Sécurité des Réseaux 2012/2013

SECURITE DES RESEAUX

LECON1- LA SECURITE

LECON2- LES PROTOCOLES DE SECURITE

LECON3- MISE EN ŒUVRE DES ARCHITECTURES SECURISEES

LECON4- MISE EN PLACE D’UNE POLOTIQUE DE SECURISATION D’UN

RESEAU INFORMATIQUE

Rédigé par Arnauld ELOL 1 1017 Brick Squad

 Sécurité des Réseaux 2012/2013

Généralités
Le système informatique est généralement défini par l’ensemble des
ressources matérielles et logicielles d’une entreprise ou d’une communauté.
Il représente donc un patrimoine important qu’il convient de protéger et
sécuriser.

La sécurité informatique est l’ensemble des moyens techniques mis en place

pour conserver, rétablir et garantir la sécurité des systèmes informatiques.

Les 3 principaux objectifs de la sécurité informatique :

 Confidentialité : propriété d’une donnée dont la diffusion doit être

limitée aux seules personnes autorisées ;
 Intégrité : propriété d’une donnée dont la valeur est conforme à celle
définie par son propriétaire
 Disponibilité : propriété d’un système informatique capable d’assurer
ses fonctions sans interruption, délai ou dégradation au moment
même où la sollicitation en est faite
Protocole de sécurité : ensemble de règles et de procédures permettant
d’assurer la sécurité dans un réseau.

En sécurité informatique, on distingue plusieurs protocoles :

 AAA (Authentication, Autorisation, Accounting ou Auditing) : il

correspond à un protocole qui réalise 3 opérations : authentification,
autorisation et la traçabilité.
AAA est implémenté surtout dans les routeurs Cisco.
 WEP (Wire Equivalent Privacy), c’est un protocole pour protéger les
réseaux sans fil de type Wi-Fi. Ceux-ci diffusant les messages par
ondes radioélectriques sont particulièrement sensibles aux menaces.
 WPA (Wifi protected Access), il est un protocole qui constitue une
solution de sécurisation plus robuste que le WEP
 WPA2 est une méthode de chiffrement utilisé dans les réseaux wifi,
elle permet un échange dynamique de clé et une réauthentification
dans un intervalle de temps.
 WAP (Wireless Application Protocol) est un protocole de
communication qui permet d’accéder à internet à partir d’un portable ;

Les types d’attaque

Rédigé par Arnauld ELOL 2 1017 Brick Squad

 Sécurité des Réseaux 2012/2013

On appelle attaque toute intrusion frauduleuse dans un système

informatique.

é
On appelle virus un programme qui se recopie tout seul à l’intérieur d’un
autre programme et qui s’exécute dans le but de perturber ou de détruire le
système. Ex : cheval de Troie, virus de boot, ceux vont se loger dans le
secteur boot des disques durs et empêcher et retarder le bootage.
Un virus peut corrompre ou supprimer les données sur l’ordinateur ; il peut
utiliser votre courriel pour se propager sur d’autres ordinateurs ou même
tout effacer. Ils sont souvent transmis par pièces jointes ou dans les MI, il
vaut mieux se munir d’un antivirus.

Un ver est un logiciel malveillant qui se reproduit sur plusieurs ordinateurs

en utilisant un réseau informatique comme internet. Un ver n’a pas besoin
d’un programme hôte pour se reproduire. Il exploite les différentes
ressources de l’ordi qui l’héberge pour rassurer sa reproduction.

é
Il existe plusieurs types d’attaques DoS (Denied of service),
 IP spofing (usurpation d’adresse IP) : cette attaque est difficile à
mettre en œuvre et nécessite une bonne connaissance du
protocole TCP. Elle consiste à se faire passer pour une autre
machine en falsifiant son @IP de manière à accéder à un server
ayant une relation de confiance avec la machine spoufée. Cette
attaque n’est intéressante que dans la mesure où la machine
spoufée est connectée directement au server.

