SlideShare une entreprise Scribd logo
31/03/2011
1
Administration
&
Sécurité des réseaux
Wafa KAMMOUN
1
2eme Ingénieurs
ISITCom H-SouSSe
2010 - 2011
Plan de Cours
• Administration :
– Introduction à l’administration réseaux
– Rappel sur les Protocoles et services IP
– Administration des équipements (Firewall, routeur)
– Listes ACL
– Administration des serveurs DNS, DHCP
– Administration SNMP (Simple Network Management Protocol),..
• Sécurité :
– Introduction à la sécurité informatique
– # types d’attaques (Hacking)
– La cryptographie & l’authentification,
– Les DMZ et Firewalls
– VPN, SSL (Secure Socket Layer)
• Références:
– http://www.itu.int/cybersecurity/
– http://www.w3.org/P3P/
– Stallings William, Sécurité des réseaux, applications et standards, Vuibert, 2002, ISBN 978-2-71-
178653
2
31/03/2011
2
Quelques définitions
• Administrateur :
– Administrateur Système:
• Personne responsable de la totalité de la gestion du système informatique.
Il surveille et en assure la maintenance du système de manière à garantir
un fonctionnement irréprochable. Veiller au bon fonctionnement des
sauvegardes.
– Administrateur réseau:
• Chargé de la gestion de tout type d’équipements réseau. Il est responsable
de bon fonctionnement configuration des équipements réseau, de la
répartition des droits d’accès des utilisateurs à accéder aux serveurs. Lui
seul a le droit d’ajouter des utilisateurs ou d’annuler des autorisations
d’accès, ainsi que l’installation du SE réseau et de la sécurité des données
sur l’ensemble du réseau
3
Fonctions & Objectifs
• Administration
– Administration des serveurs, Administration des équipements et des applications (FTP, Web,
courrier,..)
– Déploiement, intégration, gestion des ressources réseaux mais aussi humaine
– Gérer des 100 ou des 1000 d’utilisateurs dans des systèmes autonomes
– Surveillance, test de performance, d’audit, de configuration du réseau
– Évaluation des ressources nécessaires
• Sécurité:
– Protéger le réseau contre les accès non autorisés, divulgations
– Contrôle d’accès: Les pare-feux (Firewalls)
– Cryptographie et authentification
– Récupérer les données à la suite d’un événement catastrophique
• La sauvegarde des données sur bande magnétique (quotidienne, complète,
incrémentielle,..)
• La configuration des disques de tolérance de pannes (Les techniques de redondance,..)
• L’utilisation des dispositifs d’alimentation sans coupure
– Se protéger contre les attaques (virus, trojan,..)
….. Et tout ça pour un coût raisonnable !!!
4
31/03/2011
3
Buts
• Le réseau est devenu une ressource indispensable (voire
vitale) au bon fonctionnement d’une entreprise,..
• L’administration du réseau met en œuvre un ensemble
de moyen pour :
– offrir aux utilisateurs un service de qualité
– Permettre l’évolution du système en intégrant des nouvelles
fonctionnalités
– Optimiser les performances des services pour les utilisateurs
– Permettre une utilisation maximale des ressources avec un
coût minimal
5
Administration = Partie opérationnelle d’un
réseau
• Les fonctions d'administration doivent permettre:
– l'extraction des informations des éléments du réseau au moyen
d'outils (trace)
=> récolte un grand nombre d'information,
– la réduction du volume d'information au moyen de filtres
=> sélection d'information significatives (analyser),
– le stockage des informations retenues dans une base de
données d'administration,
– des traitements sur ces informations,
– offrir des interfaces (utilisateur administration, opérateur
réseau).
6
31/03/2011
4
Les attendus d’une administration de
réseau
• Les 5 domaines fonctionnels de l'administration tel que définis dans l'OSI:
– La gestion des pannes : permet la détection, la localisation, la réparation de pannes et
le retour à une situation normale dans l'environnement.
– La comptabilité : permet de connaître les charges des objets gérés, les coûts de
communication, ... Cette évaluation est établie en fonction du volume et de la durée de
la transmission. Ces relevés s'effectuent à deux niveaux : Réseau et Application.
– La gestion des configurations : permet d'identifier, de paramétrer les différents objets.
Les procédures requises pour gérer une configuration sont la collecte d'information, le
contrôle de l'état du système, la sauvegarde de l'état dans un historique
– L'audit des performances : permet d'évaluer les performances des ressources du
système et leur efficacité. Les performances d'un réseau sont évaluées à partir de
quatre paramètres : le temps de réponse, le débit, le taux d'erreur par bit et la
disponibilité.
– La gestion de la sécurité : une des fonctions de gestion concerne le contrôle et la
distribution des informations utilisées pour la sécurité. Un sous-ensemble de la MIB
(Management Information Base) concerne les informations de sécurité (SMIB). Il
renferme le cryptage et la liste des droits d'accès.
7
L’organisation d’une administration
• Qui a besoin d'administration et pour quoi faire ?
• Il existe différents types de décision d'administration :
– décisions opérationnelles : décision à court terme, concernant l'administration
au jour le jour et opérations temps réel sur le système
– décisions tactiques : décision à moyen terme concernant l'évolution du réseau
et l'application des politiques de long terme
– décisions stratégiques : décision de long terme concernant les stratégies pour
le futur en exprimant les nouveaux besoins et désirs des utilisateurs.
• Ces niveaux déterminent différents niveaux d'administration:
– le contrôle opérationnel réseau pour les décisions opérationnelles
– la gestion réseau pour les décision tactiques
– l'analyse de réseau pour les décision tactiques et stratégiques
– la planification pour les décisions stratégiques
8
31/03/2011
5
Administration des réseaux
• Protocoles TCP/IP et les protocoles d’application
• Principe de routage (IP,ICMP, RIP,OSPF,..)
• Administration des serveurs :
– Serveur de résolution des noms, DNS
– Serveur de configuration dynamique, DHCP
– Serveur de transfert des fichiers, FTP
– Services pour accéder à des machines distantes, Telnet
– Serveur Web
– Protocole d’administration réseau, SNMP
9
Les domaines d’activités
• La gestion des pannes:
– Détection, localisation, isolation, réparation
• Gestion des configurations
– Identification des ressources
– Installation, initialisation, paramétrage, reconfiguration.
– Collecte des informations utiles et sauvegarde d’un historique.
• Audit des performances
– Évaluation: collecter les données et établir des statistiques sur les
performances (temps de réponse, taux d’utilisation, débit, taux d’erreur,
disponibilité)
– Gestion de trafic : satisfaire les besoins des users (à qui attribuer un grand
dédit…)
10
31/03/2011
6
Les domaines d’activités
• Gestion de la comptabilité:
– Gérer la charge des ressources pour empêcher toute surcharge (congestion).
– Gérer le coût d’utilisation des ressources et les facturer
– Gérer le quota d’exploitation de la ressources ( imprimante, disques…)
• Gestion de la sécurité
– But: protéger les ressources du réseau et du système d’administration
– Commet: Assurer les services de la sécurité (authentification, confidentialité, intégrité,
disponibilité et non répudiation).
– Moyen : cryptographie + logiciel de supervision + audit  surveillance des journaux.
Exemple : sous WinNT Server (journaux d’évènements)
• Journal de sécurité
• Journal système
• Journal application
11
Administrer un réseau IP
• Un réseau IP est un ensemble d’équipements:
– Possédant chacun une ou plusieurs interfaces
– Reliés entre eux par des supports physiques divers
– Gestion des pannes
– Gestion des configurations
– Audit des performances
– Gestion de la sécurité
• Administrer un réseau IP:
– Définir un plan d’adressage cohérent
– Affecter une adresse IP à chaque interface
– Mettre en œuvre le routage entre ces divers éléments
12
31/03/2011
7
Détecter un problème réseau :
• PING : Permet de valider une connexion point à point
usage : ping xxx.xxx.xxx.xxx (x : adresse IP de la machine)
TRACE ROUTE : Permet de donner les chemins de communication entre deux machines
usage : tracert xxx.xxx.xxx.xxx (x : adresse IP de la machine)
ARP : Permet d'obtenir l'adresse MAC (fabriquant) d'un épement
usage : arp -a xxx.xxx.xxx.xxx (x : adresse IP de la machine)
NBTSTAT : Permet d'obtenir le nom de l'utilisateur connecté sur une machine
usage : nbtstat -A xxx.xxx.xxx.xxx (x : adresse IP de la machine)
nbtstat -a nom.domaine si l'on connait le nom de la station
nbtstat -c pour afficher tout le cache
Windows NT : IPCONFIG : Affiche la configuration IP
UNIX : vmstat ps
pstat
· netstat
· netstat -i
· +Ierrs : cable ?
· +Oerrs : Ctrl ?
· -a send_@ != 0 : Lan Overload
· -s Bad CRC != 0 : Router
· !LAN>= 0 retrans : timeout <5% = ok
· Et enfin pour ajouter une route:
· route> add x.x.x.xequip MASK x.x.x.x sub x.x.x.xrouter -p
13
14
31/03/2011
8
Adressage IP
• Une adresse IP est constituée de
deux numéros:
• IP address = <network
number><host number>
• Le numéro de réseau identifie le
réseau sur lequel est connecté le
nœud. Ce numéro doit être unique.
• Le numéro d'hôte identifie le nœud
sur le réseau en question.
– classe A : de 1 à 126
– classe B : de 128.1. à 191.254
– classe C : de 192.0.1 à 223.255.254
15
16
31/03/2011
9
Les adresses Privées
17
18
31/03/2011
10
SR & Masque de SR
• Le nombre croissant de réseaux, notamment sur Internet, a fini par
poser problème, en particulier à cause de la saturation du schéma
d'adressage.
• Le fractionnement d'un réseau en plusieurs réseaux permet de
réduire le trafic sur chacun des réseaux ou d'isoler certains groupes
de travail.
– <@-IP> = <netw.nr><subnet nr><host nr>
– L'échange de messages des stations situées sur deux sous-réseaux différents
ne pourra se faire directement, mais uniquement par l'intermédiaire d'un
routeur.
• Exemple
Une classe A avec un masque de SR: 255.255.0.0 est découpée en 254 SR de
65534 stations.
– Une classe A avec un masque de SR 255.240.0.0 (11111111 11110000 00000000
00000000) est découpée en 14 SR de 1 048 574 stations (4 bits permettent de coder
16 valeurs - 2 réservées).
19
20
31/03/2011
11
21
Mise en oeuvre
• La mise en œuvre de sous-réseaux passe par les étapes
suivantes:
– Déterminer le nombre de sous-réseaux à adresser.
– Déterminer le nombre maximum d'hôtes sur chaque sous-réseau.
– Calculer le nombre de bits nécessaires pour les sous-réseaux et pour
les stations (en prévoyant les évolutions)
– Positionner le masque de sous-réseau.
– Lister les différents numéros de sous-réseaux possibles en éliminant
les "tout à 0" et les "tout à 1".
• Exemple :
Un réseau d'adresse 160.16.0.0 est divisé en 8 SR Chacun de
ces SR accueille ont au moins 1000 hôtes.
22
31/03/2011
12
Solution
• Pour adresser 8 sous-réseaux différents, il faut 8
numéros. 3 bits permettent d'adresser 6 (8-2) sous-
réseaux et 4 bits permettent d'adresser 14 sous-
réseaux. Il faut donc prendre cette dernière solution.
Il reste dans ce cas, 12 bits pour le numéro d'hôte ce
qui permet 4094 numéros d'hôtes. Le masque sera
donc :
– 11111111 11111111 11110000 00000000
réseau SR hôte
– soit en représentation décimale : 255.255.240.0
23
Les listes ACL
• Les listes de contrôle d’accès sont des
instructions qui expriment une liste de règles,
imposés par l’administrateur, donnant un
contrôle supplémentaire sur les paquets reçus
et transmis par le routeur.
– Il ne peut y avoir qu’une liste d’accès par
protocole par interface et par sens
– Une ACL est identifiable par son Nr. attribué
suivant le protocole et suivant le type.
• ACL Standard:
– Permet d’autoriser ou d’interdire des @
spécifiques ou
• ACL étendu
– un ensemble d’@ ou de protocoles
Type de la liste Plage Nr.
Liste d’accès
standard
1 à 99
Liste d’accès
étendues
100 à 199
24
31/03/2011
13
• Le routeur détermine s’il doit acheminer ou bloquer un
paquet en fonction de chaque instruction de condition
dans l’ordre dans lequel les instructions ont été crées
• Si le paquet arrivant à l’interface du routeur satisfait à une
condition, il est autorisé ou refusé
• Si le paquet ne correspond à aucune instruction dans la
liste, celui-ci est rejeté
• Le résultat de l’instruction implicite deny any
• Any: n’importe quelle @ (de 0.0.0.0 à 255.255.255.255)
• Host: abréviation du masque générique
– Ex: host 172.16.33.5 équivaut à 172.16.33.5 0.0.0.0
25
Liste standard, étendue..?!!
• Liste standard:
– Router (config)# access-list numr-liste {permit |deny}
source {masque-source}
– Ex: access-list 1 deny 172.69.0.0 0.0.255.255
• Liste étendue:
– Router (config)# access-list numr-liste {permit|deny}
protocole source {masque-source} destination {masque-
desti} {opérateur opérande}[established..]
26
31/03/2011
14
Exemple:
• Réponse:
• Router (config)# access-list 1 permit 205.7.5.0 0.0.0.255
• Router (config)# int e0
• Router (config-if)# access-group 1 out
27
ACL qui permet à tout le réseau 205.7.5.0 l’accès au réseau 192.5.5.0;
Extrait de /etc/services :
• /etc/services :
• ftp 21/tcp
• telnet 23/tcp
• smtp 25/tcp
• mail pop3 110/tcp # Post Office
• A consulter, /etc/inetd.conf ; répertoire contient la
liste des services activés sur une machine donnée
• A Voir l’Extrait de /etc/inetd.conf
28
31/03/2011
15
Les commandes ICMP
• Les horloges de 2 machines qui diffèrent de manière importante
peuvent poser des problèmes pour des logiciels distribués.
• Une machine peut émettre une demande d’horodatage
(timestamp request) à une autre machine susceptible de lui
répondre (timestamp reply) en donnant l’heure d’arrivée de la
demande et l’heure de départ de la réponse.
• L’émetteur peut alors estimer le temps de transit ainsi que la
différence entre les horloges locale et distante.
• Le champ de données spécifiques comprend l’heure originale
(originate timestamp) émis par le demandeur, l’heure de
réception (receive timestamp) du destinataire, et l’heure de
départ (transmit timestamp) de la réponse.
29
Le protocole ICMP
• Internet Control Message Protocol
TYPE 8 bits; type de message
CODE 8 bits; informations complémentaires
CHECKSUM 16 bits; champ de contrôle
HEAD-DATA en-tête datagramme + 64 premiers bits des données.
• 15 messages utilisés
– 10 informations
• Ping
• Messages de routeurs
• Horodatage
– 5 erreurs
• Destination inaccessible
• Temps dépassé
• Divers
• Redirection
• Utilisé par les outils applicatifs tels:
ping et traceroute.
30
TYPE Message ICMPV.4
0 Echo Reply
3 Destination Unreachable
4 Source Quench
5 Redirect (change a route)
8 Echo Request
11 Time Exceeded (TTL)
Parameter Problem with a Datagram
13 Timestamp Request
14 Timestamp Reply
15 Information Request
(obsolete)
31/03/2011
16
ICMP : les messages d’ erreurs
• Lorsqu’une passerelle émet un message ICMP de type destination inaccessible,
le champ code décrit la nature de l’erreur :
– 0 Network Unreachable
– 1 Host Unreachable
– 2 Protocol Unreachable
– 3 Port Unreachable
– 4 Fragmentation Needed and DF set
– 5 Source Route Failed
– 6 Destination Network Unknown
– 7 Destination Host Unknown
– 8 Source Host Isolated
– 9 Communication with desination network administratively prohibited
– 10 Communication with desination host administratively prohibited
– 11 Network Unreachable for type of Service
– 12 Host Unreachable for type of Service
31
Paquets ICMPv6
• Utiliser l'utilitaire ping6 (équivalent à l'utilitaire ping) pour tester la présence
d'une machine sur le réseau en prenant une @IPv6
• la longueur du message ICMPv6 est limitée à 1 280 octets, afin d’éviter les
problèmes de fragmentation, puisqu'il est difficilement envisageable de mettre
en œuvre la découverte du MTU
32
Type message Meaning
1 Destination Unreachable
2 Packet Too Big
3 Time Exceeded
4 Parameter Problem
128 Echo Request
129 Echo Reply
130 Group Membership Query
131 Group Membership Report
132 Group Membership Reduction
133 Router Solicitation
134 Router Advertisement
135 Neighbor Solicitation
136 Neighbor Advertisement
137 Redirect
31/03/2011
17
Exemples de gestion des erreurs
33
Administration des serveurs
• 2 types de réseaux:
– Réseau d’égal à égal: réseau pour groupe de travail et conçu pour un petit
nombre de stations
• Un nombre limité d’utilisateurs
• Création et exploitation peu coûteuse
• Pas de nécessité de serveur dédié ou de logiciel supplémentaire
– Inconvénients:
– aucun point central de gestion
– Si le # des users>10 un réseau d’égal à égal est un mauvais choix
– Ex: Windows for Workgroups, Win 98.
– Réseau client-serveur: gestion centralisée des utilisateurs, de la sécurité et des
ressources
• Possibilité d’utiliser des serveurs dédiés pour fournir plus efficacement des
ressources précises aux clients
• L’utilisateur peut avoir accès aux ressources autorisées à l’aide d’un ID réseau et
d’un mot de passe
– Inconvénients:
– Exploitation et maintenance exige du personnel formé
– Coût d’exploitation est plus élevé que les réseaux d’égal à égal
– Ex: Unix, Linux, Novell Netware et Win-NT/XP? WIN2K server, Win 2008.
34
31/03/2011
18
SécuritéWeb Virtualisation
Fondamentaux
Succession de 2003 Contient 4 piliers: built-in-web, Virtualization
technologies. Peut assurer et produire une infrastructure réseau securisée
avec des coûts réduits, en augmentant la flexibilité dans une organisation35
36
• Plateformes
– 32 bits (x86)
– 64 bits (x64 et IA64*)
• Versions « classique » et « Server Core** »
– Web
– Standard
– Enterprise
– Datacenter
* Rôles et fonctionnalités limités -
http://www.microsoft.com/windowsserver/bulletins/longhorn/itanium_bulletin.mspx
** uniquement sur Standard, Enterprise et Datacenter
31/03/2011
19
37
-Amélioration du déploiement, de la récupération et de
l'installation basée sur une image source ;
- Amélioration des outils de diagnostic, de supervision, de
traçabilité des évènements et de rapports ;
-Apport de nouvelles fonctionnalités de sécurité telles que
Bitlocker (specification de protection des données, qui fournit
le chiffrement par partition) et présente une amélioration du
Pare-feu
- permet aux ressources système d'être partitionnées de
façon dynamique à l'aide du module Dynamic Hardware
Partitioning (Gestion Dynamique du Partitionnement )
38
• Option d’installation minimale
• Surface d’exposition réduite
• Interface en ligne de commande
• Ensemble de rôles restreints
• Choix à l’installation !
• N’est pas une plateforme applicative
Server Core - « Rôles »
Server Core
Composants Sécurité, TCP/IP, Système de fichiers, RPC,
plus d’autre sous-systèmes Core Server
DNS DHCP
File
&
Print
AD
Server
Avec .Net 3.0, shell, outils, etc.
TS IAS
Web
Server
Share
Point
Etc…
Rôles du serveur
(en plus de ceux de la version Core)
GUI, Shell, IE,
Media, Frame, .Net
etc.
WSV
AD
LDS
Media
Server
IIS
Il s'agit de la nouveauté la plus notable proposée par Windows Server 2008 : l’option
d’installation Server Core installe uniquement le strict minimum
31/03/2011
20
39
Installation
Fondamentaux
Cette installation apporte plusieurs avantages :
- Réduction tout d'abord des ressources nécessaires ;
- Réduction de la maintenance et de la gestion, puisque seuls les
éléments nécessaires pour les rôles définis sont à installer et
configurer ;
- Réduction enfin de la surface d’exposition aux attaques,
directement lié au nombre réduit d’applications et services
exécutées sur le serveur ;
40
Installation de Windows Server 2008
• Installation
• Par fichier image (fichier .wim)
• 2 modes
• Classique
• Serveur Core
• Configuration initiale
• Initial Configuration Tasks
• Administration du serveur
• Server Manager
• Gestion des rôles
• Gestion des fonctionnalités
31/03/2011
21
Machine serveur Core
41
peut être configurée pour assurer plusieurs rôles de base :
Services de domaine Active Directory (AD DS)
Services AD LDS (Active Directory Lightweight Directory Services)
Serveur DHCP
Serveur DNS
Serveur de fichiers
Serveur d’impression
Services de diffusion multimédia en continu
Ainsi que les fonctionnalités facultatives suivantes :
Sauvegarde
Chiffrement de lecteur BitLocker
Clustering (grappe de serveur) avec basculement
Équilibrage de la charge réseau
Stockage amovible
Protocole SNMP (Simple Network Management Protocol)
Sous-système pour les applications UNIX
Client Telnet
Service WINS (Windows Internet Name Service)
42
Server Manager
• Votre nouvel ami 
• Rationnaliser les outils et disposer d’un outil central permettant
d’ajouter, de configurer et de gérer les différents rôles et fonctionnalités
du serveur
– Un seul outil pour configurer
Windows Server 2008
– Portail d’administration
– Ligne de commande
servermanagercmd.exe
31/03/2011
22
43
Active Directory
Fondamentaux
Objectifs:
• Disposer de mécanismes permettant une
installation granulaire d’Active Directory
• Améliorer la prise en charge des serveurs
distribués géographiquement (agences)
• Optimiser la consommation de bande passante
• Elever le niveau de sécurité
Active Directory Domain ServicesActive Directory Domain Controller
Active Directory Lightweight DirectoryActive Directory Application Mode
Active Directory Rights ManagementRights Management Services
Active Directory Certificate ServicesWindows Certificate Services
44
Active Directory : nomenclature
31/03/2011
23
45
Active Directory dans Windows Server 2008
• Installation
– Nouvel assistant de promotion en contrôleur de domaine
• Installation automatisée améliorée
– Prise en charge du mode Server Core
• Sécurité
– Authentification, autorisations et audit
– Contrôleur de domaine en lecture seule
• Performance
– Réplication Sysvol différentielle
• Administration
– Active Directory sous forme de service
– Editeur d’attributs
– Protection contre les suppressions accidentelles
– Administration des stratégies de groupe avec GPMC
46
• Support du server core
• Utilise les ‘crédentiels’ de l’utilisateur connecté pour la promotion
• Sélection des rôles : DNS (défaut), GC (défaut), RODC (Read Only
Domain Controller)
• Mode avancé (/adv)
• Sélection du site (par défaut : auto-détection)
• Réplication AD durant la promotion: DC particulier, n’importe quel DC,
média (sauvegarde AD)
• Auto-configuration du serveur DNS
• Auto-configuration du client DNS
• Création et configuration des délégations DNS
Active Directory Domain Services
DCPROMO dans Windows Server 2008
31/03/2011
24
47
Politique de mots de passe multiples
• Aujourd’hui la politique des mots de passe appliquée se définit
pour l’ensemble du domaine
– Default Domain Policy dans un AD 2000/2003
• Avec Windows Server 2008 : il devient possible de définir des
politiques de comptes au niveau des utilisateurs et des groupes du
domaine
– Ne s’applique pas ni à l’objet ordinateur ni aux comptes locaux (utilisateurs
hors domaine)
– Nécessite un niveau fonctionnel de domaine Windows Server 2008
– Le schéma doit être en version 2008
• Utilisation d’une nouvelle classe d’objets msDs-PasswordSettings
48
Hub
`
Read Only DC
Hub WS 2008 DC
Branch
Read-Only DC
Authentification
1
2
3
4
5
6
6
7
7
1. AS_Req vers le RODC (requête
pour TGT)
2. RODC: regarde dans sa base:
“Je n’ai pas les crédentiels de
l’utilisateur"
3. Transmet la requête vers un
Windows Server 2008 DC
4. Windows Server 2008 DC
authentifie la demande
5. Renvoi la réponse et la TGT
vers le RODC (Hub signed TGT)
6. RODC fournit le TGT à
l’utilisateur et met en queue
une demande de réplication
pour les crédentiels
7. Le Hub DC vérifie la politique
de réplication des mots de
passe pour savoir s’il peut être
répliqué
31/03/2011
25
49
Administration du Serveur
Fondamentaux
• Objectifs:
• Rationaliser les outils d’administration
• Elargir les possibilités offertes en terme d’administration
locale et distante
• Déployer plus rapidement de nouveaux systèmes (postes
et serveurs)
50
Administration et Windows Server 2008
• Le Server Manager
• Windows PowerShell
• Active Directory redémarrable
• Administrateurs locaux sur RODC
• Stratégies de groupes (GPO) (GPMC, admx/adml)
• Journaux et structure des événements
• Planificateur de tâches
• Administration Windows à distance WinRM
• Sauvegarde / restauration
• Outils de diagnostics
• Outils en ligne de commande
31/03/2011
26
51
Server Core - Administration
• Locale ou distante en ligne de commande
– Outils basiques
– WinRM et Windows Remote Shell pour l’exécution à distance
– WMI et WMIC (locale et à distance)
• Terminal Services (à distance)
• Microsoft Management Console (à distance)
– RPC, DCOM
• SNMP
• Planificateur de tâches
• Evénements et transfert d’événements
• Pas de support du code managé donc pas de support de
Windows PowerShell
52
Services de déploiement Windows
(Windows Deployment Services)
• Solution de déploiement pour Windows Server 2008
• Nouvelles technologies : WIM, IBS, WinPE
• Ensemble d’outils pour personnaliser l’installation
• Démarrage à distance d’un environnement de pré-installation
(WinPE)
• Notion de serveur PXE
• Support du multicast 
• Administration graphique et en ligne de commande
• Wdsutil.exe
31/03/2011
27
Domain Name System :DNS
• Pourquoi un système de résolution des noms ?
– Communications sur l’Internet basées sur les adresses IP
– Communications «humaines» basées sur des noms
– Besoin d’un mécanisme pour faire correspondre des adresses IP avec
des noms d’hôtes => service DNS
• Domain Name System (DNS)
– Base de données hiérarchique distribuée
• Le système DNS permet d’identifier une machine par un nom
représentatif de la machine et du réseau sur lequel elle se
trouve.
• Le système est mis en œuvre par une base de données
distribuée au niveau mondial.
• DNS fournit un niveau d’adressage indirect entre un nom
d’hôte et sa localisation géographique
53
Fonctionnalités du service DNS
• Espace des noms de domaines = arborescence hiérarchique
– Arborescence indépendante de la topologie réseau et|ou de la géographie
• Architecture de stockage distribuée
– Zones affectées à des serveurs de noms dans l’arborescence hiérarchique
– Serveurs de sauvegarde pour la redondance et la disponibilité
• Administration répartie suivant la hiérarchie des noms
– Rôle le plus simple : client DNS ou ’Resolver’
• Protocole client/serveur communicant sur le port n° 53
– Protocole UDP utilisé par les clients
– Protocole TCP préconisé pour les échanges entre serveurs
54
31/03/2011
28
Hiérarchie des noms de domaines
• Arborescence limitée à 128 niveaux
• Un domaine est un sous-ensemble de l’arborescence
• Aucune possibilité de doublon
– hôte : cooper, domaine : ups-tlse, gTLD : fr
– Fully Qualified Domain Name : cooper.ups-tlse.fr
• Conventions sur les noms de domaines
• Top Level Domains (TLD)
– .com, .net, .org, .edu, .mil, .gov, .int, .biz
• Geographical Top Level Domains (gTLD)
– .tn, .de, .fr, .uk, .jp, .au
• Nom du Domain: chaque nœud possède une étiquette (label): max 63 caract.
– Hôte: correspond à une machine
55
DNS
• Hiérarchie des serveurs
• Serveurs «distribués» dans l’arborescence hiérarchique
– Un serveur ne maintient qu’un sous-ensemble de l’arborescence
– On parle d’autorité sur une zone : ’Authoritative Name Server’
• Chaque serveur contient tous les enregsitrements d’hôtes dans
«sa» zone
– Enregistrement = Resource Record (RR)
• Chaque serveur a besoin de connaître les autres serveurs
responsables des autres parties de l’arborescence
– Chaque serveur connaît la liste des ’Root Servers’
– Chaque ’Root Server’ connaît tous les TLDs et gTLDs
– Un serveur racine peut ne pas connaître le serveur qui a autorité sur une
zone
– Un serveur racine peut connaître un serveur intermédiaire à contacter
pour connaître le serveur qui a autorité sur une zone
56
31/03/2011
29
Exemple de requête DNS
• Requête du poste Asterix : Adresse IP du site
www.stri.net ?
– Asterix contacte le serveur local Cooper.ups-
tlse.fr
– Cooper.ups-tlse.fr contacte un serveur racine :
J.ROOT-SERVERS.NET
– J.ROOT-SERVERS.NET contacte un serveur du
domaine ’.net’ : G.GTLD-SERVERS.NET
– G.GTLD-SERVERS.NET contacte le serveur qui a
autorité sur la zone ’stri.net’ : full1.gandi.net
– Cooper.ups-tlse.fr renvoie la réponse vers Asterix
• Gestion du cache
– Cooper.ups-tlse.fr conserve la réponse dans son
cache
– Cooper.ups-tlse.fr répond directement à toute
nouvelle requête DNS www.stri.net
57
• En mode interactif, on peut sélectionner le type de requête à l'aide de la
commande « set type=RR ». Exemple: « nslookup www.univ-evry.fr
194.199.90.1 »
• En mode non interactif, on le précise avec l'option « -query-type=RR ».
– Exemple: pour obtenir les serveurs dns de la zone univ-evry.fr: « nslookup -query-
type NS univ-evry.fr ».
• Le tableau suivant,extrait de la documentation de windows Xp indique les
types possibles :
– A Spécifie l'adresse IP d'un ordinateur.
– ANY Spécifie tous les types de données.
– CNAME Spécifie un nom canonique d'alias.
– GID Spécifie un identificateur de groupe d'un nom de groupe.
– HINFO Spécifie le type de système d'exploitation et d'unité centrale d'un
ordinateur.
– MB Spécifie un nom de domaine d'une boîte aux lettres.
– MG Spécifie un membre d'un groupe de messagerie.
– MINFO Spécifie des informations sur une liste de messagerie ou une boîte aux
lettres.
– MR Spécifie le nom de domaine de la messagerie renommée.
– MX Spécifie le serveur de messagerie.
– NS Spécifie un serveur de noms DNS pour la zone nommée.
• Exercice: Utilisez la commande nslookup pour obtenir les informations
correspondant au nom de la machine qui a comme adresse ip 192.168.202.2
58
31/03/2011
30
• FQDN : Full Qualified Domain Name
Le nom complet d'un hôte, sur l'Internet, c'est-à-dire de la machine jusqu'au
domaine, en passant par les sous-domaines.
• URL : Uniform Resource Locator
C'est la méthode d'accès à un document distant. Un lien hypertexte avec une
syntaxe de la forme:
<Type de connexion>://<FQDN>/[<sous-répertoire>]/.../<nom du document>
Exemple: http://www.ac-aix-marseille.fr/bleue/francais/nouveau.htm
– http: Hyper Text Transfert Protocol
– www.ac-aix-marseille.fr: FQDN du serveur de pages personnelles
– /bleue/francais/: arborescence de répertoires
