SlideShare une entreprise Scribd logo
Sécurité avancée
réseaux
Mamadou Lamine DIALLO
Ingénieur Cloud, Systèmes, Réseaux et Sécurité
Sommaire
 Introduction sécurité
 Sécurité Cisco IOS
 Firewalling
 VPN
 Web filtering & WAF
 NGIPS & AMP
 AAA & Identity Management with ISE
 Projet
Objectif de la sécurité
 Confidentiality: consiste à garder le caractère privé de l’information et
empêcher à ce qu’elle ne soit divulguer aux entités n’ayant pas droit.
 Integrity: permet de préserver l’information contre toute modification ou
suppression non autorisé.
 Availability: vise l’objectif de rendre les systèmes, les applications et processus
disponibles aux utilisateurs au besoin et à la demande.
C’est quoi la sécurité des réseaux
 Elle consiste à mettre en place un ensemble de mécanismes de protection pour la sécurité du
réseau informatique afin d’assurer l’intégrité, la confidentialité et l’accessibilité aux
informations de l’entreprise.
 Quelques différents types de sécurité réseau:
Network segmentation, Perimeter Security, Email Security, Web Security, NAC, Intrusion
prevention, Mobile Security, SIEM, Remote Access, Wireless Security, DLP, Antimalware,
Application Security, Behavioral analytics
The 3 planes
 Management plane: inclut les protocoles et trafics qu’un administrateur
utilise pour administrer l’équipement réseau.
 Control plane: Il inclut les protocoles et trafics que l’équipement réseau
utilise pour apprendre sur son environnement et construire une assise pour
faire son travail.
 Data plane: représente l’acheminement du trafic d’une interface d’entrée vers
une interface de sortie
Sécuriser le management plane
Les objectifs de sécurisation du management plane:
 Zero trust et l’accès minimum requis
 Centralisation de la supervision et la collecte de logs
 Sécuriser les communications
 Gestion de configuration centralisée
 Désactiver les services non nécessaires
Les techniques:
sécuriser le command line, authentification de l’utilisateur avec AAA, implémenter le RBAC privilege level/Parser view,
configurer le MPP, sécurité du NTP et SNMP, configurer le logging
Sécuriser le control plane
les 2 grands types d’attaque qui visent le control plane:
 Surcharge
Cette attaque consiste à submerger le CPU en envoyant un nombre élevé de large paquets de sorte à faire dévier
l’équipement de son fonctionnement normale: (DoS).
 Modifier les données
Dans cette catégorie d’attaque, des paquets malicieux des protocoles de control plane sont utilisés pour injecter de
fausses informations afin d’impacter sur les décisions de transmission des paquets: (DoS, MITM)
Sécuriser le control plane
Quelques protocoles du control plane:
niveau 2: STP, VTP, DTP
niveau 3: EIGRP, OSPF, RIP, BGP
Les techniques de sécurisation:
 configurer le CoPP/CPPr,
 Implémenter BPDU guard, BPDU Filter, Root guard
 Sécuriser le VTP,
 désactiver le DTP,
 Sécuriser les protocoles de routage ( RIP, EIGRP, OSPF, BGP)
Sécuriser le data plane
 Tous les paquets en transit ou acheminés d’une source vers une destination passe par le data
plane.
 La plupart des attaques vise le data plane et donc il convient de noter que la plupart des
mécanismes de sécurité sont implémenter à ce niveau.
 La sécurité du data plane au niveau 2 se focalise plus sur les usurpations d’identité, la
segmentation et la protection des ressources tandis que celle au niveau 3 se base
principalement sur les données elles mêmes.
 Ex: s’assurer que le trafic à acheminer est bien permis.
Sécuriser le data plane
Les mesures de sécurité du data plane:
Niveau 2
CAM table et port security
DHCP snooping
Dynamic ARP Inspection
Segmentation
PACL
VACL
Niveau 3
ACL (Standard, Extended, Named)
Time-based ACL
Reflexive ACL
uRPF
TCP Intercep
Netflow
Policy-based routing
FHRP
Firewalling
Firewall
 C’est un équipement de sécurité qui utilise un ensemble de règles
prédéfinies pour protéger le réseau interne des réseaux externes
potentiellement dangereux.
 Il joue le rôle de passerelle pour contrôler le flux entre 2 networks
Types de firewall
Le firewall sans état (stateless):
 examine les paquets indépendamment les uns des autres et manque de contexte.
 Il utilise la source, la destination et d’autres paramètres d’un paquet de données pour autoriser ou refuser le paquet.
Le firewall avec état (statefull):
 Garde des traces des sessions et des connexions dans une table d’état et les décisions sont prises en fonction de ses états.
 Il examine les paquets de données et si quelque chose semble anormal, ils peuvent filtrer les données suspectes.
Types de firewall
Le firewall applicatif (NGFW):
 Permet de filtrer les communications jusqu’au niveau de la couche 7 du modèle OSI,
 Vérifie et rejette tous les paquets qui ne respectent pas les spécifications du protocole visé,
 Il utilise à la fois l’inspection stateful et l’inspection approfondie des paquets pour détecter le
trafic malveillant
Types de firewall
Les caractéristiques des NGFW:
 Les fonctions standard: stateful port/protocol inspection, Network Address translation,
Virtual Private Network
 Application identification and filtering
 SSH/SSL inspection
 Intrusion prevention
 Identity service Integration
 Malware filtering
Quelques firewalls du marché
Cisco Firewall Fortinet firewall Palo Alto Firewall
Juniper Firewall Check Point Firewall Sophos Firewall
Déploiement
 Routed mode: c’est le comportement par défaut des firewalls. Dans ce mode le firewall agit
comme un équipement de niveau 3 et route les paquets sur la base de sa table de routage.
 Transparent mode: encore appelé mode bridge permet au firewall d’opérer au niveau 2 tout