 Sniffing : grâce à un logiciel appelé sniffer, il est possible

d’intercepter toutes les trames que notre carte réseau reçoit, on
dit qu’il y a écoute. Ex : si une machine connectée sur le net est
sniffée, son mot de passe transitant en clair serra facilement lu.
De la même manière il est facile de savoir à tt moment quelle
page web il visite. Un inconvénient de cette technique est qu’il
faut se situé exactement sur le réseau que la machine sniffée.

 Le Ping de la mort : Le principe du ping de la mort consiste à

créer un datagramme IP dont la taille est supérieure à 65536.
Un tel paquet envoyé à un réseau TCP/IP provoquera un
plantage immédiat.

 DoS : L’attaque par denial of service est un type d’attaque visant

à rendre indisponible pendant un certain temps les services ou

Rédigé par Arnauld ELOL 3 1017 Brick Squad

 Sécurité des Réseaux 2012/2013

ressources de l’entreprise. Il vise généralement les servers afin

qu’ils ne puissent être utilisé ou consultés. D’un point de vue
technique ce type d’attaque ne sont pas très compliquées mais
ne sont pas moins efficaces que les autres.
Le principe des DoS, consiste à envoyer des paquets IP de
manière à saturer le réseau et de mettre off tous les services.
Lorsqu’un DoS est provoqué par plusieurs machines, on parle alors de
Déni de service distribué DDoS.

 Mail booming : il consiste à envoyer plusieurs milliers de

messages identiques dans une boite afin de la saturer.

 L’attaque par rejeu : elle consiste à intercepter les paquets et les

rejouer c'est-à-dire tels quels au server destinataire. Ainsi, selon
le contexte, le pirate peut bénéficier des droits de l’utilisateur.
Imaginons un scénario dans lequel un client transmet un nom
d’utilisateur et un mot de passe à un serveur afin de s’authentifier. Si
un pirate intercepte la communication grâce à un serveur d’écoute et
rejoue la séquence, il obtiendra alors les mêmes droits que
l’utilisateur, il pourra modifier le mot de passe et priver l’utilisateur de
son accès.

 Phishing ou hameçonnage : est une technique frauduleuse

utilisée par les pirates pour récupérer les infos (généralement
bancaire auprès des internautes) en utilisant des lignes
téléphoniques.
Cette technique est une technique d’ingénierie sociale consistant à
exploiter une faille humaine, en dupant les internautes par le biais
d’un courriel semblant provenir d’une entreprise de confiance. Le
pirate usurpe l’identité d’une entreprise et les invite à se connecter en
ligne par le biais d’un lien et de mettre à jour des infos personnelles
dans un formulaire. Ainsi, les pirates réussissent à obtenir les
identifiants des clients, numéro de cpte bancaire et autres infos. Ils
sont donc capables à partir de la de transférer de l’argent d’un compte
à un autre.

Les différents mécanismes :

Un mécanisme est conçu pour détecter prévenir et lutter contre une
attaque de sécurité. Les types de mécanisme de défense :

 Le chiffrement : c’est un algorithme généralement basé sur des clés. Sa

sécurité est dépendante du niveau de sécurité des clés.

Rédigé par Arnauld ELOL 4 1017 Brick Squad

 Sécurité des Réseaux 2012/2013

 Signatures numérique : ce sont des données ajoutées pour vérifier

l’intégrité ou l’origine des données.
 Bourrage de trafic : données ajoutées pour assurer la confidentialité.
 Les contrôles d’accès : permet de vérifier les droits d’accès d’un acteur
aux données.
 Antivirus : logiciels censés protéger l’ordi contre les logiciels
malveillants
 Pare-feu/firewall : vérifier et filtrer toutes les entrées et sorties de votre
ordi. C’est un élément logiciel ou matériel contrôlant les
communications qui le traversent en entrée et en sortie. Il a pour rôle
principal de vérifier tout ce qui rentre et qui sort.
 Détection d’intrusion (IDS intrusion détection system) : il repère les
activités anormales ou suspectes sur le réseau

Le système à détection d’intrusion

Un système à détection d’intrusion

Rédigé par Arnauld ELOL 5 1017 Brick Squad

 Sécurité des Réseaux 2012/2013

Une clé en informatique est un paramètre utilisé en entrée d’une

opération tel que le chiffrement, le déchiffrement, la signature numérique,
etc…

Une clé de chiffrement est un élément utilisé pour sécuriser les

informations. Elle peut être symétrique ou asymétrique.