– nouveau.htm: nom du document.
• URI : Universal Resource Identifier.
c'est la même chose que l'URL. Le W3C (World Wide Web Consortium), garant de
l'universalité de l'Internet, voudrait voir abandonner URL au profit d'URI. Notez la
très subtile divergence de sens, qui vaut bien, le changement.
59
DNSSEC
• Implémentation de DNSSEC sous Windows 2008
serveur coté serveur:
– Distribution des « trust anchors » ;
– Déploiement des certificats pour les serveurs DNS ;
– Déploiement de la politique de sécurité d’IPSEC sur le
Serveur DNS ;
– Déploiement de la politique de sécurité d’IPSEC sur un
poste client
• http://www.labo-microsoft.org/articles/DNSSECPRES/3/Default.asp
– Déployer les certificats pour l’authentification du Serveur DNS
60
31/03/2011
31
Dynamic Host Configuration Protocol
• Objectifs : obtenir automatiquement tous les
paramètres de configuration réseau
– @ IP
– Adresse de diffusion
– Masque réseau
– Passerelle par défaut
– Domaine DNS
– Adresse IP du serveur de noms DNS
• Dynamic Host Configuration Protocol (DHCP)
– Service Internet => couche application
– RFCs 2131 et 2132 en 1997
– Communications sur les ports UDP 67 (côté client) et le 68
(côté serveur)
61
DHCP
• L’ @ IP est allouée selon les critères suivants:
– Ne pas être déjà allouée à une autre station
– La même station reçoit toujours la même adresse
– Cette adresse est allouée pendant une période
déterminée (bail)
– Le client vérifie la validité de l’@
62
31/03/2011
32
DHCP Discover
63
Client DHCP envoie une trame "DHCPDISCOVER", destinée à
trouver un serveur DHCP. Cette trame est un "broadcast", donc
envoyé à l'adresse 255.255.255.255. N'ayant pas encore d‘@
IP, il fournit aussi son @ MAC
Les Commandes DHCP
• Client DHCP envoie une trame "DHCPDISCOVER", destinée à trouver un serveur
DHCP. Cette trame est un "broadcast", donc envoyé à l'adresse 255.255.255.255.
N'ayant pas encore d‘@ IP, il fournit aussi son @ MAC
• Le serveur DHCP qui reçoit cette trame va répondre par un "DHCPOFFER". Cette
trame contient une proposition de bail et la @-MAC du client, avec également
l‘@ IP du serveur.
• Le client répond par un DHCPREQUEST au serveur pour indiquer qu’il accepte
l’offre
• Le serveur DHCP Concerné répond définitivement par un DHCPACK qui constitue
une confirmation du bail. L'adresse du client est alors marquée comme utilisée et
ne sera plus proposée à un autre client pour toute la durée du bail.
64
31/03/2011
33
Serveur DHCP
• Le serveur DHCP maintient une plage d‘@ à distribuer à ses clients.
Il tient à jour une BD des @ déjà utilisées et utilisées il y a peu
(c.a.d que l'on récupère souvent la même @, le DHCP ayant horreur
des changements )
• Lorsqu'il attribue une adresse, il le fait par l'intermédiaire d'un bail.
Ce bail a normalement une durée limitée
• Après expiration du bail, ou résiliation par le client, les informations
concernant ce bail restent mémorisées dans la BD du serveur
pendant un certain temps. Bien que l'adresse IP soit disponible, elle
ne sera pas attribuée en priorité à une autre machine. C'est ce qui
explique que l'on retrouve souvent la même adresse d'une session
à l'autre.
65
Détails sur le bail
• Dans le bail, il y a non seulement une @ IP pour le client,
avec une durée de validité, mais également d'autres
informations de configuration comme:
– L‘@ d'un ou de plusieurs DNS (Résolution de noms)
– L‘@ de la passerelle par défaut
– L‘@ du serveur DHCP
• le client peut renouveler le bail, en s'adressant
directement au serveur qui le lui a attribué. Il n'y aura
alors qu'un DHCPREQUEST et un DHCPACK.
66
31/03/2011
34
Avantages
• L'avantage de DHCP réside essentiellement dans
la souplesse de configuration des hôtes :
– allocation dynamique des adresses avec réduction
des risques de conflit
– définition d'un nombre important de paramètres
(masque de SR, passerelle par défaut...)
– possibilité d'avoir plus d'hôtes que d'adresses.
67
Inconvénients
• Sur un réseau constitué de plusieurs SR, interconnecté par des
routeurs, DHCP présente une limitation d'utilisation. Le
mécanisme de fonctionnement utilise des broadcasts qui ne
passent pas les routeurs.
• Puisque requête de diffusion ne passe pas par un routeur, un
client DHCP ne pourra pas recevoir d'adresse DHCP d'un
serveur situé derrière un routeur.
• Dans ce cas:
– installer un serveur DHCP par SR
– installer un agent relais DHCP. Un agent relais DHCP présent sur le
réseau du poste client peut transmettre la requête au(x) serveur(s)
DHCP
68
31/03/2011
35
Accès à distance Telnet
• Protocole très utilisé pour l’accés à distance (tests d’application réparties,
tests de fonctionnement en mode manuel des protocoles HTTP, SMTP,..)
• Permet de se connecter à une machine distante
• Accès à distance Telnet:
– Le client Telnet transmet les caractères entrés sur le terminal local vers le serveur
distant
– Le fonctionnement est bidirectionnel: on supporte le même échange dans les 2
sens
– Ex: Client Telnet :
• Telnet <site distant> <port>
Telnet 192.168.19.100 23 commande permet la création d’une connexion
TCP avec le serveur de la machine distante
Le serveur Telnet: Le serveur s’exécute sur la machine distante sinon le service n’est
pas disponible
69
TCP
IP
Client Telnet
TCP
IP
Serveur Telnet
SNMP
(Simple Network Management Protocol)
SNMP permet de:
Visualiser une quantité impressionnante
d’informations concernant le matériel, les
connexions réseau, leur état de charge.
Modifier le paramétrage de certains composants.
Alerter l’administrateur en cas d’événement
grave.
70
31/03/2011
36
Le concept SNMP
• Protocole d'administration de machine
supportant TCP/IP
– Conçu en 87-88 par des administrateurs
de réseau
• Permet de répondre à un grand
nombre de besoins :
– disposer d'une cartographie du réseau
– fournir un inventaire précis de chaque
machine
– mesurer la consommation d'une
application
– signaler les dysfonctionnements
• Avantages :
– protocole très simple, facile d'utilisation
– permet une gestion à distance des
différentes machines
– le modèle fonctionnel pour la
surveillance et pour la
– gestion est extensible
– indépendant de l'architecture des
machines administrées
71
Le Modèle SNMP
• L'utilisation de SNMP suppose que tous les agents et
les stations d'administration supportent IP et UDP.
– Ceci limite l'administration de certains périphériques qui
ne supportent pas la pile TCP/IP. De plus, certaines
machines (ordinateur personnel, station de travail,
contrôleur programmable, ... qui implantent TCP/IP pour
supporter leurs applications, mais qui ne souhaitent pas
ajouter un agent SNMP.
=> utilisation de la gestion mandataire (les proxies)
• Un protocole activé par une API permet la
supervision, le contrôle et la modification des
paramètres des éléments du réseau.
72
31/03/2011
37
Le modèle SNMP
• Une administration SNMP est composée de trois types d'éléments:
– La station de supervision (appelée aussi manager) exécute les applications de
gestion qui contrôlent les éléments réseaux. Physiquement, la station est
un poste de travail. Station de gestion capable d’interpreter les données
– La MIB (Management Information Base) est une collection d'objets résidant
dans une base d'information virtuelle. Ces collections d'objets sont définies
dans des modules MIB spécifiques.
– Le protocole, qui permet à la station de supervision d'aller chercher les
informations sur les éléments de réseaux et de recevoir des alertes
provenant de ces mêmes éléments.
73
74
31/03/2011
38
Les types de requêtes:
• 4 types de requêtes: GetRequest, GetNextRequest, GetBulk,
SetRequest.
– La requête GetRequest permet la recherche d'une variable sur un agent.
– La requête GetNextRequest permet la recherche de la variable suivante.
– La requête GetBulk permet la recherche d'un ensemble de variables regroupées.
– La requête SetRequest permet de changer la valeur d'une variable sur un agent.
• Les réponses de SNMP
À la suite de requêtes, l'agent répond toujours par GetResponse. Toutefois si la
variable demandée n'est pas disponible, le GetResponse sera accompagné d'une
erreur noSuchObject.
• Les alertes (Traps, Notifications)
Les alertes sont envoyées quand un événement non attendu se produit sur
l'agent. Celui-ci en informe la station de supervision via une trap. Les alertes
possibles sont: ColdStart, WarmStart, LinkDown, LinkUp, AuthentificationFailure.
75
Les commandes SNMP
76
• Les commandes get-request, get-next-request et set-request sont toutes émises
par le manager à destination d'un agent et attendent toutes une réponse get -
response de la part de l'agent.
• La commande trap est une alerte. Elle est toujours émise par l'agent à
destination du manager, et n'attend pas de réponse.
31/03/2011
39
MIB
• La MIB (Management Information base) est la base de données des
informations de gestion maintenue par l'agent, auprès de laquelle
le manager doit s’informer.
• 2 MIB publics ont été normalisées: MIB I et MIB II
• Un fichier MIB est un document texte écrit en langage ASN.1
(Abstract Syntax Notation 1) qui décrit les variables, les tables et les
alarmes gérées au sein d'une MIB.
• La MIB est une structure arborescente dont chaque nœud est
défini par un nombre ou OID (Object Identifier).
Elle contient une partie commune à tous les agents SNMP d'un
même type de matériel et une partie spécifique à chaque
constructeur. Chaque équipement à superviser possède sa propre
MIB.
77
Structure de la MIB
78
31/03/2011
40
La MIB (Management Information Base)
• MIB = Collection structurée d’objets
– chaque noeud dans le système doit
maintenir une MIB qui reflète l'état des
ressources gérées
– une entité d'administration peut accéder
aux ressources du noeud en lisant les
valeurs de l'objet et en les modifiant.
79
L’arborescence MIB:
Les informations stockées dans la MIB
sont rangées dans une arborescence. MIB
dispose d'objets supplémentaires.
Elle constitue une branche du groupe
iso.org.dod.internet.mgmt.
Groupe Commentaires
system Informations générales sur le système.
interfaces Informations sur les interfaces entre le systèmes et les sous-réseaux.
at Table de traduction des adresses entre internet et les sous-réseaux.
ip
Informations relatives à l'implantation et à l'éxécution d'IP (Internet
Protocol).
icmp
Informations relatives à l'implantation et à l'éxécution de ICMP
(Internet Control Message Protocol).
tcp
Informations relatives à l'implantation et à l'éxécution de TCP
(Transmission Control Protocol).
udp
Informations relatives à l'implantation et à l'éxécution de UDP (User
Datagram Protocol).
egp
Informations relatives à l'implantation et à l'éxécution de EGP
(Exterior Gateway Protocol).
transmission
Informations sur la transmission et sur les protocoles utilisés par
chaque interface.
snmp Informations relatives à l'implantation et à l'éxécution de SNMP.80
31/03/2011
41
Object identifier
• Les variables de la MIB-2 sont identifiées par le chemin
dans l'arborescence, noté de deux façons:
• à l'aide des noms de groupes : iso.org.dod
• à l'aide des numéros des groupes: 1.3.6.
• Les identifiants sont définis à l'aide du langage SMI. Ex:
Définition SMI
Notation par
"point"
Notation par nom
mgmt OBJECT IDENTIFIER ::= { internet
2 }
1.3.6.1.2 iso.org.dod.internet.mgmt
mib OBJECT IDENTIFIER ::= { mgmt 1 } 1.3.6.1.2.1 iso.org.dod.internet.mgmt.mib
interfaces OBJECT IDENTIFIER ::= { mib
2 }
1.3.6.1.2.1.2
iso.org.dod.internet.mgmt.mib.
interface
81
Ex: On utilisera l'OID (Object Identification) qui désigne l'emplacement de la variable à
consulter dans la MIB. On aura par ex. sur un commutateur Nortel Passport l'OID
.1.3.6.1.4.1.2272.1.1.20 désignant le taux de charge du CPU.
Fonctions assurées
Primitives Descriptions
GetRequest le manager demande une information à l'agent
GetNextRequest le manager demande l'information suivante à l'agent
SetRequest le manager initialise une variable de l'agent
GetResponse l'agent retourne l'information à l’administrateur
Trap interruption - l'agent envoie une information à l’administrateur
82
31/03/2011
42
83
La sécurité des réseaux
84
31/03/2011
43
Introduction à la sécurité
• La sécurité d'un réseau est un niveau de garantie que
l'ensemble des machines du réseau fonctionnent de
façon optimale et que les utilisateurs possèdent
uniquement les droits qui leur ont été octroyés
• Il peut s'agir :
– d'empêcher des personnes non autorisées d'agir sur le système
de façon malveillante
– d'empêcher les utilisateurs d'effectuer des opérations
involontaires capables de nuire au système
– de sécuriser les données en prévoyant les pannes
– de garantir la non-interruption d'un service
85
Les causes d’insécurité
• On distingue généralement deux types d'insécurité
:
– l'état actif d'insécurité: la non-connaissance par
l'utilisateur des fonctionnalités du système, dont
certaines pouvant lui être nuisibles (ex: la non-
désactivation de services réseaux non nécessaires à
l'utilisateur), ou lorsque l'administrateur (ou
l'utilisateur) d'un système ne connaît pas les dispositifs
de sécurité dont il dispose
– l'état passif d'insécurité
86
31/03/2011
44
Menaces de sécurité
• Attaques passives:
• Capture de contenu de message et analyse de trafic
• écoutes indiscrètes ou surveillance de transmission
• Attaques actives:
• Mascarade,
• modifications des données,
• déni de service pour empêcher l’utilisation normale ou la gestion
de fonctionnalités de communication
87
Le but des agresseurs
• Les motivations des agresseurs que l'on appelle "pirates" peuvent
être multiples :
– l'attirance de l'interdit
– le désir d'argent (ex: violer un système bancaire)
– le besoin de renommée (impressionner des amis)
– l'envie de nuire (détruire des données, empêcher un système de fonctionner)
• Le but des agresseurs est souvent de prendre le contrôle d'une
machine afin de pouvoir réaliser les actions qu'ils désirent. Pour cela il
existe différents types de moyens :
– l'obtention d'informations utiles pour effectuer des attaques
– utiliser les failles d'un système
– l'utilisation de la force pour casser un système
88
31/03/2011
45
Le Hacking (attaques)
• C’est l’ensemble des techniques visant à attaquer un réseau un site
ou un équipement
• Les attaques sont divers on y trouve:
– L’envoie de bombe logiciel, chevaux de Troie
– La recherche de trou de sécurité
– Détournement d’identité
– Les changements des droits d’accès d’un utilisateur d’un PC
– Provocation des erreurs
• Les buts d’un Hacker:
– La vérification de la sécurisation d’un système
– La vol d’informations, terrorisme (Virus), espionnage
– Jeux; pour apprendre
• Les attaques et les méthodes utilisées peuvent être offensives ou passives:
– Les attaques passives consistent à écouter une ligne de communication et à interpréter les
données qu’ils interceptent et Les attaques offensives peuvent être regrouper en :
– Les attaques directes: c’est le plus simple des attaques, le Hacker attaque directement sa victime à
partir de son ordinateur. Dans ce type d’attaque, il y a possibilité de pouvoir remonter à l’origine de
l’attaque et à identifier l’identité du Hacker
– Les attaques indirectes (par ruban): passif, cette attaque présente 2 avantages:
– Masquer l’identité (@ IP du Hacker)
– Éventuellement utiliser les ressources du PC intermédiaire
89
Les Menaces: Contexte général
90
31/03/2011
46
Attaques,services et mécanismes
• L’administrateur doit tenir compte des 3 aspects de la
sécurité de l’information:
– Service de sécurité: pour contrer les attaques de sécurité et
améliorer la sécurité des SI
– Mécanisme de sécurité: pour détecter, prévenir ou rattraper une
attaque de sécurité
• Usage des techniques cryptographiques
– Protéger contre Attaque de sécurité: une action qui compromet la
sécurité de l’information possédé par une organisation
• Obtenir un accès non-autorisé, modifier,
91
Les menaces
92
31/03/2011
47
93
Même le site de CIA a été attaqué …!
94
Même …..
31/03/2011
48
95
Problèmes de sécurité
• Les problèmes de sécurité des réseaux peuvent être
classés en 4 catégories:
– La confidentialité: seuls les utilisateurs autorisés peuvent
accéder à l’information
– Contrôle d’intégrité: comment être sûr que le message reçu
est bien celui qui a été envoyé (celui-ci n’a pas été altéré et
modifié)
– L’authentification: avoir la certitude que l’entité avec laquelle
on dialogue est bien celle que l’on croit
– Non-répudiation: concerne les signatures
96
31/03/2011
49
Objectifs de la sécurité
• Identification indique qui vous prétendez être (username)
• Authentification valide l’identité prétendue (password)
• Autorisation détermine les actions et ressources
auxquelles un utilisateur identifié et autorisé a accès
• Non-répudiation garantie qu’un message a bien été
envoyé par un émetteur authentifié
• Traçabilité permet de retrouver les opérations réalisées
sur les ressources (logs)
97
Les services de sécurité
– Confidentialité des messages transmis: est la protection contre les
attaques passives
– Authentification des interlocuteurs: pour assurer que le
destinataire reçoive le msg d’origine émis par la source
– Intégrité et non répudiation des messages: assure que les
messages envoyés seront aussitôt reçus sans duplication ni
modification
– Non-répudiation: empêche tant l’expéditeur que le receveur de
nier avoir transmis un message. Ainsi que le message envoyé a été
bien reçu
– Disponibilité et contrôle d’accès (les personnes doivent pouvoir
s’échanger des messages): est la faculté de limiter et de contrôler
l’accès aux systèmes et aux applications (droits d’accès)
98
31/03/2011
50
• confidentialité : Protection de l’information d’une divulgation non
autorisée
• l'intégrité : Protection contre la modification non autorisée de
l’information
• Disponibilité : S’assurer que les ressources sont accessibles que par
les utilisateurs légitimes
• Authentification
– Authentification des entités (entity authentication) procédé permettant à une
entité d’être sûre de l’identité d’une seconde entité à l’appui d’une évidence
corroborante (certifiant, ex.: présence physique, cryptographique, biométrique,
etc.). Le terme identification est parfois utilisé pour désigner également ce
service.
– Authentification de l’origine des données (data origine authentication) procédé
permettant à une entité d’être sûre qu’une deuxième entité est la source
original d’un ensemble de données. Par définition, ce service assure également
l’intégrité de ces données.
• non-répudiation: Offre la garantie qu’une entité ne pourra pas nier
être impliquée dans une transaction
• Non-Duplication: Protection contre les copie illicites
99
Dangers et Attaques
Services Dangers Attaques
Confidentialité fuite d’informations masquerade, écoutes
illicites, analyse du trafic
Intégrité modification de
l’information
création, altération ou
destruction illicite
Disponibilité denial of service,
usage illicite
virus, accès répétés visant à
inutiliser un système
Auth. d’entités accès non autorisés masquerade, vol de mot de
passe, faille dans le
protocole d’auth.
Auth. de
données
falsification
d’informations
falsification de signature,
faille dans le protocole
d’auth.
Non-répudiation nier la participation à
une transaction
prétendre un vol de clé ou
une faille dans le protocole
de signature
Non-duplication duplication falsification, imitation
100
31/03/2011
51
Services Mécanismes classiques Mécanismes digitaux
Confidentialité scellés, coffre-forts,
cadenas
cryptage, autorisation
logique
Intégrité encre spéciale,
hologrammes
fonctions à sens unique +
cryptage
Disponibilité contrôle d’accès physique,
surveillance vidéo
contrôle d’accès logique,
audit, anti-virus
Auth. d’entités présence, voix, pièce
d’identité, reconnaissance
biométrique
secret + protocole d’auth.,
adresse réseau + userid
carte à puce + PIN
Auth. de
données
sceaux, signature, empreinte
digitale
fonctions à sens unique +
cryptage
Non-
répudiation
sceaux, signature, signature
notariale, envoi
recommandé
fonctions à sens unique +
cryptage + signature digitale
Non-
duplication
encre spéciale,
hologrammes, tatouage
tatouage digital
(watermarks), verrouillage
cryptographique 101
Mécanismes de protection
Problématique: Authentification
102
But: Bob veut prouver son identité à Alice
 rencontre physique : son apparence
 au téléphone : sa voie
 à la douane : son passeport
 Intégrité des messages
 Signatures électroniques
31/03/2011
52
Cryptographie:
La science du secret !!
103
Cryptographie
• Définition
– Science du chiffrement
– Meilleur moyen de protéger une information = la rendre illisible ou
incompréhensible
• Bases
– Une clé = chaîne de nombres binaires (0 et 1)
– Un Algorithme = fonction mathématique qui va combiner la clé et le
texte à crypter pour rendre ce texte illisible
104
31/03/2011
53
Encryption Process
105
Quelques définitions
• Cryptage: permet l’encodage des informations. Il
interdit la lecture d’informations par des personnes
non autorisées
• On distingue 2 procédés de cryptage:
– Procédés de transposition, qui modifie la succession des
caractères à l’aide d’un algorithme.
– Procédés de substitution, qui remplace les caractères
d’origine par d’autres prélevés dans une liste
– Règle ou clé de cryptage s’appelle Code
– Ex: PGP (Pretty Good Privacy): progr. Destiné au cryptage
des messages électroniques (conçu par Philip
Zimmermann 1991)
• Cryptanalyse: analyse de données cryptées
106
31/03/2011
54
Application de la cryptographie
• Commerce électronique
• Protection de la confidentialité de correspondance
• Protection des bases de données contre les intrusions
et la dé vulgarisation à des tiers non autorisés
• Transmission sécurisée des données sensibles à travers
les réseaux internationaux
Preuve informatique: Identification et authentification
107
Cryptographie
• Ensemble de processus de cryptage visant à protéger les
données contre l’accès non autorisés
• Repose sur l’emploi des formules mathématiques et des
algorithmes complexes afin de coder l’information
• Il existe 2 systèmes de cryptographie:
– Les systèmes symétriques: la même clé utilisé pour coder et
décoder (DES: Data Encryption standard))
– Les systèmes asymétriques: la clé qui sert à coder est différente
de celle qui peut déchiffrer (RSA:Rivest Shamir Adelmann 77)
108
31/03/2011
55
Principe de cryptage
• Tout système de cryptage est composé d’un
algorithme de codage
• La Crypt. nécessite 2 fonctions essentielles:
– Le message M est crypté par une fonction de cryptage
E(M)=C
– Le cryptogramme C est décrypté par le destinataire
par une fonction de décryptage D(C)=D(E(M)) = M
109
Système de chiffrement
• Définition: Un système de chiffrement ou crypto système est un 5-
tuple (P,C,K,e,D) ayant les propriétés suivantes:
– 1. P est un ensemble appelé l’espace des messages en clair. Un
élément de P s’appelle message en clair (Plaintext)
– 2. C est un ensemble appelé l’espace des messages chiffrés. Un
élément de C s’appelle un message chiffré ou cryptogramme
(cyphertext)
– 3. K est un ensemble appelé l’espace des clés, ses éléments sont
les clés.
– 4. e={ek : k Є K } est une famille de fonctions:
• ek : P  C, ses éléments sont les fonctions de chiffrement
– 5. D={Dk : k Є K } est une famille de fonctions
• Dk : C  P, ses éléments sont les fonctions de déchiffrement
– 6. A chaque clé e Є K est associé une clé d Є K/
• D d (ee(p))=p pour tout message p Є P
110
31/03/2011
56
• Alice utilise un système de chiffrement pour envoyer un message
confidentiel m à Bob. Elle utilise la clé de chiffrement e et Bob utilise
la clé de déchiffrement d qui lui correspond.
• Alice calcule C= Ee(m) et l’envoie à Bob qui reconstitue m=
Dd(C), en gardant la clé de chiffrement secrète
– Ex: l’alphabet: A B C … Z et 0 1 2 … 25
– Correspondance entre lettres et nombres, la fonction de
chiffrement Ee associé à e Є Z26 est:
• Ee: x  (x+e) mod 26
• Dd: x  (x-d) mod 26 lorsque d=e cryptage symétrique.
– Exemple: En appliquant le chiffre de César, au mot
CRYPTOGRAPHIE, la clé e = 5, fournit le cryptogramme
suivant : HWDUYTLWFUMNJ qui est facile à casser.
111
Cryptographie
Chiffrement Symétrique
• Les Algorithmes utilisant ce système :
– DES (Data Encryption Standard, très répandu) : les données sont
découpées en blocs de 64 bits et codées grâce à la clé secrète de 56
bits propre à un couple d’utilisateurs
– IDEA, RC2, RC4
• Avantage :
– Rapide
• Inconvénients :
– Il faut autant de paires de clés que de couples de correspondants
– La non-répudiation n’est pas assurée. Mon correspondant possédant
la même clé que moi, il peut fabriquer un message en usurpant mon
identité
– Transmission de clé
112
31/03/2011
57
Ex. de Chiffrement à clé symétrique
• Encryptage par substitution
– Époque romaine (Code de César)
• Texte en clair : abcdefghijklmnopqrstuvwxyz
• Texte crypté : mnbvcxzasdfghjklpoiuytrewq
113
Exemple :
Texte en clair: bob. i meat you. alice
Texte crypté: nkn. s hcmu wky. mgsbc
Difficulté ?
1026 combinaisons possibles.... mais par l'utilisation de règles
statistiques
on trouve facilement la clé ...
... naissance il y a 500 ans du chiffrement polyalphabétique
Algorithmes de cryptographie
• Par substitution
– On change les lettres suivant
une règle précise (ex: A → D la
clé est : 3)
• Par Transposition
– La position des caractères est
modifiée. Pour crypter un
message on l’écrit en colonne
de taille fixe et on lit les
colonnes
– Ex: Nombre de colonne ici 6
– Texte crypté:
TRLFAOREFMDSNZOCAZIASPZT
NU..
B R I Q U E S
1 5 3 4 7 2 6
T R A N S F E
R E Z U N M I
L L I O N D E
F R A N C S D
A N S M O N C
O M P T E Z E
R O Z E R O S
E P T A B C D
114
31/03/2011
58
Table de Vigenère
115
Exemple
116
C R Y P T O G R A P H I E
M A T M A T M A T M A T M
O ? ? ? ? ? ? ? ? ? ? ? ?
31/03/2011
59
Chiffrement de Vigenère
• Le chiffre de Vigenère est la première méthode de chiffrement
poly alphabétique, c'est à dire qui combine deux alphabets pour
crypter une même lettre.
• Ce chiffrement introduit la notion de clé, qui se présente
généralement sous la forme d'un mot ou d'une phrase. Pour
pouvoir chiffrer notre texte, à chaque caractère nous utilisons
une lettre de la clé pour effectuer la substitution
• Mathématiquement, on considère que les lettres de l'alphabet
sont numérotées de 0 à 25 (A=0, B=1 ...). La transformation lettre
par lettre se formalise simplement par :
– Chiffré = (Texte + Clé) mod 26
117
Chiffrement à clé symétrique: DES
• Data Encryption Standard (1977 par IBM)
• Principe :
– découpe le message en clair en morceau de
64 bits auxquelles on applique une
transposition
– clé de 64 bits (56 bits de clé + 8 bits de parité
impaire)
• Difficulté et limites?
– concours organisé par RSA Data Security
1997 : 4 mois pour casser le code DES 56 bits en
brute force par des amateurs
1999 : 22 h pour casser DESIII
• solution pour le rendre plus sur .... Passer
l'algorithme DES plusieurs fois sur le message
avec à chaque fois des clés différentes (ex : 3DES)
118
31/03/2011
60
Schéma de 3DES:
119
La solution a été dans
l'adoption du triple DES:
trois applications de DES à la suite
avec 2 clés différentes
(d'où une clé de 112 bits)
DES (IBM 77)
• Data Encryption Standard
• Principe :
– découpe le message en clair en
morceau de 64 bits auxquelles on
applique une transposition
– clé de 64 bits (56 bits de clé+8 bits
de parité impaire)
120
La recherche exhaustive sur 56 bits
(256) est maintenant réaliste.
Mars 2007 : 6:4 j, COPACOBANA
(utilisation de FPGA) par l’université
de Bochum et Kiel (coût 10 000 $)
31/03/2011
61
Cryptographie
Chiffrement Asymétrique
• Algorithmes utilisant ce système :
– RSA (Rivest, Shamir, Adelman)
– DSA
– El-Gamal
– Diffie-Helmann
• Avantage :
– pas besoin de se transmettre les clés au départ par un autre
vecteur de transmission.
• Inconvénient :
– Lenteur
121
Algorithme RSA
122
• Développé par: Ron Rivest, Adi Shamir et Leonard Adleman
en 1977 repose sur des fonctions mathématique
Le RSA est un système qui repose
intégralement sur la difficulté de factoriser
de grands nombres entiers (au moins 100 chiffres actuellement).
31/03/2011
62
Cryptographie à clé publique: RSA
• Ron Rivest, Adi Shamir et Leonard Adleman (Développé en 1977
repose sur des fonctions math. De puissance et exponentielles
appliqués aux grands nombres)
• Algorithme de sélection des clés :
– 1) Sélection de 2 grands nombres premiers p et q (1024 bit par ex)
– 2) Calculer n=pq et z=(p-1)(q-1)
– 3) Choisir un e (e<n) qui n'a pas de facteur commun avec z. (e et z
premier entre eux)
– 4) Trouver un d tel que ed-1 est exactement divisible par z (ed
mod z =1)
– 5) Clé public est : (n,e) Clé privé est : (n,d)
123
Ex: RSA, chiffrement, déchiffrement
• 1) Clé public est : (n,e) Clé privé est : (n,d)
• 2) Alice veut envoyer un nombre m à Bob : c = me mod n
• 3) Bob reçoit le message c et calcule : m = cd mod n
• Exemple :
• p = 5, q = 7 donc n = 35 et z = 24
• Bob choisit e = 5 et d = 29
• ALICE : (chiffrement) m = 12 me=248832 et c = me mod n = 17
• BOB : (déchiffrement) c = 17 , m = cd mod n = 12
• Clé public est : (35, 5)
• Clé privé est : (35, 29)
124
31/03/2011
63
Logiciel de chiffrement PGP
• PGP (Pretty Good Privacy) était
considéré aux USA, comme une
arme et interdit à l'exportation
• L'algorithme utilisé par PGP, le
RSA, permet de chiffrer des
informations de manière
tellement efficace qu'aucun
gouvernement n'est en mesure
d'en lire le contenu.
• Comme toute invention
"dangereuse", incontrôlable et
susceptible d'être utilisée
contre la mère-patrie, le
gouvernement américain en a
interdit l'exportation et a classé
PGP et le RSA dans la catégorie
"armes".
• Le code est écrit en Perl
125
• Cette restriction à l'exportation de la cryptographie a eu
diverses conséquences:
– Pendant longtemps, les navigateurs tels qu'Internet Explorer ont
été limités à 40 bits pour tous les "étrangers". Seuls les
américains pouvaient télécharger la version 128 bits.
– Si on ajoute à cela que l'algorithme RSA était breveté jusqu'en
septembre 2000, il n'en a pas fallu plus aux internautes pour