en appliquant les contrôles d’accès sur les paquets transitant entre les interfaces.
Virtual firewall
 Conçu spécifiquement pour les environnement dans lesquels il serait difficile ou impossible
de déployer des firewalls matériels.
 Fournit les mêmes fonctionnalités de sécurité et d’inspection que le firewall physique.
 Peut être déployer sur des environnements virtualisés ou cloud.
Security zone
 Security Zone: une zone est un groupe d’une ou de plusieurs interfaces physiques ou logiques sur
laquelle on peut appliquer une même politique de sécurité,
 INISDE
 OUTSIDE
 DMZ (Demilitarized Zone)
High Availability and clustering
 La haute disponibilité ou le clustering est un déploiement dans lequel on met deux firewalls (failover)
ou plus (clustering) dans un groupe et synchroniser leur configuration.
 Les firewalls doivent être:
 De même modèle
 De même firewall mode
 De même version software
High Availability and clustering
Active/standby
 Un seul équipement joue le rôle de primaire et est responsable du traitement du trafic pendant que l’autre reste
synchronisé et prend le relais en cas de défaillance sur le primaire.
Active/Active
• Permet aux deux 2 firewalls de traiter activement le trafic en même temps tout en assurant un failover en cas de
panne sur l’un des équipements.
High Availability and clustering
Clustering
 Regroupe plusieurs firewalls en un seul équipement logique.
 Jusqu’à 16 firewalls ou modules combinés en un seul système de traitement du trafic
 offre toute la commodité d’un seul équipement (management, intégration dans le réseau)
 Mise à l’échelle élastique du débit et des connexions simultanées maximales
 Mettre en œuvre une véritable évolutivité en plus d’une haute disponibilité
Access control
 Filtre le trafic traversant l’équipement via des access-control lists (ACLs)
 Un ACL peut contenir un ou plusieurs entrées appelées ACE (Access Control Entries).
 Contient un implicit deny à la fin de la liste.
 Types d’ACL: Standard ACL, Extended ACL,
Access control
Standard ACL
 Basé uniquement que sur la source (pas de possibilité de définir la destination)
 S’applique plus proche de la destination.
Extended ACL
 Plus spécifique sur les ACEs avec adresse IP source et destination
 S’applique généralement plus proche de la source
 Possibilité d’utiliser les applications et ports pour le filtrage
Network Address Translation
 Permet la conversion d’adresse IP
 Généralement utilisé pour cacher le réseau interne de l’organisation.
 Types de translations d’adresse : NAT et PAT
 Cisco supporte 4 méthodes de translation:
⁻ Static NAT/PAT
⁻ Dynamic NAT/PAT
⁻ Policy NAT/PAT
⁻ Identity NAT
VPN
VPN
Un VPN est une connexion logique construit entre deux ou plusieurs devices:
 Accès distant
 Site à Site (LAN to LAN ou L2L)
Un VPN peut être monté à différents niveau du modèle OSI et n’est pas forcement sécurisé
 Layer 2: L2TP, Layer 3: MPLS, Layer 5+: SSL
IPsec est l’implémentation la plus commune et sécurisée d’un VPN L3
 Authentification, Confidentialité, Intégrité et protection contre le rejeu
VPN
IPsec consiste en plusieurs protocoles et standards
 ISAKMP est un Framework décrivant les fonctions de base de l’IPsec pour une communication sécurisé
 IKE est une implémentation de ISAKMP
⁻ Disponible en deux versions (IKEv1 et IKEv2)
IPsec repose principalement sur la cryptographie (Encryption, hachage, clé asymétrique, etc.)
VPN
Autres composants du Framework IPsec
 Control plane
⁻ Gestion de clé: DH, ECDH
⁻ Authentification: PSK, RSA, ECDSA
 Data plane
 Protocoles de sécurité: ESP, AH
 Confidentialité: DES, 3DES, AES, SEAL
 Intégrité et authentification de l’origine: MD5, SHA-1, SHA-2
VPN
IPsec VPN consiste en 2 phases:
 Phase 1
 Effectué dans un des deux modes: Main (MM) ou Aggressive (AM)
 Phase 2
 Quick mode (QM)
 Toutes les deux phases utilisent par défaut UDP port 500 pour les négociations
VPN
La phase I consiste en 3 échanges
⁻ IKE Policy
⁻ Diffie-Hellman (DH)
⁻ Authentification
 Main mode utilise 6 messages pour les 3 échanges
 Le mode Aggressive requiert 3 paquets
VPN
Quick mode:
 Perfect Forward Secracy (PFS)
 Encryption et hachage
 Trafic intéressant (Proxy Identities ou Encryption domains)
 Protocole de sécurité (AH ou ESP)
Tous les paramètres du mode doivent correspondre sur les deux extrémités du tunnel.
WEB FILTERING
&
WEB APPLICATION FIREWALL
Proxy web
 Une solution avancée de filtrage de contenu Web
 Protège les utilisateurs contre les attaques sur internet grâce à différentes techniques de détection.
 Bloque les trafics internet des collaborateurs en non-conformité avec la politique de l’organisation.
 Possibilité d’appliquer la QoS
⁻ Réservation de la bande passante ou diminution de la bande passante en fonction des sites web visités.
Proxy web
Les fonctions de base
 Filtrage web
 Control d’application
 Protection malware
 SSL Decryption
 DLP et autres
 Solution disponible en: Physique, Virtual et Cloud
 Quelques solutions de proxy web: Cisco, Fortinet, PAN, Checkpoint, Sophos, etc.
Proxy web
Les modes de déploiement
 Déploiement explicite: nécessite une intervention sur le navigateur de l’utilisateur de sorte à
rediriger les trafics web à pointer vers le proxy web
 Manuel
 PAC (Proxy Auto-Configuration) file.
 Déploiement transparente: permet la redirection du flux web des utilisateurs de façon
transparente via différentes méthodes (WCCP, PBR)
Web Application Firewall
 Un pare-feu applicatif qui protège les applications web contre diverses attaques en couche
applicative.