Elle est dite symétrique lorsque la même clé sert à chiffrer et à

déchiffrer l’information.

Elle est dite asymétrique lorsqu’il existe 2 clés différentes. La clé de

chiffrement est publique alors que la clé de déchiffrement est sécrète ; seul
l’utilisateur détenteur de la clé secrète pourra déchiffrer l’information.

Une clé peut se présenter sous plusieurs formes :

 Mot de passe
 Données codées sous formes binaires

Le chiffrement est souvent appelé à tors cryptage, les deux termes

permettent de rendre la compréhension d’un document impossible à toute
personne n’ayant pas la clé de déchiffrement ou de décryptage. La différence
entre les deux termes se situe au niveau de la manière de procéder et au
niveau des algorithmes de sécurité utilisés.

On appelle algorithme de sécurité, un processus de calcul

mathématique qui permet de réaliser le chiffrement ou la signature
numérique d’un document. L’algorithme de sécurité à travers le chiffrement
et la signature numérique garanti la confidentialité et l’intégrité des
ressources sur le réseau. Exemple : le RC4, le RSA, le DSA.

L’utilisation du chiffrement symétrique ou asymétrique dépend des

tâches à accomplir.

I. Les méthodes de chiffrement

La cryptographie asymétrique ou cryptographie à clé publique est une
méthode de chiffrement qui repose sur l’utilisation d’une clé publique (qui
est diffusée) et d’une clé privée (gardée secrète), l’une permettant de coder le
message et l’autre de le décoder. Ainsi, l’expéditeur peut utiliser la clé
publique pour coder le message qu’il diffusera ; seul le destinateur en

Rédigé par Arnauld ELOL 6 1017 Brick Squad

 Sécurité des Réseaux 2012/2013

possession de la clé privée pourra décoder le message garantissant ainsi la

confidentialité des données

N.B : un message chiffré est constitué d’un message en clair + la clé

publique

Le déchiffrement = message chiffré + clé de déchiffrement (privée ou

publique)

La cryptographie symétrique également dite à clé secrète (privée) par

opposition à la cryptographie à clé publique est la plus ancienne forme de
chiffrement.

Un message chiffré avec la clé est déchiffré avec la même clé. Le

problème : comment transmettre la clé de façon sécurisée ?

Clé publique B Clé privée B

Algorithme de
Algorithme de chiffrement
chiffrement Message
asymétrique
asymétrique crypté

Message en Message en
clair clair

Machine A Machine B

Rédigé par Arnauld ELOL 7 1017 Brick Squad

 Sécurité des Réseaux 2012/2013

Clé publique Clé publique

Algorithme de
Algorithme de chiffrement
chiffrement Message
symétrique
symétrique chiffré

Message en Message en
clair clair

Machine A Machine B

II. SSH (Secure Shell)

Le SSH se définit comme une connexion distante sécurisé. Il apparait
dans la famille de protocole de communication sécurisé car il impose un
échange de clé de chiffrement au début de la connexion. SSH va alors
authentifier et chiffrer tous les segments TCP qui circulent entre l’émetteur
et le récepteur. Il devient donc impossible à un sniffeur de voir ce qui circule
dans le réseau.

Internet permet de réaliser un grand nombre d’opération à distance

notamment le transfert de fichier. Autrefois, le protocole Telnet
(Télécommunication Network) permettait d’effectuer les communications
distantes entre plusieurs postes mais celui possédait l’inconvénient majeur
de faire circuler les informations en clair sur le réseau notamment
l’identifiant et le mot de passe de connexion pour l’accès à la machine
distante. Ainsi, un pirate situé entre l’utilisateur et la machine distantes sur

Rédigé par Arnauld ELOL 8 1017 Brick Squad

 Sécurité des Réseaux 2012/2013

un réseau à la possibilité d’écouter (sniffer) le réseau et ainsi de capturer les

informations supposées confidentielles (login et mot de passe). Il était donc
nécessaire de recourir à une solution de sécurité au niveau logique (au
niveau des données).

