pour casser DESIII • solution pour le rendre plus sur .... Passer l'algorithme DES plusieurs fois sur le message avec à chaque fois des clés différentes (ex : 3DES) 118
  • 60.
    31/03/2011 60 Schéma de 3DES: 119 Lasolution a été dans l'adoption du triple DES: trois applications de DES à la suite avec 2 clés différentes (d'où une clé de 112 bits) DES (IBM 77) • Data Encryption Standard • Principe : – découpe le message en clair en morceau de 64 bits auxquelles on applique une transposition – clé de 64 bits (56 bits de clé+8 bits de parité impaire) 120 La recherche exhaustive sur 56 bits (256) est maintenant réaliste. Mars 2007 : 6:4 j, COPACOBANA (utilisation de FPGA) par l’université de Bochum et Kiel (coût 10 000 $)
  • 61.
    31/03/2011 61 Cryptographie Chiffrement Asymétrique • Algorithmesutilisant ce système : – RSA (Rivest, Shamir, Adelman) – DSA – El-Gamal – Diffie-Helmann • Avantage : – pas besoin de se transmettre les clés au départ par un autre vecteur de transmission. • Inconvénient : – Lenteur 121 Algorithme RSA 122 • Développé par: Ron Rivest, Adi Shamir et Leonard Adleman en 1977 repose sur des fonctions mathématique Le RSA est un système qui repose intégralement sur la difficulté de factoriser de grands nombres entiers (au moins 100 chiffres actuellement).
  • 62.
    31/03/2011 62 Cryptographie à clépublique: RSA • Ron Rivest, Adi Shamir et Leonard Adleman (Développé en 1977 repose sur des fonctions math. De puissance et exponentielles appliqués aux grands nombres) • Algorithme de sélection des clés : – 1) Sélection de 2 grands nombres premiers p et q (1024 bit par ex) – 2) Calculer n=pq et z=(p-1)(q-1) – 3) Choisir un e (e<n) qui n'a pas de facteur commun avec z. (e et z premier entre eux) – 4) Trouver un d tel que ed-1 est exactement divisible par z (ed mod z =1) – 5) Clé public est : (n,e) Clé privé est : (n,d) 123 Ex: RSA, chiffrement, déchiffrement • 1) Clé public est : (n,e) Clé privé est : (n,d) • 2) Alice veut envoyer un nombre m à Bob : c = me mod n • 3) Bob reçoit le message c et calcule : m = cd mod n • Exemple : • p = 5, q = 7 donc n = 35 et z = 24 • Bob choisit e = 5 et d = 29 • ALICE : (chiffrement) m = 12 me=248832 et c = me mod n = 17 • BOB : (déchiffrement) c = 17 , m = cd mod n = 12 • Clé public est : (35, 5) • Clé privé est : (35, 29) 124
  • 63.
    31/03/2011 63 Logiciel de chiffrementPGP • PGP (Pretty Good Privacy) était considéré aux USA, comme une arme et interdit à l'exportation • L'algorithme utilisé par PGP, le RSA, permet de chiffrer des informations de manière tellement efficace qu'aucun gouvernement n'est en mesure d'en lire le contenu. • Comme toute invention "dangereuse", incontrôlable et susceptible d'être utilisée contre la mère-patrie, le gouvernement américain en a interdit l'exportation et a classé PGP et le RSA dans la catégorie "armes". • Le code est écrit en Perl 125 • Cette restriction à l'exportation de la cryptographie a eu diverses conséquences: – Pendant longtemps, les navigateurs tels qu'Internet Explorer ont été limités à 40 bits pour tous les "étrangers". Seuls les américains pouvaient télécharger la version 128 bits. – Si on ajoute à cela que l'algorithme RSA était breveté jusqu'en septembre 2000, il n'en a pas fallu plus aux internautes pour créer GPG (Gnu Privacy Guard), un logiciel compatible avec PGP et utilisant Diffie-Hellman à la place de RSA, et hors de contrôle du gouvernement américain puisque créé en Europe. 126
  • 64.
    31/03/2011 64 How PGP encryptionworks? 127 How PGP decryption works? 128
  • 65.