 Placé avant l’application web qui doit être protéger afin d’examiner les trafics et appliquer les
mesures de protection nécessaires avant qu’ils n’atteignent le server web.
 Fonctionne en mode Reverse proxy et assure la première ligne de défense pour des attaques
visant directement les applications web ou destinés à d’autres utilisateurs.
Web Application Firewall
 Vise principalement à contrer les vulnérabilités basés sur le top 10 OWASP (Open Web Application
Security Project):
Web Application Firewall
Quelques solutions WAF: F5, Fortinet, Impervia, Qualys, Cloudflare
NGIPS & AMP
NGIPS
 Un système de prévention d’intrusion de nouvelle génération.
 Cisco a acquis Sourcefire pour étendre ses capacités autour de la protection avancée continue contre les menaces
 Règles d’intrusion basé sur Snort
 Les évènements IPS peuvent être de 4 catégories :
⁻ True positive
⁻ True negative
⁻ False positive
⁻ False negative
NGIPS
 Cisco NGIPS offre la visibilité dont vous avez besoin sur votre réseau, notamment en obtenant des informations
sur des périphériques et des applications.
 Assure la corrélation des données de manière contextuelles
 Il permet d’identifier, classifier et stopper les trafics malicieux.
 Autres fonctionnalités de sécurité NGIPS:
⁻ Security Intelligence ( feeds, source Talos)
⁻ IOCs
⁻ Automated Tuning and recommandations
NGIPS (Next Gen IPS)
 Cisco propose 4 politiques d’intrusion par défaut
 Balanced Security and Connectivity
 Connectivity over Security
 Security over Connectivity
 Maximum Detection
Disponible en: Appliance et Virtuel
AMP (Advanced Malware Protection)
 Cisco AMP est une solution sécurité basé sur le Cloud
 Elle permet une protection avancée contre les logiciels malveillants qui va au-delà d’une
détection ponctuelle pour protéger votre organisation
 Offre une visibilité et un control à travers le réseau durant tout au long du continuum
d’attaque:
 Before
 During
 After
AMP (Advanced Malware Protection)
 Cisco AMP permet la détection, le blocage, l’analyse continue et l’alerte rétrospective des logiciels malveillants
avec les fonctionnalités suivantes:
 File reputation: AMP analyse les fichiers et bloque ou applique la politique
 File sandboxing: AMP analyse les fichiers inconnus pour déterminer le comportement
 File retrospection: AMP continue d’analyser les fichiers pour l’évolution des niveaux de menace
 L’architecture AMP comprend trois composants principales:
 AMP Cloud
 AMP Client Connectors
 Intelligence sources
AMP (Advanced Malware Protection)
AAA & Identity Management
with Cisco ISE
AAA
Un Framework composé de 3 différentes fonctionnalités de sécurité
 Authentication: un processus de vérification d’identité
⁻ Peut inclure plusieurs facteurs/éléments
o Something you know ( ex: mot de passe)
o Something you have ( ex: token)
o Something you are ( ex: biometrics)
 Authorization: gère l’application de la politique
o Privilèges, access level/scope etc.
 Accounting: permet le suivi et l’enregistrement des activités
o Quand et ou
AAA
 Peut être déployé directement sur les équipements réseaux
 Non évolutif,
 Limité en terme de fonctionnalités
 Possibilité de faire un déploiement centralisé avec le protocole RADIUS ou TACACS+
Identity Service Engine
ISE est un system de gestion d’identité nouvelle génération
 Il combine les fonctions de la solution ACS, d’un NAC (Network Admission Control) et d’autres fonctionnalités
 Possibilité de l’intégrer avec des bases externes comme AD, LDAP, RSA OTP
Fonctionnalité avancée:
⁻ Profiling
⁻ Posture Assessment
⁻ Centralized Web Authentication (CWA)
⁻ TrustSec
Identity Service Engine
Cisco ISE Architecture et Nomenclature:
 Node: Une instance individuelle qui exécuté le logiciel Cisco ISE
⁻ Physique
⁻ Virtuel
 Persona/Node Type: Détermine le service fourni par un node (nœud) particulier:
⁻ Administration (PAN): Permet à disposition de l’administrateur une interface d’administration pour configurer
les politiques et les configurations liées à la solution.
⁻ Monitoring (MnT): Ce Node est chargé de la collecte des messages logs de tous les autres nodes et générer des
reports.
Identity Service Engine
⁻ Policy Service (PSN): ce Node est responsable de l’application des politiques configurées depuis le PAN en
terme d’accès au réseau, de provisioning, profiling, posture, et des services d’accès invité
 Rôle: s’applique uniquement qu’aux nodes Administration et Monitoring
⁻ Standalone: lié au déploiement autonome et agit seul
⁻ Primary: rôle dans le déploiement distribué et sert de nœud principal pour toutes les configurations
⁻ Secondary: joue le rôle de backup cas de problème sur le nœud principal pour l’administration
Identity Service Engine
 ISE est principalement utilisé en tant que serveur AAA dans les 2 cas suivants:
 Device administration
Identity Service Engine
 Network Access
 802.1X est un standard définit par IEEE pour le contrôle d’accès au réseau et permettre aucune communication sur le réseau
sans une identification et autorisation préalable de l’utilisateur.
 Les composants fondamentales de 802.1X:
 Supplicant
 Authenticator
 Authentication server
Identity Service Engine
 802.1X s’appui sur le EAP (Extensible Authentication Protocol)
 EAP est un protocole d’authentification qui définit le transport et l’utilisation des
informations d’identification (username, passwords, certificates, tokens, OTP, etc.)
 EAP types peut être scindé en catégories:
 Native EAP (Ex: EAP-MD5, EAP-TLS, EAP-MSCHAPv2, etc.)
 Tunneled EAP (Ex: PEAP, EAP-FAST)
Identity Service Engine
Un cas d’utilisation