Le protocole SSH va répondre à cette problématique en permettant à des

utilisateurs d’accéder à une machine distante à travers un tunnel sécurisé. Il
est donc possible grâce au SSH d’envoyer des données ou des fichiers de
manière sécurisée :

 Le client et le serveur s’authentifie mutuellement afin d’assurer que les

deux machines qui communiquent sont bien celles que chacune des
partis croient être ainsi il est donc plus possible pour un pirate
d’usurper l’identité du serveur ou du client (le Spoofing)
 Les données circulant entre le client et le serveur sont chiffrées : ce qui
garantit la confidentialité des informations échangées. Personne
d’autres que le serveur ou le client ne peut lire les informations qui y
transitent. Il n’est donc plus possible de sniffer

Exemple de commandes SSH sous linux

ssh-N-T-L 3118 : www-cache.ens.fr : 3128 monlogin@clipper.ens.fr

L’établissement d’une connexion SSH se déroule comme suit :

Dans un 1er temps, le client et le serveur vont s’authentifier mutuellement

afin de mettre en place un canal sécurisé

Dans un 2eme temps, le client s’authentifie auprès du serveur afin

d’obtenir une session

La mise en place d’un tunnel sécurisé débute par une phase de

négociation entre le client et le serveur afin de s’attendre sur la méthode
de chiffrement à utiliser. En effet, le SSH fonctionne avec une multitude
d’algorithme de chiffrement ; ensuite le serveur envoie sa clé publique au
client. Le client gère une clé de session de 256 bits qu’il chiffre grâce à la
clé publique du serveur et envoie la clé de session chiffré au serveur. Le
serveur à son tour déchiffre la clé de session grâce à sa clé privée. A partir
de là le reste de communication est chiffré grâce à l’algorithme de
chiffrement asymétrique généralement choisi par les 2 partis. Toute la
sécurité de la transaction repose sur l’assurance qu’ont les deux partis
sur la validité de leurs clés. Une fois la connexion sécurisée mise en
place, le client doit s’authentifier sur le serveur. La méthode la plus
connue est le mot de passe.

Rédigé par Arnauld ELOL 9 1017 Brick Squad

 Sécurité des Réseaux 2012/2013

On appelle certificat électronique ou certificat numérique, une sorte de

carte d’identité numérique qui permet d’identifier les utilisateurs sur le
réseau. Le standard le plus utilisé pour la création des certificats
numériques est le X.509.

SSL est un protocole de sécurité de la couche application. Il permet aux

applications réseaux de communiquer en toute sécurité

Différence entre SSL et SSH : SSH sécurisent les données à travers

un tunnel alors que SSL sécurisent les applications sur le web. Ici, le
client et le serveur s’échangent des certificats mutuellement et une clé de
session est créée et utilisée pour chiffrer les communications dans les deux
sens. On dit que SSL permet l’authentification des applications ; il garantit
la confidentialité et l’intégrité des transactions utilisées sur internet. Il
repose sur un procédé de cryptographie à clé publique. Son principe consiste
à établir un canal de communication sécurisé entre deux machines après
une étape d’authentification.

Un serveur Web sécurisé par SSL possède une URL commençant par
HTTPS.

N.B : le NAT (Network Address Translator) est un mécanisme qui permet

de faire la traduction d’une adresse IP non routable sur Internet en une
adresse routable ou public. Le NAT intervient au niveau du routeur qui est
un équipement de la couche 3 du modèle OSI. Ce dispositif de mappage
constitue un élément de sécurité réseau dans la mesure où l’usurpation
d’adresse devient quasi impossible. Ainsi un pirate croyant usurper l’adresse
de l’utilisateur usurpera l’adresse publique.

