5. Les différentes attaques
1) IP Sniffing :Saisir des données lors de
leur transmission sur un réseau
Administration d’un réseau
Espionnage d’un réseau
Attaque passive
Capture de paquets
Réseaux partagés
Attaque possible sur les réseaux switchés
6. Les différentes attaques
2) IP Spoofing : Vol adresse IP
Attaque active
Usurpation d’identité (Adresse IP)
Attaque aveugle
Source routing
Reroutage
7. Les différentes attaques
3) TCP Flooding : Rendre indisponible le
service en envoyant une succession de
requêtes SYN vers la cible
Attaque de déni de service
Utilisation de la technique de spoofing
9. Détection et filtrage
Les firewalls
Filtre de paquets ( IP Source / Destination , Protocole,
Ports )
Passerelle niveau circuit (PNC)
Passerelle niveau applicatif (PNA)
Les systèmes de détection d’intrusion
Les système de protection d’intrusions
10. FIREWALL
Un firewall est un équipement ou un logiciel complexe,
cependant les règles de base sont relativement simples et
se résument en une phrase :
Tout ce qui n'est pas autorisé est interdit
Ou plus rarement, on peut utiliser la règle suivante au
lieu de la précédente :
Tout ce qui n'est pas interdit est autorisé
Le firewall va donc avoir en charge d'appliquer
l'une des deux règles, on va être amené à mettre en place
des règles de filtrage pour autoriser, rejeter, faire
suivre certaines requêtes ou paquets.
11. Passerelle Niveau Application
Toute machine connectée à un réseau est
susceptible d'être la victime d'actes de malveillance.
Pour pouvoir éviter et contrôler le trafic sur le
réseau, on peut mettre en place un firewall (aussi
appelé serveur pare-feu).
Pour une protection globale du réseau ou pour
offrir des fonctionnalités on peut également mettre en
place un serveur proxy (aussi appelé serveur
mandataire)
12. Serveur Proxy
Un serveur proxy placé entre un ordinateur et Internet :
+Ordinateur est connecté au serveur proxy,
+ c’est le serveur proxy qui est connecté à Internet.
+ Les requêtes sont envoyées à ce serveur,
+ Le serveur va chercher les pages demandées sur Internet
+ Le serveur renvoie les pages demandées.
L’avantage principal de ce fonctionnement est
que l’ordinateur n’est pas directement exposé sur
Internet
14. SYSTÈME DE CLÉS
Notions de cryptologie
Donnée
Cryptage avec la clé
Donnée cryptée
Décryptage avec la clé de
décryptage
Quand on a une donnée qu’on veut rendre illisible, on peut la
crypter.
+ Pour ce faire, on utilise une clé.
+ Une clé est un grand entier.
+ Pour décrypter une donnée cryptée, on utilise une clé de
décryptage
15. CLÉS SYMÉTRIQUES
Notions de cryptologie
Donnée
Cryptage et décryptage
avec la clé symétrique
Donnée
cryptée
On parle de clés symétriques quand c’est la même clé
qui sert au cryptage et au décryptage.
On parle aussi de secret partagé car les deux personnes
qui dialoguent , doivent avoir une copie de la clé.
Cette clé doit rester secrète, d’où une problématique de
transmission de la clé.
Ce système est rapide d’utilisation.
16. CLÉS PUBLIQUES
Notions de cryptologie
Donnée
Cryptage avec la clé
publique Donnée cryptée
avec la clé
publiqueDécryptage avec la clé privée
Donnée
Cryptage avec la clé privée
Donnée
cryptée avec la
clé privéeDécryptage avec la clé
publique
17. CLÉS PUBLIQUES
Notions de cryptologie
On parle de clés publiques quand on n’a plus d’une seule clé, mais un couple de
clés.
Chaque interlocuteur a sa clé publique et sa clé privée correspondantes, qui sont
uniques.
La clé publique sert à décrypter les données cryptées précédemment par la clé
privée correspondante.
Et vice versa : la clé privée sert à décrypter les données précédemment cryptées
par la clé publique correspondante.
La clé publique est accessible à tout le monde. La clé privée ne doit être connue
que par son propriétaire.
Quand on veut envoyer une donnée cryptée à un élément, on l’encrypte avec la clé
publique de ce dernier. Celui ci la décryptera avec sa clé privée.