Contenu connexe

Similaire à Cours SSI - Copie.pptx

Vpn
VpnVpn
Vpn
kwabo
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2
Sylvain Maret
 
Sécurité des Systèmes Répartis- Partie 1
Sécurité des Systèmes Répartis- Partie 1 Sécurité des Systèmes Répartis- Partie 1
Sécurité des Systèmes Répartis- Partie 1
Lilia Sfaxi
 
Alphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec CiscoAlphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm
 
Les Vpn
Les VpnLes Vpn
Les Vpn
medalaa
 
snmp.pptsssssssssssssssssssssssssssssssssssssssssss
snmp.pptssssssssssssssssssssssssssssssssssssssssssssnmp.pptsssssssssssssssssssssssssssssssssssssssssss
snmp.pptsssssssssssssssssssssssssssssssssssssssssss
latifellatif300
 
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
onyikondi
 
Ft administration de réseau
Ft administration de réseauFt administration de réseau
Ft administration de réseau
adifopi
 
Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011
Boubaker KHERFALLAH
 
Etude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU LinuxEtude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU Linux
Thierry Gayet
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
Med Ali Bhs
 
Presentation DMZ - GUERITEY
Presentation DMZ - GUERITEYPresentation DMZ - GUERITEY
Presentation DMZ - GUERITEY
SbastienGuritey
 
Présentation _réseaux_protocoles_sécurité.pptx
Présentation _réseaux_protocoles_sécurité.pptxPrésentation _réseaux_protocoles_sécurité.pptx
Présentation _réseaux_protocoles_sécurité.pptx
mahmoudrim1
 
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfInstallation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
ngombeemmanuel
 
Les Firewalls
Les FirewallsLes Firewalls
Les Firewalls
Sylvain Maret
 
Les Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueLes Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatique
Sylvain Maret
 
0170-pare-feux-firewalls.pdf
0170-pare-feux-firewalls.pdf0170-pare-feux-firewalls.pdf
0170-pare-feux-firewalls.pdf
Riri687487
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
Charif Khrichfa
 
Portail_captif_alcasar.pptx
Portail_captif_alcasar.pptxPortail_captif_alcasar.pptx
Portail_captif_alcasar.pptx
KenjiNatsuhi
 

Similaire à Cours SSI - Copie.pptx (20)

Vpn
VpnVpn
Vpn
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2
 
Sécurité des Systèmes Répartis- Partie 1
Sécurité des Systèmes Répartis- Partie 1 Sécurité des Systèmes Répartis- Partie 1
Sécurité des Systèmes Répartis- Partie 1
 
Alphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec CiscoAlphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec Cisco
 
Les Vpn
Les VpnLes Vpn
Les Vpn
 
snmp.pptsssssssssssssssssssssssssssssssssssssssssss
snmp.pptssssssssssssssssssssssssssssssssssssssssssssnmp.pptsssssssssssssssssssssssssssssssssssssssssss
snmp.pptsssssssssssssssssssssssssssssssssssssssssss
 
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
 
Ft administration de réseau
Ft administration de réseauFt administration de réseau
Ft administration de réseau
 
Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011
 
Pfsense
PfsensePfsense
Pfsense
 
Etude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU LinuxEtude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU Linux
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
 
Presentation DMZ - GUERITEY
Presentation DMZ - GUERITEYPresentation DMZ - GUERITEY
Presentation DMZ - GUERITEY
 
Présentation _réseaux_protocoles_sécurité.pptx
Présentation _réseaux_protocoles_sécurité.pptxPrésentation _réseaux_protocoles_sécurité.pptx
Présentation _réseaux_protocoles_sécurité.pptx
 
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfInstallation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
 
Les Firewalls
Les FirewallsLes Firewalls
Les Firewalls
 
Les Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueLes Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatique
 
0170-pare-feux-firewalls.pdf
0170-pare-feux-firewalls.pdf0170-pare-feux-firewalls.pdf
0170-pare-feux-firewalls.pdf
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
 
Portail_captif_alcasar.pptx
Portail_captif_alcasar.pptxPortail_captif_alcasar.pptx
Portail_captif_alcasar.pptx
 