créer GPG (Gnu Privacy Guard), un logiciel compatible avec PGP
et utilisant Diffie-Hellman à la place de RSA, et hors de contrôle
du gouvernement américain puisque créé en Europe.
126
31/03/2011
64
How PGP encryption works?
127
How PGP decryption works?
128
31/03/2011
65
Chiffrement du message avec PGP
129
- Il génère lui même une clé aléatoire (c’est la clé de
session).
- Il chiffre le message avec la clé de session selon un
algorithme à clé privé (DES par exemple)
- Il chiffre la clé de session grâce à l’algorithme à clé
publique (RSA par exemple) avec la clé publique du
destinataire.
-Il assemble message chiffré et clé chiffrée en un message
prêt à l’expédition.
-..MM-sécuritéTDLe logiciel PGP.htm
130
Algorithme de chiffrement asymétrique:
Diffie Hellman
Algorithme de sécurisation des échanges des clés
Apparition suite au problème de l’échange des clés de la
cryptographie symétrique (coursier malhonnête)
Alice veut transmettre une clé à Bob pour pouvoir échanger un
document confidentiel
Alice chiffre une clé par une autre clé gardée secrète
Alice envoie la clé chiffrée à Bob
Bob surchiffre la clé chiffrée avec sa clé secrète puis la transmet
à Alice
Alice opère alors un déchiffrement de sa partie du chiffrement de
la clé et l’envoie a Bob
Bob déchiffre la clé chiffrée avec sa clé secrète
Ils disposent ainsi tous les deux d’une clé qui n’a à
aucun moment circulé en clair
31/03/2011
66
131
Ex. d’Algorithme de Diffie Hellman
132
Algorithme de Hachage
Usages de l’algorithme de hachage
Alice veut transmettre un document à Bob en lui garantissant
son intégrité
Alice calcule l’empreinte de son fichier et l’envoie
simultanément avec le document
Bob recalcule l’empreinte du document et la compare à
celle que lui a envoyé Alice
S’ils ne sont pas exacts c’est que Ève a intercepté le
document et l’a changé
Notons que le document échangé n’est pas chiffré
Ève peut prendre connaissance de son contenu
31/03/2011
67
Authentification
Définition
• La personne à qui j'envoie un message crypté est-elle bien
celle à laquelle je pense ?
• La personne qui m'envoie un message crypté est-elle bien
celle à qui je pense ?
133
Authentification
Technique d’Identification
• Prouveur
– Celui qui s’identifie, qui prétend être…
• Vérifieur
– Fournisseur du service
• Challenge
– Le Vérifieur va lancer un challenge au prouveur que ce dernier doit
réaliser
134
31/03/2011
68
Technique A Clé Publique
Principe
• Algorithme RSA = Réversible
– ((Mess)CPu)CPr = ((Mess)CPr)CPu
• Confidentialité
• Authentification
135
Comment savoir que le message n’a pas été altéré ?
 Fonction de hachage
algorithmes de hachage les plus utilisés:
MD5 (128 bits) et SHA (160 bits)
Signature électronique (1)
136
31/03/2011
69
Pb du hachage : on n’est pas sûr de
l’expéditeur
 Scellement des données
Signature électronique (2)
137
138
Récapitulatif
Cryptographie symétrique répond au besoin de la
confidentialité
DES, 3DES, AES, Blowfish, RC2, RC4, RC5 et DEA
Diffie-Hellman répond au besoin de la confidentialité de
l’échange des clefs
Diffie Hellman Key Exchange
Algorithmes de hachage répond au besoin de l’intégrité
des documents
MD4, MD5 et SHA1
Cryptographie asymétrique répond au besoin de la
confidentialité, authentification et non-répudiation
RSA, ElGamal et DSA
31/03/2011
70
Societé Mondiale de
l’Information“HACKERS”
(Challenge)
Criminalité organisée
(Outil d’escroquerie)
Terrorisme (“Warefare”)
(Arme)
Espionnage
(Outil)
Societé Mondiale des
Intrusions
Intenet = « Espace Sans Loi » + «Difficulté de retraçage»Impunité 139
Les virus
• Qu’est ce qu’un virus?
– Un petit programme ou un élément d'un programme,
développés à des fins nuisibles, qui s'installe secrètement sur des
ordinateurs et parasite des programmes.
• Certains virus, apparus récemment, sont très perfectionnés,
qui dans la plupart des cas, exploitent les erreurs commises
par les utilisateurs peu informés ou les failles des logiciels.
• Les utilisateurs à domicile ne sont pas les seuls à être
exposés au danger. Les entreprises et autres organisations
peuvent également être victimes d'attaques ciblées, menées
par des cybercriminels qui tirent parti d'informations
dérobées aux employés.
• Les traces
 Les virus infectent des applications, copient leur code dans ces
programmes. Pour ne pas infecté plusieurs fois le même fichier ils
intègrent dans l’application infectée une signature virale.
140
31/03/2011
71
Qu’est ce qu’un ver
• Programme capable de se copier vers un autre
emplacement par ses propres moyens ou en
employant d'autres applications.
• Sert à dégrader les performances du réseau dans
une entreprise. Comme un virus, un ver peut
contenir une action nuisible du type destruction de
données ou envoi d'informations confidentielles.
• Ex: E-mail Worms
– un outil de collecte d'adresses e-mail dans la machine
infectée et un outil d'envoie du courrier électroniques
• IRC Worms
– zones de chat...,
– Ver est classé à "IRC Worm
141
Exemple : Koobface
• Ver informatique découvert en Novembre 2008 par McAfee, qui sévit sur
le site communautaireFacebook.
• Le ver Koobface se propage en envoyant des e-mails aux amis des
personnes dont l'ordinateur a été infecté, si l’utilisateur a la malheureuse
idée de télécharger le programme, son ordinateur va être infecté et
dirigera ses utilisateurs sur des sites contaminés lors de recherches sur
Google, Yahoo ou encore MSN.
• Il serait également capable de dérober des informations de nature
personnelle comme un numéro de carte de crédit.
• Une réaction officielle par la voix de Barry Schnitt, porte-parole de
Facebook a communiqué que : "quelques autres virus ont tenté de se
servir de Facebook de manière similaire pour se propager mais jamais
aussi important",
• Concernant la sécurité des informations personnelles de plus de 200
millions de personnes, une enquête au sein du FBI a été mise en place.
142
31/03/2011
72
Les bombes logiques
• Les bombes logiques sont programmées
pour s'activer quand survient un événement
précis.
• De façon générale, les bombes logiques
visent à faire le plus de dégât possible sur le
système en un minimum de temps.
143
« Keylogger »:
• Un Keylogger est un programme parasite qui se
propage souvent grâce à des virus, vers ou spywares.
• Sa principale fonction est d'espionner toutes les
actions effectuées sur votre ordinateur (saisie au
clavier, ouverture d'applications, déplacement de
fichiers...).
• Les traces de ces actions sont stockées dans un
emplacement précis puis envoyées vers une boîte aux
lettres ou sur un site web. Certaines de vos données
les plus confidentielles peuvent ainsi vous être
soutirées à l'insu de votre plein gré.
144
31/03/2011
73
Comment s’en protéger …??
• La plupart des keyloggers
sont maintenant reconnus
par les logiciels antivirus, à
condition que ceux-ci soient
correctement mis à jour.
• Certains keyloggers sont par
contre identifiés comme
spywares; le recours à un
logiciel antispyware est donc
nécessaire.
145
Spyware
 Les logiciels espions (spyware) : ils sont souvent
cachés dans certains graticiels (freeware, mais
pas dans les logiciels libres), partagiciels
(shareware) et pilotes de périphériques, pour
s'installer discrètement afin de collecter et
envoyer des informations personnelles à des
tiers.
 Ex: GATOR, appelé aussi GAIN (Gator Advertising
and Information Network) est un type de
spyware qui fournit l'option de se rappeler le
nom de l’utilisateur et les mots de passe.
 Soyez donc vigilants, Il peut aussi se présenter
sous la forme d'une fenêtre d'installation de
Plug-in sous Internet Explorer. Dans ce cas,
refusez catégoriquement...
 de logiciels connus pour embarquer un ou
plusieurs spywares : Babylon Translator,
GetRight, Go!Zilla, Download Accelerator, Cute
FTP, PKZip, KaZaA ou encore iMesh.
146
31/03/2011
74
Phishing
• Appelé aussi l'hameçonnage peut se faire par courrier électronique, par
des sites Web falsifiés ou autres moyens électroniques
• C’est une technique utilisée par des fraudeurs pour obtenir des
renseignements personnels
• consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance
(ex: banque, administration, etc.) afin de lui soutirer des renseignements
personnels : mot de passe, numéro de carte de crédit, date de naissance, etc.
• forme d'attaque informatique reposant sur l'ingénierie sociale
147
Phishing
• Tout commence par la réception
d'un mail. Vous recevez de votre
banque, de votre fournisseur
d'accès ou d'un cyber marchant un
message de forme tout à fait
habituelle (avec le logo et les
couleurs de l'entreprise) vous
informant qu'un regrettable
incident technique a effacé vos
coordonnées.
• Vous êtes invité à cliquer sur un
lien vous menant au site de
l'entreprise en question pour
ressaisir soit votre numéro de carte
bleue, vos identifiants et mot de
passe de connexion. Vous êtes en
confiance et suivez attentivement
les consignes…
148
31/03/2011
75
phishing = spam + mail spoofing + social engineering + URL
spoofing +…..
• La pratique du phishing consiste à attirer
l'internaute à l’aide d'e-mails non
sollicités (Spam) comme envoyés
d'adresses officielles (mail_spoofing),
incitant la victime, à cliquer sur un lien
proposé dans le message.
• Ce lien est en réalité malicieux et conçu
pour usurper une destination de
confiance (URL_spoofing),
• Ce qui a pour conséquence de conduire
l’internaute sur un site Web visuellement
identique au site officiel mais dont la
véritable adresse est dissimulée aux yeux
de l’internaute victime. 149
Les étapes de sécurité
150
Prendre des mesures
31/03/2011
76
Comment se protéger?
• Pare-feu
• Mises à jour de votre PC
• Logiciels: anti-virus, anti-
spyware, anti-spam,..
151
Stratégies
• Approche locale
– Poste client
• Approche globale
– Poste serveur
• Ces deux solutions sont complémentaires et
doivent faire appel à des moteurs antiviraux de
fournisseurs différents
152
31/03/2011
77
Approche antivirale locale/globale
• Mise à jour de la table de définitions de virus
sur chaque poste client
• Solution automatique ou manuelle
153
Serveur
antivirus
En cas de mise à jour,
Notification aux clients présents
Requête de mise à jour planifiée
Puis téléchargement des mises à jour
Interrogation du serveur
à chaque démarrage des clients
Téléchargement des mises à jour
(localement)
Les attaques: imitation malicieuse
• Tout équipement connecté à un réseau injecte des
datagrammes IP
– @ IP de l'expéditeur + données de couche supérieure
• Si l'utilisateur peut intervenir sur les logiciels ou son
système d'exploitation il peut inscrire une @ IP factice
(IP spoofing)
– permet au pirate responsable de DoS de dissimuler leur
identité car il est très difficile de remonter à la source d'un
datagramme portant une fausse @ IP
• Contre-Mesure : (ingress filtering)
– les routeurs vérifient si l'@ IP des paquets entrant font partie
des @ IP accessibles via cette interface.
154
31/03/2011
78
Les attaques: Les DOS
• Denial Of Service (DoS)
– rend un réseau, un hôte ou autre inutilisable pour ses utilisateurs
légitimes.
– basé sur la production d'un volume de données supérieur à la
capacité de traitement de l'entité ciblée. exemple :
• SYN flooding avec des @ IP factices : accumulation d'un gd nb de
connexions partiellement ouvertes
• envoie de fragments IP sans les fragments de terminaison
• attaque smurf : envoie de paquets de requête d'échos ICMP en masse
• Distributed Denial of Service (DDos)
– Le pirate obtient un grand nombre de comptes utilisateurs
(sniffing ou brute force)
– Il installe et exécute un logiciel esclave au niveau de chaque hôte
qui attend les ordres en provenance d'un logiciel maître
– Puis le pirate ordonne à tous ses logiciels esclaves de lancer une
attaque DoS contre le même hôte ciblé 155
Les outils
156
Workstation
Via Email
File Server
Workstation
Mail Server
Internet
Web Server
Via Web Page
Workstation
Web Server
Mail Gateway
Anti Virus
Firewall
Intrusion Detection
Vulnerability Management
31/03/2011
79
Ex: Serveur Symantec Client Security
• Un serveur Symantec Client Security peut envoyer des mises à
jour de configuration et des fichiers de définitions de virus à
des clients
• SymantecClient security protége les ordinateurs sur lesquels il
s’exécute
• Le programme client Symantec Client Security fournit une
protection antivirus, pare-feu et contre les intrusions aux
ordinateurs réseau et autonomes
• Alert Management System2 (AMS2). AMS2 assure la gestion
des urgences et prend en charge les alertes issues de serveurs
et des postes de travail
157
Firewall
• Le pare-feu est un système permettant de filtrer
les paquets de données échangés avec le réseau,
il s'agit ainsi d'une passerelle filtrante
comportant au minimum les interfaces réseau
suivante :
– une interface pour le réseau à protéger
(réseau interne)
– une interface pour le réseau externe
• Un système pare-feu contient un ensemble de
règles prédéfinies permettant :
– D'autoriser la connexion (allow)
– De bloquer la connexion (deny)
– De rejeter la demande de connexion sans
avertir l'émetteur (drop).
158
31/03/2011
80
Contrôle d’accès: Les pare-feux
• Un pare-feu isole le réseau de l’organisation du reste de
l’Internet en laissant pénétrer certains paquets et en
bloquant d’autres
• Il existe 2 types de pare-feux:
– Filtrage simple des paquets (Ex: liste ACL)
– Filtrage applicatif (niv. Application)
159
Rôle du pare-feux
• Les firewall protègent les installations informatiques des
intrusions
• surveille (autoriser/denier) les communications d'un PC vers
Internet et vice versa
• Prévenir les attaques du type Denial Of Service
– Inondation des messages SYN avec des @IP d’origine factices, qui
paralyse l’hôte. Les tampons de l’hôte sont remplis de messages
factices, ce qui ne laissent plus de place pour les vrais messages
– Prévenir les modifications de données internes
Ex: changer la page Web de l’entreprise
– Empêcher les pirates d’accéder à des données sensibles,
– Analyser, bloquer ou autoriser les communications via les ports UDP et
TCP
160
31/03/2011
81
Filtrage de paquets
• Le réseau interne est équipé d’une passerelle le reliant à
son FAI. On se faire le filtrage des paquets
• Filtrage basé sur l’étude des en-tête de paquet
– @ IP d’origine et de destination
– Des types des messages ICMP
– Des datagrammes de connexion et d’inintialisation utilisant les
bits TCP SYN ou Ack
– Ex/ filtre les segments UDP et les connexions Telnet (segment
TCP avec Port 23). Évite toute intrusion étrangère via une
session Telnet.
• Mise en place d'une passerelle d'application (gateway)
Serveur spécifique aux applications que toutes les
données d'applications doivent traverser avant de
quitter ou d'entrer dans le réseau
161
Filtrage applicatif
• Appelé aussi « passerelle applicative » ou proxy
• le filtrage applicatif permet la destruction des en-têtes précédant
le message applicatif, ce qui permet de fournir un niveau de
sécurité supplémentaire.
• En contrepartie, une analyse fine des données applicatives
requiert une grande puissance de calcul et se traduit donc souvent
par un ralentissement des communications, chaque paquet
devant être finement analysé.
• Afin de limiter les risques le proxy doit nécessairement être en
mesure d'interpréter une vaste gamme de protocoles et doit
connaître les failles afférentes pour être efficace.
162
31/03/2011
82
Limitations des pare-feux
• Usurpation d’identité (IP spoofing) le routeur est impuissant face à ce
type d’attaque
• Si chaque application nécessite un traitement particulier Il faut une
passerelle par application Les client de ces applications doivent
pouvoir configurer les logiciels (ex: navigateur avec les proxy)
• Les filtres sont très grossiers: Les spyware et adware (des progr.
Commerciaux sont nuisibles ne sont pas détectés par les anti-virus)
utilisant le port 80 ne sont donc en aucun cas pris en compte par un
firewall hardware.
• il est nécessaire d'administrer le pare-feu et notamment de surveiller
son journal d'activité afin d'être en mesure de détecter les tentatives
d'intrusion et les anomalies.
163
Zone Démilitarisée DMZ
• Il est nécessaire de mettre en place des
architectures de systèmes pare-feux permettant
d'isoler les différents réseaux de l'entreprise: on
parle ainsi de « cloisonnement des réseaux »
(isolation)
• « Zone DéMilitarisée » ( DMZ pour DeMilitarized
Zone) pour désigner cette zone isolée hébergeant
des applications mises à disposition du public
164
31/03/2011
83
Architecture DMZ
• Les serveurs situés dans la DMZ sont
appelés « bastions » en raison de leur
position d'avant poste dans le réseau
de l'entreprise.
• La DMZ possède donc un niveau de
sécurité intermédiaire, mais son
niveau de sécurisation n'est pas
suffisant pour y stocker des données
critiques pour l'entreprise.
165
Politique de sécurité
• La politique de sécurité mise en oeuvre sur la
DMZ est généralement la suivante :
– Traffic du réseau externe vers la DMZ autorisé ;
– Traffic du réseau externe vers le réseau interne
interdit ;
– Traffic du réseau interne vers la DMZ autorisé ;
– Traffic du réseau interne vers le réseau externe
autorisé ;
– Traffic de la DMZ vers le réseau interne interdit ;
– Traffic de la DMZ vers le réseau externe refusé.
166
31/03/2011
84
NAT
• Le principe du NAT consiste à réaliser, au niveau de la
passerelle de connexion à internet, une translation entre
l'adresse interne (non routable) de la machine souhaitant
se connecter et l'adresse IP de la passerelle.
• Le terme NAT représente la modification des adresses IP
dans l'en-tête d'un datagramme IP effectuée par un
routeur.
SNAT : @source du paquet qui est modifiée (altérée)
DNAT : @destination qui est modifiée (altérée)
167
Network Address Translation: NAT
• Fonctionnement du NAT:
– Translation des @IP de l’en tête
– Recalcul et vérification du checksum
– Recalcul et modification du checksum TCP
– NAT cache l’identité « réelle » des Hosts
– Tout paquet de données qui doit être translater doit passer par un routeur NAT
– permet de sécuriser le réseau interne étant donné qu'il camoufle
complètement l'adressage interne. Pour un observateur externe au réseau,
toutes les requêtes semblent provenir de la même adresse IP.
168
31/03/2011
85
Les différents types de NAT
On distingue deux types différents de NAT:
NAT statique
NAT dynamique
169
Principe de NAT
• Le principe du NAT statique:
– consiste à associer une @IP publique à une @IP privée interne au réseau. Le
routeur (passerelle) permet donc d'associer à une @IP privée (ex: 192.168.0.1)
une @IP publique routable sur Internet et de faire la traduction, dans un sens
comme dans l'autre, en modifiant l‘@ dans le paquet IP.
– La translation d‘@-statique permet ainsi de connecter des machines du réseau
interne à internet de manière transparente
• NAT dynamique
– permet de partager une @IP routable entre plusieurs machines en @ privé.
Ainsi, toutes les machines du réseau interne possèdent virtuellement, vu de
l'extérieur, la même @IP. C'est la raison pour laquelle le terme de « mascarade
IP » (IP masquerading) est parfois utilisé pour désigner le mécanisme de
translation d'adresse dynamique.
170
31/03/2011
86
10.0.0.12/24
10.0.0.12/24 (@ interne)
193.22.35.42/24 (@ externe)
Internet
171
Les avantages et Inconvénients du NAT
Statiques
• NAT statique a permis de rendre une machine accessible
sur Internet alors qu'elle possédait une adresse privée.
• la NAT statique permet de rendre
disponible une application sur Internet ( serveur web, mail
ou serveur FTP).
Le principe du NAT statique ne résout pas le problème de la
pénurie d'adresse puisque n adresses IP routables sont
nécessaires pour connecter n machines du réseau interne.
172
31/03/2011
87
Avantages NAT Dynamique
• Le NAT dynamique permet de partager une adresse
IP routable (ou un nombre réduit d'adresses IP
routables) entre plusieurs machines en adressage
privé.
• NAT dynamique utilise la translation de port (PAT -
Port Address Translation)
• Elle permet d’économiser les adresse IP. cela permet
de répondre au problème de pénurie d'adresses.
• Elle permet une sécurité accrue, car il n'existe aucun
moyen pour quelqu'un de l'extérieur, d'accéder aux
machines internes.
173
Les inconvénients
• Elle est donc utile pour partager un accès Internet,
mais pas pour rendre un serveur accessible.
• IPSec est totalement incompatible avec le NAT
• La NAT dynamique seule ne peut pas être considérée
comme une sécurité suffisante. Il est indispensable
d'utiliser un filtrage si l'on veut obtenir un bon
niveau de sécurité.
174
31/03/2011
88
Architecture IPsec
1. Introduction
2. Services IPsec
3. Modes d’utilisation
175
IPsec : Introduction
• On a conçu IPSec (Internet Protocol Security)
pour sécuriser le protocole IPv6. La lenteur de
déploiement de ce dernier a imposé une
adaptation d’IPSec à l’actuel protocole IPv4.
• Plusieurs RFC successives décrivent les
différents éléments d’IPSec : RFC 2401, 2402,
2406, 2408…
176
31/03/2011
89
IPsec : Introduction
• Internet Protocol Security est un ensemble de protocoles
(couche 3 modèle OSI) utilisant des algorithmes permettant le
transport de données sécurisées sur un réseau IP.
• Composante indissociable d’IPV6, optionnelle en IPV4
• Composant de VPN
• Permet l’établissement de communication sécurisée
• Les services et algorithmes utilisés sont paramétrables.
177
IPsec : 4 services
• Authentification des données :
– chaque paquet échangé a bien été émis par la bonne machine et qu’il est
bien à destination de la seconde machine
• Confidentialité des données échangées :
– chiffrer le contenu des paquets IP pour empêcher qu’une personne
extérieure ne le lise
• Intégrité des données échangées :
– s’assurer qu’aucun paquet n’a subit une quelconque modification durant son
trajet.
• Protection contre l’analyse de trafic :
– chiffrer les adresses réelles de l’expéditeur et du destinataire, ainsi que tout
l’en-tête IP correspondant. C’est le principe de base du tunneling.
178
31/03/2011
90
Fonctionnement
• On établit un tunnel entre deux sites:
• IPSec gère l’ensemble des paramètres de
sécurité associés à la communication.
• Deux machines passerelles, situées à
chaque extrémité du tunnel, négocient
les conditions de l’échange des
informations :
– Quels algorithmes de chiffrement,
quelles méthodes de signature
numérique ainsi que les clés utilisées
pour ces mécanismes.
– La protection est apportée à tous les
trafics et elle est transparente aux
différentes applications.
179
• IPSec prévoit la définition de la politique de sécurité avec le
choix des algorithmes utilisés et leur portée.
• Une fois qu’une politique est définie, il y a échange des clés avec
un mécanisme IKE (Internet Key Exchange) [utilisant le port 500
et le transport UDP].
• On peut mettre en oeuvre l’authentification soit en supposant
que les deux extrémités se partagent déjà un secret pour la
génération de clés de sessions, soit en utilisant des certificats et
des signatures RSA.
• Les machines passerelles traitent ensuite les données avec la
politique de sécurité associée.
• IPSec propose ensuite deux mécanismes au choix pour les
données de l’échange : ESP (Encapsulating Security Payload) et
AH (Authentication Header).
• ESP fournit l’intégrité et la confidentialité, AH ne fournit que
l’intégrité.
180
31/03/2011
91
IPsec : Atouts et limites
• Atouts :la richesse de son offre de services de
sécurité qui :
– Est exploitable dans les couches hautes de TCP-IP.
– Est ouvert à tous les équipements.
– Peut intervenir dans différentes configurations.
• Un point faible de IPSec : la gestion des clés 
solution un PKI (Public Key Infrastructure).
181
IPsec : Architecture
• Ensemble de protocoles couvrant deux
aspects
– Encapsulation des datagrammes IP dans d’autres
datagrammes IP
•  services de sécurité (intégrité, confidentialité, …etc.)
– Négociation des clés et des associations de
sécurité
•  utilisées lors de l ’encapsulation
182
31/03/2011
92
IPsec : Architecture
• 2 protocoles définis pour l’encapsulation
– Authentication Header (AH)
– Encapsulating Security Payload (ESP)
• 1 protocole pour l’échange de clés
– Internet Key Exchange (IKE)
183
DOI IPsec -RFC 2407: Architecture
184
31/03/2011
93
AH
• Les algorithmes d'authentification utilisables avec AH sont répertoriés dans le
DOI IPsec; il existe notamment HMAC-MD5 et HMAC-SHA-1.
• Assure l’authentification de la source
– Protection contre source spoofing
• Assure l’intégrité des données
– Algorithme d’hachage 96 bits
– Utilise une cryptographie à clé symétrique
– HMAC-SHA-96, HMAC-MD5-96
• Protection contre le rejeu
– Utilise un mécanisme anti-rejeu (nombre de séquence)
• Non répudiation
– Utilisation du RSA
• Aucune protection de confidentialité
– Données signées et non chiffrées
185
• Selon les modes de fonctionnement choisis (transport ou tunnel) la
position de l'en tête d'authentification AH est la suivante :
• Les algorithmes d’authentification utilisables avec AH sont listés dans le
DOI IPsec (RFC 2407).
186
Position de AH en mode transport.
Position de AH en mode tunnel.
31/03/2011
94
ESP
• ESP assure quant à lui la confidentialité des données mais peut aussi
assurer leur intégrité en mode non connecté et l'authentification de leur
origine.
• A partir du datagramme IP classique, un nouveau datagramme dans
lequel les données et éventuellement l'en tête originale sont chiffrées,
est crée. C'est une réelle encapsulation entre un en tête et un trailer.
• La protection contre le rejeu est fournie grâce à un numéro de séquence
si les fonctions précédentes ont été retenues
• Idem plus la confidentialité des données
– utilise une encryption à clés symétrique
187
• Suivant les modes de fonctionnement choisis (transport ou tunnel) la position
de ESP est la suivante :
188
Position de ESP en mode transport.
Position de ESP en mode tunnel.
31/03/2011
95
IPsec : Architecture
• IPsec assure la sécurité en trois situations
– Hôte à hôte
– Routeur à routeur
– Hôte à routeur
• IPsec opère en deux mode
– Mode transport
– Mode tunnel (VPN)
189
Mode transport
• Transport
– Utilisé uniquement entre deux machines qui elles-mêmes responsable du
chiffrement/déchiffrement .
– Seulement les données qui sont chiffrées. Les en-tête IP sont conservés
190
Internet
VPN
Security
gateway 1
Security
gateway 2
Server B
A B data
encrypted
Workstation A
31/03/2011
96
Mode tunnel
• Tunnel
– Le flux est entre deux machines qui se trouvent derrièredeux passerelles
faisant le chiffrement/déchiffrement
– En-tête IP et données sont chiffrés et un nouveau en-tête est généré avec
l’adresse IP du serveur VPN.
191
A B data
A B data1 2
Internet
VPN
Security
gateway 1
Security
gateway 2
Workstation A
Server B
encryptedA B data
source destination
Capture ISAKMP: Internet Security
Association and Key Management
Protocol
192
• Capture d’écran à l’aide de Wireshark réalisée dans la séance de TP avec
IPSEC. On peut voir le déploiement de l’ISAKMP lors de l’échange
31/03/2011
97
193
Qu’est ce qu’un VPN ?
• VPN,acronyme de Virtual Private Network, ou Réseau
Privé Virtuel. Ce réseau est dit virtuel car il relie des
réseaux "physiques" (réseaux locaux) via un réseau
public, en général Internet, et privé car seuls les
ordinateurs des réseaux locaux faisant partie du VPN
peuvent accéder aux données.
• Cette technique assure l’authentification en
contrôlant l’accès, l’intégrité des données et le
chiffrage de celles-ci.
194
31/03/2011
98
195
VPN
• La mise en place d'un réseau privé virtuel permet de
connecter de façon sécurisée des ordinateurs distants au
travers d'une liaison non fiable (Internet), comme s'ils étaient
sur le même réseau local.
• Ce procédé est utilisé par de nombreuses entreprises afin de
permettre à leurs utilisateurs de se connecter au réseau
d'entreprise hors de leur lieu de travail. On peut facilement
imaginer un grand nombre d'applications possibles :
– Accès au réseau local (d'entreprise) à distance et de façon sécurisée
pour les travailleurs nomades
– Partage de fichiers sécurisés
– Jeu en réseau local avec des machines distantes
196
31/03/2011
99
Les Protocoles de Tunnelisation
• Les principaux protocoles de tunneling sont :
– PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2
développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.
– L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco
Systems, Northern Telecom (Nortel) et Shiva.
– L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF
(RFC 2661) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit
ainsi d'un protocole de niveau 2 s'appuyant sur PPP.
– IPsec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de
transporter des données chiffrées pour les réseaux IP.
– SSL/TLS offre une très bonne solution de tunneling. L'avantage de cette
solution est d'utiliser un simple navigateur comme client VPN.
– SSH Initialement connu comme remplacement sécurisé de telnet, SSH offre la
possibilité de tunneliser des connections de type TCP.
197
198
Une entreprise Multi-site désire de plus en plus ouvrir son
réseau à ses employés travaillant à distance, en toute
sécurité. C’est l’enjeu auquel répond efficacement une
solution de type VPN
31/03/2011
100
SSL : Secure Socket Layer
• C'est un système qui permet d'échanger des informations entre 2
ordinateurs de façon sûre. SSL assure 3 aspects:
– Confidentialité: Il est impossible d'espionner les informations
échangées.
– Intégrité: Il est impossible de truquer les informations échangées.
– Authentification: Il permet de s'assurer de l'identité du
programme, de la personne ou de l'entreprise avec laquelle on
communique.
• SSL est un complément à TCP/IP et permet (potentiellement) de
sécuriser n'importe quel protocole ou programme utilisant TCP/IP.
• SSL a été créé et développé par la société Netscape et RSA Security.
199
Récapitulatif
• Accès non autorisé Authentification
• Confidentialité Chiffrement
• Virus Antivirus
• Intrusion IDS/IPS Firewall
• Modification Hachage
consiste à verrouiller les données à l’aide des
composants matériels: clipper-chips
200