    31/03/2011 65 Chiffrement du messageavec PGP 129 - Il génère lui même une clé aléatoire (c’est la clé de session). - Il chiffre le message avec la clé de session selon un algorithme à clé privé (DES par exemple) - Il chiffre la clé de session grâce à l’algorithme à clé publique (RSA par exemple) avec la clé publique du destinataire. -Il assemble message chiffré et clé chiffrée en un message prêt à l’expédition. -..MM-sécuritéTDLe logiciel PGP.htm 130 Algorithme de chiffrement asymétrique: Diffie Hellman Algorithme de sécurisation des échanges des clés Apparition suite au problème de l’échange des clés de la cryptographie symétrique (coursier malhonnête) Alice veut transmettre une clé à Bob pour pouvoir échanger un document confidentiel Alice chiffre une clé par une autre clé gardée secrète Alice envoie la clé chiffrée à Bob Bob surchiffre la clé chiffrée avec sa clé secrète puis la transmet à Alice Alice opère alors un déchiffrement de sa partie du chiffrement de la clé et l’envoie a Bob Bob déchiffre la clé chiffrée avec sa clé secrète Ils disposent ainsi tous les deux d’une clé qui n’a à aucun moment circulé en clair
  • 66.
    31/03/2011 66 131 Ex. d’Algorithme deDiffie Hellman 132 Algorithme de Hachage Usages de l’algorithme de hachage Alice veut transmettre un document à Bob en lui garantissant son intégrité Alice calcule l’empreinte de son fichier et l’envoie simultanément avec le document Bob recalcule l’empreinte du document et la compare à celle que lui a envoyé Alice S’ils ne sont pas exacts c’est que Ève a intercepté le document et l’a changé Notons que le document échangé n’est pas chiffré Ève peut prendre connaissance de son contenu
  • 67.
    31/03/2011 67 Authentification Définition • La personneà qui j'envoie un message crypté est-elle bien celle à laquelle je pense ? • La personne qui m'envoie un message crypté est-elle bien celle à qui je pense ? 133 Authentification Technique d’Identification • Prouveur – Celui qui s’identifie, qui prétend être… • Vérifieur – Fournisseur du service • Challenge – Le Vérifieur va lancer un challenge au prouveur que ce dernier doit réaliser 134
  • 68.
    31/03/2011 68 Technique A CléPublique Principe • Algorithme RSA = Réversible – ((Mess)CPu)CPr = ((Mess)CPr)CPu • Confidentialité • Authentification 135 Comment savoir que le message n’a pas été altéré ?  Fonction de hachage algorithmes de hachage les plus utilisés: MD5 (128 bits) et SHA (160 bits) Signature électronique (1) 136
  • 69.
    31/03/2011 69 Pb du hachage: on n’est pas sûr de l’expéditeur  Scellement des données Signature électronique (2) 137 138 Récapitulatif Cryptographie symétrique répond au besoin de la confidentialité DES, 3DES, AES, Blowfish, RC2, RC4, RC5 et DEA Diffie-Hellman répond au besoin de la confidentialité de l’échange des clefs Diffie Hellman Key Exchange Algorithmes de hachage répond au besoin de l’intégrité des documents MD4, MD5 et SHA1 Cryptographie asymétrique répond au besoin de la confidentialité, authentification et non-répudiation RSA, ElGamal et DSA
  • 70.
    31/03/2011 70 Societé Mondiale de l’Information“HACKERS” (Challenge) Criminalitéorganisée (Outil d’escroquerie) Terrorisme (“Warefare”) (Arme) Espionnage (Outil) Societé Mondiale des Intrusions Intenet = « Espace Sans Loi » + «Difficulté de retraçage»Impunité 139 Les virus • Qu’est ce qu’un virus? – Un petit programme ou un élément d'un programme, développés à des fins nuisibles, qui s'installe secrètement sur des ordinateurs et parasite des programmes. • Certains virus, apparus récemment, sont très perfectionnés, qui dans la plupart des cas, exploitent les erreurs commises par les utilisateurs peu informés ou les failles des logiciels. • Les utilisateurs à domicile ne sont pas les seuls à être exposés au danger. Les entreprises et autres organisations peuvent également être victimes d'attaques ciblées, menées par des cybercriminels qui tirent parti d'informations dérobées aux employés. • Les traces  Les virus infectent des applications, copient leur code dans ces programmes. Pour ne pas infecté plusieurs fois le même fichier ils intègrent dans l’application infectée une signature virale. 140
  • 71.