Plus de gorguindiaye

QCM_TSHOOT.pdf
QCM_TSHOOT.pdfQCM_TSHOOT.pdf
QCM_TSHOOT.pdf
gorguindiaye
 
Module 02_FR.pdf
Module 02_FR.pdfModule 02_FR.pdf
Module 02_FR.pdf
gorguindiaye
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptx
gorguindiaye
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
gorguindiaye
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
gorguindiaye
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
gorguindiaye
 

Plus de gorguindiaye (6)

QCM_TSHOOT.pdf
QCM_TSHOOT.pdfQCM_TSHOOT.pdf
QCM_TSHOOT.pdf
 
Module 02_FR.pdf
Module 02_FR.pdfModule 02_FR.pdf
Module 02_FR.pdf
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptx
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 

Dernier

Webinaire BL 28_06_01_robots de traite.pdf
Webinaire BL 28_06_01_robots de traite.pdfWebinaire BL 28_06_01_robots de traite.pdf
Webinaire BL 28_06_01_robots de traite.pdf
Institut de l'Elevage - Idele
 
Webinaire BL 28_06_03_Transmissibilité.pdf
Webinaire BL 28_06_03_Transmissibilité.pdfWebinaire BL 28_06_03_Transmissibilité.pdf
Webinaire BL 28_06_03_Transmissibilité.pdf
Institut de l'Elevage - Idele
 
Shimla Girls call Service 000XX00000 Provide Best And Top Girl Service And No...
Shimla Girls call Service 000XX00000 Provide Best And Top Girl Service And No...Shimla Girls call Service 000XX00000 Provide Best And Top Girl Service And No...
Shimla Girls call Service 000XX00000 Provide Best And Top Girl Service And No...
manalishivani8
 
Note agro-climatique et prairies n°5 - Juillet 2024
Note agro-climatique et prairies n°5 - Juillet 2024Note agro-climatique et prairies n°5 - Juillet 2024
Note agro-climatique et prairies n°5 - Juillet 2024
idelewebmestre
 
cours-sur-les-stations-de-pompageen génie civil.pdf
cours-sur-les-stations-de-pompageen génie civil.pdfcours-sur-les-stations-de-pompageen génie civil.pdf
cours-sur-les-stations-de-pompageen génie civil.pdf
afigloria194
 
Webinaire BL 28_06_02_Consommation Energie.pdf
Webinaire BL 28_06_02_Consommation Energie.pdfWebinaire BL 28_06_02_Consommation Energie.pdf
Webinaire BL 28_06_02_Consommation Energie.pdf
Institut de l'Elevage - Idele
 

Dernier (6)

Webinaire BL 28_06_01_robots de traite.pdf
Webinaire BL 28_06_01_robots de traite.pdfWebinaire BL 28_06_01_robots de traite.pdf
Webinaire BL 28_06_01_robots de traite.pdf
 
Webinaire BL 28_06_03_Transmissibilité.pdf
Webinaire BL 28_06_03_Transmissibilité.pdfWebinaire BL 28_06_03_Transmissibilité.pdf
Webinaire BL 28_06_03_Transmissibilité.pdf
 
Shimla Girls call Service 000XX00000 Provide Best And Top Girl Service And No...
Shimla Girls call Service 000XX00000 Provide Best And Top Girl Service And No...Shimla Girls call Service 000XX00000 Provide Best And Top Girl Service And No...
Shimla Girls call Service 000XX00000 Provide Best And Top Girl Service And No...
 
Note agro-climatique et prairies n°5 - Juillet 2024
Note agro-climatique et prairies n°5 - Juillet 2024Note agro-climatique et prairies n°5 - Juillet 2024
Note agro-climatique et prairies n°5 - Juillet 2024
 
cours-sur-les-stations-de-pompageen génie civil.pdf
cours-sur-les-stations-de-pompageen génie civil.pdfcours-sur-les-stations-de-pompageen génie civil.pdf
cours-sur-les-stations-de-pompageen génie civil.pdf
 
Webinaire BL 28_06_02_Consommation Energie.pdf
Webinaire BL 28_06_02_Consommation Energie.pdfWebinaire BL 28_06_02_Consommation Energie.pdf
Webinaire BL 28_06_02_Consommation Energie.pdf
 