Contenu connexe

Tendances

Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
TECOS
 
2 aaz fonctionnement d'un nids
2 aaz   fonctionnement d'un nids2 aaz   fonctionnement d'un nids
2 aaz fonctionnement d'un nids
kaser info2aaz
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
CHAOUACHI marwen
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
simomans
 
Mécanismes de sécurité
Mécanismes de sécuritéMécanismes de sécurité
Mécanismes de sécurité
Ghazouani Mahdi
 
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASASupport formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
SmartnSkilled
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
Charif Khrichfa
 

Tendances (7)

Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
2 aaz fonctionnement d'un nids
2 aaz   fonctionnement d'un nids2 aaz   fonctionnement d'un nids
2 aaz fonctionnement d'un nids
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Mécanismes de sécurité
Mécanismes de sécuritéMécanismes de sécurité
Mécanismes de sécurité
 
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASASupport formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 

En vedette

Wafa kamoun-admin-sec-reseaux
Wafa kamoun-admin-sec-reseauxWafa kamoun-admin-sec-reseaux
Wafa kamoun-admin-sec-reseaux
infcom
 
Tpdba1
Tpdba1Tpdba1
Tpdba1
infcom
 
Examens Khaled Jouini ISITCOM ORACLE BD
Examens Khaled Jouini ISITCOM ORACLE BDExamens Khaled Jouini ISITCOM ORACLE BD
Examens Khaled Jouini ISITCOM ORACLE BD
infcom
 
Examens Zaki Brahmi ISITCOM
Examens Zaki Brahmi ISITCOMExamens Zaki Brahmi ISITCOM
Examens Zaki Brahmi ISITCOM
infcom
 
T2 corrections-qc md
T2 corrections-qc mdT2 corrections-qc md
T2 corrections-qc md
infcom
 
Problématique de l'énergie pour les réseaux de capteurs isolés Dominique Jute...
Problématique de l'énergie pour les réseaux de capteurs isolés Dominique Jute...Problématique de l'énergie pour les réseaux de capteurs isolés Dominique Jute...
Problématique de l'énergie pour les réseaux de capteurs isolés Dominique Jute...
AFEIT
 
T1 corrections-qcm
T1 corrections-qcmT1 corrections-qcm
T1 corrections-qcm
infcom
 
installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003
Souhaib El
 
Socket programming
Socket programmingSocket programming
Socket programming
chandramouligunnemeda
 
Slides capteurs partie 1
Slides capteurs partie 1Slides capteurs partie 1
Slides capteurs partie 1
zinoha
 
Réseau de capteurs sans fils wsn
Réseau de capteurs sans fils wsnRéseau de capteurs sans fils wsn
Réseau de capteurs sans fils wsn
Achref Ben helel
 

En vedette (12)

Wafa kamoun-admin-sec-reseaux
Wafa kamoun-admin-sec-reseauxWafa kamoun-admin-sec-reseaux
Wafa kamoun-admin-sec-reseaux
 
Tpdba1
Tpdba1Tpdba1
Tpdba1
 
Examens Khaled Jouini ISITCOM ORACLE BD
Examens Khaled Jouini ISITCOM ORACLE BDExamens Khaled Jouini ISITCOM ORACLE BD
Examens Khaled Jouini ISITCOM ORACLE BD
 
Examens Zaki Brahmi ISITCOM
Examens Zaki Brahmi ISITCOMExamens Zaki Brahmi ISITCOM
Examens Zaki Brahmi ISITCOM
 
T2 corrections-qc md
T2 corrections-qc mdT2 corrections-qc md
T2 corrections-qc md
 
19
1919
19
 
Problématique de l'énergie pour les réseaux de capteurs isolés Dominique Jute...
Problématique de l'énergie pour les réseaux de capteurs isolés Dominique Jute...Problématique de l'énergie pour les réseaux de capteurs isolés Dominique Jute...
Problématique de l'énergie pour les réseaux de capteurs isolés Dominique Jute...
 