    31/03/2011 71 Qu’est ce qu’unver • Programme capable de se copier vers un autre emplacement par ses propres moyens ou en employant d'autres applications. • Sert à dégrader les performances du réseau dans une entreprise. Comme un virus, un ver peut contenir une action nuisible du type destruction de données ou envoi d'informations confidentielles. • Ex: E-mail Worms – un outil de collecte d'adresses e-mail dans la machine infectée et un outil d'envoie du courrier électroniques • IRC Worms – zones de chat..., – Ver est classé à "IRC Worm 141 Exemple : Koobface • Ver informatique découvert en Novembre 2008 par McAfee, qui sévit sur le site communautaireFacebook. • Le ver Koobface se propage en envoyant des e-mails aux amis des personnes dont l'ordinateur a été infecté, si l’utilisateur a la malheureuse idée de télécharger le programme, son ordinateur va être infecté et dirigera ses utilisateurs sur des sites contaminés lors de recherches sur Google, Yahoo ou encore MSN. • Il serait également capable de dérober des informations de nature personnelle comme un numéro de carte de crédit. • Une réaction officielle par la voix de Barry Schnitt, porte-parole de Facebook a communiqué que : "quelques autres virus ont tenté de se servir de Facebook de manière similaire pour se propager mais jamais aussi important", • Concernant la sécurité des informations personnelles de plus de 200 millions de personnes, une enquête au sein du FBI a été mise en place. 142
  • 72.
    31/03/2011 72 Les bombes logiques •Les bombes logiques sont programmées pour s'activer quand survient un événement précis. • De façon générale, les bombes logiques visent à faire le plus de dégât possible sur le système en un minimum de temps. 143 « Keylogger »: • Un Keylogger est un programme parasite qui se propage souvent grâce à des virus, vers ou spywares. • Sa principale fonction est d'espionner toutes les actions effectuées sur votre ordinateur (saisie au clavier, ouverture d'applications, déplacement de fichiers...). • Les traces de ces actions sont stockées dans un emplacement précis puis envoyées vers une boîte aux lettres ou sur un site web. Certaines de vos données les plus confidentielles peuvent ainsi vous être soutirées à l'insu de votre plein gré. 144
  • 73.
    31/03/2011 73 Comment s’en protéger…?? • La plupart des keyloggers sont maintenant reconnus par les logiciels antivirus, à condition que ceux-ci soient correctement mis à jour. • Certains keyloggers sont par contre identifiés comme spywares; le recours à un logiciel antispyware est donc nécessaire. 145 Spyware  Les logiciels espions (spyware) : ils sont souvent cachés dans certains graticiels (freeware, mais pas dans les logiciels libres), partagiciels (shareware) et pilotes de périphériques, pour s'installer discrètement afin de collecter et envoyer des informations personnelles à des tiers.  Ex: GATOR, appelé aussi GAIN (Gator Advertising and Information Network) est un type de spyware qui fournit l'option de se rappeler le nom de l’utilisateur et les mots de passe.  Soyez donc vigilants, Il peut aussi se présenter sous la forme d'une fenêtre d'installation de Plug-in sous Internet Explorer. Dans ce cas, refusez catégoriquement...  de logiciels connus pour embarquer un ou plusieurs spywares : Babylon Translator, GetRight, Go!Zilla, Download Accelerator, Cute FTP, PKZip, KaZaA ou encore iMesh. 146
  • 74.
    31/03/2011 74 Phishing • Appelé aussil'hameçonnage peut se faire par courrier électronique, par des sites Web falsifiés ou autres moyens électroniques • C’est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels • consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance (ex: banque, administration, etc.) afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. • forme d'attaque informatique reposant sur l'ingénierie sociale 147 Phishing • Tout commence par la réception d'un mail. Vous recevez de votre banque, de votre fournisseur d'accès ou d'un cyber marchant un message de forme tout à fait habituelle (avec le logo et les couleurs de l'entreprise) vous informant qu'un regrettable incident technique a effacé vos coordonnées. • Vous êtes invité à cliquer sur un lien vous menant au site de l'entreprise en question pour ressaisir soit votre numéro de carte bleue, vos identifiants et mot de passe de connexion. Vous êtes en confiance et suivez attentivement les consignes… 148
  • 75.