S’il veut répondre, il utilisera ma clé publique.
Ce système est efficace, mais lent.
18. HASH, OU CHALLENGE
Notions de cryptologie
Donnée
Fonction de
hashage
Séquence
unique sur 128
bits appelée
hash
HACH est une fonction mathématique appelé fonction de hashage
génère une série de 128 bits à partir d’une donnée.
Cette série est unique.
La fonction n’est pas réversible.
Ainsi, si on applique une fonction de hashage sur une donnée, on
obtiendra toujours la même série de bits, et aucune autre donnée ne
produira cette série.
19. SSL (SECURE SOCKET LAYER) ET
TLS (TRANSPORT LAYER SECURITY)
SSL/TLS
Utilisation :
Codage du message
Identification des acteurs
Vérification de l'intégrité du message
Sans aucune intervention de l’utilisateur
Sécurité apportée:
Authentification sécurisée
Connexion sécurisée
Mise en œuvre:
Côté serveur : Activer le cryptage SSL pour les pages
voulues.
Côté client : Activer le SSL (par défaut).
20. VIRTUAL PRIVATE NETWORK
VPN
L’idée de base est la suivante :
Un ou plusieurs réseaux locaux, et un ou
plusieurs postes fixes reliés à un réseau public.
Simuler un gros réseau local totalement isolé
des autres personnes qui utilisent le réseau public.
22. PPTP
POINT TO POINT TUNNELING
PROTOCOL
Description :
Niveau 2 OSI
Tunneling
Cryptage
Standard
C’est un protocole de niveau 2 permettant de crypter et de
transporter l’intégralité du flux de données d’une connexion.
Ce protocole est en standard sur plusieurs systèmes, d’où son
utilisation courante
23. L2TP
LAYER 2 TUNNELING PROTOCOL
Fait aussi du tunneling, mais sans le cryptage.
Il utilise UDP, donc il est plus rapide, mais moins sûr, et il manque
des services. On doit donc corriger ce manque ailleurs.
On comble le manque en utilisant IPSec avec L2TP (on a donc 2
type principaux de VPN : VPN PPTP, et VPN L2TP IPSec)
Description :
Créé à partir de PPTP
Plus léger que PPTP
Utilise UDP plutôt que IP
Pas de cryptage
24. IPsec
Définition :
« Protocole de sécurité au sein de la couche réseau. Ce
protocole est développé pour fournir un service de sécurité à
base de cryptographie, permettant de garantir l'authentification,
l'intégrité, le contrôle d'accès et la confidentialité des
données. »
D'une manière plus commune : IPsec = formatage de
trame permettant le chiffrement des données au niveau IP.
25. IPsec
IPSec (Internet Protocol Security ) est un protocole de la
couche 3 du modèle OSI, tout comme IP; il fut à l'origine
développé dans le cadre de la version future de ce dernier
protocole, à savoir IPv6.
Or, si IPSec existe depuis quelques temps déjà, IPv6
n'est quant à lui pas encore déployé à grande échelle, ce qui
aurait put empêcher l'utilisation d'IPSec.
Mais il n'en est rien puisque ce dernier a été porté vers la
version actuelle d'IP (IPv4) et est maintenant disponible pour
tous les plus récents patches sécurité .
26. Les implémentations d'IPSec
D'un point de vue pratique, IPSec est un
protocole relativement difficile à implémenter d'une part
à cause de sa complexité intrinsèque (multiples sous-
protocoles...) et d'autre part à cause de ses interactions
avec les processus réseau courants.
S'il a été conçu avec des critères tels que
l'interopérablité en tête, IPsec n'en reste pas moins un
protocole de niveau 3 qui ne supporte aucune
modification ni altération à ce niveau (ou supérieur) une
fois ses paquets créés.
27. Les services proposés par IPSec
Les services de sécurité proposés par IPSec
permettent d'assurer les propriétés des tunnels des
VPNs citées précédemment :
1-Authentification des extrémités
2-Confidentialité des données échangées
3-Authenticité des données
4-Intégrité des données échangées
5-Protection contre les écoutes et analyses de
trafic
6-Protection contre le rejeu
28. Les services proposés par IPSec
1- Authentification des extrémités :
Cette authentification mutuelle permet à chacun
de s'assurer de l'identité de son interlocuteur.