T1 corrections-qcm
T1 corrections-qcmT1 corrections-qcm
T1 corrections-qcm
 
installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003
 
Socket programming
Socket programmingSocket programming
Socket programming
 
Slides capteurs partie 1
Slides capteurs partie 1Slides capteurs partie 1
Slides capteurs partie 1
 
Réseau de capteurs sans fils wsn
Réseau de capteurs sans fils wsnRéseau de capteurs sans fils wsn
Réseau de capteurs sans fils wsn
 

Similaire à Cours admin-secure-4 avril-2011

Administration reseau
Administration reseauAdministration reseau
Administration reseau
nadimoc
 
Ft administration de réseau
Ft administration de réseauFt administration de réseau
Ft administration de réseau
adifopi
 
Administration des réseaux informatiques_cours3.pptx
Administration des réseaux informatiques_cours3.pptxAdministration des réseaux informatiques_cours3.pptx
Administration des réseaux informatiques_cours3.pptx
macsat2
 
Curriculum vitae
Curriculum vitaeCurriculum vitae
Curriculum vitae
Mahdi Ben Othmen
 
supervision réseau (snmp netflow)
 supervision réseau (snmp netflow) supervision réseau (snmp netflow)
supervision réseau (snmp netflow)
medalaa
 
E-gouvernance, systèmes d’information, approche réseau
E-gouvernance, systèmes d’information, approche réseauE-gouvernance, systèmes d’information, approche réseau
E-gouvernance, systèmes d’information, approche réseau
Mission laïque française
 
Administration_et_Supervision_RESEAU (1).pptx
Administration_et_Supervision_RESEAU (1).pptxAdministration_et_Supervision_RESEAU (1).pptx
Administration_et_Supervision_RESEAU (1).pptx
JordaniMike
 
COMSMART "Opérateur de services connectés"
COMSMART "Opérateur de services connectés" COMSMART "Opérateur de services connectés"
COMSMART "Opérateur de services connectés"
Thierry Langé
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics  | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics  | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
☁️Seyfallah Tagrerout☁ [MVP]
 
ITN_Module_17.pdf
ITN_Module_17.pdfITN_Module_17.pdf
ITN_Module_17.pdf
sirinejlassi1
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
gorguindiaye
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
gorguindiaye
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptx
gorguindiaye
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptx
gorguindiaye
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
gorguindiaye
 
3 Microsoft Advanced Threat Analytics - Genève
3   Microsoft Advanced Threat Analytics - Genève3   Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève
aOS Community
 
Cours sys 2PPT20.pdf
Cours sys 2PPT20.pdfCours sys 2PPT20.pdf
Cours sys 2PPT20.pdf
C00LiMoUn
 
Introductionreseaux1-2.pdf
Introductionreseaux1-2.pdfIntroductionreseaux1-2.pdf
Introductionreseaux1-2.pdf
benjat3
 
Intelligence économique : Le monitoring
Intelligence économique : Le monitoringIntelligence économique : Le monitoring
Intelligence économique : Le monitoring
Khalifa Tall
 

Similaire à Cours admin-secure-4 avril-2011 (20)

Administration reseau
Administration reseauAdministration reseau
Administration reseau
 
Ft administration de réseau
Ft administration de réseauFt administration de réseau
Ft administration de réseau
 
Administration des réseaux informatiques_cours3.pptx
Administration des réseaux informatiques_cours3.pptxAdministration des réseaux informatiques_cours3.pptx
Administration des réseaux informatiques_cours3.pptx
 
Curriculum vitae
Curriculum vitaeCurriculum vitae
Curriculum vitae
 
supervision réseau (snmp netflow)
 supervision réseau (snmp netflow) supervision réseau (snmp netflow)
supervision réseau (snmp netflow)
 
E-gouvernance, systèmes d’information, approche réseau
E-gouvernance, systèmes d’information, approche réseauE-gouvernance, systèmes d’information, approche réseau
E-gouvernance, systèmes d’information, approche réseau
 
Mlf numerique réseau liban
Mlf numerique    réseau libanMlf numerique    réseau liban
Mlf numerique réseau liban
 
Administration_et_Supervision_RESEAU (1).pptx
Administration_et_Supervision_RESEAU (1).pptxAdministration_et_Supervision_RESEAU (1).pptx
Administration_et_Supervision_RESEAU (1).pptx
 
COMSMART "Opérateur de services connectés"
COMSMART "Opérateur de services connectés" COMSMART "Opérateur de services connectés"
COMSMART "Opérateur de services connectés"
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics  | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics  | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
 
ITN_Module_17.pdf
ITN_Module_17.pdfITN_Module_17.pdf
ITN_Module_17.pdf
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptx
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptx
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 
3 Microsoft Advanced Threat Analytics - Genève
3   Microsoft Advanced Threat Analytics - Genève3   Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève
 
Cours sys 2PPT20.pdf
Cours sys 2PPT20.pdfCours sys 2PPT20.pdf
Cours sys 2PPT20.pdf
 
Introductionreseaux1-2.pdf
Introductionreseaux1-2.pdfIntroductionreseaux1-2.pdf
Introductionreseaux1-2.pdf
 
Intelligence économique : Le monitoring
Intelligence économique : Le monitoringIntelligence économique : Le monitoring
Intelligence économique : Le monitoring
 

Plus de infcom

Dba oracle-v1
Dba oracle-v1Dba oracle-v1
Dba oracle-v1
infcom
 
Examens Linda Jedidi ISITCOM
Examens Linda Jedidi ISITCOMExamens Linda Jedidi ISITCOM
Examens Linda Jedidi ISITCOM
infcom
 
Examens Iyed Ben Slimene ISITCOM Communication sans fil
Examens Iyed Ben Slimene ISITCOM Communication sans fil Examens Iyed Ben Slimene ISITCOM Communication sans fil
Examens Iyed Ben Slimene ISITCOM Communication sans fil
infcom
 
Db aing td3v1
Db aing td3v1Db aing td3v1
Db aing td3v1
infcom
 
Chap06 (méthodes de vérification)
Chap06 (méthodes de vérification)Chap06 (méthodes de vérification)
Chap06 (méthodes de vérification)
infcom
 
Db aing td2v1
Db aing td2v1Db aing td2v1
Db aing td2v1
infcom
 
Chap05 (buchi)
Chap05 (buchi)Chap05 (buchi)
Chap05 (buchi)
infcom
 
Db aing td1v1
Db aing td1v1Db aing td1v1
Db aing td1v1
infcom
 
Examens heykel Tej ISITCOM ingénierie protocoles
Examens heykel Tej ISITCOM ingénierie protocolesExamens heykel Tej ISITCOM ingénierie protocoles
Examens heykel Tej ISITCOM ingénierie protocoles
infcom
 
Tpdba3
Tpdba3Tpdba3
Tpdba3
infcom
 
Chap02 fsm-mpssr-ht
Chap02 fsm-mpssr-htChap02 fsm-mpssr-ht
Chap02 fsm-mpssr-ht
infcom
 
Ch3 ing
Ch3 ingCh3 ing
Ch3 ing
infcom
 
Examens Aline Laatiri ISITCOM
Examens Aline Laatiri ISITCOMExamens Aline Laatiri ISITCOM
Examens Aline Laatiri ISITCOM
infcom
 

Plus de infcom (16)

Dba oracle-v1
Dba oracle-v1Dba oracle-v1
Dba oracle-v1
 
Examens Linda Jedidi ISITCOM
Examens Linda Jedidi ISITCOMExamens Linda Jedidi ISITCOM
Examens Linda Jedidi ISITCOM
 
Examens Iyed Ben Slimene ISITCOM Communication sans fil
Examens Iyed Ben Slimene ISITCOM Communication sans fil Examens Iyed Ben Slimene ISITCOM Communication sans fil
Examens Iyed Ben Slimene ISITCOM Communication sans fil
 
Db aing td3v1
Db aing td3v1Db aing td3v1
Db aing td3v1
 
Chap06 (méthodes de vérification)
Chap06 (méthodes de vérification)Chap06 (méthodes de vérification)
Chap06 (méthodes de vérification)
 
Db aing td2v1
Db aing td2v1Db aing td2v1
Db aing td2v1
 
Chap05 (buchi)
Chap05 (buchi)Chap05 (buchi)
Chap05 (buchi)
 
Db aing td1v1
Db aing td1v1Db aing td1v1
Db aing td1v1
 
Examens heykel Tej ISITCOM ingénierie protocoles
Examens heykel Tej ISITCOM ingénierie protocolesExamens heykel Tej ISITCOM ingénierie protocoles
Examens heykel Tej ISITCOM ingénierie protocoles
 
Tpdba3
Tpdba3Tpdba3
Tpdba3
 
Chap02 fsm-mpssr-ht
Chap02 fsm-mpssr-htChap02 fsm-mpssr-ht
Chap02 fsm-mpssr-ht
 
Ch4
Ch4Ch4
Ch4
 
Ch2
Ch2Ch2
Ch2
 
Ch1
Ch1Ch1
Ch1
 
Ch3 ing
Ch3 ingCh3 ing
Ch3 ing
 
Examens Aline Laatiri ISITCOM
Examens Aline Laatiri ISITCOMExamens Aline Laatiri ISITCOM
Examens Aline Laatiri ISITCOM
 