    31/03/2011 75 phishing = spam+ mail spoofing + social engineering + URL spoofing +….. • La pratique du phishing consiste à attirer l'internaute à l’aide d'e-mails non sollicités (Spam) comme envoyés d'adresses officielles (mail_spoofing), incitant la victime, à cliquer sur un lien proposé dans le message. • Ce lien est en réalité malicieux et conçu pour usurper une destination de confiance (URL_spoofing), • Ce qui a pour conséquence de conduire l’internaute sur un site Web visuellement identique au site officiel mais dont la véritable adresse est dissimulée aux yeux de l’internaute victime. 149 Les étapes de sécurité 150 Prendre des mesures
  • 76.
    31/03/2011 76 Comment se protéger? •Pare-feu • Mises à jour de votre PC • Logiciels: anti-virus, anti- spyware, anti-spam,.. 151 Stratégies • Approche locale – Poste client • Approche globale – Poste serveur • Ces deux solutions sont complémentaires et doivent faire appel à des moteurs antiviraux de fournisseurs différents 152
  • 77.
    31/03/2011 77 Approche antivirale locale/globale •Mise à jour de la table de définitions de virus sur chaque poste client • Solution automatique ou manuelle 153 Serveur antivirus En cas de mise à jour, Notification aux clients présents Requête de mise à jour planifiée Puis téléchargement des mises à jour Interrogation du serveur à chaque démarrage des clients Téléchargement des mises à jour (localement) Les attaques: imitation malicieuse • Tout équipement connecté à un réseau injecte des datagrammes IP – @ IP de l'expéditeur + données de couche supérieure • Si l'utilisateur peut intervenir sur les logiciels ou son système d'exploitation il peut inscrire une @ IP factice (IP spoofing) – permet au pirate responsable de DoS de dissimuler leur identité car il est très difficile de remonter à la source d'un datagramme portant une fausse @ IP • Contre-Mesure : (ingress filtering) – les routeurs vérifient si l'@ IP des paquets entrant font partie des @ IP accessibles via cette interface. 154
  • 78.
    31/03/2011 78 Les attaques: LesDOS • Denial Of Service (DoS) – rend un réseau, un hôte ou autre inutilisable pour ses utilisateurs légitimes. – basé sur la production d'un volume de données supérieur à la capacité de traitement de l'entité ciblée. exemple : • SYN flooding avec des @ IP factices : accumulation d'un gd nb de connexions partiellement ouvertes • envoie de fragments IP sans les fragments de terminaison • attaque smurf : envoie de paquets de requête d'échos ICMP en masse • Distributed Denial of Service (DDos) – Le pirate obtient un grand nombre de comptes utilisateurs (sniffing ou brute force) – Il installe et exécute un logiciel esclave au niveau de chaque hôte qui attend les ordres en provenance d'un logiciel maître – Puis le pirate ordonne à tous ses logiciels esclaves de lancer une attaque DoS contre le même hôte ciblé 155 Les outils 156 Workstation Via Email File Server Workstation Mail Server Internet Web Server Via Web Page Workstation Web Server Mail Gateway Anti Virus Firewall Intrusion Detection Vulnerability Management
  • 79.
    31/03/2011 79 Ex: Serveur SymantecClient Security • Un serveur Symantec Client Security peut envoyer des mises à jour de configuration et des fichiers de définitions de virus à des clients • SymantecClient security protége les ordinateurs sur lesquels il s’exécute • Le programme client Symantec Client Security fournit une protection antivirus, pare-feu et contre les intrusions aux ordinateurs réseau et autonomes • Alert Management System2 (AMS2). AMS2 assure la gestion des urgences et prend en charge les alertes issues de serveurs et des postes de travail 157 Firewall • Le pare-feu est un système permettant de filtrer les paquets de données échangés avec le réseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces réseau suivante : – une interface pour le réseau à protéger (réseau interne) – une interface pour le réseau externe • Un système pare-feu contient un ensemble de règles prédéfinies permettant : – D'autoriser la connexion (allow) – De bloquer la connexion (deny) – De rejeter la demande de connexion sans avertir l'émetteur (drop). 158
  • 80.
