cours admin secure 4 avril 2011
DESCRIPTION
Cours Admin Secure 4 Avril 2011 WAFA KAmoun ISITCOMTRANSCRIPT
31/03/2011
1
Administration
&
Sécurité des réseaux
Wafa KAMMOUN
1
2eme Ingénieurs
ISITCom H-SouSSe
2010 - 2011
Plan de Cours• Administration :
– Introduction à l’administration réseaux– Rappel sur les Protocoles et services IP– Administration des équipements (Firewall, routeur)– Listes ACL– Administration des serveurs DNS, DHCP– Administration SNMP (Simple Network Management Protocol),..
• Sécurité :– Introduction à la sécurité informatique– # types d’attaques (Hacking) – La cryptographie & l’authentification, – Les DMZ et Firewalls– VPN, SSL (Secure Socket Layer)
• Références:– http://www.itu.int/cybersecurity/– http://www.w3.org/P3P/– Stallings William, Sécurité des réseaux, applications et standards, Vuibert, 2002, ISBN 978-2-71-
178653
2
31/03/2011
2
Quelques définitions
• Administrateur :– Administrateur Système:
• Personne responsable de la totalité de la gestion du système informatique. Il surveille et en assure la maintenance du système de manière à garantir un fonctionnement irréprochable. Veiller au bon fonctionnement des sauvegardes.
– Administrateur réseau:• Chargé de la gestion de tout type d’équipements réseau. Il est responsable
de bon fonctionnement configuration des équipements réseau, de la répartition des droits d’accès des utilisateurs à accéder aux serveurs. Lui seul a le droit d’ajouter des utilisateurs ou d’annuler des autorisations d’accès, ainsi que l’installation du SE réseau et de la sécurité des données sur l’ensemble du réseau
3
Fonctions & Objectifs
• Administration– Administration des serveurs, Administration des équipements et des applications (FTP, Web,
courrier,..)– Déploiement, intégration, gestion des ressources réseaux mais aussi humaine– Gérer des 100 ou des 1000 d’utilisateurs dans des systèmes autonomes– Surveillance, test de performance, d’audit, de configuration du réseau– Évaluation des ressources nécessaires
• Sécurité:– Protéger le réseau contre les accès non autorisés, divulgations– Contrôle d’accès: Les pare-feux (Firewalls)– Cryptographie et authentification– Récupérer les données à la suite d’un événement catastrophique
• La sauvegarde des données sur bande magnétique (quotidienne, complète, incrémentielle,..)
• La configuration des disques de tolérance de pannes (Les techniques de redondance,..)• L’utilisation des dispositifs d’alimentation sans coupure
– Se protéger contre les attaques (virus, trojan,..)
….. Et tout ça pour un coût raisonnable !!!
4
31/03/2011
3
Buts
• Le réseau est devenu une ressource indispensable (voire vitale) au bon fonctionnement d’une entreprise,..
• L’administration du réseau met en œuvre un ensemble de moyen pour :– offrir aux utilisateurs un service de qualité
– Permettre l’évolution du système en intégrant des nouvelles fonctionnalités
– Optimiser les performances des services pour les utilisateurs
– Permettre une utilisation maximale des ressources avec un coût minimal
5
Administration = Partie opérationnelle d’un réseau
• Les fonctions d'administration doivent permettre:– l'extraction des informations des éléments du réseau au moyen
d'outils (trace)
=> récolte un grand nombre d'information,
– la réduction du volume d'information au moyen de filtres
=> sélection d'information significatives (analyser),
– le stockage des informations retenues dans une base de données d'administration,
– des traitements sur ces informations,
– offrir des interfaces (utilisateur administration, opérateur réseau).
6
31/03/2011
4
Les attendus d’une administration de réseau
• Les 5 domaines fonctionnels de l'administration tel que définis dans l'OSI:
– La gestion des pannes : permet la détection, la localisation, la réparation de pannes et le retour à une situation normale dans l'environnement.
– La comptabilité : permet de connaître les charges des objets gérés, les coûts de communication, ... Cette évaluation est établie en fonction du volume et de la durée de la transmission. Ces relevés s'effectuent à deux niveaux : Réseau et Application.
– La gestion des configurations : permet d'identifier, de paramétrer les différents objets. Les procédures requises pour gérer une configuration sont la collecte d'information, le contrôle de l'état du système, la sauvegarde de l'état dans un historique
– L'audit des performances : permet d'évaluer les performances des ressources du système et leur efficacité. Les performances d'un réseau sont évaluées à partir de quatre paramètres : le temps de réponse, le débit, le taux d'erreur par bit et la disponibilité.
– La gestion de la sécurité : une des fonctions de gestion concerne le contrôle et la distribution des informations utilisées pour la sécurité. Un sous-ensemble de la MIB (Management Information Base) concerne les informations de sécurité (SMIB). Il renferme le cryptage et la liste des droits d'accès.
7
L’organisation d’une administration
• Qui a besoin d'administration et pour quoi faire ?• Il existe différents types de décision d'administration :
– décisions opérationnelles : décision à court terme, concernant l'administration au jour le jour et opérations temps réel sur le système
– décisions tactiques : décision à moyen terme concernant l'évolution du réseau et l'application des politiques de long terme
– décisions stratégiques : décision de long terme concernant les stratégies pour le futur en exprimant les nouveaux besoins et désirs des utilisateurs.
• Ces niveaux déterminent différents niveaux d'administration:– le contrôle opérationnel réseau pour les décisions opérationnelles– la gestion réseau pour les décision tactiques– l'analyse de réseau pour les décision tactiques et stratégiques– la planification pour les décisions stratégiques
8
31/03/2011
5
Administration des réseaux
• Protocoles TCP/IP et les protocoles d’application• Principe de routage (IP,ICMP, RIP,OSPF,..)• Administration des serveurs :
– Serveur de résolution des noms, DNS– Serveur de configuration dynamique, DHCP– Serveur de transfert des fichiers, FTP– Services pour accéder à des machines distantes, Telnet– Serveur Web– Protocole d’administration réseau, SNMP
9
Les domaines d’activités
• La gestion des pannes:– Détection, localisation, isolation, réparation
• Gestion des configurations – Identification des ressources
– Installation, initialisation, paramétrage, reconfiguration.
– Collecte des informations utiles et sauvegarde d’un historique.
• Audit des performances– Évaluation: collecter les données et établir des statistiques sur les
performances (temps de réponse, taux d’utilisation, débit, taux d’erreur, disponibilité)
– Gestion de trafic : satisfaire les besoins des users (à qui attribuer un grand dédit…)
10
31/03/2011
6
Les domaines d’activités
• Gestion de la comptabilité:– Gérer la charge des ressources pour empêcher toute surcharge (congestion).
– Gérer le coût d’utilisation des ressources et les facturer
– Gérer le quota d’exploitation de la ressources ( imprimante, disques…)
• Gestion de la sécurité – But: protéger les ressources du réseau et du système d’administration
– Commet: Assurer les services de la sécurité (authentification, confidentialité, intégrité, disponibilité et non répudiation).
– Moyen : cryptographie + logiciel de supervision + audit surveillance des journaux. Exemple : sous WinNT Server (journaux d’évènements)
• Journal de sécurité
• Journal système
• Journal application
11
Administrer un réseau IP• Un réseau IP est un ensemble d’équipements:
– Possédant chacun une ou plusieurs interfaces– Reliés entre eux par des supports physiques divers– Gestion des pannes– Gestion des configurations– Audit des performances– Gestion de la sécurité
• Administrer un réseau IP:– Définir un plan d’adressage cohérent – Affecter une adresse IP à chaque interface– Mettre en œuvre le routage entre ces divers éléments
12
31/03/2011
7
Détecter un problème réseau :• PING : Permet de valider une connexion point à point
usage : ping xxx.xxx.xxx.xxx (x : adresse IP de la machine)
TRACE ROUTE : Permet de donner les chemins de communication entre deux machines usage : tracert xxx.xxx.xxx.xxx (x : adresse IP de la machine)
ARP : Permet d'obtenir l'adresse MAC (fabriquant) d'un épement usage : arp -a xxx.xxx.xxx.xxx (x : adresse IP de la machine)
NBTSTAT : Permet d'obtenir le nom de l'utilisateur connecté sur une machine usage : nbtstat -A xxx.xxx.xxx.xxx (x : adresse IP de la machine) nbtstat -a nom.domaine si l'on connait le nom de la station nbtstat -c pour afficher tout le cache
Windows NT : IPCONFIG : Affiche la configuration IP
UNIX : vmstat ps pstat · netstat · netstat -i · +Ierrs : cable ? · +Oerrs : Ctrl ? · -a send_@ != 0 : Lan Overload · -s Bad CRC != 0 : Router · !LAN>= 0 retrans : timeout <5% = ok · Et enfin pour ajouter une route: · route> add x.x.x.xequip MASK x.x.x.x sub x.x.x.xrouter -p
13
14
31/03/2011
8
Adressage IP• Une adresse IP est constituée de
deux numéros: • IP address = <network
number><host number>
• Le numéro de réseau identifie le réseau sur lequel est connecté le nœud. Ce numéro doit être unique.
• Le numéro d'hôte identifie le nœud sur le réseau en question.
– classe A : de 1 à 126
– classe B : de 128.1. à 191.254
– classe C : de 192.0.1 à 223.255.254
15
16
31/03/2011
9
Les adresses Privées
17
18
31/03/2011
10
SR & Masque de SR• Le nombre croissant de réseaux, notamment sur Internet, a fini par
poser problème, en particulier à cause de la saturation du schéma d'adressage.
• Le fractionnement d'un réseau en plusieurs réseaux permet de réduire le trafic sur chacun des réseaux ou d'isoler certains groupes de travail. – <@-IP> = <netw.nr><subnet nr><host nr> – L'échange de messages des stations situées sur deux sous-réseaux différents
ne pourra se faire directement, mais uniquement par l'intermédiaire d'un routeur.
• ExempleUne classe A avec un masque de SR: 255.255.0.0 est découpée en 254 SR de 65534 stations. – Une classe A avec un masque de SR 255.240.0.0 (11111111 11110000 00000000
00000000) est découpée en 14 SR de 1 048 574 stations (4 bits permettent de coder 16 valeurs - 2 réservées).
19
20
31/03/2011
11
21
Mise en oeuvre
• La mise en œuvre de sous-réseaux passe par les étapes suivantes: – Déterminer le nombre de sous-réseaux à adresser. – Déterminer le nombre maximum d'hôtes sur chaque sous-réseau. – Calculer le nombre de bits nécessaires pour les sous-réseaux et pour
les stations (en prévoyant les évolutions) – Positionner le masque de sous-réseau. – Lister les différents numéros de sous-réseaux possibles en éliminant
les "tout à 0" et les "tout à 1".
• Exemple :Un réseau d'adresse 160.16.0.0 est divisé en 8 SR Chacun de ces SR accueille ont au moins 1000 hôtes.
22
31/03/2011
12
Solution
• Pour adresser 8 sous-réseaux différents, il faut 8 numéros. 3 bits permettent d'adresser 6 (8-2) sous-réseaux et 4 bits permettent d'adresser 14 sous-réseaux. Il faut donc prendre cette dernière solution. Il reste dans ce cas, 12 bits pour le numéro d'hôte ce qui permet 4094 numéros d'hôtes. Le masque sera donc : – 11111111 11111111 11110000 00000000
réseau SR hôte
– soit en représentation décimale : 255.255.240.0
23
Les listes ACL
• Les listes de contrôle d’accès sont des instructions qui expriment une liste de règles, imposés par l’administrateur, donnant un contrôle supplémentaire sur les paquets reçus et transmis par le routeur.– Il ne peut y avoir qu’une liste d’accès par
protocole par interface et par sens – Une ACL est identifiable par son Nr. attribué
suivant le protocole et suivant le type.