Cours admin-secure-4 avril-2011

  • 1. 31/03/2011 1 Administration & Sécurité des réseaux Wafa KAMMOUN 1 2eme Ingénieurs ISITCom H-SouSSe 2010 - 2011 Plan de Cours • Administration : – Introduction à l’administration réseaux – Rappel sur les Protocoles et services IP – Administration des équipements (Firewall, routeur) – Listes ACL – Administration des serveurs DNS, DHCP – Administration SNMP (Simple Network Management Protocol),.. • Sécurité : – Introduction à la sécurité informatique – # types d’attaques (Hacking) – La cryptographie & l’authentification, – Les DMZ et Firewalls – VPN, SSL (Secure Socket Layer) • Références: – http://www.itu.int/cybersecurity/ – http://www.w3.org/P3P/ – Stallings William, Sécurité des réseaux, applications et standards, Vuibert, 2002, ISBN 978-2-71- 178653 2
  • 2. 31/03/2011 2 Quelques définitions • Administrateur : – Administrateur Système: • Personne responsable de la totalité de la gestion du système informatique. Il surveille et en assure la maintenance du système de manière à garantir un fonctionnement irréprochable. Veiller au bon fonctionnement des sauvegardes. – Administrateur réseau: • Chargé de la gestion de tout type d’équipements réseau. Il est responsable de bon fonctionnement configuration des équipements réseau, de la répartition des droits d’accès des utilisateurs à accéder aux serveurs. Lui seul a le droit d’ajouter des utilisateurs ou d’annuler des autorisations d’accès, ainsi que l’installation du SE réseau et de la sécurité des données sur l’ensemble du réseau 3 Fonctions & Objectifs • Administration – Administration des serveurs, Administration des équipements et des applications (FTP, Web, courrier,..) – Déploiement, intégration, gestion des ressources réseaux mais aussi humaine – Gérer des 100 ou des 1000 d’utilisateurs dans des systèmes autonomes – Surveillance, test de performance, d’audit, de configuration du réseau – Évaluation des ressources nécessaires • Sécurité: – Protéger le réseau contre les accès non autorisés, divulgations – Contrôle d’accès: Les pare-feux (Firewalls) – Cryptographie et authentification – Récupérer les données à la suite d’un événement catastrophique • La sauvegarde des données sur bande magnétique (quotidienne, complète, incrémentielle,..) • La configuration des disques de tolérance de pannes (Les techniques de redondance,..) • L’utilisation des dispositifs d’alimentation sans coupure – Se protéger contre les attaques (virus, trojan,..) ….. Et tout ça pour un coût raisonnable !!! 4
  • 3. 31/03/2011 3 Buts • Le réseau est devenu une ressource indispensable (voire vitale) au bon fonctionnement d’une entreprise,.. • L’administration du réseau met en œuvre un ensemble de moyen pour : – offrir aux utilisateurs un service de qualité – Permettre l’évolution du système en intégrant des nouvelles fonctionnalités – Optimiser les performances des services pour les utilisateurs – Permettre une utilisation maximale des ressources avec un coût minimal 5 Administration = Partie opérationnelle d’un réseau • Les fonctions d'administration doivent permettre: – l'extraction des informations des éléments du réseau au moyen d'outils (trace) => récolte un grand nombre d'information, – la réduction du volume d'information au moyen de filtres => sélection d'information significatives (analyser), – le stockage des informations retenues dans une base de données d'administration, – des traitements sur ces informations, – offrir des interfaces (utilisateur administration, opérateur réseau). 6
  • 4. 31/03/2011 4 Les attendus d’une administration de réseau • Les 5 domaines fonctionnels de l'administration tel que définis dans l'OSI: – La gestion des pannes : permet la détection, la localisation, la réparation de pannes et le retour à une situation normale dans l'environnement. – La comptabilité : permet de connaître les charges des objets gérés, les coûts de communication, ... Cette évaluation est établie en fonction du volume et de la durée de la transmission. Ces relevés s'effectuent à deux niveaux : Réseau et Application. – La gestion des configurations : permet d'identifier, de paramétrer les différents objets. Les procédures requises pour gérer une configuration sont la collecte d'information, le contrôle de l'état du système, la sauvegarde de l'état dans un historique – L'audit des performances : permet d'évaluer les performances des ressources du système et leur efficacité. Les performances d'un réseau sont évaluées à partir de quatre paramètres : le temps de réponse, le débit, le taux d'erreur par bit et la disponibilité. – La gestion de la sécurité : une des fonctions de gestion concerne le contrôle et la distribution des informations utilisées pour la sécurité. Un sous-ensemble de la MIB (Management Information Base) concerne les informations de sécurité (SMIB). Il renferme le cryptage et la liste des droits d'accès. 7 L’organisation d’une administration • Qui a besoin d'administration et pour quoi faire ? • Il existe différents types de décision d'administration : – décisions opérationnelles : décision à court terme, concernant l'administration au jour le jour et opérations temps réel sur le système – décisions tactiques : décision à moyen terme concernant l'évolution du réseau et l'application des politiques de long terme – décisions stratégiques : décision de long terme concernant les stratégies pour le futur en exprimant les nouveaux besoins et désirs des utilisateurs. • Ces niveaux déterminent différents niveaux d'administration: – le contrôle opérationnel réseau pour les décisions opérationnelles – la gestion réseau pour les décision tactiques – l'analyse de réseau pour les décision tactiques et stratégiques – la planification pour les décisions stratégiques 8
  • 5. 31/03/2011 5 Administration des réseaux • Protocoles TCP/IP et les protocoles d’application • Principe de routage (IP,ICMP, RIP,OSPF,..) • Administration des serveurs : – Serveur de résolution des noms, DNS – Serveur de configuration dynamique, DHCP – Serveur de transfert des fichiers, FTP – Services pour accéder à des machines distantes, Telnet – Serveur Web – Protocole d’administration réseau, SNMP 9 Les domaines d’activités • La gestion des pannes: – Détection, localisation, isolation, réparation • Gestion des configurations – Identification des ressources – Installation, initialisation, paramétrage, reconfiguration. – Collecte des informations utiles et sauvegarde d’un historique. • Audit des performances – Évaluation: collecter les données et établir des statistiques sur les performances (temps de réponse, taux d’utilisation, débit, taux d’erreur, disponibilité) – Gestion de trafic : satisfaire les besoins des users (à qui attribuer un grand dédit…) 10
  • 6. 31/03/2011 6 Les domaines d’activités • Gestion de la comptabilité: – Gérer la charge des ressources pour empêcher toute surcharge (congestion). – Gérer le coût d’utilisation des ressources et les facturer – Gérer le quota d’exploitation de la ressources ( imprimante, disques…) • Gestion de la sécurité – But: protéger les ressources du réseau et du système d’administration – Commet: Assurer les services de la sécurité (authentification, confidentialité, intégrité, disponibilité et non répudiation). – Moyen : cryptographie + logiciel de supervision + audit  surveillance des journaux. Exemple : sous WinNT Server (journaux d’évènements) • Journal de sécurité • Journal système • Journal application 11 Administrer un réseau IP • Un réseau IP est un ensemble d’équipements: – Possédant chacun une ou plusieurs interfaces – Reliés entre eux par des supports physiques divers – Gestion des pannes – Gestion des configurations – Audit des performances – Gestion de la sécurité • Administrer un réseau IP: – Définir un plan d’adressage cohérent – Affecter une adresse IP à chaque interface – Mettre en œuvre le routage entre ces divers éléments 12
  • 7. 31/03/2011 7 Détecter un problème réseau : • PING : Permet de valider une connexion point à point usage : ping xxx.xxx.xxx.xxx (x : adresse IP de la machine) TRACE ROUTE : Permet de donner les chemins de communication entre deux machines usage : tracert xxx.xxx.xxx.xxx (x : adresse IP de la machine) ARP : Permet d'obtenir l'adresse MAC (fabriquant) d'un épement usage : arp -a xxx.xxx.xxx.xxx (x : adresse IP de la machine) NBTSTAT : Permet d'obtenir le nom de l'utilisateur connecté sur une machine usage : nbtstat -A xxx.xxx.xxx.xxx (x : adresse IP de la machine) nbtstat -a nom.domaine si l'on connait le nom de la station nbtstat -c pour afficher tout le cache Windows NT : IPCONFIG : Affiche la configuration IP UNIX : vmstat ps pstat · netstat · netstat -i · +Ierrs : cable ? · +Oerrs : Ctrl ? · -a send_@ != 0 : Lan Overload · -s Bad CRC != 0 : Router · !LAN>= 0 retrans : timeout <5% = ok · Et enfin pour ajouter une route: · route> add x.x.x.xequip MASK x.x.x.x sub x.x.x.xrouter -p 13 14
  • 8. 31/03/2011 8 Adressage IP • Une adresse IP est constituée de deux numéros: • IP address = <network number><host number> • Le numéro de réseau identifie le réseau sur lequel est connecté le nœud. Ce numéro doit être unique. • Le numéro d'hôte identifie le nœud sur le réseau en question. – classe A : de 1 à 126 – classe B : de 128.1. à 191.254 – classe C : de 192.0.1 à 223.255.254 15 16
  • 10. 31/03/2011 10 SR & Masque de SR • Le nombre croissant de réseaux, notamment sur Internet, a fini par poser problème, en particulier à cause de la saturation du schéma d'adressage. • Le fractionnement d'un réseau en plusieurs réseaux permet de réduire le trafic sur chacun des réseaux ou d'isoler certains groupes de travail. – <@-IP> = <netw.nr><subnet nr><host nr> – L'échange de messages des stations situées sur deux sous-réseaux différents ne pourra se faire directement, mais uniquement par l'intermédiaire d'un routeur. • Exemple Une classe A avec un masque de SR: 255.255.0.0 est découpée en 254 SR de 65534 stations. – Une classe A avec un masque de SR 255.240.0.0 (11111111 11110000 00000000 00000000) est découpée en 14 SR de 1 048 574 stations (4 bits permettent de coder 16 valeurs - 2 réservées). 19 20
  • 11. 31/03/2011 11 21 Mise en oeuvre • La mise en œuvre de sous-réseaux passe par les étapes suivantes: – Déterminer le nombre de sous-réseaux à adresser. – Déterminer le nombre maximum d'hôtes sur chaque sous-réseau. – Calculer le nombre de bits nécessaires pour les sous-réseaux et pour les stations (en prévoyant les évolutions) – Positionner le masque de sous-réseau. – Lister les différents numéros de sous-réseaux possibles en éliminant les "tout à 0" et les "tout à 1". • Exemple : Un réseau d'adresse 160.16.0.0 est divisé en 8 SR Chacun de ces SR accueille ont au moins 1000 hôtes. 22
  • 12. 31/03/2011 12 Solution • Pour adresser 8 sous-réseaux différents, il faut 8 numéros. 3 bits permettent d'adresser 6 (8-2) sous- réseaux et 4 bits permettent d'adresser 14 sous- réseaux. Il faut donc prendre cette dernière solution. Il reste dans ce cas, 12 bits pour le numéro d'hôte ce qui permet 4094 numéros d'hôtes. Le masque sera donc : – 11111111 11111111 11110000 00000000 réseau SR hôte – soit en représentation décimale : 255.255.240.0 23 Les listes ACL • Les listes de contrôle d’accès sont des instructions qui expriment une liste de règles, imposés par l’administrateur, donnant un contrôle supplémentaire sur les paquets reçus et transmis par le routeur. – Il ne peut y avoir qu’une liste d’accès par protocole par interface et par sens – Une ACL est identifiable par son Nr. attribué suivant le protocole et suivant le type. • ACL Standard: – Permet d’autoriser ou d’interdire des @ spécifiques ou • ACL étendu – un ensemble d’@ ou de protocoles Type de la liste Plage Nr. Liste d’accès standard 1 à 99 Liste d’accès étendues 100 à 199 24
  • 13. 31/03/2011 13 • Le routeur détermine s’il doit acheminer ou bloquer un paquet en fonction de chaque instruction de condition dans l’ordre dans lequel les instructions ont été crées • Si le paquet arrivant à l’interface du routeur satisfait à une condition, il est autorisé ou refusé • Si le paquet ne correspond à aucune instruction dans la liste, celui-ci est rejeté • Le résultat de l’instruction implicite deny any • Any: n’importe quelle @ (de 0.0.0.0 à 255.255.255.255) • Host: abréviation du masque générique – Ex: host 172.16.33.5 équivaut à 172.16.33.5 0.0.0.0 25 Liste standard, étendue..?!! • Liste standard: – Router (config)# access-list numr-liste {permit |deny} source {masque-source} – Ex: access-list 1 deny 172.69.0.0 0.0.255.255 • Liste étendue: – Router (config)# access-list numr-liste {permit|deny} protocole source {masque-source} destination {masque- desti} {opérateur opérande}[established..] 26
  • 14. 31/03/2011 14 Exemple: • Réponse: • Router (config)# access-list 1 permit 205.7.5.0 0.0.0.255 • Router (config)# int e0 • Router (config-if)# access-group 1 out 27 ACL qui permet à tout le réseau 205.7.5.0 l’accès au réseau 192.5.5.0; Extrait de /etc/services : • /etc/services : • ftp 21/tcp • telnet 23/tcp • smtp 25/tcp • mail pop3 110/tcp # Post Office • A consulter, /etc/inetd.conf ; répertoire contient la liste des services activés sur une machine donnée • A Voir l’Extrait de /etc/inetd.conf 28
  • 15. 31/03/2011 15 Les commandes ICMP • Les horloges de 2 machines qui diffèrent de manière importante peuvent poser des problèmes pour des logiciels distribués. • Une machine peut émettre une demande d’horodatage (timestamp request) à une autre machine susceptible de lui répondre (timestamp reply) en donnant l’heure d’arrivée de la demande et l’heure de départ de la réponse. • L’émetteur peut alors estimer le temps de transit ainsi que la différence entre les horloges locale et distante. • Le champ de données spécifiques comprend l’heure originale (originate timestamp) émis par le demandeur, l’heure de réception (receive timestamp) du destinataire, et l’heure de départ (transmit timestamp) de la réponse. 29 Le protocole ICMP • Internet Control Message Protocol TYPE 8 bits; type de message CODE 8 bits; informations complémentaires CHECKSUM 16 bits; champ de contrôle HEAD-DATA en-tête datagramme + 64 premiers bits des données. • 15 messages utilisés – 10 informations • Ping • Messages de routeurs • Horodatage – 5 erreurs • Destination inaccessible • Temps dépassé • Divers • Redirection • Utilisé par les outils applicatifs tels: ping et traceroute. 30 TYPE Message ICMPV.4 0 Echo Reply 3 Destination Unreachable 4 Source Quench 5 Redirect (change a route) 8 Echo Request 11 Time Exceeded (TTL) Parameter Problem with a Datagram 13 Timestamp Request 14 Timestamp Reply 15 Information Request (obsolete)
  • 16. 31/03/2011 16 ICMP : les messages d’ erreurs • Lorsqu’une passerelle émet un message ICMP de type destination inaccessible, le champ code décrit la nature de l’erreur : – 0 Network Unreachable – 1 Host Unreachable – 2 Protocol Unreachable – 3 Port Unreachable – 4 Fragmentation Needed and DF set – 5 Source Route Failed – 6 Destination Network Unknown – 7 Destination Host Unknown – 8 Source Host Isolated – 9 Communication with desination network administratively prohibited – 10 Communication with desination host administratively prohibited – 11 Network Unreachable for type of Service – 12 Host Unreachable for type of Service 31 Paquets ICMPv6 • Utiliser l'utilitaire ping6 (équivalent à l'utilitaire ping) pour tester la présence d'une machine sur le réseau en prenant une @IPv6 • la longueur du message ICMPv6 est limitée à 1 280 octets, afin d’éviter les problèmes de fragmentation, puisqu'il est difficilement envisageable de mettre en œuvre la découverte du MTU 32 Type message Meaning 1 Destination Unreachable 2 Packet Too Big 3 Time Exceeded 4 Parameter Problem 128 Echo Request 129 Echo Reply 130 Group Membership Query 131 Group Membership Report 132 Group Membership Reduction 133 Router Solicitation 134 Router Advertisement 135 Neighbor Solicitation 136 Neighbor Advertisement 137 Redirect
  • 17. 31/03/2011 17 Exemples de gestion des erreurs 33 Administration des serveurs • 2 types de réseaux: – Réseau d’égal à égal: réseau pour groupe de travail et conçu pour un petit nombre de stations • Un nombre limité d’utilisateurs • Création et exploitation peu coûteuse • Pas de nécessité de serveur dédié ou de logiciel supplémentaire – Inconvénients: – aucun point central de gestion – Si le # des users>10 un réseau d’égal à égal est un mauvais choix – Ex: Windows for Workgroups, Win 98. – Réseau client-serveur: gestion centralisée des utilisateurs, de la sécurité et des ressources • Possibilité d’utiliser des serveurs dédiés pour fournir plus efficacement des ressources précises aux clients • L’utilisateur peut avoir accès aux ressources autorisées à l’aide d’un ID réseau et d’un mot de passe – Inconvénients: – Exploitation et maintenance exige du personnel formé – Coût d’exploitation est plus élevé que les réseaux d’égal à égal – Ex: Unix, Linux, Novell Netware et Win-NT/XP? WIN2K server, Win 2008. 34
  • 18. 31/03/2011 18 SécuritéWeb Virtualisation Fondamentaux Succession de 2003 Contient 4 piliers: built-in-web, Virtualization technologies. Peut assurer et produire une infrastructure réseau securisée avec des coûts réduits, en augmentant la flexibilité dans une organisation35 36 • Plateformes – 32 bits (x86) – 64 bits (x64 et IA64*) • Versions « classique » et « Server Core** » – Web – Standard – Enterprise – Datacenter * Rôles et fonctionnalités limités - http://www.microsoft.com/windowsserver/bulletins/longhorn/itanium_bulletin.mspx ** uniquement sur Standard, Enterprise et Datacenter
  • 19. 31/03/2011 19 37 -Amélioration du déploiement, de la récupération et de l'installation basée sur une image source ; - Amélioration des outils de diagnostic, de supervision, de traçabilité des évènements et de rapports ; -Apport de nouvelles fonctionnalités de sécurité telles que Bitlocker (specification de protection des données, qui fournit le chiffrement par partition) et présente une amélioration du Pare-feu - permet aux ressources système d'être partitionnées de façon dynamique à l'aide du module Dynamic Hardware Partitioning (Gestion Dynamique du Partitionnement ) 38 • Option d’installation minimale • Surface d’exposition réduite • Interface en ligne de commande • Ensemble de rôles restreints • Choix à l’installation ! • N’est pas une plateforme applicative Server Core - « Rôles » Server Core Composants Sécurité, TCP/IP, Système de fichiers, RPC, plus d’autre sous-systèmes Core Server DNS DHCP File & Print AD Server Avec .Net 3.0, shell, outils, etc. TS IAS Web Server Share Point Etc… Rôles du serveur (en plus de ceux de la version Core) GUI, Shell, IE, Media, Frame, .Net etc. WSV AD LDS Media Server IIS Il s'agit de la nouveauté la plus notable proposée par Windows Server 2008 : l’option d’installation Server Core installe uniquement le strict minimum
  • 20. 31/03/2011 20 39 Installation Fondamentaux Cette installation apporte plusieurs avantages : - Réduction tout d'abord des ressources nécessaires ; - Réduction de la maintenance et de la gestion, puisque seuls les éléments nécessaires pour les rôles définis sont à installer et configurer ; - Réduction enfin de la surface d’exposition aux attaques, directement lié au nombre réduit d’applications et services exécutées sur le serveur ; 40 Installation de Windows Server 2008 • Installation • Par fichier image (fichier .wim) • 2 modes • Classique • Serveur Core • Configuration initiale • Initial Configuration Tasks • Administration du serveur • Server Manager • Gestion des rôles • Gestion des fonctionnalités
  • 21. 31/03/2011 21 Machine serveur Core 41 peut être configurée pour assurer plusieurs rôles de base : Services de domaine Active Directory (AD DS) Services AD LDS (Active Directory Lightweight Directory Services) Serveur DHCP Serveur DNS Serveur de fichiers Serveur d’impression Services de diffusion multimédia en continu Ainsi que les fonctionnalités facultatives suivantes : Sauvegarde Chiffrement de lecteur BitLocker Clustering (grappe de serveur) avec basculement Équilibrage de la charge réseau Stockage amovible Protocole SNMP (Simple Network Management Protocol) Sous-système pour les applications UNIX Client Telnet Service WINS (Windows Internet Name Service) 42 Server Manager • Votre nouvel ami  • Rationnaliser les outils et disposer d’un outil central permettant d’ajouter, de configurer et de gérer les différents rôles et fonctionnalités du serveur – Un seul outil pour configurer Windows Server 2008 – Portail d’administration – Ligne de commande servermanagercmd.exe
  • 22. 31/03/2011 22 43 Active Directory Fondamentaux Objectifs: • Disposer de mécanismes permettant une installation granulaire d’Active Directory • Améliorer la prise en charge des serveurs distribués géographiquement (agences) • Optimiser la consommation de bande passante • Elever le niveau de sécurité Active Directory Domain ServicesActive Directory Domain Controller Active Directory Lightweight DirectoryActive Directory Application Mode Active Directory Rights ManagementRights Management Services Active Directory Certificate ServicesWindows Certificate Services 44 Active Directory : nomenclature
  • 23. 31/03/2011 23 45 Active Directory dans Windows Server 2008 • Installation – Nouvel assistant de promotion en contrôleur de domaine • Installation automatisée améliorée – Prise en charge du mode Server Core • Sécurité – Authentification, autorisations et audit – Contrôleur de domaine en lecture seule • Performance – Réplication Sysvol différentielle • Administration – Active Directory sous forme de service – Editeur d’attributs – Protection contre les suppressions accidentelles – Administration des stratégies de groupe avec GPMC 46 • Support du server core • Utilise les ‘crédentiels’ de l’utilisateur connecté pour la promotion • Sélection des rôles : DNS (défaut), GC (défaut), RODC (Read Only Domain Controller) • Mode avancé (/adv) • Sélection du site (par défaut : auto-détection) • Réplication AD durant la promotion: DC particulier, n’importe quel DC, média (sauvegarde AD) • Auto-configuration du serveur DNS • Auto-configuration du client DNS • Création et configuration des délégations DNS Active Directory Domain Services DCPROMO dans Windows Server 2008
  • 24. 31/03/2011 24 47 Politique de mots de passe multiples • Aujourd’hui la politique des mots de passe appliquée se définit pour l’ensemble du domaine – Default Domain Policy dans un AD 2000/2003 • Avec Windows Server 2008 : il devient possible de définir des politiques de comptes au niveau des utilisateurs et des groupes du domaine – Ne s’applique pas ni à l’objet ordinateur ni aux comptes locaux (utilisateurs hors domaine) – Nécessite un niveau fonctionnel de domaine Windows Server 2008 – Le schéma doit être en version 2008 • Utilisation d’une nouvelle classe d’objets msDs-PasswordSettings 48 Hub ` Read Only DC Hub WS 2008 DC Branch Read-Only DC Authentification 1 2 3 4 5 6 6 7 7 1. AS_Req vers le RODC (requête pour TGT) 2. RODC: regarde dans sa base: “Je n’ai pas les crédentiels de l’utilisateur" 3. Transmet la requête vers un Windows Server 2008 DC 4. Windows Server 2008 DC authentifie la demande 5. Renvoi la réponse et la TGT vers le RODC (Hub signed TGT) 6. RODC fournit le TGT à l’utilisateur et met en queue une demande de réplication pour les crédentiels 7. Le Hub DC vérifie la politique de réplication des mots de passe pour savoir s’il peut être répliqué
  • 25. 31/03/2011 25 49 Administration du Serveur Fondamentaux • Objectifs: • Rationaliser les outils d’administration • Elargir les possibilités offertes en terme d’administration locale et distante • Déployer plus rapidement de nouveaux systèmes (postes et serveurs) 50 Administration et Windows Server 2008 • Le Server Manager • Windows PowerShell • Active Directory redémarrable • Administrateurs locaux sur RODC • Stratégies de groupes (GPO) (GPMC, admx/adml) • Journaux et structure des événements • Planificateur de tâches • Administration Windows à distance WinRM • Sauvegarde / restauration • Outils de diagnostics • Outils en ligne de commande
  • 26. 31/03/2011 26 51 Server Core - Administration • Locale ou distante en ligne de commande – Outils basiques – WinRM et Windows Remote Shell pour l’exécution à distance – WMI et WMIC (locale et à distance) • Terminal Services (à distance) • Microsoft Management Console (à distance) – RPC, DCOM • SNMP • Planificateur de tâches • Evénements et transfert d’événements • Pas de support du code managé donc pas de support de Windows PowerShell 52 Services de déploiement Windows (Windows Deployment Services) • Solution de déploiement pour Windows Server 2008 • Nouvelles technologies : WIM, IBS, WinPE • Ensemble d’outils pour personnaliser l’installation • Démarrage à distance d’un environnement de pré-installation (WinPE) • Notion de serveur PXE • Support du multicast  • Administration graphique et en ligne de commande • Wdsutil.exe
  • 27. 31/03/2011 27 Domain Name System :DNS • Pourquoi un système de résolution des noms ? – Communications sur l’Internet basées sur les adresses IP – Communications «humaines» basées sur des noms – Besoin d’un mécanisme pour faire correspondre des adresses IP avec des noms d’hôtes => service DNS • Domain Name System (DNS) – Base de données hiérarchique distribuée • Le système DNS permet d’identifier une machine par un nom représentatif de la machine et du réseau sur lequel elle se trouve. • Le système est mis en œuvre par une base de données distribuée au niveau mondial. • DNS fournit un niveau d’adressage indirect entre un nom d’hôte et sa localisation géographique 53 Fonctionnalités du service DNS • Espace des noms de domaines = arborescence hiérarchique – Arborescence indépendante de la topologie réseau et|ou de la géographie • Architecture de stockage distribuée – Zones affectées à des serveurs de noms dans l’arborescence hiérarchique – Serveurs de sauvegarde pour la redondance et la disponibilité • Administration répartie suivant la hiérarchie des noms – Rôle le plus simple : client DNS ou ’Resolver’ • Protocole client/serveur communicant sur le port n° 53 – Protocole UDP utilisé par les clients – Protocole TCP préconisé pour les échanges entre serveurs 54
  • 28. 31/03/2011 28 Hiérarchie des noms de domaines • Arborescence limitée à 128 niveaux • Un domaine est un sous-ensemble de l’arborescence • Aucune possibilité de doublon – hôte : cooper, domaine : ups-tlse, gTLD : fr – Fully Qualified Domain Name : cooper.ups-tlse.fr • Conventions sur les noms de domaines • Top Level Domains (TLD) – .com, .net, .org, .edu, .mil, .gov, .int, .biz • Geographical Top Level Domains (gTLD) – .tn, .de, .fr, .uk, .jp, .au • Nom du Domain: chaque nœud possède une étiquette (label): max 63 caract. – Hôte: correspond à une machine 55 DNS • Hiérarchie des serveurs • Serveurs «distribués» dans l’arborescence hiérarchique – Un serveur ne maintient qu’un sous-ensemble de l’arborescence – On parle d’autorité sur une zone : ’Authoritative Name Server’ • Chaque serveur contient tous les enregsitrements d’hôtes dans «sa» zone – Enregistrement = Resource Record (RR) • Chaque serveur a besoin de connaître les autres serveurs responsables des autres parties de l’arborescence – Chaque serveur connaît la liste des ’Root Servers’ – Chaque ’Root Server’ connaît tous les TLDs et gTLDs – Un serveur racine peut ne pas connaître le serveur qui a autorité sur une zone – Un serveur racine peut connaître un serveur intermédiaire à contacter pour connaître le serveur qui a autorité sur une zone 56
  • 29. 31/03/2011 29 Exemple de requête DNS • Requête du poste Asterix : Adresse IP du site www.stri.net ? – Asterix contacte le serveur local Cooper.ups- tlse.fr – Cooper.ups-tlse.fr contacte un serveur racine : J.ROOT-SERVERS.NET – J.ROOT-SERVERS.NET contacte un serveur du domaine ’.net’ : G.GTLD-SERVERS.NET – G.GTLD-SERVERS.NET contacte le serveur qui a autorité sur la zone ’stri.net’ : full1.gandi.net – Cooper.ups-tlse.fr renvoie la réponse vers Asterix • Gestion du cache – Cooper.ups-tlse.fr conserve la réponse dans son cache – Cooper.ups-tlse.fr répond directement à toute nouvelle requête DNS www.stri.net 57 • En mode interactif, on peut sélectionner le type de requête à l'aide de la commande « set type=RR ». Exemple: « nslookup www.univ-evry.fr 194.199.90.1 » • En mode non interactif, on le précise avec l'option « -query-type=RR ». – Exemple: pour obtenir les serveurs dns de la zone univ-evry.fr: « nslookup -query- type NS univ-evry.fr ». • Le tableau suivant,extrait de la documentation de windows Xp indique les types possibles : – A Spécifie l'adresse IP d'un ordinateur. – ANY Spécifie tous les types de données. – CNAME Spécifie un nom canonique d'alias. – GID Spécifie un identificateur de groupe d'un nom de groupe. – HINFO Spécifie le type de système d'exploitation et d'unité centrale d'un ordinateur. – MB Spécifie un nom de domaine d'une boîte aux lettres. – MG Spécifie un membre d'un groupe de messagerie. – MINFO Spécifie des informations sur une liste de messagerie ou une boîte aux lettres. – MR Spécifie le nom de domaine de la messagerie renommée. – MX Spécifie le serveur de messagerie. – NS Spécifie un serveur de noms DNS pour la zone nommée. • Exercice: Utilisez la commande nslookup pour obtenir les informations correspondant au nom de la machine qui a comme adresse ip 192.168.202.2 58