    31/03/2011 80 Contrôle d’accès: Lespare-feux • Un pare-feu isole le réseau de l’organisation du reste de l’Internet en laissant pénétrer certains paquets et en bloquant d’autres • Il existe 2 types de pare-feux: – Filtrage simple des paquets (Ex: liste ACL) – Filtrage applicatif (niv. Application) 159 Rôle du pare-feux • Les firewall protègent les installations informatiques des intrusions • surveille (autoriser/denier) les communications d'un PC vers Internet et vice versa • Prévenir les attaques du type Denial Of Service – Inondation des messages SYN avec des @IP d’origine factices, qui paralyse l’hôte. Les tampons de l’hôte sont remplis de messages factices, ce qui ne laissent plus de place pour les vrais messages – Prévenir les modifications de données internes Ex: changer la page Web de l’entreprise – Empêcher les pirates d’accéder à des données sensibles, – Analyser, bloquer ou autoriser les communications via les ports UDP et TCP 160
  • 81.
    31/03/2011 81 Filtrage de paquets •Le réseau interne est équipé d’une passerelle le reliant à son FAI. On se faire le filtrage des paquets • Filtrage basé sur l’étude des en-tête de paquet – @ IP d’origine et de destination – Des types des messages ICMP – Des datagrammes de connexion et d’inintialisation utilisant les bits TCP SYN ou Ack – Ex/ filtre les segments UDP et les connexions Telnet (segment TCP avec Port 23). Évite toute intrusion étrangère via une session Telnet. • Mise en place d'une passerelle d'application (gateway) Serveur spécifique aux applications que toutes les données d'applications doivent traverser avant de quitter ou d'entrer dans le réseau 161 Filtrage applicatif • Appelé aussi « passerelle applicative » ou proxy • le filtrage applicatif permet la destruction des en-têtes précédant le message applicatif, ce qui permet de fournir un niveau de sécurité supplémentaire. • En contrepartie, une analyse fine des données applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communications, chaque paquet devant être finement analysé. • Afin de limiter les risques le proxy doit nécessairement être en mesure d'interpréter une vaste gamme de protocoles et doit connaître les failles afférentes pour être efficace. 162
  • 82.
    31/03/2011 82 Limitations des pare-feux •Usurpation d’identité (IP spoofing) le routeur est impuissant face à ce type d’attaque • Si chaque application nécessite un traitement particulier Il faut une passerelle par application Les client de ces applications doivent pouvoir configurer les logiciels (ex: navigateur avec les proxy) • Les filtres sont très grossiers: Les spyware et adware (des progr. Commerciaux sont nuisibles ne sont pas détectés par les anti-virus) utilisant le port 80 ne sont donc en aucun cas pris en compte par un firewall hardware. • il est nécessaire d'administrer le pare-feu et notamment de surveiller son journal d'activité afin d'être en mesure de détecter les tentatives d'intrusion et les anomalies. 163 Zone Démilitarisée DMZ • Il est nécessaire de mettre en place des architectures de systèmes pare-feux permettant d'isoler les différents réseaux de l'entreprise: on parle ainsi de « cloisonnement des réseaux » (isolation) • « Zone DéMilitarisée » ( DMZ pour DeMilitarized Zone) pour désigner cette zone isolée hébergeant des applications mises à disposition du public 164
  • 83.
    31/03/2011 83 Architecture DMZ • Lesserveurs situés dans la DMZ sont appelés « bastions » en raison de leur position d'avant poste dans le réseau de l'entreprise. • La DMZ possède donc un niveau de sécurité intermédiaire, mais son niveau de sécurisation n'est pas suffisant pour y stocker des données critiques pour l'entreprise. 165 Politique de sécurité • La politique de sécurité mise en oeuvre sur la DMZ est généralement la suivante : – Traffic du réseau externe vers la DMZ autorisé ; – Traffic du réseau externe vers le réseau interne interdit ; – Traffic du réseau interne vers la DMZ autorisé ; – Traffic du réseau interne vers le réseau externe autorisé ; – Traffic de la DMZ vers le réseau interne interdit ; – Traffic de la DMZ vers le réseau externe refusé. 166
  • 84.