• ACL Standard:– Permet d’autoriser ou d’interdire des @
spécifiques ou
• ACL étendu– un ensemble d’@ ou de protocoles
Type de la liste Plage Nr.
Liste d’accès standard
1 à 99
Liste d’accès étendues
100 à 199
24
31/03/2011
13
• Le routeur détermine s’il doit acheminer ou bloquer un paquet en fonction de chaque instruction de condition dans l’ordre dans lequel les instructions ont été crées
• Si le paquet arrivant à l’interface du routeur satisfait à une condition, il est autorisé ou refusé
• Si le paquet ne correspond à aucune instruction dans la liste, celui-ci est rejeté
• Le résultat de l’instruction implicite deny any• Any: n’importe quelle @ (de 0.0.0.0 à 255.255.255.255)• Host: abréviation du masque générique
– Ex: host 172.16.33.5 équivaut à 172.16.33.5 0.0.0.0
25
Liste standard, étendue..?!!
• Liste standard:– Router (config)# access-list numr-liste {permit |deny}
source {masque-source}
– Ex: access-list 1 deny 172.69.0.0 0.0.255.255
• Liste étendue:– Router (config)# access-list numr-liste {permit|deny}
protocole source {masque-source} destination {masque-desti} {opérateur opérande}[established..]
26
31/03/2011
14
Exemple:
• Réponse:• Router (config)# access-list 1 permit 205.7.5.0 0.0.0.255
• Router (config)# int e0
• Router (config-if)# access-group 1 out27
ACL qui permet à tout le réseau 205.7.5.0 l’accès au réseau 192.5.5.0;
Extrait de /etc/services :
• /etc/services :
• ftp 21/tcp
• telnet 23/tcp
• smtp 25/tcp
• mail pop3 110/tcp # Post Office
• A consulter, /etc/inetd.conf ; répertoire contient la liste des services activés sur une machine donnée
• A Voir l’Extrait de /etc/inetd.conf
28
31/03/2011
15
Les commandes ICMP• Les horloges de 2 machines qui diffèrent de manière importante
peuvent poser des problèmes pour des logiciels distribués. • Une machine peut émettre une demande d’horodatage
(timestamp request) à une autre machine susceptible de lui répondre (timestamp reply) en donnant l’heure d’arrivée de la demande et l’heure de départ de la réponse.
• L’émetteur peut alors estimer le temps de transit ainsi que la différence entre les horloges locale et distante.
• Le champ de données spécifiques comprend l’heure originale (originate timestamp) émis par le demandeur, l’heure de réception (receive timestamp) du destinataire, et l’heure de départ (transmit timestamp) de la réponse.
29
Le protocole ICMP
• Internet Control Message ProtocolTYPE 8 bits; type de messageCODE 8 bits; informations complémentairesCHECKSUM 16 bits; champ de contrôleHEAD-DATA en-tête datagramme + 64 premiers bits des données.• 15 messages utilisés
– 10 informations• Ping• Messages de routeurs• Horodatage
– 5 erreurs• Destination inaccessible• Temps dépassé• Divers• Redirection
• Utilisé par les outils applicatifs tels: ping et traceroute.
30
TYPE Message ICMPV.40 Echo Reply3 Destination Unreachable4 Source Quench5 Redirect (change a route)8 Echo Request
11 Time Exceeded (TTL)Parameter Problem with a Datagram
13 Timestamp Request14 Timestamp Reply15 Information Request
(obsolete)
31/03/2011
16
ICMP : les messages d’ erreurs
• Lorsqu’une passerelle émet un message ICMP de type destination inaccessible, le champ code décrit la nature de l’erreur :– 0 Network Unreachable– 1 Host Unreachable– 2 Protocol Unreachable– 3 Port Unreachable– 4 Fragmentation Needed and DF set– 5 Source Route Failed– 6 Destination Network Unknown– 7 Destination Host Unknown– 8 Source Host Isolated– 9 Communication with desination network administratively prohibited– 10 Communication with desination host administratively prohibited– 11 Network Unreachable for type of Service– 12 Host Unreachable for type of Service
31
Paquets ICMPv6• Utiliser l'utilitaire ping6 (équivalent à l'utilitaire ping) pour tester la présence
d'une machine sur le réseau en prenant une @IPv6
• la longueur du message ICMPv6 est limitée à 1 280 octets, afin d’éviter les problèmes de fragmentation, puisqu'il est difficilement envisageable de mettre en œuvre la découverte du MTU
32
Type message Meaning1 Destination Unreachable2 Packet Too Big3 Time Exceeded4 Parameter Problem128 Echo Request129 Echo Reply130 Group Membership Query131 Group Membership Report132 Group Membership Reduction133 Router Solicitation134 Router Advertisement135 Neighbor Solicitation136 Neighbor Advertisement137 Redirect
31/03/2011
17
Exemples de gestion des erreurs
33
Administration des serveurs• 2 types de réseaux:
– Réseau d’égal à égal: réseau pour groupe de travail et conçu pour un petit nombre de stations
• Un nombre limité d’utilisateurs• Création et exploitation peu coûteuse• Pas de nécessité de serveur dédié ou de logiciel supplémentaire
– Inconvénients: – aucun point central de gestion– Si le # des users>10 un réseau d’égal à égal est un mauvais choix– Ex: Windows for Workgroups, Win 98.
– Réseau client-serveur: gestion centralisée des utilisateurs, de la sécurité et des ressources
• Possibilité d’utiliser des serveurs dédiés pour fournir plus efficacement des ressources précises aux clients
• L’utilisateur peut avoir accès aux ressources autorisées à l’aide d’un ID réseau et d’un mot de passe
– Inconvénients:– Exploitation et maintenance exige du personnel formé– Coût d’exploitation est plus élevé que les réseaux d’égal à égal– Ex: Unix, Linux, Novell Netware et Win-NT/XP? WIN2K server, Win 2008.
34
31/03/2011
18
SécuritéWeb Virtualisation
Fondamentaux
Succession de 2003 Contient 4 piliers: built-in-web, Virtualization technologies. Peut assurer et produire une infrastructure réseau securisée avec des coûts réduits, en augmentant la flexibilité dans une organisation 35
36
• Plateformes – 32 bits (x86)
– 64 bits (x64 et IA64*)
• Versions « classique » et « Server Core** »– Web
– Standard
– Enterprise
– Datacenter* Rôles et fonctionnalités limités -
http://www.microsoft.com/windowsserver/bulletins/longhorn/itanium_bulletin.mspx
** uniquement sur Standard, Enterprise et Datacenter
31/03/2011
19
37
-Amélioration du déploiement, de la récupération et de l'installation basée sur une image source ; - Amélioration des outils de diagnostic, de supervision, de traçabilité des évènements et de rapports ; -Apport de nouvelles fonctionnalités de sécurité telles que Bitlocker (specification de protection des données, qui fournit le chiffrement par partition) et présente une amélioration du Pare-feu- permet aux ressources système d'être partitionnées de façon dynamique à l'aide du module Dynamic Hardware Partitioning (Gestion Dynamique du Partitionnement )
38
• Option d’installation minimale• Surface d’exposition réduite• Interface en ligne de commande• Ensemble de rôles restreints• Choix à l’installation !• N’est pas une plateforme applicative
Server Core - « Rôles »
Server CoreComposants Sécurité, TCP/IP, Système de fichiers, RPC,
plus d’autre sous-systèmes Core Server
DNS DHCPFile &
PrintAD
ServerAvec .Net 3.0, shell, outils, etc.
TS IAS WebServer
SharePoint Etc…
Rôles du serveur (en plus de ceux de la version Core)
GUI, Shell, IE, Media, Frame, .Net
etc.
WSV AD LDS
Media Server IIS
Il s'agit de la nouveauté la plus notable proposée par Windows Server 2008 : l’option d’installation Server Core installe uniquement le strict minimum
31/03/2011
20
39
Installation
Fondamentaux
Cette installation apporte plusieurs avantages :- Réduction tout d'abord des ressources nécessaires ; - Réduction de la maintenance et de la gestion, puisque seuls les éléments nécessaires pour les rôles définis sont à installer et configurer ; - Réduction enfin de la surface d’exposition aux attaques, directement lié au nombre réduit d’applications et services exécutées sur le serveur ;
40
Installation de Windows Server 2008
• Installation • Par fichier image (fichier .wim)
• 2 modes• Classique
• Serveur Core
• Configuration initiale• Initial Configuration Tasks
• Administration du serveur • Server Manager
• Gestion des rôles
• Gestion des fonctionnalités
31/03/2011
21
Machine serveur Core
41
peut être configurée pour assurer plusieurs rôles de base :Services de domaine Active Directory (AD DS) Services AD LDS (Active Directory Lightweight Directory Services) Serveur DHCPServeur DNSServeur de fichiersServeur d’impression Services de diffusion multimédia en continu Ainsi que les fonctionnalités facultatives suivantes :Sauvegarde Chiffrement de lecteur BitLockerClustering (grappe de serveur) avec basculement Équilibrage de la charge réseau Stockage amovible Protocole SNMP (Simple Network Management Protocol) Sous-système pour les applications UNIXClient TelnetService WINS (Windows Internet Name Service)
42
Server Manager
• Votre nouvel ami
• Rationnaliser les outils et disposer d’un outil central permettant d’ajouter, de configurer et de gérer les différents rôles et fonctionnalités du serveur
– Un seul outil pour configurer Windows Server 2008
– Portail d’administration
– Ligne de commande servermanagercmd.exe
31/03/2011
22
43
Active Directory
Fondamentaux
Objectifs: • Disposer de mécanismes permettant une installation granulaire d’Active Directory• Améliorer la prise en charge des serveurs distribués géographiquement (agences)• Optimiser la consommation de bande passante• Elever le niveau de sécurité
Active Directory Domain ServicesActive Directory Domain Controller
Active Directory Lightweight DirectoryActive Directory Application Mode
Active Directory Rights ManagementRights Management Services
Active Directory Certificate ServicesWindows Certificate Services
44
Active Directory : nomenclature
31/03/2011
23
45
Active Directory dans Windows Server 2008
• Installation– Nouvel assistant de promotion en contrôleur de domaine
• Installation automatisée améliorée
– Prise en charge du mode Server Core
• Sécurité– Authentification, autorisations et audit
– Contrôleur de domaine en lecture seule
• Performance– Réplication Sysvol différentielle
• Administration– Active Directory sous forme de service
– Editeur d’attributs
– Protection contre les suppressions accidentelles
– Administration des stratégies de groupe avec GPMC
46
• Support du server core
• Utilise les ‘crédentiels’ de l’utilisateur connecté pour la promotion
• Sélection des rôles : DNS (défaut), GC (défaut), RODC (Read OnlyDomain Controller)
• Mode avancé (/adv)• Sélection du site (par défaut : auto-détection)
• Réplication AD durant la promotion: DC particulier, n’importe quel DC, média (sauvegarde AD)
• Auto-configuration du serveur DNS
• Auto-configuration du client DNS
• Création et configuration des délégations DNS
Active Directory Domain ServicesDCPROMO dans Windows Server 2008
31/03/2011
24
47
Politique de mots de passe multiples
• Aujourd’hui la politique des mots de passe appliquée se définit pour l’ensemble du domaine– Default Domain Policy dans un AD 2000/2003
• Avec Windows Server 2008 : il devient possible de définir des politiques de comptes au niveau des utilisateurs et des groupes du domaine– Ne s’applique pas ni à l’objet ordinateur ni aux comptes locaux (utilisateurs
hors domaine)
– Nécessite un niveau fonctionnel de domaine Windows Server 2008– Le schéma doit être en version 2008
• Utilisation d’une nouvelle classe d’objets msDs-PasswordSettings
48
Hub
`
Read Only DCHub WS 2008 DC
Branch
Read-Only DCAuthentification
1
2
3
4 5
6
6
7
7
1. AS_Req vers le RODC (requête pour TGT)
2. RODC: regarde dans sa base: “Je n’ai pas les crédentiels de
l’utilisateur"
3. Transmet la requête vers un Windows Server 2008 DC
4. Windows Server 2008 DC authentifie la demande
5. Renvoi la réponse et la TGT vers le RODC (Hub signed TGT)
6. RODC fournit le TGT à l’utilisateur et met en queue une demande de réplication
pour les crédentiels
7. Le Hub DC vérifie la politique de réplication des mots de
passe pour savoir s’il peut être répliqué
31/03/2011
25
49
Administration du Serveur
Fondamentaux
• Objectifs: • Rationaliser les outils d’administration• Elargir les possibilités offertes en terme d’administration
locale et distante• Déployer plus rapidement de nouveaux systèmes (postes
et serveurs)
50
Administration et Windows Server 2008• Le Server Manager• Windows PowerShell• Active Directory redémarrable• Administrateurs locaux sur RODC• Stratégies de groupes (GPO) (GPMC, admx/adml)• Journaux et structure des événements• Planificateur de tâches• Administration Windows à distance WinRM• Sauvegarde / restauration• Outils de diagnostics• Outils en ligne de commande
31/03/2011
26
51
Server Core - Administration
• Locale ou distante en ligne de commande– Outils basiques– WinRM et Windows Remote Shell pour l’exécution à distance– WMI et WMIC (locale et à distance)
• Terminal Services (à distance)• Microsoft Management Console (à distance)
– RPC, DCOM
• SNMP• Planificateur de tâches• Evénements et transfert d’événements• Pas de support du code managé donc pas de support de
Windows PowerShell
52
Services de déploiement Windows(Windows Deployment Services)
• Solution de déploiement pour Windows Server 2008• Nouvelles technologies : WIM, IBS, WinPE
• Ensemble d’outils pour personnaliser l’installation• Démarrage à distance d’un environnement de pré-installation
(WinPE)• Notion de serveur PXE• Support du multicast
• Administration graphique et en ligne de commande• Wdsutil.exe
31/03/2011
27
Domain Name System :DNS
• Pourquoi un système de résolution des noms ?– Communications sur l’Internet basées sur les adresses IP– Communications «humaines» basées sur des noms – Besoin d’un mécanisme pour faire correspondre des adresses IP avec
des noms d’hôtes => service DNS• Domain Name System (DNS)
– Base de données hiérarchique distribuée• Le système DNS permet d’identifier une machine par un nom
représentatif de la machine et du réseau sur lequel elle se trouve.