  • 30. 31/03/2011 30 • FQDN : Full Qualified Domain Name Le nom complet d'un hôte, sur l'Internet, c'est-à-dire de la machine jusqu'au domaine, en passant par les sous-domaines. • URL : Uniform Resource Locator C'est la méthode d'accès à un document distant. Un lien hypertexte avec une syntaxe de la forme: <Type de connexion>://<FQDN>/[<sous-répertoire>]/.../<nom du document> Exemple: http://www.ac-aix-marseille.fr/bleue/francais/nouveau.htm – http: Hyper Text Transfert Protocol – www.ac-aix-marseille.fr: FQDN du serveur de pages personnelles – /bleue/francais/: arborescence de répertoires – nouveau.htm: nom du document. • URI : Universal Resource Identifier. c'est la même chose que l'URL. Le W3C (World Wide Web Consortium), garant de l'universalité de l'Internet, voudrait voir abandonner URL au profit d'URI. Notez la très subtile divergence de sens, qui vaut bien, le changement. 59 DNSSEC • Implémentation de DNSSEC sous Windows 2008 serveur coté serveur: – Distribution des « trust anchors » ; – Déploiement des certificats pour les serveurs DNS ; – Déploiement de la politique de sécurité d’IPSEC sur le Serveur DNS ; – Déploiement de la politique de sécurité d’IPSEC sur un poste client • http://www.labo-microsoft.org/articles/DNSSECPRES/3/Default.asp – Déployer les certificats pour l’authentification du Serveur DNS 60
  • 31. 31/03/2011 31 Dynamic Host Configuration Protocol • Objectifs : obtenir automatiquement tous les paramètres de configuration réseau – @ IP – Adresse de diffusion – Masque réseau – Passerelle par défaut – Domaine DNS – Adresse IP du serveur de noms DNS • Dynamic Host Configuration Protocol (DHCP) – Service Internet => couche application – RFCs 2131 et 2132 en 1997 – Communications sur les ports UDP 67 (côté client) et le 68 (côté serveur) 61 DHCP • L’ @ IP est allouée selon les critères suivants: – Ne pas être déjà allouée à une autre station – La même station reçoit toujours la même adresse – Cette adresse est allouée pendant une période déterminée (bail) – Le client vérifie la validité de l’@ 62
  • 32. 31/03/2011 32 DHCP Discover 63 Client DHCP envoie une trame "DHCPDISCOVER", destinée à trouver un serveur DHCP. Cette trame est un "broadcast", donc envoyé à l'adresse 255.255.255.255. N'ayant pas encore d‘@ IP, il fournit aussi son @ MAC Les Commandes DHCP • Client DHCP envoie une trame "DHCPDISCOVER", destinée à trouver un serveur DHCP. Cette trame est un "broadcast", donc envoyé à l'adresse 255.255.255.255. N'ayant pas encore d‘@ IP, il fournit aussi son @ MAC • Le serveur DHCP qui reçoit cette trame va répondre par un "DHCPOFFER". Cette trame contient une proposition de bail et la @-MAC du client, avec également l‘@ IP du serveur. • Le client répond par un DHCPREQUEST au serveur pour indiquer qu’il accepte l’offre • Le serveur DHCP Concerné répond définitivement par un DHCPACK qui constitue une confirmation du bail. L'adresse du client est alors marquée comme utilisée et ne sera plus proposée à un autre client pour toute la durée du bail. 64
  • 33. 31/03/2011 33 Serveur DHCP • Le serveur DHCP maintient une plage d‘@ à distribuer à ses clients. Il tient à jour une BD des @ déjà utilisées et utilisées il y a peu (c.a.d que l'on récupère souvent la même @, le DHCP ayant horreur des changements ) • Lorsqu'il attribue une adresse, il le fait par l'intermédiaire d'un bail. Ce bail a normalement une durée limitée • Après expiration du bail, ou résiliation par le client, les informations concernant ce bail restent mémorisées dans la BD du serveur pendant un certain temps. Bien que l'adresse IP soit disponible, elle ne sera pas attribuée en priorité à une autre machine. C'est ce qui explique que l'on retrouve souvent la même adresse d'une session à l'autre. 65 Détails sur le bail • Dans le bail, il y a non seulement une @ IP pour le client, avec une durée de validité, mais également d'autres informations de configuration comme: – L‘@ d'un ou de plusieurs DNS (Résolution de noms) – L‘@ de la passerelle par défaut – L‘@ du serveur DHCP • le client peut renouveler le bail, en s'adressant directement au serveur qui le lui a attribué. Il n'y aura alors qu'un DHCPREQUEST et un DHCPACK. 66
  • 34. 31/03/2011 34 Avantages • L'avantage de DHCP réside essentiellement dans la souplesse de configuration des hôtes : – allocation dynamique des adresses avec réduction des risques de conflit – définition d'un nombre important de paramètres (masque de SR, passerelle par défaut...) – possibilité d'avoir plus d'hôtes que d'adresses. 67 Inconvénients • Sur un réseau constitué de plusieurs SR, interconnecté par des routeurs, DHCP présente une limitation d'utilisation. Le mécanisme de fonctionnement utilise des broadcasts qui ne passent pas les routeurs. • Puisque requête de diffusion ne passe pas par un routeur, un client DHCP ne pourra pas recevoir d'adresse DHCP d'un serveur situé derrière un routeur. • Dans ce cas: – installer un serveur DHCP par SR – installer un agent relais DHCP. Un agent relais DHCP présent sur le réseau du poste client peut transmettre la requête au(x) serveur(s) DHCP 68
  • 35. 31/03/2011 35 Accès à distance Telnet • Protocole très utilisé pour l’accés à distance (tests d’application réparties, tests de fonctionnement en mode manuel des protocoles HTTP, SMTP,..) • Permet de se connecter à une machine distante • Accès à distance Telnet: – Le client Telnet transmet les caractères entrés sur le terminal local vers le serveur distant – Le fonctionnement est bidirectionnel: on supporte le même échange dans les 2 sens – Ex: Client Telnet : • Telnet <site distant> <port> Telnet 192.168.19.100 23 commande permet la création d’une connexion TCP avec le serveur de la machine distante Le serveur Telnet: Le serveur s’exécute sur la machine distante sinon le service n’est pas disponible 69 TCP IP Client Telnet TCP IP Serveur Telnet SNMP (Simple Network Management Protocol) SNMP permet de: Visualiser une quantité impressionnante d’informations concernant le matériel, les connexions réseau, leur état de charge. Modifier le paramétrage de certains composants. Alerter l’administrateur en cas d’événement grave. 70
  • 36. 31/03/2011 36 Le concept SNMP • Protocole d'administration de machine supportant TCP/IP – Conçu en 87-88 par des administrateurs de réseau • Permet de répondre à un grand nombre de besoins : – disposer d'une cartographie du réseau – fournir un inventaire précis de chaque machine – mesurer la consommation d'une application – signaler les dysfonctionnements • Avantages : – protocole très simple, facile d'utilisation – permet une gestion à distance des différentes machines – le modèle fonctionnel pour la surveillance et pour la – gestion est extensible – indépendant de l'architecture des machines administrées 71 Le Modèle SNMP • L'utilisation de SNMP suppose que tous les agents et les stations d'administration supportent IP et UDP. – Ceci limite l'administration de certains périphériques qui ne supportent pas la pile TCP/IP. De plus, certaines machines (ordinateur personnel, station de travail, contrôleur programmable, ... qui implantent TCP/IP pour supporter leurs applications, mais qui ne souhaitent pas ajouter un agent SNMP. => utilisation de la gestion mandataire (les proxies) • Un protocole activé par une API permet la supervision, le contrôle et la modification des paramètres des éléments du réseau. 72
  • 37. 31/03/2011 37 Le modèle SNMP • Une administration SNMP est composée de trois types d'éléments: – La station de supervision (appelée aussi manager) exécute les applications de gestion qui contrôlent les éléments réseaux. Physiquement, la station est un poste de travail. Station de gestion capable d’interpreter les données – La MIB (Management Information Base) est une collection d'objets résidant dans une base d'information virtuelle. Ces collections d'objets sont définies dans des modules MIB spécifiques. – Le protocole, qui permet à la station de supervision d'aller chercher les informations sur les éléments de réseaux et de recevoir des alertes provenant de ces mêmes éléments. 73 74
  • 38. 31/03/2011 38 Les types de requêtes: • 4 types de requêtes: GetRequest, GetNextRequest, GetBulk, SetRequest. – La requête GetRequest permet la recherche d'une variable sur un agent. – La requête GetNextRequest permet la recherche de la variable suivante. – La requête GetBulk permet la recherche d'un ensemble de variables regroupées. – La requête SetRequest permet de changer la valeur d'une variable sur un agent. • Les réponses de SNMP À la suite de requêtes, l'agent répond toujours par GetResponse. Toutefois si la variable demandée n'est pas disponible, le GetResponse sera accompagné d'une erreur noSuchObject. • Les alertes (Traps, Notifications) Les alertes sont envoyées quand un événement non attendu se produit sur l'agent. Celui-ci en informe la station de supervision via une trap. Les alertes possibles sont: ColdStart, WarmStart, LinkDown, LinkUp, AuthentificationFailure. 75 Les commandes SNMP 76 • Les commandes get-request, get-next-request et set-request sont toutes émises par le manager à destination d'un agent et attendent toutes une réponse get - response de la part de l'agent. • La commande trap est une alerte. Elle est toujours émise par l'agent à destination du manager, et n'attend pas de réponse.
  • 39. 31/03/2011 39 MIB • La MIB (Management Information base) est la base de données des informations de gestion maintenue par l'agent, auprès de laquelle le manager doit s’informer. • 2 MIB publics ont été normalisées: MIB I et MIB II • Un fichier MIB est un document texte écrit en langage ASN.1 (Abstract Syntax Notation 1) qui décrit les variables, les tables et les alarmes gérées au sein d'une MIB. • La MIB est une structure arborescente dont chaque nœud est défini par un nombre ou OID (Object Identifier). Elle contient une partie commune à tous les agents SNMP d'un même type de matériel et une partie spécifique à chaque constructeur. Chaque équipement à superviser possède sa propre MIB. 77 Structure de la MIB 78
  • 40. 31/03/2011 40 La MIB (Management Information Base) • MIB = Collection structurée d’objets – chaque noeud dans le système doit maintenir une MIB qui reflète l'état des ressources gérées – une entité d'administration peut accéder aux ressources du noeud en lisant les valeurs de l'objet et en les modifiant. 79 L’arborescence MIB: Les informations stockées dans la MIB sont rangées dans une arborescence. MIB dispose d'objets supplémentaires. Elle constitue une branche du groupe iso.org.dod.internet.mgmt. Groupe Commentaires system Informations générales sur le système. interfaces Informations sur les interfaces entre le systèmes et les sous-réseaux. at Table de traduction des adresses entre internet et les sous-réseaux. ip Informations relatives à l'implantation et à l'éxécution d'IP (Internet Protocol). icmp Informations relatives à l'implantation et à l'éxécution de ICMP (Internet Control Message Protocol). tcp Informations relatives à l'implantation et à l'éxécution de TCP (Transmission Control Protocol). udp Informations relatives à l'implantation et à l'éxécution de UDP (User Datagram Protocol). egp Informations relatives à l'implantation et à l'éxécution de EGP (Exterior Gateway Protocol). transmission Informations sur la transmission et sur les protocoles utilisés par chaque interface. snmp Informations relatives à l'implantation et à l'éxécution de SNMP.80
  • 41. 31/03/2011 41 Object identifier • Les variables de la MIB-2 sont identifiées par le chemin dans l'arborescence, noté de deux façons: • à l'aide des noms de groupes : iso.org.dod • à l'aide des numéros des groupes: 1.3.6. • Les identifiants sont définis à l'aide du langage SMI. Ex: Définition SMI Notation par "point" Notation par nom mgmt OBJECT IDENTIFIER ::= { internet 2 } 1.3.6.1.2 iso.org.dod.internet.mgmt mib OBJECT IDENTIFIER ::= { mgmt 1 } 1.3.6.1.2.1 iso.org.dod.internet.mgmt.mib interfaces OBJECT IDENTIFIER ::= { mib 2 } 1.3.6.1.2.1.2 iso.org.dod.internet.mgmt.mib. interface 81 Ex: On utilisera l'OID (Object Identification) qui désigne l'emplacement de la variable à consulter dans la MIB. On aura par ex. sur un commutateur Nortel Passport l'OID .1.3.6.1.4.1.2272.1.1.20 désignant le taux de charge du CPU. Fonctions assurées Primitives Descriptions GetRequest le manager demande une information à l'agent GetNextRequest le manager demande l'information suivante à l'agent SetRequest le manager initialise une variable de l'agent GetResponse l'agent retourne l'information à l’administrateur Trap interruption - l'agent envoie une information à l’administrateur 82
  • 43. 31/03/2011 43 Introduction à la sécurité • La sécurité d'un réseau est un niveau de garantie que l'ensemble des machines du réseau fonctionnent de façon optimale et que les utilisateurs possèdent uniquement les droits qui leur ont été octroyés • Il peut s'agir : – d'empêcher des personnes non autorisées d'agir sur le système de façon malveillante – d'empêcher les utilisateurs d'effectuer des opérations involontaires capables de nuire au système – de sécuriser les données en prévoyant les pannes – de garantir la non-interruption d'un service 85 Les causes d’insécurité • On distingue généralement deux types d'insécurité : – l'état actif d'insécurité: la non-connaissance par l'utilisateur des fonctionnalités du système, dont certaines pouvant lui être nuisibles (ex: la non- désactivation de services réseaux non nécessaires à l'utilisateur), ou lorsque l'administrateur (ou l'utilisateur) d'un système ne connaît pas les dispositifs de sécurité dont il dispose – l'état passif d'insécurité 86
  • 44. 31/03/2011 44 Menaces de sécurité • Attaques passives: • Capture de contenu de message et analyse de trafic • écoutes indiscrètes ou surveillance de transmission • Attaques actives: • Mascarade, • modifications des données, • déni de service pour empêcher l’utilisation normale ou la gestion de fonctionnalités de communication 87 Le but des agresseurs • Les motivations des agresseurs que l'on appelle "pirates" peuvent être multiples : – l'attirance de l'interdit – le désir d'argent (ex: violer un système bancaire) – le besoin de renommée (impressionner des amis) – l'envie de nuire (détruire des données, empêcher un système de fonctionner) • Le but des agresseurs est souvent de prendre le contrôle d'une machine afin de pouvoir réaliser les actions qu'ils désirent. Pour cela il existe différents types de moyens : – l'obtention d'informations utiles pour effectuer des attaques – utiliser les failles d'un système – l'utilisation de la force pour casser un système 88
  • 45. 31/03/2011 45 Le Hacking (attaques) • C’est l’ensemble des techniques visant à attaquer un réseau un site ou un équipement • Les attaques sont divers on y trouve: – L’envoie de bombe logiciel, chevaux de Troie – La recherche de trou de sécurité – Détournement d’identité – Les changements des droits d’accès d’un utilisateur d’un PC – Provocation des erreurs • Les buts d’un Hacker: – La vérification de la sécurisation d’un système – La vol d’informations, terrorisme (Virus), espionnage – Jeux; pour apprendre • Les attaques et les méthodes utilisées peuvent être offensives ou passives: – Les attaques passives consistent à écouter une ligne de communication et à interpréter les données qu’ils interceptent et Les attaques offensives peuvent être regrouper en : – Les attaques directes: c’est le plus simple des attaques, le Hacker attaque directement sa victime à partir de son ordinateur. Dans ce type d’attaque, il y a possibilité de pouvoir remonter à l’origine de l’attaque et à identifier l’identité du Hacker – Les attaques indirectes (par ruban): passif, cette attaque présente 2 avantages: – Masquer l’identité (@ IP du Hacker) – Éventuellement utiliser les ressources du PC intermédiaire 89 Les Menaces: Contexte général 90
  • 46. 31/03/2011 46 Attaques,services et mécanismes • L’administrateur doit tenir compte des 3 aspects de la sécurité de l’information: – Service de sécurité: pour contrer les attaques de sécurité et améliorer la sécurité des SI – Mécanisme de sécurité: pour détecter, prévenir ou rattraper une attaque de sécurité • Usage des techniques cryptographiques – Protéger contre Attaque de sécurité: une action qui compromet la sécurité de l’information possédé par une organisation • Obtenir un accès non-autorisé, modifier, 91 Les menaces 92
  • 47. 31/03/2011 47 93 Même le site de CIA a été attaqué …! 94 Même …..
  • 48. 31/03/2011 48 95 Problèmes de sécurité • Les problèmes de sécurité des réseaux peuvent être classés en 4 catégories: – La confidentialité: seuls les utilisateurs autorisés peuvent accéder à l’information – Contrôle d’intégrité: comment être sûr que le message reçu est bien celui qui a été envoyé (celui-ci n’a pas été altéré et modifié) – L’authentification: avoir la certitude que l’entité avec laquelle on dialogue est bien celle que l’on croit – Non-répudiation: concerne les signatures 96
  • 49. 31/03/2011 49 Objectifs de la sécurité • Identification indique qui vous prétendez être (username) • Authentification valide l’identité prétendue (password) • Autorisation détermine les actions et ressources auxquelles un utilisateur identifié et autorisé a accès • Non-répudiation garantie qu’un message a bien été envoyé par un émetteur authentifié • Traçabilité permet de retrouver les opérations réalisées sur les ressources (logs) 97 Les services de sécurité – Confidentialité des messages transmis: est la protection contre les attaques passives – Authentification des interlocuteurs: pour assurer que le destinataire reçoive le msg d’origine émis par la source – Intégrité et non répudiation des messages: assure que les messages envoyés seront aussitôt reçus sans duplication ni modification – Non-répudiation: empêche tant l’expéditeur que le receveur de nier avoir transmis un message. Ainsi que le message envoyé a été bien reçu – Disponibilité et contrôle d’accès (les personnes doivent pouvoir s’échanger des messages): est la faculté de limiter et de contrôler l’accès aux systèmes et aux applications (droits d’accès) 98
  • 50. 31/03/2011 50 • confidentialité : Protection de l’information d’une divulgation non autorisée • l'intégrité : Protection contre la modification non autorisée de l’information • Disponibilité : S’assurer que les ressources sont accessibles que par les utilisateurs légitimes • Authentification – Authentification des entités (entity authentication) procédé permettant à une entité d’être sûre de l’identité d’une seconde entité à l’appui d’une évidence corroborante (certifiant, ex.: présence physique, cryptographique, biométrique, etc.). Le terme identification est parfois utilisé pour désigner également ce service. – Authentification de l’origine des données (data origine authentication) procédé permettant à une entité d’être sûre qu’une deuxième entité est la source original d’un ensemble de données. Par définition, ce service assure également l’intégrité de ces données. • non-répudiation: Offre la garantie qu’une entité ne pourra pas nier être impliquée dans une transaction • Non-Duplication: Protection contre les copie illicites 99 Dangers et Attaques Services Dangers Attaques Confidentialité fuite d’informations masquerade, écoutes illicites, analyse du trafic Intégrité modification de l’information création, altération ou destruction illicite Disponibilité denial of service, usage illicite virus, accès répétés visant à inutiliser un système Auth. d’entités accès non autorisés masquerade, vol de mot de passe, faille dans le protocole d’auth. Auth. de données falsification d’informations falsification de signature, faille dans le protocole d’auth. Non-répudiation nier la participation à une transaction prétendre un vol de clé ou une faille dans le protocole de signature Non-duplication duplication falsification, imitation 100
  • 51. 31/03/2011 51 Services Mécanismes classiques Mécanismes digitaux Confidentialité scellés, coffre-forts, cadenas cryptage, autorisation logique Intégrité encre spéciale, hologrammes fonctions à sens unique + cryptage Disponibilité contrôle d’accès physique, surveillance vidéo contrôle d’accès logique, audit, anti-virus Auth. d’entités présence, voix, pièce d’identité, reconnaissance biométrique secret + protocole d’auth., adresse réseau + userid carte à puce + PIN Auth. de données sceaux, signature, empreinte digitale fonctions à sens unique + cryptage Non- répudiation sceaux, signature, signature notariale, envoi recommandé fonctions à sens unique + cryptage + signature digitale Non- duplication encre spéciale, hologrammes, tatouage tatouage digital (watermarks), verrouillage cryptographique 101 Mécanismes de protection Problématique: Authentification 102 But: Bob veut prouver son identité à Alice  rencontre physique : son apparence  au téléphone : sa voie  à la douane : son passeport  Intégrité des messages  Signatures électroniques
  • 52. 31/03/2011 52 Cryptographie: La science du secret !! 103 Cryptographie • Définition – Science du chiffrement – Meilleur moyen de protéger une information = la rendre illisible ou incompréhensible • Bases – Une clé = chaîne de nombres binaires (0 et 1) – Un Algorithme = fonction mathématique qui va combiner la clé et le texte à crypter pour rendre ce texte illisible 104
  • 53. 31/03/2011 53 Encryption Process 105 Quelques définitions • Cryptage: permet l’encodage des informations. Il interdit la lecture d’informations par des personnes non autorisées • On distingue 2 procédés de cryptage: – Procédés de transposition, qui modifie la succession des caractères à l’aide d’un algorithme. – Procédés de substitution, qui remplace les caractères d’origine par d’autres prélevés dans une liste – Règle ou clé de cryptage s’appelle Code – Ex: PGP (Pretty Good Privacy): progr. Destiné au cryptage des messages électroniques (conçu par Philip Zimmermann 1991) • Cryptanalyse: analyse de données cryptées 106
  • 54. 31/03/2011 54 Application de la cryptographie • Commerce électronique • Protection de la confidentialité de correspondance • Protection des bases de données contre les intrusions et la dé vulgarisation à des tiers non autorisés • Transmission sécurisée des données sensibles à travers les réseaux internationaux Preuve informatique: Identification et authentification 107 Cryptographie • Ensemble de processus de cryptage visant à protéger les données contre l’accès non autorisés • Repose sur l’emploi des formules mathématiques et des algorithmes complexes afin de coder l’information • Il existe 2 systèmes de cryptographie: – Les systèmes symétriques: la même clé utilisé pour coder et décoder (DES: Data Encryption standard)) – Les systèmes asymétriques: la clé qui sert à coder est différente de celle qui peut déchiffrer (RSA:Rivest Shamir Adelmann 77) 108
  • 55. 31/03/2011 55 Principe de cryptage • Tout système de cryptage est composé d’un algorithme de codage • La Crypt. nécessite 2 fonctions essentielles: – Le message M est crypté par une fonction de cryptage E(M)=C – Le cryptogramme C est décrypté par le destinataire par une fonction de décryptage D(C)=D(E(M)) = M 109 Système de chiffrement • Définition: Un système de chiffrement ou crypto système est un 5- tuple (P,C,K,e,D) ayant les propriétés suivantes: – 1. P est un ensemble appelé l’espace des messages en clair. Un élément de P s’appelle message en clair (Plaintext) – 2. C est un ensemble appelé l’espace des messages chiffrés. Un élément de C s’appelle un message chiffré ou cryptogramme (cyphertext) – 3. K est un ensemble appelé l’espace des clés, ses éléments sont les clés. – 4. e={ek : k Є K } est une famille de fonctions: • ek : P  C, ses éléments sont les fonctions de chiffrement – 5. D={Dk : k Є K } est une famille de fonctions • Dk : C  P, ses éléments sont les fonctions de déchiffrement – 6. A chaque clé e Є K est associé une clé d Є K/ • D d (ee(p))=p pour tout message p Є P 110
  • 56. 31/03/2011 56 • Alice utilise un système de chiffrement pour envoyer un message confidentiel m à Bob. Elle utilise la clé de chiffrement e et Bob utilise la clé de déchiffrement d qui lui correspond. • Alice calcule C= Ee(m) et l’envoie à Bob qui reconstitue m= Dd(C), en gardant la clé de chiffrement secrète – Ex: l’alphabet: A B C … Z et 0 1 2 … 25 – Correspondance entre lettres et nombres, la fonction de chiffrement Ee associé à e Є Z26 est: • Ee: x  (x+e) mod 26 • Dd: x  (x-d) mod 26 lorsque d=e cryptage symétrique. – Exemple: En appliquant le chiffre de César, au mot CRYPTOGRAPHIE, la clé e = 5, fournit le cryptogramme suivant : HWDUYTLWFUMNJ qui est facile à casser. 111 Cryptographie Chiffrement Symétrique • Les Algorithmes utilisant ce système : – DES (Data Encryption Standard, très répandu) : les données sont découpées en blocs de 64 bits et codées grâce à la clé secrète de 56 bits propre à un couple d’utilisateurs – IDEA, RC2, RC4 • Avantage : – Rapide • Inconvénients : – Il faut autant de paires de clés que de couples de correspondants – La non-répudiation n’est pas assurée. Mon correspondant possédant la même clé que moi, il peut fabriquer un message en usurpant mon identité – Transmission de clé 112
  • 57. 31/03/2011 57 Ex. de Chiffrement à clé symétrique • Encryptage par substitution – Époque romaine (Code de César) • Texte en clair : abcdefghijklmnopqrstuvwxyz • Texte crypté : mnbvcxzasdfghjklpoiuytrewq 113 Exemple : Texte en clair: bob. i meat you. alice Texte crypté: nkn. s hcmu wky. mgsbc Difficulté ? 1026 combinaisons possibles.... mais par l'utilisation de règles statistiques on trouve facilement la clé ... ... naissance il y a 500 ans du chiffrement polyalphabétique Algorithmes de cryptographie • Par substitution – On change les lettres suivant une règle précise (ex: A → D la clé est : 3) • Par Transposition – La position des caractères est modifiée. Pour crypter un message on l’écrit en colonne de taille fixe et on lit les colonnes – Ex: Nombre de colonne ici 6 – Texte crypté: TRLFAOREFMDSNZOCAZIASPZT NU.. B R I Q U E S 1 5 3 4 7 2 6 T R A N S F E R E Z U N M I L L I O N D E F R A N C S D A N S M O N C O M P T E Z E R O Z E R O S E P T A B C D 114
  • 58. 31/03/2011 58 Table de Vigenère 115 Exemple 116 C R Y P T O G R A P H I E M A T M A T M A T M A T M O ? ? ? ? ? ? ? ? ? ? ? ?
  • 59. 31/03/2011 59 Chiffrement de Vigenère • Le chiffre de Vigenère est la première méthode de chiffrement poly alphabétique, c'est à dire qui combine deux alphabets pour crypter une même lettre. • Ce chiffrement introduit la notion de clé, qui se présente généralement sous la forme d'un mot ou d'une phrase. Pour pouvoir chiffrer notre texte, à chaque caractère nous utilisons une lettre de la clé pour effectuer la substitution • Mathématiquement, on considère que les lettres de l'alphabet sont numérotées de 0 à 25 (A=0, B=1 ...). La transformation lettre par lettre se formalise simplement par : – Chiffré = (Texte + Clé) mod 26 117 Chiffrement à clé symétrique: DES • Data Encryption Standard (1977 par IBM) • Principe : – découpe le message en clair en morceau de 64 bits auxquelles on applique une transposition – clé de 64 bits (56 bits de clé + 8 bits de parité impaire) • Difficulté et limites? – concours organisé par RSA Data Security 1997 : 4 mois pour casser le code DES 56 bits en brute force par des amateurs 1999 : 22 h pour casser DESIII • solution pour le rendre plus sur .... Passer l'algorithme DES plusieurs fois sur le message avec à chaque fois des clés différentes (ex : 3DES) 118
  • 60. 31/03/2011 60 Schéma de 3DES: 119 La solution a été dans l'adoption du triple DES: trois applications de DES à la suite avec 2 clés différentes (d'où une clé de 112 bits) DES (IBM 77) • Data Encryption Standard • Principe : – découpe le message en clair en morceau de 64 bits auxquelles on applique une transposition – clé de 64 bits (56 bits de clé+8 bits de parité impaire) 120 La recherche exhaustive sur 56 bits (256) est maintenant réaliste. Mars 2007 : 6:4 j, COPACOBANA (utilisation de FPGA) par l’université de Bochum et Kiel (coût 10 000 $)
  • 61. 31/03/2011 61 Cryptographie Chiffrement Asymétrique • Algorithmes utilisant ce système : – RSA (Rivest, Shamir, Adelman) – DSA – El-Gamal – Diffie-Helmann • Avantage : – pas besoin de se transmettre les clés au départ par un autre vecteur de transmission. • Inconvénient : – Lenteur 121 Algorithme RSA 122 • Développé par: Ron Rivest, Adi Shamir et Leonard Adleman en 1977 repose sur des fonctions mathématique Le RSA est un système qui repose intégralement sur la difficulté de factoriser de grands nombres entiers (au moins 100 chiffres actuellement).
  • 62. 31/03/2011 62 Cryptographie à clé publique: RSA • Ron Rivest, Adi Shamir et Leonard Adleman (Développé en 1977 repose sur des fonctions math. De puissance et exponentielles appliqués aux grands nombres) • Algorithme de sélection des clés : – 1) Sélection de 2 grands nombres premiers p et q (1024 bit par ex) – 2) Calculer n=pq et z=(p-1)(q-1) – 3) Choisir un e (e<n) qui n'a pas de facteur commun avec z. (e et z premier entre eux) – 4) Trouver un d tel que ed-1 est exactement divisible par z (ed mod z =1) – 5) Clé public est : (n,e) Clé privé est : (n,d) 123 Ex: RSA, chiffrement, déchiffrement • 1) Clé public est : (n,e) Clé privé est : (n,d) • 2) Alice veut envoyer un nombre m à Bob : c = me mod n • 3) Bob reçoit le message c et calcule : m = cd mod n • Exemple : • p = 5, q = 7 donc n = 35 et z = 24 • Bob choisit e = 5 et d = 29 • ALICE : (chiffrement) m = 12 me=248832 et c = me mod n = 17 • BOB : (déchiffrement) c = 17 , m = cd mod n = 12 • Clé public est : (35, 5) • Clé privé est : (35, 29) 124
  • 63. 31/03/2011 63 Logiciel de chiffrement PGP • PGP (Pretty Good Privacy) était considéré aux USA, comme une arme et interdit à l'exportation • L'algorithme utilisé par PGP, le RSA, permet de chiffrer des informations de manière tellement efficace qu'aucun gouvernement n'est en mesure d'en lire le contenu. • Comme toute invention "dangereuse", incontrôlable et susceptible d'être utilisée contre la mère-patrie, le gouvernement américain en a interdit l'exportation et a classé PGP et le RSA dans la catégorie "armes". • Le code est écrit en Perl 125 • Cette restriction à l'exportation de la cryptographie a eu diverses conséquences: – Pendant longtemps, les navigateurs tels qu'Internet Explorer ont été limités à 40 bits pour tous les "étrangers". Seuls les américains pouvaient télécharger la version 128 bits. – Si on ajoute à cela que l'algorithme RSA était breveté jusqu'en septembre 2000, il n'en a pas fallu plus aux internautes pour créer GPG (Gnu Privacy Guard), un logiciel compatible avec PGP et utilisant Diffie-Hellman à la place de RSA, et hors de contrôle du gouvernement américain puisque créé en Europe. 126