Cours SSI - Copie.pptx

  • 1. Sécurité avancée réseaux Mamadou Lamine DIALLO Ingénieur Cloud, Systèmes, Réseaux et Sécurité
  • 2. Sommaire  Introduction sécurité  Sécurité Cisco IOS  Firewalling  VPN  Web filtering & WAF  NGIPS & AMP  AAA & Identity Management with ISE  Projet
  • 3. Objectif de la sécurité  Confidentiality: consiste à garder le caractère privé de l’information et empêcher à ce qu’elle ne soit divulguer aux entités n’ayant pas droit.  Integrity: permet de préserver l’information contre toute modification ou suppression non autorisé.  Availability: vise l’objectif de rendre les systèmes, les applications et processus disponibles aux utilisateurs au besoin et à la demande.
  • 4. C’est quoi la sécurité des réseaux  Elle consiste à mettre en place un ensemble de mécanismes de protection pour la sécurité du réseau informatique afin d’assurer l’intégrité, la confidentialité et l’accessibilité aux informations de l’entreprise.  Quelques différents types de sécurité réseau: Network segmentation, Perimeter Security, Email Security, Web Security, NAC, Intrusion prevention, Mobile Security, SIEM, Remote Access, Wireless Security, DLP, Antimalware, Application Security, Behavioral analytics
  • 5. The 3 planes  Management plane: inclut les protocoles et trafics qu’un administrateur utilise pour administrer l’équipement réseau.  Control plane: Il inclut les protocoles et trafics que l’équipement réseau utilise pour apprendre sur son environnement et construire une assise pour faire son travail.  Data plane: représente l’acheminement du trafic d’une interface d’entrée vers une interface de sortie
  • 6. Sécuriser le management plane Les objectifs de sécurisation du management plane:  Zero trust et l’accès minimum requis  Centralisation de la supervision et la collecte de logs  Sécuriser les communications  Gestion de configuration centralisée  Désactiver les services non nécessaires Les techniques: sécuriser le command line, authentification de l’utilisateur avec AAA, implémenter le RBAC privilege level/Parser view, configurer le MPP, sécurité du NTP et SNMP, configurer le logging
  • 7. Sécuriser le control plane les 2 grands types d’attaque qui visent le control plane:  Surcharge Cette attaque consiste à submerger le CPU en envoyant un nombre élevé de large paquets de sorte à faire dévier l’équipement de son fonctionnement normale: (DoS).  Modifier les données Dans cette catégorie d’attaque, des paquets malicieux des protocoles de control plane sont utilisés pour injecter de fausses informations afin d’impacter sur les décisions de transmission des paquets: (DoS, MITM)
  • 8. Sécuriser le control plane Quelques protocoles du control plane: niveau 2: STP, VTP, DTP niveau 3: EIGRP, OSPF, RIP, BGP Les techniques de sécurisation:  configurer le CoPP/CPPr,  Implémenter BPDU guard, BPDU Filter, Root guard  Sécuriser le VTP,  désactiver le DTP,  Sécuriser les protocoles de routage ( RIP, EIGRP, OSPF, BGP)
  • 9. Sécuriser le data plane  Tous les paquets en transit ou acheminés d’une source vers une destination passe par le data plane.  La plupart des attaques vise le data plane et donc il convient de noter que la plupart des mécanismes de sécurité sont implémenter à ce niveau.  La sécurité du data plane au niveau 2 se focalise plus sur les usurpations d’identité, la segmentation et la protection des ressources tandis que celle au niveau 3 se base principalement sur les données elles mêmes.  Ex: s’assurer que le trafic à acheminer est bien permis.
  • 10. Sécuriser le data plane Les mesures de sécurité du data plane: Niveau 2 CAM table et port security DHCP snooping Dynamic ARP Inspection Segmentation PACL VACL Niveau 3 ACL (Standard, Extended, Named) Time-based ACL Reflexive ACL uRPF TCP Intercep Netflow Policy-based routing FHRP
  • 12. Firewall  C’est un équipement de sécurité qui utilise un ensemble de règles prédéfinies pour protéger le réseau interne des réseaux externes potentiellement dangereux.  Il joue le rôle de passerelle pour contrôler le flux entre 2 networks
  • 13. Types de firewall Le firewall sans état (stateless):  examine les paquets indépendamment les uns des autres et manque de contexte.  Il utilise la source, la destination et d’autres paramètres d’un paquet de données pour autoriser ou refuser le paquet. Le firewall avec état (statefull):  Garde des traces des sessions et des connexions dans une table d’état et les décisions sont prises en fonction de ses états.  Il examine les paquets de données et si quelque chose semble anormal, ils peuvent filtrer les données suspectes.
  • 14. Types de firewall Le firewall applicatif (NGFW):  Permet de filtrer les communications jusqu’au niveau de la couche 7 du modèle OSI,  Vérifie et rejette tous les paquets qui ne respectent pas les spécifications du protocole visé,  Il utilise à la fois l’inspection stateful et l’inspection approfondie des paquets pour détecter le trafic malveillant
  • 15. Types de firewall Les caractéristiques des NGFW:  Les fonctions standard: stateful port/protocol inspection, Network Address translation, Virtual Private Network  Application identification and filtering  SSH/SSL inspection  Intrusion prevention  Identity service Integration  Malware filtering
  • 16. Quelques firewalls du marché Cisco Firewall Fortinet firewall Palo Alto Firewall Juniper Firewall Check Point Firewall Sophos Firewall
  • 17. Déploiement  Routed mode: c’est le comportement par défaut des firewalls. Dans ce mode le firewall agit comme un équipement de niveau 3 et route les paquets sur la base de sa table de routage.  Transparent mode: encore appelé mode bridge permet au firewall d’opérer au niveau 2 tout en appliquant les contrôles d’accès sur les paquets transitant entre les interfaces.
