1 securite des reseaux.2p
TRANSCRIPT
-
8/9/2019 1 Securite Des Reseaux.2P
1/18
1
Scurit des rseaux informatiques 1
Scurit des rseauxinformatiques
Bernard Cousin
Universit de Rennes 1
Scurit des rseaux informatiques 2
IntroductionIntroduction
Risques
Attaques, services et mcanismes
Les attaques
Services de scurit
Mcanismes de dfense
Politique de scurit
Architectures de scurit
-
8/9/2019 1 Securite Des Reseaux.2P
2/18
2
Scurit des rseaux informatiques 3
BibliographieBibliographie Stallings, W. Network Security
Essentials, 2ndedition. Prentice Hall,2003 Un grand nombre de figures ont t
extraites de ce livre Support de cours inspir de Henric Johnson
(Blekinge Institute of Technology, Sweden)
Maiwald, E. Network Security, Mc GrawHill, 2001 (traduction Campus Press)
Scurit des rseaux informatiques 4
Gestion des risques Vulnrabilit + menace = risque
Menace : cible + agent + consquence Fichier source + employ + "bug"
Vulnrabilit : cible + agent + procd Fichier source + employ + altration
(in)volontaire
Contre-mesures Exemple : Authentification + contrle
des droits de modification
Compromis efficacit/cot des contre-mesures
cot de l'incident versus cot descontre-mesures
Vulnrabilits
Risque moyen
Risque majeur
Risque mineur
Menace
-
8/9/2019 1 Securite Des Reseaux.2P
3/18
3
Scurit des rseaux informatiques 5
Les objets de la scurit Les informations
Le systme
Le rseau
Etc.
Scurit des rseaux informatiques 6
Attaques, Services andAttaques, Services andMMcanismescanismes
Une Attaque : nimporte quelle action quicompromet la scurit des informations.
Mcanismes de Scurit : un mcanismequi est conu pour dtecter, prvenir et luttercontre une attaque de scurit.
Service de Scurit : un service quiaugmente la scurit des traitements et deschanges de donnes dun systme. Un servicede scurit utilise un ou plusieurs mcanismesde scurit.
-
8/9/2019 1 Securite Des Reseaux.2P
4/18
4
Scurit des rseaux informatiques 7
AttaquesAttaques
Scurit des rseaux informatiques 8
Buts des attaquesButs des attaques
Interruption: vise la disponibilit desinformations
Interception: vise la confidentialit des
informations Modification: vise lintgrit des
informations Fabrication: vise lauthenticit des
informations
-
8/9/2019 1 Securite Des Reseaux.2P
5/18
5
Scurit des rseaux informatiques 9
Attaques passives ou actives
Scurit des rseaux informatiques 10
Description des attaques :capture
-
8/9/2019 1 Securite Des Reseaux.2P
6/18
6
Scurit des rseaux informatiques 11
Description des attaques :analyse de trafic
Scurit des rseaux informatiques 12
Description des attaques :masquarade
-
8/9/2019 1 Securite Des Reseaux.2P
7/18
7
Scurit des rseaux informatiques 13
Description des attaques : rejeu
Scurit des rseaux informatiques 14
Description des attaques :modification ("man in the middle")
-
8/9/2019 1 Securite Des Reseaux.2P
8/18
8
Scurit des rseaux informatiques 15
Description des attaques : Dnide service ("DoS")
Scurit des rseaux informatiques 16
Services de SServices de Scuritcurit
Confidentialit : les donnes (et l'objet et lesacteurs) de la communication ne peuvent pas treconnues dun tiers non-autoris.
Authenticit : lidentit des acteurs de lacommunication est vrifie.
Intgrit : les donnes de la communication nont past altres.
Non-rpudiation : les acteurs impliqus dans lacommunication ne peuvent nier y avoir participer.
Disponibilit : les acteurs de la communicationaccdent aux donnes dans de bonnes conditions.
-
8/9/2019 1 Securite Des Reseaux.2P
9/18
9
Scurit des rseaux informatiques 17
Scurit des rseaux informatiques 18
-
8/9/2019 1 Securite Des Reseaux.2P
10/18
10
Scurit des rseaux informatiques 19
MMcanismes de dfense Chiffrement : algorithme gnralement bas sur des
clefs et transformant les donnes. Sa scurit estdpendante du niveau de scurit des clefs.
Signature numrique: donnes ajoutes pour vrifierl'intgrit ou l'origine des donnes.
Bourrage de trafic : donnes ajoutes pour assurerla confidentialit, notamment au niveau du volume dutrafic.
Notarisation : utilisation dun tiers de confiance pour
assurer certains services de scurit. Contrle daccs : vrifie les droits daccs d'unacteur aux donnes. N'empche pas l'exploitationd'une vulnrabilit.
Scurit des rseaux informatiques 20
MMcanismes de dfense Antivirus : logiciel cens protger ordinateur contre les logiciels (ou fichiers
potentiellement excutables) nfastes. Ne protge pas contre un intrus quiemploie un logiciel lgitime, ou contre un utilisateur lgitime qui accde uneressource alors qu'il n'est pas autoris le faire.
Le pare-feu : un lment (logiciel ou matriel) du rseau informatique contrlantles communications qui le traversent. Il a pour fonction de faire respecter lapolitique de scurit du rseau, celle-ci dfinissant quels sont les communicationsautoriss ou interdits. N'empche pas un attaquant d'utiliser une connexion
autorise pour attaquer le systme. Ne protge pas contre une attaque venant durseau intrieur (qui ne le traverse pas). Dtection d'intrusion : repre les activits anormales ou suspectes sur le rseau
surveill. Ne dtecte pas les accs incorrects mais autoriss par un utilisateurlgitime. Mauvaise dtection : taux de faux positifs, faux ngatifs.