  • 64. 31/03/2011 64 How PGP encryption works? 127 How PGP decryption works? 128
  • 65. 31/03/2011 65 Chiffrement du message avec PGP 129 - Il génère lui même une clé aléatoire (c’est la clé de session). - Il chiffre le message avec la clé de session selon un algorithme à clé privé (DES par exemple) - Il chiffre la clé de session grâce à l’algorithme à clé publique (RSA par exemple) avec la clé publique du destinataire. -Il assemble message chiffré et clé chiffrée en un message prêt à l’expédition. -..MM-sécuritéTDLe logiciel PGP.htm 130 Algorithme de chiffrement asymétrique: Diffie Hellman Algorithme de sécurisation des échanges des clés Apparition suite au problème de l’échange des clés de la cryptographie symétrique (coursier malhonnête) Alice veut transmettre une clé à Bob pour pouvoir échanger un document confidentiel Alice chiffre une clé par une autre clé gardée secrète Alice envoie la clé chiffrée à Bob Bob surchiffre la clé chiffrée avec sa clé secrète puis la transmet à Alice Alice opère alors un déchiffrement de sa partie du chiffrement de la clé et l’envoie a Bob Bob déchiffre la clé chiffrée avec sa clé secrète Ils disposent ainsi tous les deux d’une clé qui n’a à aucun moment circulé en clair
  • 66. 31/03/2011 66 131 Ex. d’Algorithme de Diffie Hellman 132 Algorithme de Hachage Usages de l’algorithme de hachage Alice veut transmettre un document à Bob en lui garantissant son intégrité Alice calcule l’empreinte de son fichier et l’envoie simultanément avec le document Bob recalcule l’empreinte du document et la compare à celle que lui a envoyé Alice S’ils ne sont pas exacts c’est que Ève a intercepté le document et l’a changé Notons que le document échangé n’est pas chiffré Ève peut prendre connaissance de son contenu
  • 67. 31/03/2011 67 Authentification Définition • La personne à qui j'envoie un message crypté est-elle bien celle à laquelle je pense ? • La personne qui m'envoie un message crypté est-elle bien celle à qui je pense ? 133 Authentification Technique d’Identification • Prouveur – Celui qui s’identifie, qui prétend être… • Vérifieur – Fournisseur du service • Challenge – Le Vérifieur va lancer un challenge au prouveur que ce dernier doit réaliser 134
  • 68. 31/03/2011 68 Technique A Clé Publique Principe • Algorithme RSA = Réversible – ((Mess)CPu)CPr = ((Mess)CPr)CPu • Confidentialité • Authentification 135 Comment savoir que le message n’a pas été altéré ?  Fonction de hachage algorithmes de hachage les plus utilisés: MD5 (128 bits) et SHA (160 bits) Signature électronique (1) 136
  • 69. 31/03/2011 69 Pb du hachage : on n’est pas sûr de l’expéditeur  Scellement des données Signature électronique (2) 137 138 Récapitulatif Cryptographie symétrique répond au besoin de la confidentialité DES, 3DES, AES, Blowfish, RC2, RC4, RC5 et DEA Diffie-Hellman répond au besoin de la confidentialité de l’échange des clefs Diffie Hellman Key Exchange Algorithmes de hachage répond au besoin de l’intégrité des documents MD4, MD5 et SHA1 Cryptographie asymétrique répond au besoin de la confidentialité, authentification et non-répudiation RSA, ElGamal et DSA
  • 70. 31/03/2011 70 Societé Mondiale de l’Information“HACKERS” (Challenge) Criminalité organisée (Outil d’escroquerie) Terrorisme (“Warefare”) (Arme) Espionnage (Outil) Societé Mondiale des Intrusions Intenet = « Espace Sans Loi » + «Difficulté de retraçage»Impunité 139 Les virus • Qu’est ce qu’un virus? – Un petit programme ou un élément d'un programme, développés à des fins nuisibles, qui s'installe secrètement sur des ordinateurs et parasite des programmes. • Certains virus, apparus récemment, sont très perfectionnés, qui dans la plupart des cas, exploitent les erreurs commises par les utilisateurs peu informés ou les failles des logiciels. • Les utilisateurs à domicile ne sont pas les seuls à être exposés au danger. Les entreprises et autres organisations peuvent également être victimes d'attaques ciblées, menées par des cybercriminels qui tirent parti d'informations dérobées aux employés. • Les traces  Les virus infectent des applications, copient leur code dans ces programmes. Pour ne pas infecté plusieurs fois le même fichier ils intègrent dans l’application infectée une signature virale. 140
  • 71. 31/03/2011 71 Qu’est ce qu’un ver • Programme capable de se copier vers un autre emplacement par ses propres moyens ou en employant d'autres applications. • Sert à dégrader les performances du réseau dans une entreprise. Comme un virus, un ver peut contenir une action nuisible du type destruction de données ou envoi d'informations confidentielles. • Ex: E-mail Worms – un outil de collecte d'adresses e-mail dans la machine infectée et un outil d'envoie du courrier électroniques • IRC Worms – zones de chat..., – Ver est classé à "IRC Worm 141 Exemple : Koobface • Ver informatique découvert en Novembre 2008 par McAfee, qui sévit sur le site communautaireFacebook. • Le ver Koobface se propage en envoyant des e-mails aux amis des personnes dont l'ordinateur a été infecté, si l’utilisateur a la malheureuse idée de télécharger le programme, son ordinateur va être infecté et dirigera ses utilisateurs sur des sites contaminés lors de recherches sur Google, Yahoo ou encore MSN. • Il serait également capable de dérober des informations de nature personnelle comme un numéro de carte de crédit. • Une réaction officielle par la voix de Barry Schnitt, porte-parole de Facebook a communiqué que : "quelques autres virus ont tenté de se servir de Facebook de manière similaire pour se propager mais jamais aussi important", • Concernant la sécurité des informations personnelles de plus de 200 millions de personnes, une enquête au sein du FBI a été mise en place. 142
  • 72. 31/03/2011 72 Les bombes logiques • Les bombes logiques sont programmées pour s'activer quand survient un événement précis. • De façon générale, les bombes logiques visent à faire le plus de dégât possible sur le système en un minimum de temps. 143 « Keylogger »: • Un Keylogger est un programme parasite qui se propage souvent grâce à des virus, vers ou spywares. • Sa principale fonction est d'espionner toutes les actions effectuées sur votre ordinateur (saisie au clavier, ouverture d'applications, déplacement de fichiers...). • Les traces de ces actions sont stockées dans un emplacement précis puis envoyées vers une boîte aux lettres ou sur un site web. Certaines de vos données les plus confidentielles peuvent ainsi vous être soutirées à l'insu de votre plein gré. 144
  • 73. 31/03/2011 73 Comment s’en protéger …?? • La plupart des keyloggers sont maintenant reconnus par les logiciels antivirus, à condition que ceux-ci soient correctement mis à jour. • Certains keyloggers sont par contre identifiés comme spywares; le recours à un logiciel antispyware est donc nécessaire. 145 Spyware  Les logiciels espions (spyware) : ils sont souvent cachés dans certains graticiels (freeware, mais pas dans les logiciels libres), partagiciels (shareware) et pilotes de périphériques, pour s'installer discrètement afin de collecter et envoyer des informations personnelles à des tiers.  Ex: GATOR, appelé aussi GAIN (Gator Advertising and Information Network) est un type de spyware qui fournit l'option de se rappeler le nom de l’utilisateur et les mots de passe.  Soyez donc vigilants, Il peut aussi se présenter sous la forme d'une fenêtre d'installation de Plug-in sous Internet Explorer. Dans ce cas, refusez catégoriquement...  de logiciels connus pour embarquer un ou plusieurs spywares : Babylon Translator, GetRight, Go!Zilla, Download Accelerator, Cute FTP, PKZip, KaZaA ou encore iMesh. 146
  • 74. 31/03/2011 74 Phishing • Appelé aussi l'hameçonnage peut se faire par courrier électronique, par des sites Web falsifiés ou autres moyens électroniques • C’est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels • consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance (ex: banque, administration, etc.) afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. • forme d'attaque informatique reposant sur l'ingénierie sociale 147 Phishing • Tout commence par la réception d'un mail. Vous recevez de votre banque, de votre fournisseur d'accès ou d'un cyber marchant un message de forme tout à fait habituelle (avec le logo et les couleurs de l'entreprise) vous informant qu'un regrettable incident technique a effacé vos coordonnées. • Vous êtes invité à cliquer sur un lien vous menant au site de l'entreprise en question pour ressaisir soit votre numéro de carte bleue, vos identifiants et mot de passe de connexion. Vous êtes en confiance et suivez attentivement les consignes… 148
  • 75. 31/03/2011 75 phishing = spam + mail spoofing + social engineering + URL spoofing +….. • La pratique du phishing consiste à attirer l'internaute à l’aide d'e-mails non sollicités (Spam) comme envoyés d'adresses officielles (mail_spoofing), incitant la victime, à cliquer sur un lien proposé dans le message. • Ce lien est en réalité malicieux et conçu pour usurper une destination de confiance (URL_spoofing), • Ce qui a pour conséquence de conduire l’internaute sur un site Web visuellement identique au site officiel mais dont la véritable adresse est dissimulée aux yeux de l’internaute victime. 149 Les étapes de sécurité 150 Prendre des mesures
  • 76. 31/03/2011 76 Comment se protéger? • Pare-feu • Mises à jour de votre PC • Logiciels: anti-virus, anti- spyware, anti-spam,.. 151 Stratégies • Approche locale – Poste client • Approche globale – Poste serveur • Ces deux solutions sont complémentaires et doivent faire appel à des moteurs antiviraux de fournisseurs différents 152
  • 77. 31/03/2011 77 Approche antivirale locale/globale • Mise à jour de la table de définitions de virus sur chaque poste client • Solution automatique ou manuelle 153 Serveur antivirus En cas de mise à jour, Notification aux clients présents Requête de mise à jour planifiée Puis téléchargement des mises à jour Interrogation du serveur à chaque démarrage des clients Téléchargement des mises à jour (localement) Les attaques: imitation malicieuse • Tout équipement connecté à un réseau injecte des datagrammes IP – @ IP de l'expéditeur + données de couche supérieure • Si l'utilisateur peut intervenir sur les logiciels ou son système d'exploitation il peut inscrire une @ IP factice (IP spoofing) – permet au pirate responsable de DoS de dissimuler leur identité car il est très difficile de remonter à la source d'un datagramme portant une fausse @ IP • Contre-Mesure : (ingress filtering) – les routeurs vérifient si l'@ IP des paquets entrant font partie des @ IP accessibles via cette interface. 154
  • 78. 31/03/2011 78 Les attaques: Les DOS • Denial Of Service (DoS) – rend un réseau, un hôte ou autre inutilisable pour ses utilisateurs légitimes. – basé sur la production d'un volume de données supérieur à la capacité de traitement de l'entité ciblée. exemple : • SYN flooding avec des @ IP factices : accumulation d'un gd nb de connexions partiellement ouvertes • envoie de fragments IP sans les fragments de terminaison • attaque smurf : envoie de paquets de requête d'échos ICMP en masse • Distributed Denial of Service (DDos) – Le pirate obtient un grand nombre de comptes utilisateurs (sniffing ou brute force) – Il installe et exécute un logiciel esclave au niveau de chaque hôte qui attend les ordres en provenance d'un logiciel maître – Puis le pirate ordonne à tous ses logiciels esclaves de lancer une attaque DoS contre le même hôte ciblé 155 Les outils 156 Workstation Via Email File Server Workstation Mail Server Internet Web Server Via Web Page Workstation Web Server Mail Gateway Anti Virus Firewall Intrusion Detection Vulnerability Management
  • 79. 31/03/2011 79 Ex: Serveur Symantec Client Security • Un serveur Symantec Client Security peut envoyer des mises à jour de configuration et des fichiers de définitions de virus à des clients • SymantecClient security protége les ordinateurs sur lesquels il s’exécute • Le programme client Symantec Client Security fournit une protection antivirus, pare-feu et contre les intrusions aux ordinateurs réseau et autonomes • Alert Management System2 (AMS2). AMS2 assure la gestion des urgences et prend en charge les alertes issues de serveurs et des postes de travail 157 Firewall • Le pare-feu est un système permettant de filtrer les paquets de données échangés avec le réseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces réseau suivante : – une interface pour le réseau à protéger (réseau interne) – une interface pour le réseau externe • Un système pare-feu contient un ensemble de règles prédéfinies permettant : – D'autoriser la connexion (allow) – De bloquer la connexion (deny) – De rejeter la demande de connexion sans avertir l'émetteur (drop). 158
  • 80. 31/03/2011 80 Contrôle d’accès: Les pare-feux • Un pare-feu isole le réseau de l’organisation du reste de l’Internet en laissant pénétrer certains paquets et en bloquant d’autres • Il existe 2 types de pare-feux: – Filtrage simple des paquets (Ex: liste ACL) – Filtrage applicatif (niv. Application) 159 Rôle du pare-feux • Les firewall protègent les installations informatiques des intrusions • surveille (autoriser/denier) les communications d'un PC vers Internet et vice versa • Prévenir les attaques du type Denial Of Service – Inondation des messages SYN avec des @IP d’origine factices, qui paralyse l’hôte. Les tampons de l’hôte sont remplis de messages factices, ce qui ne laissent plus de place pour les vrais messages – Prévenir les modifications de données internes Ex: changer la page Web de l’entreprise – Empêcher les pirates d’accéder à des données sensibles, – Analyser, bloquer ou autoriser les communications via les ports UDP et TCP 160
  • 81. 31/03/2011 81 Filtrage de paquets • Le réseau interne est équipé d’une passerelle le reliant à son FAI. On se faire le filtrage des paquets • Filtrage basé sur l’étude des en-tête de paquet – @ IP d’origine et de destination – Des types des messages ICMP – Des datagrammes de connexion et d’inintialisation utilisant les bits TCP SYN ou Ack – Ex/ filtre les segments UDP et les connexions Telnet (segment TCP avec Port 23). Évite toute intrusion étrangère via une session Telnet. • Mise en place d'une passerelle d'application (gateway) Serveur spécifique aux applications que toutes les données d'applications doivent traverser avant de quitter ou d'entrer dans le réseau 161 Filtrage applicatif • Appelé aussi « passerelle applicative » ou proxy • le filtrage applicatif permet la destruction des en-têtes précédant le message applicatif, ce qui permet de fournir un niveau de sécurité supplémentaire. • En contrepartie, une analyse fine des données applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communications, chaque paquet devant être finement analysé. • Afin de limiter les risques le proxy doit nécessairement être en mesure d'interpréter une vaste gamme de protocoles et doit connaître les failles afférentes pour être efficace. 162
  • 82. 31/03/2011 82 Limitations des pare-feux • Usurpation d’identité (IP spoofing) le routeur est impuissant face à ce type d’attaque • Si chaque application nécessite un traitement particulier Il faut une passerelle par application Les client de ces applications doivent pouvoir configurer les logiciels (ex: navigateur avec les proxy) • Les filtres sont très grossiers: Les spyware et adware (des progr. Commerciaux sont nuisibles ne sont pas détectés par les anti-virus) utilisant le port 80 ne sont donc en aucun cas pris en compte par un firewall hardware. • il est nécessaire d'administrer le pare-feu et notamment de surveiller son journal d'activité afin d'être en mesure de détecter les tentatives d'intrusion et les anomalies. 163 Zone Démilitarisée DMZ • Il est nécessaire de mettre en place des architectures de systèmes pare-feux permettant d'isoler les différents réseaux de l'entreprise: on parle ainsi de « cloisonnement des réseaux » (isolation) • « Zone DéMilitarisée » ( DMZ pour DeMilitarized Zone) pour désigner cette zone isolée hébergeant des applications mises à disposition du public 164
  • 83. 31/03/2011 83 Architecture DMZ • Les serveurs situés dans la DMZ sont appelés « bastions » en raison de leur position d'avant poste dans le réseau de l'entreprise. • La DMZ possède donc un niveau de sécurité intermédiaire, mais son niveau de sécurisation n'est pas suffisant pour y stocker des données critiques pour l'entreprise. 165 Politique de sécurité • La politique de sécurité mise en oeuvre sur la DMZ est généralement la suivante : – Traffic du réseau externe vers la DMZ autorisé ; – Traffic du réseau externe vers le réseau interne interdit ; – Traffic du réseau interne vers la DMZ autorisé ; – Traffic du réseau interne vers le réseau externe autorisé ; – Traffic de la DMZ vers le réseau interne interdit ; – Traffic de la DMZ vers le réseau externe refusé. 166
  • 84. 31/03/2011 84 NAT • Le principe du NAT consiste à réaliser, au niveau de la passerelle de connexion à internet, une translation entre l'adresse interne (non routable) de la machine souhaitant se connecter et l'adresse IP de la passerelle. • Le terme NAT représente la modification des adresses IP dans l'en-tête d'un datagramme IP effectuée par un routeur. SNAT : @source du paquet qui est modifiée (altérée) DNAT : @destination qui est modifiée (altérée) 167 Network Address Translation: NAT • Fonctionnement du NAT: – Translation des @IP de l’en tête – Recalcul et vérification du checksum – Recalcul et modification du checksum TCP – NAT cache l’identité « réelle » des Hosts – Tout paquet de données qui doit être translater doit passer par un routeur NAT – permet de sécuriser le réseau interne étant donné qu'il camoufle complètement l'adressage interne. Pour un observateur externe au réseau, toutes les requêtes semblent provenir de la même adresse IP. 168
  • 85. 31/03/2011 85 Les différents types de NAT On distingue deux types différents de NAT: NAT statique NAT dynamique 169 Principe de NAT • Le principe du NAT statique: – consiste à associer une @IP publique à une @IP privée interne au réseau. Le routeur (passerelle) permet donc d'associer à une @IP privée (ex: 192.168.0.1) une @IP publique routable sur Internet et de faire la traduction, dans un sens comme dans l'autre, en modifiant l‘@ dans le paquet IP. – La translation d‘@-statique permet ainsi de connecter des machines du réseau interne à internet de manière transparente • NAT dynamique – permet de partager une @IP routable entre plusieurs machines en @ privé. Ainsi, toutes les machines du réseau interne possèdent virtuellement, vu de l'extérieur, la même @IP. C'est la raison pour laquelle le terme de « mascarade IP » (IP masquerading) est parfois utilisé pour désigner le mécanisme de translation d'adresse dynamique. 170
  • 86. 31/03/2011 86 10.0.0.12/24 10.0.0.12/24 (@ interne) 193.22.35.42/24 (@ externe) Internet 171 Les avantages et Inconvénients du NAT Statiques • NAT statique a permis de rendre une machine accessible sur Internet alors qu'elle possédait une adresse privée. • la NAT statique permet de rendre disponible une application sur Internet ( serveur web, mail ou serveur FTP). Le principe du NAT statique ne résout pas le problème de la pénurie d'adresse puisque n adresses IP routables sont nécessaires pour connecter n machines du réseau interne. 172
  • 87. 31/03/2011 87 Avantages NAT Dynamique • Le NAT dynamique permet de partager une adresse IP routable (ou un nombre réduit d'adresses IP routables) entre plusieurs machines en adressage privé. • NAT dynamique utilise la translation de port (PAT - Port Address Translation) • Elle permet d’économiser les adresse IP. cela permet de répondre au problème de pénurie d'adresses. • Elle permet une sécurité accrue, car il n'existe aucun moyen pour quelqu'un de l'extérieur, d'accéder aux machines internes. 173 Les inconvénients • Elle est donc utile pour partager un accès Internet, mais pas pour rendre un serveur accessible. • IPSec est totalement incompatible avec le NAT • La NAT dynamique seule ne peut pas être considérée comme une sécurité suffisante. Il est indispensable d'utiliser un filtrage si l'on veut obtenir un bon niveau de sécurité. 174
  • 88. 31/03/2011 88 Architecture IPsec 1. Introduction 2. Services IPsec 3. Modes d’utilisation 175 IPsec : Introduction • On a conçu IPSec (Internet Protocol Security) pour sécuriser le protocole IPv6. La lenteur de déploiement de ce dernier a imposé une adaptation d’IPSec à l’actuel protocole IPv4. • Plusieurs RFC successives décrivent les différents éléments d’IPSec : RFC 2401, 2402, 2406, 2408… 176
  • 89. 31/03/2011 89 IPsec : Introduction • Internet Protocol Security est un ensemble de protocoles (couche 3 modèle OSI) utilisant des algorithmes permettant le transport de données sécurisées sur un réseau IP. • Composante indissociable d’IPV6, optionnelle en IPV4 • Composant de VPN • Permet l’établissement de communication sécurisée • Les services et algorithmes utilisés sont paramétrables. 177 IPsec : 4 services • Authentification des données : – chaque paquet échangé a bien été émis par la bonne machine et qu’il est bien à destination de la seconde machine • Confidentialité des données échangées : – chiffrer le contenu des paquets IP pour empêcher qu’une personne extérieure ne le lise • Intégrité des données échangées : – s’assurer qu’aucun paquet n’a subit une quelconque modification durant son trajet. • Protection contre l’analyse de trafic : – chiffrer les adresses réelles de l’expéditeur et du destinataire, ainsi que tout l’en-tête IP correspondant. C’est le principe de base du tunneling. 178
  • 90. 31/03/2011 90 Fonctionnement • On établit un tunnel entre deux sites: • IPSec gère l’ensemble des paramètres de sécurité associés à la communication. • Deux machines passerelles, situées à chaque extrémité du tunnel, négocient les conditions de l’échange des informations : – Quels algorithmes de chiffrement, quelles méthodes de signature numérique ainsi que les clés utilisées pour ces mécanismes. – La protection est apportée à tous les trafics et elle est transparente aux différentes applications. 179 • IPSec prévoit la définition de la politique de sécurité avec le choix des algorithmes utilisés et leur portée. • Une fois qu’une politique est définie, il y a échange des clés avec un mécanisme IKE (Internet Key Exchange) [utilisant le port 500 et le transport UDP]. • On peut mettre en oeuvre l’authentification soit en supposant que les deux extrémités se partagent déjà un secret pour la génération de clés de sessions, soit en utilisant des certificats et des signatures RSA. • Les machines passerelles traitent ensuite les données avec la politique de sécurité associée. • IPSec propose ensuite deux mécanismes au choix pour les données de l’échange : ESP (Encapsulating Security Payload) et AH (Authentication Header). • ESP fournit l’intégrité et la confidentialité, AH ne fournit que l’intégrité. 180
  • 91. 31/03/2011 91 IPsec : Atouts et limites • Atouts :la richesse de son offre de services de sécurité qui : – Est exploitable dans les couches hautes de TCP-IP. – Est ouvert à tous les équipements. – Peut intervenir dans différentes configurations. • Un point faible de IPSec : la gestion des clés  solution un PKI (Public Key Infrastructure). 181 IPsec : Architecture • Ensemble de protocoles couvrant deux aspects – Encapsulation des datagrammes IP dans d’autres datagrammes IP •  services de sécurité (intégrité, confidentialité, …etc.) – Négociation des clés et des associations de sécurité •  utilisées lors de l ’encapsulation 182
  • 92. 31/03/2011 92 IPsec : Architecture • 2 protocoles définis pour l’encapsulation – Authentication Header (AH) – Encapsulating Security Payload (ESP) • 1 protocole pour l’échange de clés – Internet Key Exchange (IKE) 183 DOI IPsec -RFC 2407: Architecture 184
  • 93. 31/03/2011 93 AH • Les algorithmes d'authentification utilisables avec AH sont répertoriés dans le DOI IPsec; il existe notamment HMAC-MD5 et HMAC-SHA-1. • Assure l’authentification de la source – Protection contre source spoofing • Assure l’intégrité des données – Algorithme d’hachage 96 bits – Utilise une cryptographie à clé symétrique – HMAC-SHA-96, HMAC-MD5-96 • Protection contre le rejeu – Utilise un mécanisme anti-rejeu (nombre de séquence) • Non répudiation – Utilisation du RSA • Aucune protection de confidentialité – Données signées et non chiffrées 185 • Selon les modes de fonctionnement choisis (transport ou tunnel) la position de l'en tête d'authentification AH est la suivante : • Les algorithmes d’authentification utilisables avec AH sont listés dans le DOI IPsec (RFC 2407). 186 Position de AH en mode transport. Position de AH en mode tunnel.
  • 94. 31/03/2011 94 ESP • ESP assure quant à lui la confidentialité des données mais peut aussi assurer leur intégrité en mode non connecté et l'authentification de leur origine. • A partir du datagramme IP classique, un nouveau datagramme dans lequel les données et éventuellement l'en tête originale sont chiffrées, est crée. C'est une réelle encapsulation entre un en tête et un trailer. • La protection contre le rejeu est fournie grâce à un numéro de séquence si les fonctions précédentes ont été retenues • Idem plus la confidentialité des données – utilise une encryption à clés symétrique 187 • Suivant les modes de fonctionnement choisis (transport ou tunnel) la position de ESP est la suivante : 188 Position de ESP en mode transport. Position de ESP en mode tunnel.
  • 95. 31/03/2011 95 IPsec : Architecture • IPsec assure la sécurité en trois situations – Hôte à hôte – Routeur à routeur – Hôte à routeur • IPsec opère en deux mode – Mode transport – Mode tunnel (VPN) 189 Mode transport • Transport – Utilisé uniquement entre deux machines qui elles-mêmes responsable du chiffrement/déchiffrement . – Seulement les données qui sont chiffrées. Les en-tête IP sont conservés 190 Internet VPN Security gateway 1 Security gateway 2 Server B A B data encrypted Workstation A
  • 96. 31/03/2011 96 Mode tunnel • Tunnel – Le flux est entre deux machines qui se trouvent derrièredeux passerelles faisant le chiffrement/déchiffrement – En-tête IP et données sont chiffrés et un nouveau en-tête est généré avec l’adresse IP du serveur VPN. 191 A B data A B data1 2 Internet VPN Security gateway 1 Security gateway 2 Workstation A Server B encryptedA B data source destination Capture ISAKMP: Internet Security Association and Key Management Protocol 192 • Capture d’écran à l’aide de Wireshark réalisée dans la séance de TP avec IPSEC. On peut voir le déploiement de l’ISAKMP lors de l’échange
  • 97. 31/03/2011 97 193 Qu’est ce qu’un VPN ? • VPN,acronyme de Virtual Private Network, ou Réseau Privé Virtuel. Ce réseau est dit virtuel car il relie des réseaux "physiques" (réseaux locaux) via un réseau public, en général Internet, et privé car seuls les ordinateurs des réseaux locaux faisant partie du VPN peuvent accéder aux données. • Cette technique assure l’authentification en contrôlant l’accès, l’intégrité des données et le chiffrage de celles-ci. 194
  • 98. 31/03/2011 98 195 VPN • La mise en place d'un réseau privé virtuel permet de connecter de façon sécurisée des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils étaient sur le même réseau local. • Ce procédé est utilisé par de nombreuses entreprises afin de permettre à leurs utilisateurs de se connecter au réseau d'entreprise hors de leur lieu de travail. On peut facilement imaginer un grand nombre d'applications possibles : – Accès au réseau local (d'entreprise) à distance et de façon sécurisée pour les travailleurs nomades – Partage de fichiers sécurisés – Jeu en réseau local avec des machines distantes 196
  • 99. 31/03/2011 99 Les Protocoles de Tunnelisation • Les principaux protocoles de tunneling sont : – PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2 développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics. – L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco Systems, Northern Telecom (Nortel) et Shiva. – L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 2661) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP. – IPsec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données chiffrées pour les réseaux IP. – SSL/TLS offre une très bonne solution de tunneling. L'avantage de cette solution est d'utiliser un simple navigateur comme client VPN. – SSH Initialement connu comme remplacement sécurisé de telnet, SSH offre la possibilité de tunneliser des connections de type TCP. 197 198 Une entreprise Multi-site désire de plus en plus ouvrir son réseau à ses employés travaillant à distance, en toute sécurité. C’est l’enjeu auquel répond efficacement une solution de type VPN
  • 100. 31/03/2011 100 SSL : Secure Socket Layer • C'est un système qui permet d'échanger des informations entre 2 ordinateurs de façon sûre. SSL assure 3 aspects: – Confidentialité: Il est impossible d'espionner les informations échangées. – Intégrité: Il est impossible de truquer les informations échangées. – Authentification: Il permet de s'assurer de l'identité du programme, de la personne ou de l'entreprise avec laquelle on communique. • SSL est un complément à TCP/IP et permet (potentiellement) de sécuriser n'importe quel protocole ou programme utilisant TCP/IP. • SSL a été créé et développé par la société Netscape et RSA Security. 199 Récapitulatif • Accès non autorisé Authentification • Confidentialité Chiffrement • Virus Antivirus • Intrusion IDS/IPS Firewall • Modification Hachage consiste à verrouiller les données à l’aide des composants matériels: clipper-chips 200