  • 18. Virtual firewall  Conçu spécifiquement pour les environnement dans lesquels il serait difficile ou impossible de déployer des firewalls matériels.  Fournit les mêmes fonctionnalités de sécurité et d’inspection que le firewall physique.  Peut être déployer sur des environnements virtualisés ou cloud.
  • 19. Security zone  Security Zone: une zone est un groupe d’une ou de plusieurs interfaces physiques ou logiques sur laquelle on peut appliquer une même politique de sécurité,  INISDE  OUTSIDE  DMZ (Demilitarized Zone)
  • 20. High Availability and clustering  La haute disponibilité ou le clustering est un déploiement dans lequel on met deux firewalls (failover) ou plus (clustering) dans un groupe et synchroniser leur configuration.  Les firewalls doivent être:  De même modèle  De même firewall mode  De même version software
  • 21. High Availability and clustering Active/standby  Un seul équipement joue le rôle de primaire et est responsable du traitement du trafic pendant que l’autre reste synchronisé et prend le relais en cas de défaillance sur le primaire. Active/Active • Permet aux deux 2 firewalls de traiter activement le trafic en même temps tout en assurant un failover en cas de panne sur l’un des équipements.
  • 22. High Availability and clustering Clustering  Regroupe plusieurs firewalls en un seul équipement logique.  Jusqu’à 16 firewalls ou modules combinés en un seul système de traitement du trafic  offre toute la commodité d’un seul équipement (management, intégration dans le réseau)  Mise à l’échelle élastique du débit et des connexions simultanées maximales  Mettre en œuvre une véritable évolutivité en plus d’une haute disponibilité
  • 23. Access control  Filtre le trafic traversant l’équipement via des access-control lists (ACLs)  Un ACL peut contenir un ou plusieurs entrées appelées ACE (Access Control Entries).  Contient un implicit deny à la fin de la liste.  Types d’ACL: Standard ACL, Extended ACL,
  • 24. Access control Standard ACL  Basé uniquement que sur la source (pas de possibilité de définir la destination)  S’applique plus proche de la destination. Extended ACL  Plus spécifique sur les ACEs avec adresse IP source et destination  S’applique généralement plus proche de la source  Possibilité d’utiliser les applications et ports pour le filtrage
  • 25. Network Address Translation  Permet la conversion d’adresse IP  Généralement utilisé pour cacher le réseau interne de l’organisation.  Types de translations d’adresse : NAT et PAT  Cisco supporte 4 méthodes de translation: ⁻ Static NAT/PAT ⁻ Dynamic NAT/PAT ⁻ Policy NAT/PAT ⁻ Identity NAT
  • 26. VPN
  • 27. VPN Un VPN est une connexion logique construit entre deux ou plusieurs devices:  Accès distant  Site à Site (LAN to LAN ou L2L) Un VPN peut être monté à différents niveau du modèle OSI et n’est pas forcement sécurisé  Layer 2: L2TP, Layer 3: MPLS, Layer 5+: SSL IPsec est l’implémentation la plus commune et sécurisée d’un VPN L3  Authentification, Confidentialité, Intégrité et protection contre le rejeu
  • 28. VPN IPsec consiste en plusieurs protocoles et standards  ISAKMP est un Framework décrivant les fonctions de base de l’IPsec pour une communication sécurisé  IKE est une implémentation de ISAKMP ⁻ Disponible en deux versions (IKEv1 et IKEv2) IPsec repose principalement sur la cryptographie (Encryption, hachage, clé asymétrique, etc.)
  • 29. VPN Autres composants du Framework IPsec  Control plane ⁻ Gestion de clé: DH, ECDH ⁻ Authentification: PSK, RSA, ECDSA  Data plane  Protocoles de sécurité: ESP, AH  Confidentialité: DES, 3DES, AES, SEAL  Intégrité et authentification de l’origine: MD5, SHA-1, SHA-2
  • 30. VPN IPsec VPN consiste en 2 phases:  Phase 1  Effectué dans un des deux modes: Main (MM) ou Aggressive (AM)  Phase 2  Quick mode (QM)  Toutes les deux phases utilisent par défaut UDP port 500 pour les négociations
  • 31. VPN La phase I consiste en 3 échanges ⁻ IKE Policy ⁻ Diffie-Hellman (DH) ⁻ Authentification  Main mode utilise 6 messages pour les 3 échanges  Le mode Aggressive requiert 3 paquets
  • 32. VPN Quick mode:  Perfect Forward Secracy (PFS)  Encryption et hachage  Trafic intéressant (Proxy Identities ou Encryption domains)  Protocole de sécurité (AH ou ESP) Tous les paramètres du mode doivent correspondre sur les deux extrémités du tunnel.
  • 34. Proxy web  Une solution avancée de filtrage de contenu Web  Protège les utilisateurs contre les attaques sur internet grâce à différentes techniques de détection.  Bloque les trafics internet des collaborateurs en non-conformité avec la politique de l’organisation.  Possibilité d’appliquer la QoS ⁻ Réservation de la bande passante ou diminution de la bande passante en fonction des sites web visités.
  • 35. Proxy web Les fonctions de base  Filtrage web  Control d’application  Protection malware  SSL Decryption  DLP et autres  Solution disponible en: Physique, Virtual et Cloud  Quelques solutions de proxy web: Cisco, Fortinet, PAN, Checkpoint, Sophos, etc.
  • 36. Proxy web Les modes de déploiement  Déploiement explicite: nécessite une intervention sur le navigateur de l’utilisateur de sorte à rediriger les trafics web à pointer vers le proxy web  Manuel  PAC (Proxy Auto-Configuration) file.  Déploiement transparente: permet la redirection du flux web des utilisateurs de façon transparente via différentes méthodes (WCCP, PBR)