• Le système est mis en œuvre par une base de données distribuée au niveau mondial.
• DNS fournit un niveau d’adressage indirect entre un nom d’hôte et sa localisation géographique
53
Fonctionnalités du service DNS
• Espace des noms de domaines = arborescence hiérarchique– Arborescence indépendante de la topologie réseau et|ou de la géographie
• Architecture de stockage distribuée– Zones affectées à des serveurs de noms dans l’arborescence hiérarchique– Serveurs de sauvegarde pour la redondance et la disponibilité
• Administration répartie suivant la hiérarchie des noms– Rôle le plus simple : client DNS ou ’Resolver’
• Protocole client/serveur communicant sur le port n° 53– Protocole UDP utilisé par les clients– Protocole TCP préconisé pour les échanges entre serveurs
54
31/03/2011
28
Hiérarchie des noms de domaines
• Arborescence limitée à 128 niveaux• Un domaine est un sous-ensemble de l’arborescence• Aucune possibilité de doublon
– hôte : cooper, domaine : ups-tlse, gTLD : fr– Fully Qualified Domain Name : cooper.ups-tlse.fr
• Conventions sur les noms de domaines• Top Level Domains (TLD)
– .com, .net, .org, .edu, .mil, .gov, .int, .biz
• Geographical Top Level Domains (gTLD)– .tn, .de, .fr, .uk, .jp, .au
• Nom du Domain: chaque nœud possède une étiquette (label): max 63 caract.– Hôte: correspond à une machine
55
DNS
• Hiérarchie des serveurs• Serveurs «distribués» dans l’arborescence hiérarchique
– Un serveur ne maintient qu’un sous-ensemble de l’arborescence– On parle d’autorité sur une zone : ’Authoritative Name Server’
• Chaque serveur contient tous les enregsitrements d’hôtes dans «sa» zone– Enregistrement = Resource Record (RR)
• Chaque serveur a besoin de connaître les autres serveurs responsables des autres parties de l’arborescence– Chaque serveur connaît la liste des ’Root Servers’– Chaque ’Root Server’ connaît tous les TLDs et gTLDs– Un serveur racine peut ne pas connaître le serveur qui a autorité sur une
zone– Un serveur racine peut connaître un serveur intermédiaire à contacter
pour connaître le serveur qui a autorité sur une zone
56
31/03/2011
29
Exemple de requête DNS• Requête du poste Asterix : Adresse IP du site
www.stri.net ?– Asterix contacte le serveur local Cooper.ups-
tlse.fr– Cooper.ups-tlse.fr contacte un serveur racine :
J.ROOT-SERVERS.NET– J.ROOT-SERVERS.NET contacte un serveur du
domaine ’.net’ : G.GTLD-SERVERS.NET– G.GTLD-SERVERS.NET contacte le serveur qui a
autorité sur la zone ’stri.net’ : full1.gandi.net– Cooper.ups-tlse.fr renvoie la réponse vers Asterix
• Gestion du cache– Cooper.ups-tlse.fr conserve la réponse dans son
cache– Cooper.ups-tlse.fr répond directement à toute
nouvelle requête DNS www.stri.net
57
• En mode interactif, on peut sélectionner le type de requête à l'aide de la commande « set type=RR ». Exemple: « nslookup www.univ-evry.fr 194.199.90.1 »
• En mode non interactif, on le précise avec l'option « -query-type=RR ». – Exemple: pour obtenir les serveurs dns de la zone univ-evry.fr: « nslookup -query-
type NS univ-evry.fr ». • Le tableau suivant,extrait de la documentation de windows Xp indique les
types possibles :– A Spécifie l'adresse IP d'un ordinateur.– ANY Spécifie tous les types de données.– CNAME Spécifie un nom canonique d'alias.– GID Spécifie un identificateur de groupe d'un nom de groupe.– HINFO Spécifie le type de système d'exploitation et d'unité centrale d'un
ordinateur.– MB Spécifie un nom de domaine d'une boîte aux lettres.– MG Spécifie un membre d'un groupe de messagerie.– MINFO Spécifie des informations sur une liste de messagerie ou une boîte aux
lettres.– MR Spécifie le nom de domaine de la messagerie renommée.– MX Spécifie le serveur de messagerie.– NS Spécifie un serveur de noms DNS pour la zone nommée.
• Exercice: Utilisez la commande nslookup pour obtenir les informations correspondant au nom de la machine qui a comme adresse ip 192.168.202.2
58
31/03/2011
30
• FQDN : Full Qualified Domain NameLe nom complet d'un hôte, sur l'Internet, c'est-à-dire de la machine jusqu'au domaine, en passant par les sous-domaines.
• URL : Uniform Resource LocatorC'est la méthode d'accès à un document distant. Un lien hypertexte avec une syntaxe de la forme:<Type de connexion>://<FQDN>/[<sous-répertoire>]/.../<nom du document>Exemple: http://www.ac-aix-marseille.fr/bleue/francais/nouveau.htm– http: Hyper Text Transfert Protocol
– www.ac-aix-marseille.fr: FQDN du serveur de pages personnelles
– /bleue/francais/: arborescence de répertoires
– nouveau.htm: nom du document.
• URI : Universal Resource Identifier.c'est la même chose que l'URL. Le W3C (World Wide Web Consortium), garant de l'universalité de l'Internet, voudrait voir abandonner URL au profit d'URI. Notez la très subtile divergence de sens, qui vaut bien, le changement.
59
DNSSEC• Implémentation de DNSSEC sous Windows 2008
serveur coté serveur:– Distribution des « trust anchors » ;
– Déploiement des certificats pour les serveurs DNS ;
– Déploiement de la politique de sécurité d’IPSEC sur le Serveur DNS ;
– Déploiement de la politique de sécurité d’IPSEC sur un poste client
• http://www.labo-microsoft.org/articles/DNSSECPRES/3/Default.asp– Déployer les certificats pour l’authentification du Serveur DNS
60
31/03/2011
31
Dynamic Host Configuration Protocol
• Objectifs : obtenir automatiquement tous les paramètres de configuration réseau– @ IP– Adresse de diffusion– Masque réseau– Passerelle par défaut– Domaine DNS– Adresse IP du serveur de noms DNS
• Dynamic Host Configuration Protocol (DHCP)– Service Internet => couche application– RFCs 2131 et 2132 en 1997– Communications sur les ports UDP 67 (côté client) et le 68
(côté serveur)
61
DHCP
• L’ @ IP est allouée selon les critères suivants:– Ne pas être déjà allouée à une autre station
– La même station reçoit toujours la même adresse
– Cette adresse est allouée pendant une période déterminée (bail)
– Le client vérifie la validité de l’@
62
31/03/2011
32
DHCP Discover
63
Client DHCP envoie une trame "DHCPDISCOVER", destinée à trouver un serveur DHCP. Cette trame est un "broadcast", donc envoyé à l'adresse 255.255.255.255. N'ayant pas encore d‘@ IP, il fournit aussi son @ MAC
Les Commandes DHCP• Client DHCP envoie une trame "DHCPDISCOVER", destinée à trouver un serveur
DHCP. Cette trame est un "broadcast", donc envoyé à l'adresse 255.255.255.255. N'ayant pas encore d‘@ IP, il fournit aussi son @ MAC
• Le serveur DHCP qui reçoit cette trame va répondre par un "DHCPOFFER". Cette trame contient une proposition de bail et la @-MAC du client, avec également l‘@ IP du serveur.
• Le client répond par un DHCPREQUEST au serveur pour indiquer qu’il accepte l’offre
• Le serveur DHCP Concerné répond définitivement par un DHCPACK qui constitue une confirmation du bail. L'adresse du client est alors marquée comme utilisée et ne sera plus proposée à un autre client pour toute la durée du bail.
64
31/03/2011
33
Serveur DHCP
• Le serveur DHCP maintient une plage d‘@ à distribuer à ses clients. Il tient à jour une BD des @ déjà utilisées et utilisées il y a peu (c.a.d que l'on récupère souvent la même @, le DHCP ayant horreur des changements )
• Lorsqu'il attribue une adresse, il le fait par l'intermédiaire d'un bail. Ce bail a normalement une durée limitée
• Après expiration du bail, ou résiliation par le client, les informations concernant ce bail restent mémorisées dans la BD du serveur pendant un certain temps. Bien que l'adresse IP soit disponible, elle ne sera pas attribuée en priorité à une autre machine. C'est ce qui explique que l'on retrouve souvent la même adresse d'une session à l'autre.