Rappelons tout de même qu'IPSec est un
protocole de niveau 3 et qu'il ne fournit donc qu'une
authentification de niveau égal, c'est-à-dire une
authentification des machines mettant en œuvre le
protocole plutôt que des personnes utilisant réellement la
machine.
29. Les services proposés par IPSec
2-Confidentialité des données échangées :
IPSec permet si on le désire de
chiffrer le contenu de chaque paquet IP
pour éviter que quiconque ne le lise.
30. Les services proposés par IPSec
3-Authenticité des données :
IPSec permet de s'assurer, pour chaque
paquet échangé, qu'il a bien été émis par la
bonne machine et qu'il est bien à destination de
la seconde machine.
31. Les services proposés par IPSec
. 4-Intégrité des données échangées :
IPSec permet de s'assurer qu'aucun
paquet n'a subit de modification quelconque
(attaque dite active) durant son trajet.
32. Les services proposés par IPSec
5-Protection contre les écoutes et analyses de
trafic :
IPSec permet de chiffrer les adresses IP réelles
de la source et de la destination, ainsi que tout l'en-tête IP
correspondant.
C'est le mode de tunneling, qui empêche tout
attaquant à l'écoute de déchiffrer des informations sur les
identités réelles des extrémités du tunnel
.
33. Les services proposés par IPSec
6-Protection contre le rejeu :
IPSec permet de se protéger contre les
attaques consistant à capturer un ou plusieurs
paquets dans le but de les envoyer à nouveau
(sans pour autant les avoir déchiffrés) pour
bénéficier des mêmes avantages que l'envoyeur
initial.
34. IPsec : Architecture de sécurité
La suite IPsec est une norme ouverte .
IPsec utilise les protocoles suivants pour exécuter
diverses fonctions :
+ En-têtes d'authentification (AH) : prévoient
l'intégrité des données sans connexion origine
authentification des Datagrammes IP et offre une
protection contre les attaques de relecture
+ Charge utile ESP (Encapsulating Security): garantit
la confidentialité des données origine authentification
35. IPsec : Architecture de sécurité
Le protocole AH (Authentification Header) fournit les services de sécurité
suivants :
+ Intégrité des données
+ Authentification des données
+ Anti-rejeu (optionnel)
L'en-tête AH est décrite dans l'image suivante :
36. IPsec : Architecture de sécurité
Le protocole ESP (Encapsulating Security Payload) fournit
les services de sécurité suivants :
+ Confidentialité
+ Protection contre de l'analyse de trafic
+ Intégrité (comme AH)
+ Authentification des données .
On peut voir tout de suite qu’un ESP couvre les services offerts par AH ,
mais néanmoins il faut souligner le fait qu’un AH offre des services plus
complets qu'ESP car il est le seul à protéger l'en-tête du paquet (en-tête
original en mode Transport, en-tête IPSec en mode Tunnel).
40. Description des modes d'IPsec
Le mode Transport ne modifie pas l'en-tête initial; il
s'intercale entre le protocole réseau (IP) et le protocole de
transport (TCP, UDP...). Plusieurs variantes existent,
conformément aux protocoles décrits plus haut :
41. Description des modes d'IPsec
En mode transport, uniquement la charge utile du
paquet IP est généralement chiffrée et/ou authentifiée.
Le routage est intact, étant donné que l'en-tête IP n'est
ni modifiée ni chiffrée ;
Lorsque l' en-tête d'authentification est utilisée, les
adresses IP ne peuvent pas toutefois être traduites
Les couches transport et application sont toujours
sécurisées par hachage .
42. Description des modes d'IPsec
Le mode Tunnel remplace les en-têtes IP originaux
et encapsule la totalité du paquet IP. Par exemple, l'adresse
IPA externe pourra être celle de la passerelle de sécurité
implémentant IPSec, et l'adresse IPB interne sera celle de la
machine finale, sur le réseau derrière la passerelle.
43. Description des modes d'IPsec
En mode tunnel, la totalité du paquet IP est chiffrée
et/ou authentifiée. Elle est ensuite encapsulée dans un
nouveau paquet IP avec un en-tête IP.