  • 37. Web Application Firewall  Un pare-feu applicatif qui protège les applications web contre diverses attaques en couche applicative.  Placé avant l’application web qui doit être protéger afin d’examiner les trafics et appliquer les mesures de protection nécessaires avant qu’ils n’atteignent le server web.  Fonctionne en mode Reverse proxy et assure la première ligne de défense pour des attaques visant directement les applications web ou destinés à d’autres utilisateurs.
  • 38. Web Application Firewall  Vise principalement à contrer les vulnérabilités basés sur le top 10 OWASP (Open Web Application Security Project):
  • 39. Web Application Firewall Quelques solutions WAF: F5, Fortinet, Impervia, Qualys, Cloudflare
  • 41. NGIPS  Un système de prévention d’intrusion de nouvelle génération.  Cisco a acquis Sourcefire pour étendre ses capacités autour de la protection avancée continue contre les menaces  Règles d’intrusion basé sur Snort  Les évènements IPS peuvent être de 4 catégories : ⁻ True positive ⁻ True negative ⁻ False positive ⁻ False negative
  • 42. NGIPS  Cisco NGIPS offre la visibilité dont vous avez besoin sur votre réseau, notamment en obtenant des informations sur des périphériques et des applications.  Assure la corrélation des données de manière contextuelles  Il permet d’identifier, classifier et stopper les trafics malicieux.  Autres fonctionnalités de sécurité NGIPS: ⁻ Security Intelligence ( feeds, source Talos) ⁻ IOCs ⁻ Automated Tuning and recommandations
  • 43. NGIPS (Next Gen IPS)  Cisco propose 4 politiques d’intrusion par défaut  Balanced Security and Connectivity  Connectivity over Security  Security over Connectivity  Maximum Detection Disponible en: Appliance et Virtuel
  • 44. AMP (Advanced Malware Protection)  Cisco AMP est une solution sécurité basé sur le Cloud  Elle permet une protection avancée contre les logiciels malveillants qui va au-delà d’une détection ponctuelle pour protéger votre organisation  Offre une visibilité et un control à travers le réseau durant tout au long du continuum d’attaque:  Before  During  After
  • 45. AMP (Advanced Malware Protection)  Cisco AMP permet la détection, le blocage, l’analyse continue et l’alerte rétrospective des logiciels malveillants avec les fonctionnalités suivantes:  File reputation: AMP analyse les fichiers et bloque ou applique la politique  File sandboxing: AMP analyse les fichiers inconnus pour déterminer le comportement  File retrospection: AMP continue d’analyser les fichiers pour l’évolution des niveaux de menace  L’architecture AMP comprend trois composants principales:  AMP Cloud  AMP Client Connectors  Intelligence sources
  • 46. AMP (Advanced Malware Protection)
  • 47. AAA & Identity Management with Cisco ISE
  • 48. AAA Un Framework composé de 3 différentes fonctionnalités de sécurité  Authentication: un processus de vérification d’identité ⁻ Peut inclure plusieurs facteurs/éléments o Something you know ( ex: mot de passe) o Something you have ( ex: token) o Something you are ( ex: biometrics)  Authorization: gère l’application de la politique o Privilèges, access level/scope etc.  Accounting: permet le suivi et l’enregistrement des activités o Quand et ou
  • 49. AAA  Peut être déployé directement sur les équipements réseaux  Non évolutif,  Limité en terme de fonctionnalités  Possibilité de faire un déploiement centralisé avec le protocole RADIUS ou TACACS+
  • 50. Identity Service Engine ISE est un system de gestion d’identité nouvelle génération  Il combine les fonctions de la solution ACS, d’un NAC (Network Admission Control) et d’autres fonctionnalités  Possibilité de l’intégrer avec des bases externes comme AD, LDAP, RSA OTP Fonctionnalité avancée: ⁻ Profiling ⁻ Posture Assessment ⁻ Centralized Web Authentication (CWA) ⁻ TrustSec
  • 51. Identity Service Engine Cisco ISE Architecture et Nomenclature:  Node: Une instance individuelle qui exécuté le logiciel Cisco ISE ⁻ Physique ⁻ Virtuel  Persona/Node Type: Détermine le service fourni par un node (nœud) particulier: ⁻ Administration (PAN): Permet à disposition de l’administrateur une interface d’administration pour configurer les politiques et les configurations liées à la solution. ⁻ Monitoring (MnT): Ce Node est chargé de la collecte des messages logs de tous les autres nodes et générer des reports.
  • 52. Identity Service Engine ⁻ Policy Service (PSN): ce Node est responsable de l’application des politiques configurées depuis le PAN en terme d’accès au réseau, de provisioning, profiling, posture, et des services d’accès invité  Rôle: s’applique uniquement qu’aux nodes Administration et Monitoring ⁻ Standalone: lié au déploiement autonome et agit seul ⁻ Primary: rôle dans le déploiement distribué et sert de nœud principal pour toutes les configurations ⁻ Secondary: joue le rôle de backup cas de problème sur le nœud principal pour l’administration
  • 53. Identity Service Engine  ISE est principalement utilisé en tant que serveur AAA dans les 2 cas suivants:  Device administration
  • 54. Identity Service Engine  Network Access  802.1X est un standard définit par IEEE pour le contrôle d’accès au réseau et permettre aucune communication sur le réseau sans une identification et autorisation préalable de l’utilisateur.  Les composants fondamentales de 802.1X:  Supplicant  Authenticator  Authentication server
  • 55. Identity Service Engine  802.1X s’appui sur le EAP (Extensible Authentication Protocol)  EAP est un protocole d’authentification qui définit le transport et l’utilisation des informations d’identification (username, passwords, certificates, tokens, OTP, etc.)  EAP types peut être scindé en catégories:  Native EAP (Ex: EAP-MD5, EAP-TLS, EAP-MSCHAPv2, etc.)  Tunneled EAP (Ex: PEAP, EAP-FAST)
  • 56. Identity Service Engine Un cas d’utilisation