On définit la cryptanalyse comme étant la science qui consiste à tenter de

déchiffrer un message chiffré sans posséder la clé de déchiffrement

Un cryptogramme : est une énigme basée sur un message chiffré.

Exemple : les chiffres

Le cryptage est un moyen de transmettre les informations confidentielles

de telles sortes qu’elles puissent être lues uniquement par les personnes
autorisées. Normalement, ce mot ne veut rien dire en français. On ne
procède pas au cryptage d’un texte ; on peut le chiffrer, le déchiffrer ou le
décrypter.

Décrypter consiste à décoder un message codé sans posséder la clef.

Rédigé par Arnauld ELOL 10 1017 Brick Squad

 Sécurité des Réseaux 2012/2013

Le cryptage PGP (Pretty Good Privacy)

C’est un système de cryptographie hybride utilisant à la fois des

fonctionnalités de cryptographie symétrique et asymétrique

Rédigé par Arnauld ELOL 11 1017 Brick Squad

 Sécurité des Réseaux 2012/2013

I. La DMZ
On appelle DMZ une zone démilitarisée configurée dans une entreprise
comme un sous réseau et qui héberge un certain type de serveurs et de
données. On peut donc dire que la DMZ est un sous réseau isolé par un pare
feu. Un firewall est un système physique ou logiciel permettant de définir les
règles d’accès entre 2 réseaux. Il peut contrôler et éventuellement bloquer la
circulation des paquets de données.

Grâce au pare feu et à son filtrage, la DMZ fait office de zone de

tampon entre le réseau à protéger et le réseau ouvert au public. On peut
donc dire que la DMZ constitue un élément important dans la politique de
sécurité d’une entreprise car elle permet d’éviter ou de restreindre les
intrusions venant de l’extérieur et particulièrement de l’internet.
L’inconvénient est que si le pare feu est compromis, plus rien n’est contrôler.
Il est donc recommander d’utiliser 2 pare feu en cascade afin de limiter ce
risque

II. VPN (Virtual Private Network)

Le VPN apparait être la solution la plus utilisée aujourd’hui pour
interconnecter des sites distants. En effet, le VPN intègre la notion de
tunneling, un tunnel sécurisé de bout en bout sera mis en place entre les
différents sites à interconnecter. VPN utilise une panoplie de protocoles
(IPSEC, MPLS, GRE, SSH, OKI, PPTP, L2TP, DPPD). Les informations à
échanger à travers ce tunnel seront chiffrées ; le VPN a l’avantage de pouvoir
garantir l’ultra sécurité des données à travers l’encapsulation des protocoles
(il va assembler plusieurs protocoles de sécurité différents). Le VPN s’inscrit
comme un élément important de la sécurité d’une entreprise dans la mesure
où à travers son tunnel, il est difficile voire impossible pour un snifeur de
pouvoir intercepter les trames circulantes sur un réseau distant

III. Les IDS

C’est un système à détection d’intrusions. Il existe trois types d’IDS :

 HIDS
 NIDS
 NNIDS

Rédigé par Arnauld ELOL 12 1017 Brick Squad

 Sécurité des Réseaux 2012/2013

On appelle IPTABLE, un logiciel libre de Linux grâce auquel

l’administrateur peut configurer des chaines et des règles dans le pare feu
pour filtrer les entrées et sorties. Configurer un iptable revient à configurer
un firewall sur Linux. Pour cela, Iptable utilise un module appelé Netfilter.

Netfilter est un Framework implémentant un pare feu sur linux ; c’est le

module qui permet de filtrer et de manipuler les paquets réseaux qui passent
dans le système.

Une chaine est un ensemble de règles qui indique ce qu’il faut faire des
paquets qui traversent le réseau. Lorsqu’un paquet arrive dans une chaine,
Netfilter vérifie la première règle de la chaine et ensuite il va exécuter. Si le
paquet est accepté, alors il passe sinon il bloque. Iptable peut être configuré
comme la commande qui permet d’interagir avec Netfilter ; en d’autres
termes, iptable est l’interface ligne de commande permettant de configurer
netfilter. Il nécessite obligatoirement d’avoir des droits root. Les différentes
règles sont placées en ligne de commande.