Le mode tunnel est utilisé pour créer des réseaux
privés virtuels pour les communications
+ Réseau à réseau (exemple : entre les routeurs pour
relier des sites),
+ Hôte-à-réseau (exemple : accès des utilisateurs
distants) et
+ Hôte-hôte (exemple : chat privé).
44. Description des modes d'IPsec
Le mode de Nesting est hybride puisqu'il utilise les 2
modes cités précédemment. Il s'agit bien d'encapsuler
de l'IPSec dans de l'IPSec :
45. Comparatif entre protocoles de sécuritéComparatif entre protocoles de sécurité
Protocole Avantages Inconvénients
PPTP Très répandu
-Peu fiable
-Performance faible
L2TP Mobilité - L’overHead
IPSec
Confidentialité/I
ntégrité des
données
-Pas d’authentification des
utilisateurs
-Pas de QoS
-Lourdeur des opérations
46. Comparatif technologie cryptageComparatif technologie cryptage
Solution Déploiement
SSL
- mail (plus rapide ; standard)
- les mouvements financiers, les opérations
ponctuelles, le e-commerce
PPTP seulement quand IPSec n'est pas supporté
IPSec avec
L2TP
pour accéder à un LAN à distance
47. IPsec : Conclusion
IPsec est comme nous l'avons vu un assemblage
de plusieurs protocoles et mécanismes ce qui le rend
techniquement très complexe.
IPsec est d'autre part en constante évolution car il
est soutenu par une grande population technique et
scientifique..
Il est bon de savoir le fait qu'IPsec ne permet
pas d'authentifier les personnes donc ne pourra donc
pas servir à sécuriser des transactions.
Editor's Notes
Ces technologies sont les principales utilisées à cet effet.
Quand on a une donnée qu’on veut rendre illisible, on peut la crypter.
Pour ce faire, on utilise une clé.
Une clé est un grand entier.
Pour décrypter une donnée cryptée, on utilise une clé de décryptage.
On parle de clés symétriques quand c’est la même clé qui sert au cryptage et au décryptage.
On parle aussi de secrèt partagé car les deux personnes qui dialoguent doivent avoir une copie de la clé.
Cette clé doit rester secrète, d’où une problématique de transmission de la clé.
Ce système est rapide d’utilisation.
On parle de clés publiques quand on n’a plus une seule clé, mais un couple de clés.
Chaque interlocuteur a sa clé publique et sa clé privée correspondante, qui sont uniques.
La clé publique sert à décrypter les données cryptées précédemment par la clé privée correspondante.
Et vice versa : la clé privée sert à décrypter les données précédemment cryptées par la clé publique correspondante.
La clé publique est accessible à tout le monde. La clé privée ne doit être connue que par son propriétaire.
Quand on veut envoyer une donnée cryptée à un élément, on l’encrypte avec la clé publique de ce dernier. Celui ci la décryptera avec sa clé privée.
S’il veut répondre, il utilisera ma clé publique.
Ce système est efficace, mais lent.
On parle de clés publiques quand on n’a plus une seule clé, mais un couple de clés.
Chaque interlocuteur a sa clé publique et sa clé privée correspondante, qui sont uniques.
La clé publique sert à décrypter les données cryptées précédemment par la clé privée correspondante.
Et vice versa : la clé privée sert à décrypter les données précédemment cryptées par la clé publique correspondante.
La clé publique est accessible à tout le monde. La clé privée ne doit être connue que par son propriétaire.
Quand on veut envoyer une donnée cryptée à un élément, on l’encrypte avec la clé publique de ce dernier. Celui ci la décryptera avec sa clé privée.
S’il veut répondre, il utilisera ma clé publique.
Ce système est efficace, mais lent.
HACH est une fonction mathématique appelé fonction de hashage génère une série de 128 bits à partir d’une donnée.
Cette série est unique.
La fonction n’est pas réversible.
Ainsi, si on applique une fonction de hashage sur une donnée, on obtiendra toujours la même série de bits, et aucune autre donnée ne produira cette série.
SSL est une technologie de cryptage.
TLS est la dernière version.
Les deux protocols sont compatibles.
On arrive à un gros morceau : les VPN
L’isolation des autres suppose des systèmes de cryptages et d’autentifications forts.
On utilisera pour ce faire, un ou plusieurs des protocols listés, à savoir PPTP, L2TP, ou encore IPSec.