1 securite des reseaux.2p

8/9/2019 1 Securite Des Reseaux.2P

1/18

1

Scurit des rseaux informatiques 1

Scurit des rseauxinformatiques

Bernard Cousin

Universit de Rennes 1


IntroductionIntroduction

Risques

Attaques, services et mcanismes

Les attaques

Services de scurit

Mcanismes de dfense

Politique de scurit

Architectures de scurit


2/18

2


BibliographieBibliographie Stallings, W. Network Security

Essentials, 2ndedition. Prentice Hall,2003 Un grand nombre de figures ont t

extraites de ce livre Support de cours inspir de Henric Johnson

(Blekinge Institute of Technology, Sweden)

Maiwald, E. Network Security, Mc GrawHill, 2001 (traduction Campus Press)


Gestion des risques Vulnrabilit + menace = risque

Menace : cible + agent + consquence Fichier source + employ + "bug"

Vulnrabilit : cible + agent + procd Fichier source + employ + altration

(in)volontaire

Contre-mesures Exemple : Authentification + contrle

des droits de modification

Compromis efficacit/cot des contre-mesures

cot de l'incident versus cot descontre-mesures

Vulnrabilits

Risque moyen

Risque majeur

Risque mineur

Menace


3/18

3


Les objets de la scurit Les informations

Le systme

Le rseau

Etc.


Attaques, Services andAttaques, Services andMMcanismescanismes

Une Attaque : nimporte quelle action quicompromet la scurit des informations.

Mcanismes de Scurit : un mcanismequi est conu pour dtecter, prvenir et luttercontre une attaque de scurit.

Service de Scurit : un service quiaugmente la scurit des traitements et deschanges de donnes dun systme. Un servicede scurit utilise un ou plusieurs mcanismesde scurit.


4/18

4


AttaquesAttaques


Buts des attaquesButs des attaques

Interruption: vise la disponibilit desinformations

Interception: vise la confidentialit des

informations Modification: vise lintgrit des

informations Fabrication: vise lauthenticit des

informations


5/18

5


Attaques passives ou actives


Description des attaques :capture


6/18

6


Description des attaques :analyse de trafic


Description des attaques :masquarade


7/18

7


Description des attaques : rejeu


Description des attaques :modification ("man in the middle")


8/18

8


Description des attaques : Dnide service ("DoS")


Services de SServices de Scuritcurit

Confidentialit : les donnes (et l'objet et lesacteurs) de la communication ne peuvent pas treconnues dun tiers non-autoris.

Authenticit : lidentit des acteurs de lacommunication est vrifie.

Intgrit : les donnes de la communication nont past altres.

Non-rpudiation : les acteurs impliqus dans lacommunication ne peuvent nier y avoir participer.

Disponibilit : les acteurs de la communicationaccdent aux donnes dans de bonnes conditions.


9/18

9




10/18

10


MMcanismes de dfense Chiffrement : algorithme gnralement bas sur des

clefs et transformant les donnes. Sa scurit estdpendante du niveau de scurit des clefs.

Signature numrique: donnes ajoutes pour vrifierl'intgrit ou l'origine des donnes.

Bourrage de trafic : donnes ajoutes pour assurerla confidentialit, notamment au niveau du volume dutrafic.

Notarisation : utilisation dun tiers de confiance pour

assurer certains services de scurit. Contrle daccs : vrifie les droits daccs d'unacteur aux donnes. N'empche pas l'exploitationd'une vulnrabilit.


MMcanismes de dfense Antivirus : logiciel cens protger ordinateur contre les logiciels (ou fichiers

potentiellement excutables) nfastes. Ne protge pas contre un intrus quiemploie un logiciel lgitime, ou contre un utilisateur lgitime qui accde uneressource alors qu'il n'est pas autoris le faire.

Le pare-feu : un lment (logiciel ou matriel) du rseau informatique contrlantles communications qui le traversent. Il a pour fonction de faire respecter lapolitique de scurit du rseau, celle-ci dfinissant quels sont les communicationsautoriss ou interdits. N'empche pas un attaquant d'utiliser une connexion

autorise pour attaquer le systme. Ne protge pas contre une attaque venant durseau intrieur (qui ne le traverse pas). Dtection d'intrusion : repre les activits anormales ou suspectes sur le rseau

surveill. Ne dtecte pas les accs incorrects mais autoriss par un utilisateurlgitime. Mauvaise dtection : taux de faux positifs, faux ngatifs.