65
Détails sur le bail
• Dans le bail, il y a non seulement une @ IP pour le client, avec une durée de validité, mais également d'autres informations de configuration comme:– L‘@ d'un ou de plusieurs DNS (Résolution de noms)
– L‘@ de la passerelle par défaut
– L‘@ du serveur DHCP
• le client peut renouveler le bail, en s'adressant directement au serveur qui le lui a attribué. Il n'y aura alors qu'un DHCPREQUEST et un DHCPACK.
66
31/03/2011
34
Avantages
• L'avantage de DHCP réside essentiellement dans la souplesse de configuration des hôtes : – allocation dynamique des adresses avec réduction
des risques de conflit
– définition d'un nombre important de paramètres (masque de SR, passerelle par défaut...)
– possibilité d'avoir plus d'hôtes que d'adresses.
67
Inconvénients
• Sur un réseau constitué de plusieurs SR, interconnecté par des routeurs, DHCP présente une limitation d'utilisation. Le mécanisme de fonctionnement utilise des broadcasts qui ne passent pas les routeurs.
• Puisque requête de diffusion ne passe pas par un routeur, un client DHCP ne pourra pas recevoir d'adresse DHCP d'un serveur situé derrière un routeur.
• Dans ce cas: – installer un serveur DHCP par SR
– installer un agent relais DHCP. Un agent relais DHCP présent sur le réseau du poste client peut transmettre la requête au(x) serveur(s) DHCP
68
31/03/2011
35
Accès à distance Telnet
• Protocole très utilisé pour l’accés à distance (tests d’application réparties, tests de fonctionnement en mode manuel des protocoles HTTP, SMTP,..)
• Permet de se connecter à une machine distante• Accès à distance Telnet:
– Le client Telnet transmet les caractères entrés sur le terminal local vers le serveur distant
– Le fonctionnement est bidirectionnel: on supporte le même échange dans les 2 sens
– Ex: Client Telnet :• Telnet <site distant> <port>Telnet 192.168.19.100 23 commande permet la création d’une connexion
TCP avec le serveur de la machine distanteLe serveur Telnet: Le serveur s’exécute sur la machine distante sinon le service n’est
pas disponible
69
TCPIP
Client Telnet
TCPIP
Serveur Telnet
SNMP (Simple Network Management Protocol)
SNMP permet de:
Visualiser une quantité impressionnante
d’informations concernant le matériel, les
connexions réseau, leur état de charge.
Modifier le paramétrage de certains composants.
Alerter l’administrateur en cas d’événement
grave.
70
31/03/2011
36
Le concept SNMP• Protocole d'administration de machine
supportant TCP/IP– Conçu en 87-88 par des administrateurs
de réseau• Permet de répondre à un grand
nombre de besoins :– disposer d'une cartographie du réseau– fournir un inventaire précis de chaque
machine– mesurer la consommation d'une
application– signaler les dysfonctionnements
• Avantages :– protocole très simple, facile d'utilisation– permet une gestion à distance des
différentes machines– le modèle fonctionnel pour la
surveillance et pour la– gestion est extensible– indépendant de l'architecture des
machines administrées71
Le Modèle SNMP
• L'utilisation de SNMP suppose que tous les agents et les stations d'administration supportent IP et UDP.– Ceci limite l'administration de certains périphériques qui
ne supportent pas la pile TCP/IP. De plus, certaines machines (ordinateur personnel, station de travail, contrôleur programmable, ... qui implantent TCP/IP pour supporter leurs applications, mais qui ne souhaitent pas ajouter un agent SNMP.
=> utilisation de la gestion mandataire (les proxies)
• Un protocole activé par une API permet la supervision, le contrôle et la modification des paramètres des éléments du réseau.
72
31/03/2011
37
Le modèle SNMP
• Une administration SNMP est composée de trois types d'éléments:– La station de supervision (appelée aussi manager) exécute les applications de
gestion qui contrôlent les éléments réseaux. Physiquement, la station est un poste de travail. Station de gestion capable d’interpreter les données
– La MIB (Management Information Base) est une collection d'objets résidant dans une base d'information virtuelle. Ces collections d'objets sont définies dans des modules MIB spécifiques.
– Le protocole, qui permet à la station de supervision d'aller chercher les informations sur les éléments de réseaux et de recevoir des alertes provenant de ces mêmes éléments.
73
74
31/03/2011
38
Les types de requêtes:
• 4 types de requêtes: GetRequest, GetNextRequest, GetBulk, SetRequest.– La requête GetRequest permet la recherche d'une variable sur un agent.
– La requête GetNextRequest permet la recherche de la variable suivante.
– La requête GetBulk permet la recherche d'un ensemble de variables regroupées.
– La requête SetRequest permet de changer la valeur d'une variable sur un agent.
• Les réponses de SNMPÀ la suite de requêtes, l'agent répond toujours par GetResponse. Toutefois si la variable demandée n'est pas disponible, le GetResponse sera accompagné d'une erreur noSuchObject.
• Les alertes (Traps, Notifications)Les alertes sont envoyées quand un événement non attendu se produit sur l'agent. Celui-ci en informe la station de supervision via une trap. Les alertes possibles sont: ColdStart, WarmStart, LinkDown, LinkUp, AuthentificationFailure.
75
Les commandes SNMP
76
• Les commandes get-request, get-next-request et set-request sont toutes émises par le manager à destination d'un agent et attendent toutes une réponse get -response de la part de l'agent. • La commande trap est une alerte. Elle est toujours émise par l'agent à destination du manager, et n'attend pas de réponse.
31/03/2011
39
MIB• La MIB (Management Information base) est la base de données des
informations de gestion maintenue par l'agent, auprès de laquelle le manager doit s’informer.
• 2 MIB publics ont été normalisées: MIB I et MIB II
• Un fichier MIB est un document texte écrit en langage ASN.1 (Abstract Syntax Notation 1) qui décrit les variables, les tables et les alarmes gérées au sein d'une MIB.
• La MIB est une structure arborescente dont chaque nœud est défini par un nombre ou OID (Object Identifier).Elle contient une partie commune à tous les agents SNMP d'un même type de matériel et une partie spécifique à chaque constructeur. Chaque équipement à superviser possède sa propre MIB.
77
Structure de la MIB
78
31/03/2011
40
La MIB (Management Information Base)
• MIB = Collection structurée d’objets– chaque noeud dans le système doit
maintenir une MIB qui reflète l'état des ressources gérées
– une entité d'administration peut accéder aux ressources du noeud en lisant les valeurs de l'objet et en les modifiant.
79
L’arborescence MIB:Les informations stockées dans la MIB sont rangées dans une arborescence. MIB dispose d'objets supplémentaires.Elle constitue une branche du groupe iso.org.dod.internet.mgmt.
Groupe Commentaires
system Informations générales sur le système.
interfaces Informations sur les interfaces entre le systèmes et les sous-réseaux.
at Table de traduction des adresses entre internet et les sous-réseaux.
ip Informations relatives à l'implantation et à l'éxécution d'IP (Internet Protocol).
icmp Informations relatives à l'implantation et à l'éxécution de ICMP (Internet Control Message Protocol).
tcp Informations relatives à l'implantation et à l'éxécution de TCP (Transmission Control Protocol).
udp Informations relatives à l'implantation et à l'éxécution de UDP (User Datagram Protocol).
egp Informations relatives à l'implantation et à l'éxécution de EGP (Exterior Gateway Protocol).
transmission Informations sur la transmission et sur les protocoles utilisés par chaque interface.
snmp Informations relatives à l'implantation et à l'éxécution de SNMP.80
31/03/2011
41
Object identifier• Les variables de la MIB-2 sont identifiées par le chemin
dans l'arborescence, noté de deux façons: • à l'aide des noms de groupes : iso.org.dod
• à l'aide des numéros des groupes: 1.3.6.
• Les identifiants sont définis à l'aide du langage SMI. Ex:
Définition SMI Notation par "point" Notation par nom
mgmt OBJECT IDENTIFIER ::= { internet 2 } 1.3.6.1.2 iso.org.dod.internet.mgmt
mib OBJECT IDENTIFIER ::= { mgmt 1 } 1.3.6.1.2.1 iso.org.dod.internet.mgmt.mib
interfaces OBJECT IDENTIFIER ::= { mib 2 } 1.3.6.1.2.1.2
iso.org.dod.internet.mgmt.mib.interface
81
Ex: On utilisera l'OID (Object Identification) qui désigne l'emplacement de la variable à consulter dans la MIB. On aura par ex. sur un commutateur Nortel Passport l'OID .1.3.6.1.4.1.2272.1.1.20 désignant le taux de charge du CPU.
Fonctions assurées
Primitives Descriptions
GetRequest le manager demande une information à l'agent
GetNextRequest le manager demande l'information suivante à l'agent
SetRequest le manager initialise une variable de l'agent
GetResponse l'agent retourne l'information à l’administrateur
Trap interruption - l'agent envoie une information à l’administrateur82
31/03/2011
42
83
La sécurité des réseaux
84
31/03/2011
43
Introduction à la sécurité
• La sécurité d'un réseau est un niveau de garantie que l'ensemble des machines du réseau fonctionnent de façon optimale et que les utilisateurs possèdent uniquement les droits qui leur ont été octroyés
• Il peut s'agir : – d'empêcher des personnes non autorisées d'agir sur le système
de façon malveillante – d'empêcher les utilisateurs d'effectuer des opérations
involontaires capables de nuire au système – de sécuriser les données en prévoyant les pannes – de garantir la non-interruption d'un service
85
Les causes d’insécurité
• On distingue généralement deux types d'insécurité : – l'état actif d'insécurité: la non-connaissance par
l'utilisateur des fonctionnalités du système, dont certaines pouvant lui être nuisibles (ex: la non-désactivation de services réseaux non nécessaires à l'utilisateur), ou lorsque l'administrateur (ou l'utilisateur) d'un système ne connaît pas les dispositifs de sécurité dont il dispose
– l'état passif d'insécurité
86
31/03/2011
44
Menaces de sécurité
• Attaques passives: • Capture de contenu de message et analyse de trafic
• écoutes indiscrètes ou surveillance de transmission
• Attaques actives: • Mascarade,
• modifications des données,
• déni de service pour empêcher l’utilisation normale ou la gestion de fonctionnalités de communication
87
Le but des agresseurs
• Les motivations des agresseurs que l'on appelle "pirates" peuvent être multiples : – l'attirance de l'interdit
– le désir d'argent (ex: violer un système bancaire)
– le besoin de renommée (impressionner des amis)
– l'envie de nuire (détruire des données, empêcher un système de fonctionner)
• Le but des agresseurs est souvent de prendre le contrôle d'une machine afin de pouvoir réaliser les actions qu'ils désirent. Pour cela il existe différents types de moyens : – l'obtention d'informations utiles pour effectuer des attaques
– utiliser les failles d'un système
– l'utilisation de la force pour casser un système
88
31/03/2011
45
Le Hacking (attaques)• C’est l’ensemble des techniques visant à attaquer un réseau un site
ou un équipement• Les attaques sont divers on y trouve:
– L’envoie de bombe logiciel, chevaux de Troie– La recherche de trou de sécurité– Détournement d’identité– Les changements des droits d’accès d’un utilisateur d’un PC– Provocation des erreurs
• Les buts d’un Hacker:– La vérification de la sécurisation d’un système– La vol d’informations, terrorisme (Virus), espionnage– Jeux; pour apprendre
• Les attaques et les méthodes utilisées peuvent être offensives ou passives:– Les attaques passives consistent à écouter une ligne de communication et à interpréter les
données qu’ils interceptent et Les attaques offensives peuvent être regrouper en :– Les attaques directes: c’est le plus simple des attaques, le Hacker attaque directement sa victime à
partir de son ordinateur. Dans ce type d’attaque, il y a possibilité de pouvoir remonter à l’origine de l’attaque et à identifier l’identité du Hacker
– Les attaques indirectes (par ruban): passif, cette attaque présente 2 avantages:– Masquer l’identité (@ IP du Hacker)– Éventuellement utiliser les ressources du PC intermédiaire
89
Les Menaces: Contexte général
90
31/03/2011
46
Attaques,services et mécanismes
• L’administrateur doit tenir compte des 3 aspects de la sécurité de l’information:– Service de sécurité: pour contrer les attaques de sécurité et
améliorer la sécurité des SI
– Mécanisme de sécurité: pour détecter, prévenir ou rattraper une attaque de sécurité
• Usage des techniques cryptographiques
– Protéger contre Attaque de sécurité: une action qui compromet la sécurité de l’information possédé par une organisation
• Obtenir un accès non-autorisé, modifier,
91
Les menaces
92
31/03/2011
47
93
Même le site de CIA a été attaqué …!