    31/03/2011 84 NAT • Le principedu NAT consiste à réaliser, au niveau de la passerelle de connexion à internet, une translation entre l'adresse interne (non routable) de la machine souhaitant se connecter et l'adresse IP de la passerelle. • Le terme NAT représente la modification des adresses IP dans l'en-tête d'un datagramme IP effectuée par un routeur. SNAT : @source du paquet qui est modifiée (altérée) DNAT : @destination qui est modifiée (altérée) 167 Network Address Translation: NAT • Fonctionnement du NAT: – Translation des @IP de l’en tête – Recalcul et vérification du checksum – Recalcul et modification du checksum TCP – NAT cache l’identité « réelle » des Hosts – Tout paquet de données qui doit être translater doit passer par un routeur NAT – permet de sécuriser le réseau interne étant donné qu'il camoufle complètement l'adressage interne. Pour un observateur externe au réseau, toutes les requêtes semblent provenir de la même adresse IP. 168
  • 85.
    31/03/2011 85 Les différents typesde NAT On distingue deux types différents de NAT: NAT statique NAT dynamique 169 Principe de NAT • Le principe du NAT statique: – consiste à associer une @IP publique à une @IP privée interne au réseau. Le routeur (passerelle) permet donc d'associer à une @IP privée (ex: 192.168.0.1) une @IP publique routable sur Internet et de faire la traduction, dans un sens comme dans l'autre, en modifiant l‘@ dans le paquet IP. – La translation d‘@-statique permet ainsi de connecter des machines du réseau interne à internet de manière transparente • NAT dynamique – permet de partager une @IP routable entre plusieurs machines en @ privé. Ainsi, toutes les machines du réseau interne possèdent virtuellement, vu de l'extérieur, la même @IP. C'est la raison pour laquelle le terme de « mascarade IP » (IP masquerading) est parfois utilisé pour désigner le mécanisme de translation d'adresse dynamique. 170
  • 86.
    31/03/2011 86 10.0.0.12/24 10.0.0.12/24 (@ interne) 193.22.35.42/24(@ externe) Internet 171 Les avantages et Inconvénients du NAT Statiques • NAT statique a permis de rendre une machine accessible sur Internet alors qu'elle possédait une adresse privée. • la NAT statique permet de rendre disponible une application sur Internet ( serveur web, mail ou serveur FTP). Le principe du NAT statique ne résout pas le problème de la pénurie d'adresse puisque n adresses IP routables sont nécessaires pour connecter n machines du réseau interne. 172
  • 87.
    31/03/2011 87 Avantages NAT Dynamique •Le NAT dynamique permet de partager une adresse IP routable (ou un nombre réduit d'adresses IP routables) entre plusieurs machines en adressage privé. • NAT dynamique utilise la translation de port (PAT - Port Address Translation) • Elle permet d’économiser les adresse IP. cela permet de répondre au problème de pénurie d'adresses. • Elle permet une sécurité accrue, car il n'existe aucun moyen pour quelqu'un de l'extérieur, d'accéder aux machines internes. 173 Les inconvénients • Elle est donc utile pour partager un accès Internet, mais pas pour rendre un serveur accessible. • IPSec est totalement incompatible avec le NAT • La NAT dynamique seule ne peut pas être considérée comme une sécurité suffisante. Il est indispensable d'utiliser un filtrage si l'on veut obtenir un bon niveau de sécurité. 174
  • 88.
    31/03/2011 88 Architecture IPsec 1. Introduction 2.Services IPsec 3. Modes d’utilisation 175 IPsec : Introduction • On a conçu IPSec (Internet Protocol Security) pour sécuriser le protocole IPv6. La lenteur de déploiement de ce dernier a imposé une adaptation d’IPSec à l’actuel protocole IPv4. • Plusieurs RFC successives décrivent les différents éléments d’IPSec : RFC 2401, 2402, 2406, 2408… 176
  • 89.