Journalisation ("logs") : Enregistrement des activits de chaque acteurs. Permetde constater que des attaques ont eu lieu, de les analyser et potentiellement defaire en sorte qu'elles ne se reproduisent pas.

Analyse des vulnrabilit ("security audit") : identification des points devulnrabilit du systme. Ne dtecte pas les attaques ayant dj eu lieu, oulorsqu'elles auront lieu.


11/18

11


Mcanismes de dfense Contrle du routage : scurisation des chemins (liens

et quipements d'interconnexion). Contrle d'accs aux communications : le moyen de

communication n'est utilis que par des acteursautoriss. Par VPN ou tunnels.

Horodatage : marquage scuris des instantssignificatifs .

Certification : preuve d'un fait, d'un droit accord.

Distribution de clefs : distribution scurise desclefs entre les entits concernes.


MMcanismes de dfense

Authentification : Authentifier un acteur peut se faire enutilisant une ou plusieurs de ses lments.

Ce qu'il sait. Par ex. : votre mot de passe, la date anniversaire de votregrand-mre

Ce qu'il a. Par ex. : une carte puce Ce qu'il est. Par ex. : la biomtrie (empreinte digitale, oculaire ou vocale)

Dans le domaine des communications, on authentifie l'metteur dumessage. Si l'on considre les (deux) extrmits d'unecommunication il faut effectuer un double authentification

Par ex. pour lutter contre le "phishing" L'authentification est ncessaire au bon fonctionnement des autres

mcanismes.

La protection physique : peut fournir une protection totale, maisqui peut tre excessive. Par ex. isoler compltement son systmeest une solution qui peut tre trop radicale.


12/18

12


Remarques sur la confiance Confiance dans la scurit d'un systme:

Systme rparti = {systme de communication, les sous-systmeslocaux}

Niveau de confiance d'un systme = min (niveau de confiance de sessous-systmes)

Dans un systme sre de confiance Les mcanismes de scurit peuvent formellement tablir la

confiance Cration d'un chane de confiance

Les amis surs de mes amis sont des amis surs

Problme du point de dpart de la chane de confiance L'authentification des centres de certification Renforcement de la confiance, au cours des changes

Graphe de confiance Rvocation de la confiance accorde


Remarques sur les mcanismes descurit

Aucun des mcanismes de scurit nesuffit par lui-mme. Il les faut tous !


13/18

13


Politique de scurit Une politique de scurit ce n'est pas

seulement : Les paramtres de scurit

longueur des clefs, choix des algorithmes, frquence de changement des "passwords", etc.

Une fois une politique de scurit dfinie, samise en oeuvre (utilisation d'outils appropris)et sa bonne gestion (maintien de la cohrence)sont des points critiques


Le processus de scurit

Evaluation/audit

Politique

Implmentation/(In)Formation

Evaluation

Evaluation/audit

PolitiqueImplmentation/(In)Formation


14/18


15/18

15


Elments d'architecture Pare-feu

DMZ

IDS

Log

VPN


Elments d'architecture

Routeur

Hub/switch

Serveur externe

Serveur interne

Firewall

DMZ

Internet

log

IDS


16/18

16


Virtual Private Network Seuls les agents autoriss peuvent avoir accs

aux rseaux virtuels Authentification des agents Chiffrement des communications

Remarques: Le rseau virtuel est un moyen d'accder des

services (extension au rseau de la notion decontrle d'accs aux fichiers)

On limite dlibrment la capacitd'interconnexion totale propose par l'Internet Le nombre des rseaux virtuels dpend du nombre

des types d'agents (et donc des servicesaccessibles chaque type d'agent)


Rseau virtuel

Il existe de nombreuses implmentationsdu concept de rseau virtuel : Au niveau 2 : VLAN

Les trames Ethernet sont compltes par un VID Au niveau 3 : IPsec+

Accompagn d'une phase d'authentification(serveur d'authentification)

Les paquets sont chiffrs (serveurs de scurit)


17/18

17


Rseaux virtuels

Serveur 1

Serveur 2

Rseau d'entreprise

Station locale

Station distante

Internet

Routeur 2Routeur 1

log


Rseaux virtuels

Serveur 1

Serveur 2

Rseau virtuel rouge

Rseau virtuel bleuRseau d'interconnexion total


18/18


Conclusion Prsentation des risques (attaques),

services et mcanismes de scurit

Introduction la politique etarchitecture de scurit

1 securite des reseaux.2p

Documents