94
Même …..
31/03/2011
48
95
Problèmes de sécurité
• Les problèmes de sécurité des réseaux peuvent être classés en 4 catégories:– La confidentialité: seuls les utilisateurs autorisés peuvent
accéder à l’information
– Contrôle d’intégrité: comment être sûr que le message reçu est bien celui qui a été envoyé (celui-ci n’a pas été altéré et modifié)
– L’authentification: avoir la certitude que l’entité avec laquelle on dialogue est bien celle que l’on croit
– Non-répudiation: concerne les signatures
96
31/03/2011
49
Objectifs de la sécurité
• Identification indique qui vous prétendez être (username)• Authentification valide l’identité prétendue (password)• Autorisation détermine les actions et ressources
auxquelles un utilisateur identifié et autorisé a accès• Non-répudiation garantie qu’un message a bien été
envoyé par un émetteur authentifié• Traçabilité permet de retrouver les opérations réalisées
sur les ressources (logs)
97
Les services de sécurité
– Confidentialité des messages transmis: est la protection contre les attaques passives
– Authentification des interlocuteurs: pour assurer que le destinataire reçoive le msg d’origine émis par la source
– Intégrité et non répudiation des messages: assure que les messages envoyés seront aussitôt reçus sans duplication ni modification
– Non-répudiation: empêche tant l’expéditeur que le receveur de nier avoir transmis un message. Ainsi que le message envoyé a été bien reçu
– Disponibilité et contrôle d’accès (les personnes doivent pouvoir s’échanger des messages): est la faculté de limiter et de contrôler l’accès aux systèmes et aux applications (droits d’accès)
98
31/03/2011
50
• confidentialité : Protection de l’information d’une divulgation non autorisée
• l'intégrité : Protection contre la modification non autorisée de l’information
• Disponibilité : S’assurer que les ressources sont accessibles que par les utilisateurs légitimes
• Authentification– Authentification des entités (entity authentication) procédé permettant à une
entité d’être sûre de l’identité d’une seconde entité à l’appui d’une évidence corroborante (certifiant, ex.: présence physique, cryptographique, biométrique, etc.). Le terme identification est parfois utilisé pour désigner également ce service.
– Authentification de l’origine des données (data origine authentication) procédé permettant à une entité d’être sûre qu’une deuxième entité est la source original d’un ensemble de données. Par définition, ce service assure également l’intégrité de ces données.
• non-répudiation: Offre la garantie qu’une entité ne pourra pas nier être impliquée dans une transaction
• Non-Duplication: Protection contre les copie illicites
99
Dangers et AttaquesServices Dangers Attaques
Confidentialité fuite d’informations masquerade, écoutes
illicites, analyse du trafic
Intégrité modification de
l’information
création, altération ou
destruction illicite
Disponibilité denial of service,
usage illicite
virus, accès répétés visant à
inutiliser un système
Auth. d’entités accès non autorisés masquerade, vol de mot de
passe, faille dans le
protocole d’auth.
Auth. de
données
falsification
d’informations
falsification de signature,
faille dans le protocole
d’auth.
Non-répudiation nier la participation à
une transaction
prétendre un vol de clé ou
une faille dans le protocole
de signature
Non-duplication duplication falsification, imitation
100
31/03/2011
51
Services Mécanismes classiques Mécanismes digitaux
Confidentialité scellés, coffre-forts,
cadenas
cryptage, autorisation
logique
Intégrité encre spéciale,
hologrammes
fonctions à sens unique +
cryptage
Disponibilité contrôle d’accès physique,
surveillance vidéo
contrôle d’accès logique,
audit, anti-virus
Auth. d’entités présence, voix, pièce
d’identité, reconnaissance
biométrique
secret + protocole d’auth.,
adresse réseau + userid
carte à puce + PIN
Auth. de
données
sceaux, signature, empreinte
digitale
fonctions à sens unique +
cryptage
Non-
répudiation
sceaux, signature, signature
notariale, envoi
recommandé
fonctions à sens unique +
cryptage + signature digitale
Non-
duplication
encre spéciale,
hologrammes, tatouage
tatouage digital
(watermarks), verrouillage
cryptographique 101
Mécanismes de protection
Problématique: Authentification
102
But: Bob veut prouver son identité à Alice rencontre physique : son apparence au téléphone : sa voie à la douane : son passeport
Intégrité des messages Signatures électroniques
31/03/2011
52
Cryptographie:
La science du secret !!
103
Cryptographie
• Définition– Science du chiffrement
– Meilleur moyen de protéger une information = la rendre illisible ou incompréhensible
• Bases– Une clé = chaîne de nombres binaires (0 et 1)
– Un Algorithme = fonction mathématique qui va combiner la clé et le texte à crypter pour rendre ce texte illisible
104
31/03/2011
53
Encryption Process
105
Quelques définitions
• Cryptage: permet l’encodage des informations. Il interdit la lecture d’informations par des personnes non autorisées
• On distingue 2 procédés de cryptage:– Procédés de transposition, qui modifie la succession des
caractères à l’aide d’un algorithme.– Procédés de substitution, qui remplace les caractères
d’origine par d’autres prélevés dans une liste– Règle ou clé de cryptage s’appelle Code– Ex: PGP (Pretty Good Privacy): progr. Destiné au cryptage
des messages électroniques (conçu par Philip Zimmermann 1991)
• Cryptanalyse: analyse de données cryptées106
31/03/2011
54
Application de la cryptographie
• Commerce électronique
• Protection de la confidentialité de correspondance
• Protection des bases de données contre les intrusions et la dé vulgarisation à des tiers non autorisés
• Transmission sécurisée des données sensibles à travers les réseaux internationauxPreuve informatique: Identification et authentification
107
Cryptographie
• Ensemble de processus de cryptage visant à protéger les données contre l’accès non autorisés
• Repose sur l’emploi des formules mathématiques et des algorithmes complexes afin de coder l’information
• Il existe 2 systèmes de cryptographie:– Les systèmes symétriques: la même clé utilisé pour coder et
décoder (DES: Data Encryption standard))
– Les systèmes asymétriques: la clé qui sert à coder est différente de celle qui peut déchiffrer (RSA:Rivest Shamir Adelmann 77)
108
31/03/2011
55
Principe de cryptage
• Tout système de cryptage est composé d’un algorithme de codage
• La Crypt. nécessite 2 fonctions essentielles:– Le message M est crypté par une fonction de cryptage
E(M)=C
– Le cryptogramme C est décrypté par le destinataire par une fonction de décryptage D(C)=D(E(M)) = M
109
Système de chiffrement• Définition: Un système de chiffrement ou crypto système est un 5-
tuple (P,C,K,e,D) ayant les propriétés suivantes:– 1. P est un ensemble appelé l’espace des messages en clair. Un
élément de P s’appelle message en clair (Plaintext)– 2. C est un ensemble appelé l’espace des messages chiffrés. Un
élément de C s’appelle un message chiffré ou cryptogramme (cyphertext)
– 3. K est un ensemble appelé l’espace des clés, ses éléments sont les clés.
– 4. e={ek : k Є K } est une famille de fonctions: • ek : P C, ses éléments sont les fonctions de chiffrement
– 5. D={Dk : k Є K } est une famille de fonctions• Dk : C P, ses éléments sont les fonctions de déchiffrement
– 6. A chaque clé e Є K est associé une clé d Є K/
• D d (ee(p))=p pour tout message p Є P110
31/03/2011
56
• Alice utilise un système de chiffrement pour envoyer un message confidentiel m à Bob. Elle utilise la clé de chiffrement e et Bob utilise la clé de déchiffrement d qui lui correspond.
• Alice calcule C= Ee(m) et l’envoie à Bob qui reconstitue m= Dd(C), en gardant la clé de chiffrement secrète
– Ex: l’alphabet: A B C … Z et 0 1 2 … 25 – Correspondance entre lettres et nombres, la fonction de
chiffrement Ee associé à e Є Z26 est:• Ee: x (x+e) mod 26
• Dd: x (x-d) mod 26 lorsque d=e cryptage symétrique.
– Exemple: En appliquant le chiffre de César, au mot CRYPTOGRAPHIE, la clé e = 5, fournit le cryptogramme suivant : HWDUYTLWFUMNJ qui est facile à casser.
111
CryptographieChiffrement Symétrique
• Les Algorithmes utilisant ce système :– DES (Data Encryption Standard, très répandu) : les données sont
découpées en blocs de 64 bits et codées grâce à la clé secrète de 56 bits propre à un couple d’utilisateurs
– IDEA, RC2, RC4
• Avantage :– Rapide
• Inconvénients : – Il faut autant de paires de clés que de couples de correspondants – La non-répudiation n’est pas assurée. Mon correspondant possédant
la même clé que moi, il peut fabriquer un message en usurpant mon identité
– Transmission de clé112
31/03/2011
57
Ex. de Chiffrement à clé symétrique
• Encryptage par substitution– Époque romaine (Code de César)
• Texte en clair : abcdefghijklmnopqrstuvwxyz
• Texte crypté : mnbvcxzasdfghjklpoiuytrewq
113
Exemple :Texte en clair: bob. i meat you. aliceTexte crypté: nkn. s hcmu wky. mgsbcDifficulté ?1026 combinaisons possibles.... mais par l'utilisation de règles statistiqueson trouve facilement la clé ...... naissance il y a 500 ans du chiffrement polyalphabétique
Algorithmes de cryptographie• Par substitution
– On change les lettres suivant une règle précise (ex: A → D la clé est : 3)
• Par Transposition– La position des caractères est
modifiée. Pour crypter un message on l’écrit en colonne de taille fixe et on lit les colonnes
– Ex: Nombre de colonne ici 6– Texte crypté:
TRLFAOREFMDSNZOCAZIASPZTNU..
B R I Q U E S1 5 3 4 7 2 6T R A N S F ER E Z U N M IL L I O N D EF R A N C S DA N S M O N CO M P T E Z ER O Z E R O SE P T A B C D
114
31/03/2011
58
Table de Vigenère
115
Exemple
116
C R Y P T O G R A P H I EM A T M A T M A T M A T MO ? ? ? ? ? ? ? ? ? ? ? ?