Journalisation ("logs") : Enregistrement des activits de chaque acteurs. Permetde constater que des attaques ont eu lieu, de les analyser et potentiellement defaire en sorte qu'elles ne se reproduisent pas.
Analyse des vulnrabilit ("security audit") : identification des points devulnrabilit du systme. Ne dtecte pas les attaques ayant dj eu lieu, oulorsqu'elles auront lieu.
-
8/9/2019 1 Securite Des Reseaux.2P
11/18
11
Scurit des rseaux informatiques 21
Mcanismes de dfense Contrle du routage : scurisation des chemins (liens
et quipements d'interconnexion). Contrle d'accs aux communications : le moyen de
communication n'est utilis que par des acteursautoriss. Par VPN ou tunnels.
Horodatage : marquage scuris des instantssignificatifs .
Certification : preuve d'un fait, d'un droit accord.
Distribution de clefs : distribution scurise desclefs entre les entits concernes.
Scurit des rseaux informatiques 22
MMcanismes de dfense
Authentification : Authentifier un acteur peut se faire enutilisant une ou plusieurs de ses lments.
Ce qu'il sait. Par ex. : votre mot de passe, la date anniversaire de votregrand-mre
Ce qu'il a. Par ex. : une carte puce Ce qu'il est. Par ex. : la biomtrie (empreinte digitale, oculaire ou vocale)
Dans le domaine des communications, on authentifie l'metteur dumessage. Si l'on considre les (deux) extrmits d'unecommunication il faut effectuer un double authentification
Par ex. pour lutter contre le "phishing" L'authentification est ncessaire au bon fonctionnement des autres
mcanismes.
La protection physique : peut fournir une protection totale, maisqui peut tre excessive. Par ex. isoler compltement son systmeest une solution qui peut tre trop radicale.
-
8/9/2019 1 Securite Des Reseaux.2P
12/18
12
Scurit des rseaux informatiques 23
Remarques sur la confiance Confiance dans la scurit d'un systme:
Systme rparti = {systme de communication, les sous-systmeslocaux}
Niveau de confiance d'un systme = min (niveau de confiance de sessous-systmes)
Dans un systme sre de confiance Les mcanismes de scurit peuvent formellement tablir la
confiance Cration d'un chane de confiance
Les amis surs de mes amis sont des amis surs
Problme du point de dpart de la chane de confiance L'authentification des centres de certification Renforcement de la confiance, au cours des changes
Graphe de confiance Rvocation de la confiance accorde
Scurit des rseaux informatiques 24
Remarques sur les mcanismes descurit
Aucun des mcanismes de scurit nesuffit par lui-mme. Il les faut tous !
-
8/9/2019 1 Securite Des Reseaux.2P
13/18
13
Scurit des rseaux informatiques 25
Politique de scurit Une politique de scurit ce n'est pas
seulement : Les paramtres de scurit
longueur des clefs, choix des algorithmes, frquence de changement des "passwords", etc.
Une fois une politique de scurit dfinie, samise en oeuvre (utilisation d'outils appropris)et sa bonne gestion (maintien de la cohrence)sont des points critiques
Scurit des rseaux informatiques 26
Le processus de scurit
Evaluation/audit
Politique
Implmentation/(In)Formation
Evaluation
Evaluation/audit
PolitiqueImplmentation/(In)Formation
-
8/9/2019 1 Securite Des Reseaux.2P
14/18
-
8/9/2019 1 Securite Des Reseaux.2P
15/18
15
Scurit des rseaux informatiques 29
Elments d'architecture Pare-feu
DMZ
IDS
Log
VPN
Scurit des rseaux informatiques 30
Elments d'architecture
Routeur
Hub/switch
Serveur externe
Serveur interne
Firewall
DMZ
Internet
log
IDS
-
8/9/2019 1 Securite Des Reseaux.2P
16/18
16
Scurit des rseaux informatiques 31
Virtual Private Network Seuls les agents autoriss peuvent avoir accs
aux rseaux virtuels Authentification des agents Chiffrement des communications
Remarques: Le rseau virtuel est un moyen d'accder des
services (extension au rseau de la notion decontrle d'accs aux fichiers)
On limite dlibrment la capacitd'interconnexion totale propose par l'Internet Le nombre des rseaux virtuels dpend du nombre
des types d'agents (et donc des servicesaccessibles chaque type d'agent)
Scurit des rseaux informatiques 32
Rseau virtuel
Il existe de nombreuses implmentationsdu concept de rseau virtuel : Au niveau 2 : VLAN
Les trames Ethernet sont compltes par un VID Au niveau 3 : IPsec+
Accompagn d'une phase d'authentification(serveur d'authentification)
Les paquets sont chiffrs (serveurs de scurit)
-
8/9/2019 1 Securite Des Reseaux.2P
17/18
17
Scurit des rseaux informatiques 33
Rseaux virtuels
Serveur 1
Serveur 2
Rseau d'entreprise
Station locale
Station distante
Internet
Routeur 2Routeur 1
log
Scurit des rseaux informatiques 34
Rseaux virtuels
Serveur 1
Serveur 2
Rseau virtuel rouge
Rseau virtuel bleuRseau d'interconnexion total
-
8/9/2019 1 Securite Des Reseaux.2P
18/18
Scurit des rseaux informatiques 35
Conclusion Prsentation des risques (attaques),
services et mcanismes de scurit
Introduction la politique etarchitecture de scurit