Rapport mise en place d'un sevrer VPN .Mouad Lousimi
A l’heure où la mobilité est un argument dans le domaine professionnel, il est nécessaire de pouvoir travailler pour son entreprise à n’importe quel endroit du monde.
Pour des raisons évidentes de sécurité, toutes les informations indispensables à une entreprise ne peuvent pas être stockées sur un serveur accessible publiquement depuis internet. Elles ne sont donc théoriquement pas accessibles depuis un réseau extérieur à celui de l’entreprise.
Rapport mise en place d'un sevrer VPN .Mouad Lousimi
A l’heure où la mobilité est un argument dans le domaine professionnel, il est nécessaire de pouvoir travailler pour son entreprise à n’importe quel endroit du monde.
Pour des raisons évidentes de sécurité, toutes les informations indispensables à une entreprise ne peuvent pas être stockées sur un serveur accessible publiquement depuis internet. Elles ne sont donc théoriquement pas accessibles depuis un réseau extérieur à celui de l’entreprise.
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Regis VPN
Ce document décrit comment configurer le dispositif de sécurité adaptatif (ASA) de la gamme Cisco 5500 pour qu'il agisse en tant que serveur VPN distant à l'aide de l'Adaptive Security Device Manager (ASDM) ou du CLI et du NAT pour le trafic entrant du client VPN. L'ASDM fournit la gestion et la surveillance de la sécurité de classe mondiale par une interface de gestion basée sur le Web, intuitive et facile à utiliser. Une fois que la configuration de Cisco ASA est complète, elle peut être vérifiée par le Client VPN Cisco.
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Pskppuichaud
Private PreShared Key - Le meilleur compromis entre sécurité et souplesse
d’utilisation pour l’accès aux réseaux Wi-Fi.
La solution brevetée Private PSK d’Aerohive combine la simplicité et la souplesse d’utilisation d’une
clé PSK avec les avantages et le niveau de sécurité associés à la technologie 802.1X.
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Regis VPN
Ce document décrit comment configurer le dispositif de sécurité adaptatif (ASA) de la gamme Cisco 5500 pour qu'il agisse en tant que serveur VPN distant à l'aide de l'Adaptive Security Device Manager (ASDM) ou du CLI et du NAT pour le trafic entrant du client VPN. L'ASDM fournit la gestion et la surveillance de la sécurité de classe mondiale par une interface de gestion basée sur le Web, intuitive et facile à utiliser. Une fois que la configuration de Cisco ASA est complète, elle peut être vérifiée par le Client VPN Cisco.
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Pskppuichaud
Private PreShared Key - Le meilleur compromis entre sécurité et souplesse
d’utilisation pour l’accès aux réseaux Wi-Fi.
La solution brevetée Private PSK d’Aerohive combine la simplicité et la souplesse d’utilisation d’une
clé PSK avec les avantages et le niveau de sécurité associés à la technologie 802.1X.
Insuffisances liées à la sécurisation de la couche transporthamadcherif22
Présentation sur les insuffisances de la couche transport. Elle souligne les lacunes de sécurité de cette couche et expose les raisons pour lesquelles des mesures doivent être mises en place pour la sécuriser.
Catalogue Routeurs 2019 de Distrimedia
Une offre large de routeurs, provenant de nos partenaires Advantech, Comtrol et Encore Networks pour toutes vos application M2M et IoT.
Basés sur la technologie 4G LTE, ce sont de véritables passerelles applicatives C#, Python, Node-Red.
Routeurs compatibles Ignition, Cumulocity, Thingworx, Microsoft Azure.
3. Introduction
L’évolution rapide des technologies sans fil a permis
l’émergence de nouveaux types de réseaux dynamiques
avec des architectures décentralisées et dont les services
sont organisés de manière autonome.
Ces spécificités sont à double tranchant, car :
Elles permettent une mise en place peu coûteuse et
rapide
Elles engendrent des difficultés lors de la conception de
certains services tels que le routage, la qualité de service, la
sécurité …
3
4. Introduction
Un réseau Mobile Ad Hoc (MANET) est un
ensemble de nœuds mobiles autonomes.
Ces entités se chargent de toutes les
fonctionnalités du réseau (routage,…).
Deux types de MANET :
Ouvert (Mondial).
Fermé (local).
4
5. Introduction
Ces réseaux deviennent plus vulnérables aux
attaques dus à :
5
L’utilisation des canaux sans fil.
L’absence d’infrastructure de
gestion.
La protection limitée des
entités.
9. Non-Coopération des nœuds
Les nœuds d’un réseau Ad Hoc doivent coopérer
pour assurer la bonne transmission des données.
Si l’un des nœuds ne coopère plus cela
provoquerais un égoïsme.
Un nœud égoïste, est un nœud qui refuse de
fournir des services pour les bienfaits des autres
nœuds, afin d’optimiser ses ressources.
9
10. Non-Coopération des nœuds
Il existe 3 type de nœuds égoïstes :
10
SN1
SN2
SN3
• Routage
• Non transfert des
paquets
• Non routage
• Non transfert
• Intervalle d’énergie
• T2 < T1 < E
• Procède
différemment
11. Non-Coopération des nœuds
Cela entraine des :
Indisponibilités de service.
Problèmes de collision.
Pénalisations des nœuds en bon fonctionnement.
11
13. Vulnérabilités des MANET
Une attaque vulnérable vise essentiellement à
compromettre la confidentialité et l'intégrité
des informations en transit.
Elle provoque une perturbation du
fonctionnement du réseau.