31/03/2011
59
Chiffrement de Vigenère• Le chiffre de Vigenère est la première méthode de chiffrement
poly alphabétique, c'est à dire qui combine deux alphabets pour crypter une même lettre.
• Ce chiffrement introduit la notion de clé, qui se présente généralement sous la forme d'un mot ou d'une phrase. Pour pouvoir chiffrer notre texte, à chaque caractère nous utilisons une lettre de la clé pour effectuer la substitution
• Mathématiquement, on considère que les lettres de l'alphabet sont numérotées de 0 à 25 (A=0, B=1 ...). La transformation lettre par lettre se formalise simplement par :– Chiffré = (Texte + Clé) mod 26
117
Chiffrement à clé symétrique: DES• Data Encryption Standard (1977 par IBM)• Principe :
– découpe le message en clair en morceau de 64 bits auxquelles on applique une transposition
– clé de 64 bits (56 bits de clé + 8 bits de parité impaire)
• Difficulté et limites?– concours organisé par RSA Data Security 1997 : 4 mois pour casser le code DES 56 bits en
brute force par des amateurs 1999 : 22 h pour casser DESIII
• solution pour le rendre plus sur .... Passer l'algorithme DES plusieurs fois sur le message avec à chaque fois des clés différentes (ex : 3DES)
118
31/03/2011
60
Schéma de 3DES:
119
La solution a été dans l'adoption du triple DES: trois applications de DES à la suite avec 2 clés différentes (d'où une clé de 112 bits)
DES (IBM 77)
• Data Encryption Standard
• Principe :– découpe le message en clair en
morceau de 64 bits auxquelles on applique une transposition
– clé de 64 bits (56 bits de clé+8 bits de parité impaire)
120
La recherche exhaustive sur 56 bits (256) est maintenant réaliste.Mars 2007 : 6:4 j, COPACOBANA(utilisation de FPGA) par l’université de Bochum et Kiel (coût 10 000 $)
31/03/2011
61
CryptographieChiffrement Asymétrique
• Algorithmes utilisant ce système :– RSA (Rivest, Shamir, Adelman)– DSA
– El-Gamal– Diffie-Helmann
• Avantage :– pas besoin de se transmettre les clés au départ par un autre
vecteur de transmission.
• Inconvénient : – Lenteur
121
Algorithme RSA
122
• Développé par: Ron Rivest, Adi Shamir et Leonard Adlemanen 1977 repose sur des fonctions mathématique
Le RSA est un système qui repose intégralement sur la difficulté de factoriserde grands nombres entiers (au moins 100 chiffres actuellement).
31/03/2011
62
Cryptographie à clé publique: RSA
• Ron Rivest, Adi Shamir et Leonard Adleman (Développé en 1977 repose sur des fonctions math. De puissance et exponentielles appliqués aux grands nombres)
• Algorithme de sélection des clés :
– 1) Sélection de 2 grands nombres premiers p et q (1024 bit par ex)
– 2) Calculer n=pq et z=(p-1)(q-1)
– 3) Choisir un e (e<n) qui n'a pas de facteur commun avec z. (e et z premier entre eux)
– 4) Trouver un d tel que ed-1 est exactement divisible par z (ed mod z =1)
– 5) Clé public est : (n,e) Clé privé est : (n,d)
123
Ex: RSA, chiffrement, déchiffrement
• 1) Clé public est : (n,e) Clé privé est : (n,d)• 2) Alice veut envoyer un nombre m à Bob : c = me mod n• 3) Bob reçoit le message c et calcule : m = cd mod n
• Exemple :• p = 5, q = 7 donc n = 35 et z = 24• Bob choisit e = 5 et d = 29• ALICE : (chiffrement) m = 12 me=248832 et c = me mod n = 17• BOB : (déchiffrement) c = 17 , m = cd mod n = 12• Clé public est : (35, 5)• Clé privé est : (35, 29)
124
31/03/2011
63
Logiciel de chiffrement PGP• PGP (Pretty Good Privacy) était
considéré aux USA, comme une arme et interdit à l'exportation
• L'algorithme utilisé par PGP, le RSA, permet de chiffrer des informations de manière tellement efficace qu'aucun gouvernement n'est en mesure d'en lire le contenu.
• Comme toute invention "dangereuse", incontrôlable et susceptible d'être utilisée contre la mère-patrie, le gouvernement américain en a interdit l'exportation et a classé PGP et le RSA dans la catégorie "armes".
• Le code est écrit en Perl 125
• Cette restriction à l'exportation de la cryptographie a eu diverses conséquences: – Pendant longtemps, les navigateurs tels qu'Internet Explorer ont
été limités à 40 bits pour tous les "étrangers". Seuls les américains pouvaient télécharger la version 128 bits.
– Si on ajoute à cela que l'algorithme RSA était breveté jusqu'en septembre 2000, il n'en a pas fallu plus aux internautes pour créer GPG (Gnu Privacy Guard), un logiciel compatible avec PGP et utilisant Diffie-Hellman à la place de RSA, et hors de contrôle du gouvernement américain puisque créé en Europe.
126
31/03/2011
64
How PGP encryption works?
127
How PGP decryption works?
128
31/03/2011
65
Chiffrement du message avec PGP
129
- Il génère lui même une clé aléatoire (c’est la clé de session). - Il chiffre le message avec la clé de session selon un algorithme à clé privé (DES par exemple)- Il chiffre la clé de session grâce à l’algorithme à clé publique (RSA par exemple) avec la clé publique du destinataire.-Il assemble message chiffré et clé chiffrée en un message prêt à l’expédition.-..\MM-sécurité\TD\Le logiciel PGP.htm
130
Algorithme de chiffrement asymétrique:
Diffie HellmanAlgorithme de sécurisation des échanges des clés
Apparition suite au problème de l’échange des clés de la cryptographie symétrique (coursier malhonnête)
Alice veut transmettre une clé à Bob pour pouvoir échanger un document confidentielAlice chiffre une clé par une autre clé gardée secrète Alice envoie la clé chiffrée à BobBob surchiffre la clé chiffrée avec sa clé secrète puis la transmet
à AliceAlice opère alors un déchiffrement de sa partie du chiffrement de
la clé et l’envoie a BobBob déchiffre la clé chiffrée avec sa clé secrète Ils disposent ainsi tous les deux d’une clé qui n’a à
aucun moment circulé en clair
31/03/2011
66
131
Ex. d’Algorithme de Diffie Hellman
132
Algorithme de HachageUsages de l’algorithme de hachage
Alice veut transmettre un document à Bob en lui garantissant son intégrité
Alice calcule l’empreinte de son fichier et l’envoie simultanément avec le document
Bob recalcule l’empreinte du document et la compare à celle que lui a envoyé Alice
S’ils ne sont pas exacts c’est que Ève a intercepté le document et l’a changé
Notons que le document échangé n’est pas chiffréÈve peut prendre connaissance de son contenu
31/03/2011
67
AuthentificationDéfinition
• La personne à qui j'envoie un message crypté est-elle bien celle à laquelle je pense ?
• La personne qui m'envoie un message crypté est-elle bien
celle à qui je pense ?
133
AuthentificationTechnique d’Identification
• Prouveur– Celui qui s’identifie, qui prétend être…
• Vérifieur– Fournisseur du service
• Challenge– Le Vérifieur va lancer un challenge au prouveur que ce dernier doit
réaliser
134
31/03/2011
68
Technique A Clé PubliquePrincipe
• Algorithme RSA = Réversible
– ((Mess)CPu)CPr = ((Mess)CPr)CPu
• Confidentialité
• Authentification
135
Comment savoir que le message n’a pas été altéré ? Fonction de hachage
algorithmes de hachage les plus utilisés:
MD5 (128 bits) et SHA (160 bits)
Signature électronique (1)
136
31/03/2011
69
Pb du hachage : on n’est pas sûr de l’expéditeur Scellement des données
Signature électronique (2)
137
138
RécapitulatifCryptographie symétrique répond au besoin de la
confidentialitéDES, 3DES, AES, Blowfish, RC2, RC4, RC5 et DEA
Diffie-Hellman répond au besoin de la confidentialité de l’échange des clefs
Diffie Hellman Key Exchange
Algorithmes de hachage répond au besoin de l’intégrité des documents
MD4, MD5 et SHA1
Cryptographie asymétrique répond au besoin de la confidentialité, authentification et non-répudiation
RSA, ElGamal et DSA
31/03/2011
70
Societé Mondiale de l’Information“HACKERS”
(Challenge) Criminalité organisée
(Outil d’escroquerie)
Terrorisme (“Warefare”)(Arme)
Espionnage(Outil)
Societé Mondiale des Intrusions
Intenet = « Espace Sans Loi » + «Difficulté de retraçage»Impunité 139
Les virus
• Qu’est ce qu’un virus?– Un petit programme ou un élément d'un programme,
développés à des fins nuisibles, qui s'installe secrètement sur des ordinateurs et parasite des programmes.
• Certains virus, apparus récemment, sont très perfectionnés, qui dans la plupart des cas, exploitent les erreurs commises par les utilisateurs peu informés ou les failles des logiciels.
• Les utilisateurs à domicile ne sont pas les seuls à être exposés au danger. Les entreprises et autres organisations peuvent également être victimes d'attaques ciblées, menées par des cybercriminels qui tirent parti d'informations dérobées aux employés.
• Les traces Les virus infectent des applications, copient leur code dans ces
programmes. Pour ne pas infecté plusieurs fois le même fichier ils intègrent dans l’application infectée une signature virale.
140
31/03/2011
71
Qu’est ce qu’un ver• Programme capable de se copier vers un autre
emplacement par ses propres moyens ou en employant d'autres applications.
• Sert à dégrader les performances du réseau dans une entreprise. Comme un virus, un ver peut contenir une action nuisible du type destruction de données ou envoi d'informations confidentielles.
• Ex: E-mail Worms– un outil de collecte d'adresses e-mail dans la machine
infectée et un outil d'envoie du courrier électroniques
• IRC Worms– zones de chat...,
– Ver est classé à "IRC Worm
141
Exemple : Koobface
• Ver informatique découvert en Novembre 2008 par McAfee, qui sévit sur le site communautaire Facebook.
• Le ver Koobface se propage en envoyant des e-mails aux amis des personnes dont l'ordinateur a été infecté, si l’utilisateur a la malheureuse idée de télécharger le programme, son ordinateur va être infecté et dirigera ses utilisateurs sur des sites contaminés lors de recherches sur Google, Yahoo ou encore MSN.
• Il serait également capable de dérober des informations de nature personnelle comme un numéro de carte de crédit.
• Une réaction officielle par la voix de Barry Schnitt, porte-parole de Facebook a communiqué que : "quelques autres virus ont tenté de se servir de Facebook de manière similaire pour se propager mais jamais aussi important",
• Concernant la sécurité des informations personnelles de plus de 200 millions de personnes, une enquête au sein du FBI a été mise en place.
142
31/03/2011
72
Les bombes logiques
• Les bombes logiques sont programmées pour s'activer quand survient un événement précis.
• De façon générale, les bombes logiques visent à faire le plus de dégât possible sur le système en un minimum de temps.
143
« Keylogger »:
• Un Keylogger est un programme parasite qui se propage souvent grâce à des virus, vers ou spywares.
• Sa principale fonction est d'espionner toutes les actions effectuées sur votre ordinateur (saisie au clavier, ouverture d'applications, déplacement de fichiers...).