    31/03/2011 89 IPsec : Introduction •Internet Protocol Security est un ensemble de protocoles (couche 3 modèle OSI) utilisant des algorithmes permettant le transport de données sécurisées sur un réseau IP. • Composante indissociable d’IPV6, optionnelle en IPV4 • Composant de VPN • Permet l’établissement de communication sécurisée • Les services et algorithmes utilisés sont paramétrables. 177 IPsec : 4 services • Authentification des données : – chaque paquet échangé a bien été émis par la bonne machine et qu’il est bien à destination de la seconde machine • Confidentialité des données échangées : – chiffrer le contenu des paquets IP pour empêcher qu’une personne extérieure ne le lise • Intégrité des données échangées : – s’assurer qu’aucun paquet n’a subit une quelconque modification durant son trajet. • Protection contre l’analyse de trafic : – chiffrer les adresses réelles de l’expéditeur et du destinataire, ainsi que tout l’en-tête IP correspondant. C’est le principe de base du tunneling. 178
  • 90.
    31/03/2011 90 Fonctionnement • On établitun tunnel entre deux sites: • IPSec gère l’ensemble des paramètres de sécurité associés à la communication. • Deux machines passerelles, situées à chaque extrémité du tunnel, négocient les conditions de l’échange des informations : – Quels algorithmes de chiffrement, quelles méthodes de signature numérique ainsi que les clés utilisées pour ces mécanismes. – La protection est apportée à tous les trafics et elle est transparente aux différentes applications. 179 • IPSec prévoit la définition de la politique de sécurité avec le choix des algorithmes utilisés et leur portée. • Une fois qu’une politique est définie, il y a échange des clés avec un mécanisme IKE (Internet Key Exchange) [utilisant le port 500 et le transport UDP]. • On peut mettre en oeuvre l’authentification soit en supposant que les deux extrémités se partagent déjà un secret pour la génération de clés de sessions, soit en utilisant des certificats et des signatures RSA. • Les machines passerelles traitent ensuite les données avec la politique de sécurité associée. • IPSec propose ensuite deux mécanismes au choix pour les données de l’échange : ESP (Encapsulating Security Payload) et AH (Authentication Header). • ESP fournit l’intégrité et la confidentialité, AH ne fournit que l’intégrité. 180
  • 91.
    31/03/2011 91 IPsec : Atoutset limites • Atouts :la richesse de son offre de services de sécurité qui : – Est exploitable dans les couches hautes de TCP-IP. – Est ouvert à tous les équipements. – Peut intervenir dans différentes configurations. • Un point faible de IPSec : la gestion des clés  solution un PKI (Public Key Infrastructure). 181 IPsec : Architecture • Ensemble de protocoles couvrant deux aspects – Encapsulation des datagrammes IP dans d’autres datagrammes IP •  services de sécurité (intégrité, confidentialité, …etc.) – Négociation des clés et des associations de sécurité •  utilisées lors de l ’encapsulation 182
  • 92.
    31/03/2011 92 IPsec : Architecture •2 protocoles définis pour l’encapsulation – Authentication Header (AH) – Encapsulating Security Payload (ESP) • 1 protocole pour l’échange de clés – Internet Key Exchange (IKE) 183 DOI IPsec -RFC 2407: Architecture 184
  • 93.
    31/03/2011 93 AH • Les algorithmesd'authentification utilisables avec AH sont répertoriés dans le DOI IPsec; il existe notamment HMAC-MD5 et HMAC-SHA-1. • Assure l’authentification de la source – Protection contre source spoofing • Assure l’intégrité des données – Algorithme d’hachage 96 bits – Utilise une cryptographie à clé symétrique – HMAC-SHA-96, HMAC-MD5-96 • Protection contre le rejeu – Utilise un mécanisme anti-rejeu (nombre de séquence) • Non répudiation – Utilisation du RSA • Aucune protection de confidentialité – Données signées et non chiffrées 185 • Selon les modes de fonctionnement choisis (transport ou tunnel) la position de l'en tête d'authentification AH est la suivante : • Les algorithmes d’authentification utilisables avec AH sont listés dans le DOI IPsec (RFC 2407). 186 Position de AH en mode transport. Position de AH en mode tunnel.
  • 94.
    31/03/2011 94 ESP • ESP assurequant à lui la confidentialité des données mais peut aussi assurer leur intégrité en mode non connecté et l'authentification de leur origine. • A partir du datagramme IP classique, un nouveau datagramme dans lequel les données et éventuellement l'en tête originale sont chiffrées, est crée. C'est une réelle encapsulation entre un en tête et un trailer. • La protection contre le rejeu est fournie grâce à un numéro de séquence si les fonctions précédentes ont été retenues • Idem plus la confidentialité des données – utilise une encryption à clés symétrique 187 • Suivant les modes de fonctionnement choisis (transport ou tunnel) la position de ESP est la suivante : 188 Position de ESP en mode transport. Position de ESP en mode tunnel.