Une table est un module de netfilter ; chaque module est composé de

plusieurs chaines et une chaine comprend plusieurs règles. On dit que
chaque chaine est une liste de règles et chaque règle spécifie ce qui doit être
fait sur un paquet.

Iptable comprend 3 tables principales :

La table filter
La table NAT
La table Mangle

I. La table filter
La table filter permet de filtrer les paquets réseaux. Elle utilise trois
principales chaines.

 Imput : vérifie les paquets entrants

 Output : vérifie les paques sortants
 Forward : vérifie et autorise les trames à passer par une autre
interface (redirection)

Si le paquet est adressé au poste, il est confronté au filtre imput. Si une

règle l’autorise à passer, le paquet passera la barrière de imput. Si le paquet
sort du poste, il devra passer par la chaine output. S’il est redirigé, il passera
par le forward.

Rédigé par Arnauld ELOL 13 1017 Brick Squad

 Sécurité des Réseaux 2012/2013

II. La table NAT

La table NAT est dédiée à la traduction d’adresse et de port. Les
différentes chaines NAT sont :

 Le prerouting : il traite les paquets arrivant de l’extérieur avant qu’il

ne soit routé. Elle permet de modifier la destination de la connexion
(DNAT)
 Postrouting : il traite les paquets après la décision de routage juste
avant que le paquet soit expédié.

Elle permet la modification de la source de la connexion

 Output : il fonctionne comme la chaine prerouting pour des

connexions issues d’un processus système

III. La table mangle

Cette table est employée lors d’un traitement spécial des paquets. Elle
comporte deux chaines principales (prerouting et le routing)

 Prerouting : permet de modifier les paquets entrants avant qu’ils ne

soient routés
 Routing : permet de modifier les paquets avant leur reroutage

Netfilter lit les chaines de chaque table de haut en bas.

Il est important de spécifier qu’une règle spécifie les critères pour un paquet.
Il peut soit être :

o Accept : les paquets sont acceptés et poursuivent jusqu’à destination

o Drop : les paquets sont ignorés et ils ne franchissent aucune règle (il
ignore, rejette et supprime)
o Reject : équivalent à « drop » à la différence qu’il expédie une réponse
à l’émetteur lui informant que son paquet est refusé
o Log : utiliser pour la journalisation des paquets

IV. Les commandes Iptable

#iptables –t [table]

Iptables –t filter

Imput

Output

Rédigé par Arnauld ELOL 14 1017 Brick Squad

 Sécurité des Réseaux 2012/2013

Forward

Il supprime toutes les règles d’une chaine ou supprime toutes les chaines

#iptables –f [table]

Supprime une chaine utilisateur

#iptables –x abiss

C’est la commande primordiale d’iptable. Elle ajoute une règle à une

chaine prédéfinie. Il s’applique seulement à la table « filter »

#iptables –A imput : ajoute une règle à la chaine imput de la table filter.

#iptables –A output : ajoute une règle à la chaine des paquets sortant

#iptables –A forward : ajoute une règle à la chaine des paquets redirigés

Supprime une règle dans une chaine.

Exemple

#iptables –D output 4 –t mangle

Table

Chaine Règle
N°4

Iptables est configuré pour autoriser le firewall à supprimer la règle N°4 de la

chaine output dans la table mangle

Représente la décision finale

Exemple : iptables –A output –j drop

Il est utilisé pour indiquer l’interface donc provient le paquet

Rédigé par Arnauld ELOL 15 1017 Brick Squad

 Sécurité des Réseaux 2012/2013

Spécifie l’adresse destination

Spécifie le protocole utilisé

Spécifie le port destination

Spécifie le port source

Spécifie l’adresse source

N.B : chaque fois que vous trouverez le S 0/0 dans une commande iptables,
il s’agira ici de préciser qu’il s’agit de n’importe quelle adresse IP

Rédigé par Arnauld ELOL 16 1017 Brick Squad