• Les traces de ces actions sont stockées dans un emplacement précis puis envoyées vers une boîte aux lettres ou sur un site web. Certaines de vos données les plus confidentielles peuvent ainsi vous être soutirées à l'insu de votre plein gré.
144
31/03/2011
73
Comment s’en protéger …??
• La plupart des keyloggerssont maintenant reconnus par les logiciels antivirus, à condition que ceux-ci soient correctement mis à jour.
• Certains keyloggers sont par contre identifiés comme spywares; le recours à un logiciel antispyware est donc nécessaire.
145
Spyware Les logiciels espions (spyware) : ils sont souvent
cachés dans certains graticiels (freeware, mais pas dans les logiciels libres), partagiciels (shareware) et pilotes de périphériques, pour s'installer discrètement afin de collecter et envoyer des informations personnelles à des tiers.
Ex: GATOR, appelé aussi GAIN (Gator Advertisingand Information Network) est un type de spyware qui fournit l'option de se rappeler le nom de l’utilisateur et les mots de passe.
Soyez donc vigilants, Il peut aussi se présenter sous la forme d'une fenêtre d'installation de Plug-in sous Internet Explorer. Dans ce cas, refusez catégoriquement...
de logiciels connus pour embarquer un ou plusieurs spywares : Babylon Translator, GetRight, Go!Zilla, Download Accelerator, CuteFTP, PKZip, KaZaA ou encore iMesh.
146
31/03/2011
74
Phishing• Appelé aussi l'hameçonnage peut se faire par courrier électronique, par
des sites Web falsifiés ou autres moyens électroniques
• C’est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels
• consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance (ex: banque, administration, etc.) afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc.
• forme d'attaque informatique reposant sur l'ingénierie sociale
147
Phishing• Tout commence par la réception
d'un mail. Vous recevez de votre banque, de votre fournisseur d'accès ou d'un cyber marchant un message de forme tout à fait habituelle (avec le logo et les couleurs de l'entreprise) vous informant qu'un regrettable incident technique a effacé vos coordonnées.
• Vous êtes invité à cliquer sur un lien vous menant au site de l'entreprise en question pour ressaisir soit votre numéro de carte bleue, vos identifiants et mot de passe de connexion. Vous êtes en confiance et suivez attentivement les consignes…
148
31/03/2011
75
phishing = spam + mail spoofing + social engineering + URL spoofing +…..
• La pratique du phishing consiste à attirer l'internaute à l’aide d'e-mails non sollicités (Spam) comme envoyés d'adresses officielles (mail_spoofing), incitant la victime, à cliquer sur un lien proposé dans le message.
• Ce lien est en réalité malicieux et conçu pour usurper une destination de confiance (URL_spoofing),
• Ce qui a pour conséquence de conduire l’internaute sur un site Web visuellement identique au site officiel mais dont la véritable adresse est dissimulée aux yeux de l’internaute victime. 149
Les étapes de sécurité
150
Prendre des mesures
31/03/2011
76
Comment se protéger?
• Pare-feu
• Mises à jour de votre PC
• Logiciels: anti-virus, anti-spyware, anti-spam,..
151
Stratégies
• Approche locale– Poste client
• Approche globale– Poste serveur
• Ces deux solutions sont complémentaires et doivent faire appel à des moteurs antiviraux de fournisseurs différents
152
31/03/2011
77
Approche antivirale locale/globale
• Mise à jour de la table de définitions de virus sur chaque poste client
• Solution automatique ou manuelle
153
Serveur antivirus
En cas de mise à jour,Notification aux clients présents
Requête de mise à jour planifiée
Puis téléchargement des mises à jour
Interrogation du serveur à chaque démarrage des clients
Téléchargement des mises à jour
(localement)
Les attaques: imitation malicieuse
• Tout équipement connecté à un réseau injecte des datagrammes IP– @ IP de l'expéditeur + données de couche supérieure
• Si l'utilisateur peut intervenir sur les logiciels ou son système d'exploitation il peut inscrire une @ IP factice (IP spoofing)– permet au pirate responsable de DoS de dissimuler leur
identité car il est très difficile de remonter à la source d'un datagramme portant une fausse @ IP
• Contre-Mesure : (ingress filtering)– les routeurs vérifient si l'@ IP des paquets entrant font partie
des @ IP accessibles via cette interface.
154
31/03/2011
78
Les attaques: Les DOS
• Denial Of Service (DoS)– rend un réseau, un hôte ou autre inutilisable pour ses utilisateurs
légitimes.– basé sur la production d'un volume de données supérieur à la
capacité de traitement de l'entité ciblée. exemple :• SYN flooding avec des @ IP factices : accumulation d'un gd nb de
connexions partiellement ouvertes• envoie de fragments IP sans les fragments de terminaison• attaque smurf : envoie de paquets de requête d'échos ICMP en masse
• Distributed Denial of Service (DDos)– Le pirate obtient un grand nombre de comptes utilisateurs
(sniffing ou brute force)– Il installe et exécute un logiciel esclave au niveau de chaque hôte
qui attend les ordres en provenance d'un logiciel maître– Puis le pirate ordonne à tous ses logiciels esclaves de lancer une
attaque DoS contre le même hôte ciblé155
Les outils
156
WorkstationVia Email
File Server
Workstation
Mail Server
Internet
Web ServerVia Web Page
Workstation
Web Server
Mail Gateway
Anti VirusFirewall
Intrusion DetectionVulnerability Management
31/03/2011
79
Ex: Serveur Symantec Client Security
• Un serveur Symantec Client Security peut envoyer des mises à jour de configuration et des fichiers de définitions de virus à des clients
• SymantecClient security protége les ordinateurs sur lesquels il s’exécute
• Le programme client Symantec Client Security fournit une protection antivirus, pare-feu et contre les intrusions aux ordinateurs réseau et autonomes
• Alert Management System2 (AMS2). AMS2 assure la gestion des urgences et prend en charge les alertes issues de serveurs et des postes de travail
157
Firewall
• Le pare-feu est un système permettant de filtrer les paquets de données échangés avec le réseau, il s'agit ainsi d'une passerelle filtrantecomportant au minimum les interfaces réseau suivante :
– une interface pour le réseau à protéger (réseau interne)
– une interface pour le réseau externe
• Un système pare-feu contient un ensemble de règles prédéfinies permettant :
– D'autoriser la connexion (allow)
– De bloquer la connexion (deny)
– De rejeter la demande de connexion sans avertir l'émetteur (drop).
158
31/03/2011
80
Contrôle d’accès: Les pare-feux
• Un pare-feu isole le réseau de l’organisation du reste de l’Internet en laissant pénétrer certains paquets et en bloquant d’autres
• Il existe 2 types de pare-feux:– Filtrage simple des paquets (Ex: liste ACL)
– Filtrage applicatif (niv. Application)
159
Rôle du pare-feux
• Les firewall protègent les installations informatiques des intrusions
• surveille (autoriser/denier) les communications d'un PC vers Internet et vice versa
• Prévenir les attaques du type Denial Of Service– Inondation des messages SYN avec des @IP d’origine factices, qui
paralyse l’hôte. Les tampons de l’hôte sont remplis de messages factices, ce qui ne laissent plus de place pour les vrais messages
– Prévenir les modifications de données internesEx: changer la page Web de l’entreprise
– Empêcher les pirates d’accéder à des données sensibles, – Analyser, bloquer ou autoriser les communications via les ports UDP et
TCP
160
31/03/2011
81
Filtrage de paquets
• Le réseau interne est équipé d’une passerelle le reliant à son FAI. On se faire le filtrage des paquets
• Filtrage basé sur l’étude des en-tête de paquet– @ IP d’origine et de destination– Des types des messages ICMP– Des datagrammes de connexion et d’inintialisation utilisant les
bits TCP SYN ou Ack– Ex/ filtre les segments UDP et les connexions Telnet (segment
TCP avec Port 23). Évite toute intrusion étrangère via une session Telnet.
• Mise en place d'une passerelle d'application (gateway) Serveur spécifique aux applications que toutes les données d'applications doivent traverser avant de quitter ou d'entrer dans le réseau
161
Filtrage applicatif• Appelé aussi « passerelle applicative » ou proxy• le filtrage applicatif permet la destruction des en-têtes précédant
le message applicatif, ce qui permet de fournir un niveau de sécurité supplémentaire.
• En contrepartie, une analyse fine des données applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communications, chaque paquet devant être finement analysé.
• Afin de limiter les risques le proxy doit nécessairement être en mesure d'interpréter une vaste gamme de protocoles et doit connaître les failles afférentes pour être efficace.
162
31/03/2011
82
Limitations des pare-feux
• Usurpation d’identité (IP spoofing) le routeur est impuissant face à ce type d’attaque
• Si chaque application nécessite un traitement particulier Il faut une passerelle par application Les client de ces applications doivent pouvoir configurer les logiciels (ex: navigateur avec les proxy)
• Les filtres sont très grossiers: Les spyware et adware (des progr. Commerciaux sont nuisibles ne sont pas détectés par les anti-virus) utilisant le port 80 ne sont donc en aucun cas pris en compte par un firewall hardware.
• il est nécessaire d'administrer le pare-feu et notamment de surveiller son journal d'activité afin d'être en mesure de détecter les tentatives d'intrusion et les anomalies.
163
Zone Démilitarisée DMZ
• Il est nécessaire de mettre en place des architectures de systèmes pare-feux permettant d'isoler les différents réseaux de l'entreprise: on parle ainsi de « cloisonnement des réseaux » (isolation)
• « Zone DéMilitarisée » ( DMZ pour DeMilitarized Zone) pour désigner cette zone isolée hébergeant des applications mises à disposition du public
164
31/03/2011
83
Architecture DMZ
• Les serveurs situés dans la DMZ sont appelés « bastions » en raison de leur position d'avant poste dans le réseau de l'entreprise.
• La DMZ possède donc un niveau de sécurité intermédiaire, mais son niveau de sécurisation n'est pas suffisant pour y stocker des données critiques pour l'entreprise.
165
Politique de sécurité
• La politique de sécurité mise en oeuvre sur la DMZ est généralement la suivante : – Traffic du réseau externe vers la DMZ autorisé ; – Traffic du réseau externe vers le réseau interne
interdit ; – Traffic du réseau interne vers la DMZ autorisé ; – Traffic du réseau interne vers le réseau externe
autorisé ; – Traffic de la DMZ vers le réseau interne interdit ; – Traffic de la DMZ vers le réseau externe refusé.
166
31/03/2011
84
NAT
• Le principe du NAT consiste à réaliser, au niveau de la passerelle de connexion à internet, une translation entre l'adresse interne (non routable) de la machine souhaitant se connecter et l'adresse IP de la passerelle.
• Le terme NAT représente la modification des adresses IPdans l'en-tête d'un datagramme IP effectuée par unrouteur.
SNAT : @source du paquet qui est modifiée (altérée)DNAT : @destination qui est modifiée (altérée)
167
Network Address Translation: NAT• Fonctionnement du NAT:
– Translation des @IP de l’en tête
– Recalcul et vérification du checksum
– Recalcul et modification du checksum TCP
– NAT cache l’identité « réelle » des Hosts
– Tout paquet de données qui doit être translater doit passer par un routeur NAT
– permet de sécuriser le réseau interne étant donné qu'il camoufle complètement l'adressage interne. Pour un observateur externe au réseau, toutes les requêtes semblent provenir de la même adresse IP.