13
14. Vulnérabilités des MANET
Deux classes d’attaques :
14
Actives
• Une attaque active se concrétise quand
un nœud non autorisé modifie, supprime
ou fabrique des informations en transit.
• Cela conduit à une perturbation dans le
fonctionnement du réseau.
Passives
• Contrairement aux attaques actives, un
nœud non autorisé obtient l’accès aux
informations en transit sans altérer les
opérations du réseau.
16. Techniques de protection
Le principe de base est d’utiliser le degré de
réputation des nœuds.
La réputation est le niveau de participation
d’un nœud dans la retransmission des
paquets.
16
17. Techniques de protection
La première technique était d’utiliser un
système fondé sur deux composants : le chien
de garde (Watchdog) et l’évaluateur de
chemins (Pathrater) implémenté sur chaque
nœud.
Proposé par Marti et AL.
17
18. Techniques de protection
Ensuite, Buchegger et Le Boudec proposent
un système de surveillance distribué et
collaboratif CONFIDANT.
Il permet d’exclure les nœuds qui ne jouent
par leurs rôles dans les opérations de routage
Utilisation de l’historique.
18
19. Techniques de protection
Il y a aussi des schémas basés sur le crédit
(credit-based) tels un modèle de paiement.
Chaque paquet possède un crédit incrémenté par
l’émetteur.
Chaque nœud intermédiaire incrémente son
compteur pour l’émission et décrémente pour la
réception.
Les nœuds au compteur 0 n’émettent pas.
19
21. TWOACK
TWOACK une technique proposé par Balkrishnan
et AL.
Elle permet de détecter rapidement les nœuds
égoïstes ou non coopératifs.
Elle se base sur le principe d’émissions des
acquittements à 2 sauts au sens inverse de la
transmission.
21
25. TWOACK
‘A’ transmet un paquet.
Il ajoute l’ID du paquet à
List.
Reçoit un paquet TWOACK.
Vérifie l’ID et le supprime de List.
A
n1
n2
25
26. TWOACK
Si l’ID demeure dans List
plus que du Timeout, le lien
n1<-> n2 sera considéré
comme suspect.
Le compteur CMIS est alors incrémenté.
Lorsque CMIS dépasse un seuil, le lien
est considéré mauvais.
A
n1
n2
26
28. S-TWOACK
Donnent un paquet TWOACK se transmettant sur
deux sauts. En considérant les paquets TWOACK
comme n’importe quel autre paquet, ils peuvent
participer dans la congestion du réseau. S-
TWOACK a été développé afin de réduire la
transmission des paquets TWOACK.
Dans S-TWOACK, au lieu d’envoyer un paquet
TWOACK pour chaque paquet de donnée reçu,
un nœud attend jusqu’à un certain nombre de
paquet (issue du même triplet) ont été reçu, le
nœud envoie donc un paquet TWOACK pour
acquitter tous ces paquets.
28
30. Performances et Limites du
TWOACK
Performance :
A l'abri du problème de puissance de transmission limitée.
Découvre aussitôt les nœuds suspects.
Peu faire la différence entre pannes et égoïsme.
Limites :
Cette technique ne détecte pas les non-coopérations quand deux nœuds
attaquants forment une collusion.
Pénalise tout le lien.
B
n2
n3
A
n1
30
34. Conclusion
Les réseaux mobiles ad hoc (MANET) sont une zone pour la
recherche active au cours des dernières années en raison de
leur application potentiellement très répandue dans le
domaine militaire et civil.
Un tel réseau est fortement dépendant de la coopération de
l'ensemble de ses nœuds, la performance du routage peut en
être dégradée sévèrement.
Ce sujet est à améliorer en combinant différentes techniques
pour palier aux inconvénients du TWOACK
34
Actives : Ce type d’attaque peut être établit par un nœud externe du réseau.
Ou bien par un nœuds interne malicieux qui est difficile à détecter.
Supposant qu on a un ensemble de nœuds S N1 N2 ,,,, et on veu emettre un message à partir de la source S vers la déstination D, on suppose aussi que la phase de la découverte de la route a donné la route S N1 N2 N3 ,,,,,,, D;
Lorsque N1 envoie un message à N2 pour etre transmi à N3, il n a aucun moyen pour savoir si le paquet est atteint avec succès ou non. Pour cette raison, lorsque N3 reçoit un paquet de donné, il envoie un acquittement à travers des paquets appelés « twoack paquet » sur 2 saut en arrière comporatant l ID du paquet correspondant au paquet de donné reçu.
Une telle procédure sera effectuée pour chaque ensemble de trois consécutive nœuds,
N1, transmet un paquet de données le long d'un itinéraire particulier, N1→N2→N3, il ajoute l'ID du paquet à LIST sur la liste correspondante à N2→N3
Quand il reçoit TWOACK paquet, il vérifie la combinaison N2→N3, et il supprime alors l'ID de paquet de la liste correspondante. Si un ID de paquet de données reste sur LIST plus qu'un certain laps de temps, appelé timeout, le lien N2 → N3 est suspecté.
Chaque fois qu’un lien est suspecté, le compteur CMIS est augmenté d'une unité. Lorsque CMIS dépasse un certain niveau, appelé seuil, un nœud déclare le lien correspondant, N2 →N3, mauvais. Ceci conduit à l’envoie d’un paquet appelé RERR informant la source par le mauvais lien. Chaque nœud de réception ou entendant un tel paquet RERR devrait identifier le lien N2 →N3 comme mauvais. Ces liens ne seront pas choisis quand une transmission de données est effectuée plus tard.
Limites : Si deux nœuds malveillants se succèdent, l’un pourra couvrir l’autre par l’ignorance des ACK ou la génération de faux ACK).