  • 95.
    31/03/2011 95 IPsec : Architecture •IPsec assure la sécurité en trois situations – Hôte à hôte – Routeur à routeur – Hôte à routeur • IPsec opère en deux mode – Mode transport – Mode tunnel (VPN) 189 Mode transport • Transport – Utilisé uniquement entre deux machines qui elles-mêmes responsable du chiffrement/déchiffrement . – Seulement les données qui sont chiffrées. Les en-tête IP sont conservés 190 Internet VPN Security gateway 1 Security gateway 2 Server B A B data encrypted Workstation A
  • 96.
    31/03/2011 96 Mode tunnel • Tunnel –Le flux est entre deux machines qui se trouvent derrièredeux passerelles faisant le chiffrement/déchiffrement – En-tête IP et données sont chiffrés et un nouveau en-tête est généré avec l’adresse IP du serveur VPN. 191 A B data A B data1 2 Internet VPN Security gateway 1 Security gateway 2 Workstation A Server B encryptedA B data source destination Capture ISAKMP: Internet Security Association and Key Management Protocol 192 • Capture d’écran à l’aide de Wireshark réalisée dans la séance de TP avec IPSEC. On peut voir le déploiement de l’ISAKMP lors de l’échange
  • 97.
    31/03/2011 97 193 Qu’est ce qu’unVPN ? • VPN,acronyme de Virtual Private Network, ou Réseau Privé Virtuel. Ce réseau est dit virtuel car il relie des réseaux "physiques" (réseaux locaux) via un réseau public, en général Internet, et privé car seuls les ordinateurs des réseaux locaux faisant partie du VPN peuvent accéder aux données. • Cette technique assure l’authentification en contrôlant l’accès, l’intégrité des données et le chiffrage de celles-ci. 194
  • 98.
    31/03/2011 98 195 VPN • La miseen place d'un réseau privé virtuel permet de connecter de façon sécurisée des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils étaient sur le même réseau local. • Ce procédé est utilisé par de nombreuses entreprises afin de permettre à leurs utilisateurs de se connecter au réseau d'entreprise hors de leur lieu de travail. On peut facilement imaginer un grand nombre d'applications possibles : – Accès au réseau local (d'entreprise) à distance et de façon sécurisée pour les travailleurs nomades – Partage de fichiers sécurisés – Jeu en réseau local avec des machines distantes 196
  • 99.
    31/03/2011 99 Les Protocoles deTunnelisation • Les principaux protocoles de tunneling sont : – PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2 développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics. – L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco Systems, Northern Telecom (Nortel) et Shiva. – L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 2661) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP. – IPsec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données chiffrées pour les réseaux IP. – SSL/TLS offre une très bonne solution de tunneling. L'avantage de cette solution est d'utiliser un simple navigateur comme client VPN. – SSH Initialement connu comme remplacement sécurisé de telnet, SSH offre la possibilité de tunneliser des connections de type TCP. 197 198 Une entreprise Multi-site désire de plus en plus ouvrir son réseau à ses employés travaillant à distance, en toute sécurité. C’est l’enjeu auquel répond efficacement une solution de type VPN
  • 100.
    31/03/2011 100 SSL : SecureSocket Layer • C'est un système qui permet d'échanger des informations entre 2 ordinateurs de façon sûre. SSL assure 3 aspects: – Confidentialité: Il est impossible d'espionner les informations échangées. – Intégrité: Il est impossible de truquer les informations échangées. – Authentification: Il permet de s'assurer de l'identité du programme, de la personne ou de l'entreprise avec laquelle on communique. • SSL est un complément à TCP/IP et permet (potentiellement) de sécuriser n'importe quel protocole ou programme utilisant TCP/IP. • SSL a été créé et développé par la société Netscape et RSA Security. 199 Récapitulatif • Accès non autorisé Authentification • Confidentialité Chiffrement • Virus Antivirus • Intrusion IDS/IPS Firewall • Modification Hachage consiste à verrouiller les données à l’aide des composants matériels: clipper-chips 200