168
31/03/2011
85
Les différents types de NAT
On distingue deux types différents de NAT:
NAT statique
NAT dynamique
169
Principe de NAT
• Le principe du NAT statique:– consiste à associer une @IP publique à une @IP privée interne au réseau. Le
routeur (passerelle) permet donc d'associer à une @IP privée (ex: 192.168.0.1) une @IP publique routable sur Internet et de faire la traduction, dans un sens comme dans l'autre, en modifiant l‘@ dans le paquet IP.
– La translation d‘@-statique permet ainsi de connecter des machines du réseau interne à internet de manière transparente
• NAT dynamique– permet de partager une @IP routable entre plusieurs machines en @ privé.
Ainsi, toutes les machines du réseau interne possèdent virtuellement, vu de l'extérieur, la même @IP. C'est la raison pour laquelle le terme de « mascarade IP » (IP masquerading) est parfois utilisé pour désigner le mécanisme de translation d'adresse dynamique.
170
31/03/2011
86
10.0.0.12/24
10.0.0.12/24 (@ interne)
193.22.35.42/24 (@ externe)
Internet
171
Les avantages et Inconvénients du NAT Statiques
• NAT statique a permis de rendre une machine accessiblesur Internet alors qu'elle possédait une adresse privée.
• la NAT statique permet de rendre
disponible une application sur Internet ( serveur web, mailou serveur FTP).
Le principe du NAT statique ne résout pas le problème de lapénurie d'adresse puisque n adresses IP routables sontnécessaires pour connecter n machines du réseau interne.
172
31/03/2011
87
Avantages NAT Dynamique
• Le NAT dynamique permet de partager une adresseIP routable (ou un nombre réduit d'adresses IProutables) entre plusieurs machines en adressageprivé.
• NAT dynamique utilise la translation de port (PAT -Port Address Translation)
• Elle permet d’économiser les adresse IP. cela permetde répondre au problème de pénurie d'adresses.
• Elle permet une sécurité accrue, car il n'existe aucunmoyen pour quelqu'un de l'extérieur, d'accéder auxmachines internes.
173
Les inconvénients
• Elle est donc utile pour partager un accès Internet, mais pas pour rendre un serveur accessible.
• IPSec est totalement incompatible avec le NAT
• La NAT dynamique seule ne peut pas être considérée comme une sécurité suffisante. Il est indispensable d'utiliser un filtrage si l'on veut obtenir un bon niveau de sécurité.
174
31/03/2011
88
Architecture IPsec
1. Introduction
2. Services IPsec
3. Modes d’utilisation
175
IPsec : Introduction
• On a conçu IPSec (Internet Protocol Security) pour sécuriser le protocole IPv6. La lenteur de déploiement de ce dernier a imposé une adaptation d’IPSec à l’actuel protocole IPv4.
• Plusieurs RFC successives décrivent les différents éléments d’IPSec : RFC 2401, 2402, 2406, 2408…
176
31/03/2011
89
IPsec : Introduction
• Internet Protocol Security est un ensemble de protocoles (couche 3 modèle OSI) utilisant des algorithmes permettant le transport de données sécurisées sur un réseau IP.
• Composante indissociable d’IPV6, optionnelle en IPV4
• Composant de VPN
• Permet l’établissement de communication sécurisée
• Les services et algorithmes utilisés sont paramétrables.
177
IPsec : 4 services
• Authentification des données : – chaque paquet échangé a bien été émis par la bonne machine et qu’il est
bien à destination de la seconde machine
• Confidentialité des données échangées : – chiffrer le contenu des paquets IP pour empêcher qu’une personne
extérieure ne le lise
• Intégrité des données échangées : – s’assurer qu’aucun paquet n’a subit une quelconque modification durant son
trajet.
• Protection contre l’analyse de trafic : – chiffrer les adresses réelles de l’expéditeur et du destinataire, ainsi que tout
l’en-tête IP correspondant. C’est le principe de base du tunneling.
178
31/03/2011
90
Fonctionnement
• On établit un tunnel entre deux sites:• IPSec gère l’ensemble des paramètres de
sécurité associés à la communication. • Deux machines passerelles, situées à
chaque extrémité du tunnel, négocient les conditions de l’échange des informations :– Quels algorithmes de chiffrement,
quelles méthodes de signature numérique ainsi que les clés utilisées pour ces mécanismes.
– La protection est apportée à tous les trafics et elle est transparente aux différentes applications.
179
• IPSec prévoit la définition de la politique de sécurité avec le choix des algorithmes utilisés et leur portée.
• Une fois qu’une politique est définie, il y a échange des clés avec un mécanisme IKE (Internet Key Exchange) [utilisant le port 500 et le transport UDP].
• On peut mettre en oeuvre l’authentification soit en supposant que les deux extrémités se partagent déjà un secret pour la génération de clés de sessions, soit en utilisant des certificats et des signatures RSA.
• Les machines passerelles traitent ensuite les données avec la politique de sécurité associée.
• IPSec propose ensuite deux mécanismes au choix pour les données de l’échange : ESP (Encapsulating Security Payload) et AH (Authentication Header).
• ESP fournit l’intégrité et la confidentialité, AH ne fournit que l’intégrité.
180
31/03/2011
91
IPsec : Atouts et limites
• Atouts :la richesse de son offre de services de sécurité qui :– Est exploitable dans les couches hautes de TCP-IP.
– Est ouvert à tous les équipements.
– Peut intervenir dans différentes configurations.
• Un point faible de IPSec : la gestion des clés solution un PKI (Public Key Infrastructure).
181
IPsec : Architecture
• Ensemble de protocoles couvrant deux aspects– Encapsulation des datagrammes IP dans d’autres
datagrammes IP• services de sécurité (intégrité, confidentialité, …etc.)
– Négociation des clés et des associations de sécurité
• utilisées lors de l ’encapsulation
182
31/03/2011
92
IPsec : Architecture
• 2 protocoles définis pour l’encapsulation– Authentication Header (AH)
– Encapsulating Security Payload (ESP)
• 1 protocole pour l’échange de clés– Internet Key Exchange (IKE)
183
DOI IPsec -RFC 2407: Architecture
184
31/03/2011
93
AH• Les algorithmes d'authentification utilisables avec AH sont répertoriés dans le
DOI IPsec; il existe notamment HMAC-MD5 et HMAC-SHA-1. • Assure l’authentification de la source
– Protection contre source spoofing• Assure l’intégrité des données
– Algorithme d’hachage 96 bits– Utilise une cryptographie à clé symétrique – HMAC-SHA-96, HMAC-MD5-96
• Protection contre le rejeu– Utilise un mécanisme anti-rejeu (nombre de séquence)
• Non répudiation – Utilisation du RSA
• Aucune protection de confidentialité– Données signées et non chiffrées
185
• Selon les modes de fonctionnement choisis (transport ou tunnel) la position de l'en tête d'authentification AH est la suivante :
• Les algorithmes d’authentification utilisables avec AH sont listés dans le DOI IPsec (RFC 2407).
186
Position de AH en mode transport.
Position de AH en mode tunnel.
31/03/2011
94
ESP• ESP assure quant à lui la confidentialité des données mais peut aussi
assurer leur intégrité en mode non connecté et l'authentification de leur origine.
• A partir du datagramme IP classique, un nouveau datagramme dans lequel les données et éventuellement l'en tête originale sont chiffrées, est crée. C'est une réelle encapsulation entre un en tête et un trailer.
• La protection contre le rejeu est fournie grâce à un numéro de séquence si les fonctions précédentes ont été retenues
• Idem plus la confidentialité des données – utilise une encryption à clés symétrique
187
• Suivant les modes de fonctionnement choisis (transport ou tunnel) la position de ESP est la suivante :
188
Position de ESP en mode transport.
Position de ESP en mode tunnel.
31/03/2011
95
IPsec : Architecture
• IPsec assure la sécurité en trois situations – Hôte à hôte– Routeur à routeur– Hôte à routeur
• IPsec opère en deux mode – Mode transport – Mode tunnel (VPN)
189
Mode transport
• Transport – Utilisé uniquement entre deux machines qui elles-mêmes responsable du
chiffrement/déchiffrement .
– Seulement les données qui sont chiffrées. Les en-tête IP sont conservés
190
Internet
VPN
Securitygateway 1
Securitygateway 2
Server B
A B data
encrypted
Workstation A
31/03/2011
96
Mode tunnel
• Tunnel – Le flux est entre deux machines qui se trouvent derrière deux passerelles
faisant le chiffrement/déchiffrement
– En-tête IP et données sont chiffrés et un nouveau en-tête est généré avec l’adresse IP du serveur VPN.
191
A B data
A B data1 2
Internet
VPN
Securitygateway 1
Securitygateway 2
Workstation A
Server B
encryptedA B datasource destination
Capture ISAKMP: Internet Security Association and Key Management
Protocol
192
• Capture d’écran à l’aide de Wireshark réalisée dans la séance de TP avec IPSEC. On peut voir le déploiement de l’ISAKMP lors de l’échange
31/03/2011
97
193
Qu’est ce qu’un VPN ?
• VPN,acronyme de Virtual Private Network, ou Réseau Privé Virtuel. Ce réseau est dit virtuel car il relie des réseaux "physiques" (réseaux locaux) via un réseau public, en général Internet, et privé car seuls les ordinateurs des réseaux locaux faisant partie du VPN peuvent accéder aux données.
• Cette technique assure l’authentification en contrôlant l’accès, l’intégrité des données et le chiffrage de celles-ci.
194
31/03/2011
98
195
VPN
• La mise en place d'un réseau privé virtuel permet de connecter de façon sécurisée des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils étaient sur le même réseau local.
• Ce procédé est utilisé par de nombreuses entreprises afin de permettre à leurs utilisateurs de se connecter au réseau d'entreprise hors de leur lieu de travail. On peut facilement imaginer un grand nombre d'applications possibles : – Accès au réseau local (d'entreprise) à distance et de façon sécurisée
pour les travailleurs nomades – Partage de fichiers sécurisés – Jeu en réseau local avec des machines distantes
196
31/03/2011
99
Les Protocoles de Tunnelisation• Les principaux protocoles de tunneling sont :
– PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2 développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.
– L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco Systems, Northern Telecom (Nortel) et Shiva.
– L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF(RFC 2661) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP.
– IPsec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données chiffrées pour les réseaux IP.
– SSL/TLS offre une très bonne solution de tunneling. L'avantage de cette solution est d'utiliser un simple navigateur comme client VPN.
– SSH Initialement connu comme remplacement sécurisé de telnet, SSH offre la possibilité de tunneliser des connections de type TCP.
197
198
Une entreprise Multi-site désire de plus en plus ouvrir son réseau à ses employés travaillant à distance, en toute sécurité. C’est l’enjeu auquel répond efficacement une solution de type VPN
31/03/2011
100
SSL : Secure Socket Layer• C'est un système qui permet d'échanger des informations entre 2
ordinateurs de façon sûre. SSL assure 3 aspects:– Confidentialité: Il est impossible d'espionner les informations
échangées. – Intégrité: Il est impossible de truquer les informations échangées. – Authentification: Il permet de s'assurer de l'identité du
programme, de la personne ou de l'entreprise avec laquelle on communique.
• SSL est un complément à TCP/IP et permet (potentiellement) de sécuriser n'importe quel protocole ou programme utilisant TCP/IP.
• SSL a été créé et développé par la société Netscape et RSA Security.
199
Récapitulatif
• Accès non autorisé Authentification
• Confidentialité Chiffrement
• Virus Antivirus
• Intrusion IDS/IPS Firewall
• Modification Hachage
consiste à verrouiller les données à l’aide des composants matériels: clipper-chips
200