Add to collection(s) Add to saved
  1. No category
Uploaded by A C

Chapitre III Etude des differentes strat

advertisement 
Chapitre III
Etude des différentes stratégies de sécurité
19
Introduction
Un simple inter-réseau d’organisations éducatives et gouvernementales strictement contrôlées et
sécurisé, l’internet a évolué pour devenir un moyen de transmission de communications
professionnelles et personnelles largement accessible. L’évolution importante et rapide de secteurs des
communications renforce le besoin d’intégrer la sécurité à l’architecture du réseau. C’est pourquoi des
efforts considérables sont consacrés à ce secteur de recherche et de développement.
Dans se sens s’inscrit ce chapitre dans le quelle on va représenter les différents moyennes appliquer
pour atteindre notre but grâce à l’application d’une politique de sécurité adaptée à nos besoins et mise
en œuvre par divers matériels
I.
Déterminer les besoins en sécurité
Les principaux buts de l’ingénierie de sécurité sont :
 Minimiser l’impact d’attaque
 Minimiser le temps de réaction
 Maximiser le rapport bénéfice-cout
La stabilité de l’entreprise est obtenu par :
 Disposer d’un système d’information sécurisé.
 Se prémunir des attaques.
 Protéger la confidentialité de vos données.
 Contrôler les entrants sur le réseau.
 Assurer la stabilité du business.
La mise en œuvre d'une politique de sécurité permet de définir des besoins en termes de sécurité. La
phase de définition comporte les deux étapes suivantes :
1. L’identification des besoins
La phase d'identification des besoins consiste à faire un recensement concernant les éléments
suivants :






Les matériels et leur rôle
Les employés et leurs fonctions
Le type et la cartographie du réseau (plan d'adressage, topologie physique et logique, etc.) ;
La liste des noms de domaine de l'entreprise
L’infrastructure de communication (commutateurs, routeurs, etc.)
Les données sensibles.
2. L’analyse des risques
Cette étape consiste à définir les différents risques possibles qui peuvent accéder sur le réseau, à
estimer leur probabilité, à définir leur impact et enfin à déterminer les coûts de réaction et de perte.
20
Cette analyse ne pet réaliser correctement si seulement si on à le model d’impact pour identifier les
pertes et les bénéfices de réaction, ce que nous permet de dresser un tableau des risques, en leur
attribuant à chaque risque un niveau par rapport au autre risque suivant l’importante de l’impact.
Pour mettre en place ces solutions, il existe trois types de procédures :
• Le mode proactif, qui consiste à vérifier régulièrement la solution mise en œuvre (mises à jour des
anti-virus pour les équipements, revalidation des règles de sécurité).
• La supervision (24h/24, 7j/7), qui assure une gestion en temps réel des dysfonctionnements des
éléments de votre sécurité.
• Le mode réactif, qui vise à mettre en place toutes les procédures et ressources nécessaires à la
résolution rapide des incidents. [15]
II.
Les solutions mises en œuvre sur le réseau
La sécurité informatique consiste à sécuriser le contenu on protégeant les informations
contenues dans les paquets transmis sur le réseau ainsi que les informations stockées sur des
périphériques reliés au réseau.
1. Développement d’une stratégie de sécurité
a- Définition de stratégie de sécurité
La première étape qu’une entreprise devrait faire pour se prémunir et protéger ses données
contre les risques consiste à développer une stratégie de sécurité.
Une stratégie est un ensemble de principes et de règles qui guident les prises de décision et permettent
aux dirigeants d’une organisation de déléguer l’autorité en toute confiance comme en peut la définir
comme une déclaration formelle des règles qui doivent être respectées par les personnes qui ont accès
aux ressources technologiques et aux données vitales de l’entreprise. Une stratégie de sécurité peut se
présenter comme de simples règles du bon usage des ressources du réseau ou, à l’inverse, comprendre
des centaines de pages et détailler chaque élément de connectivité et les règles correspondantes. [4]
b- les avantages de la stratégie de sécurité
Une stratégie de sécurité apporte les avantages suivants à l’entreprise :
 Elle fournit les moyens d’auditer la sécurité d’un réseau et de comparer les exigences de
sécurité avec ce qui est en place.
 Elle présente la base d’actions en justice lorsque cela s’avère nécessaire
 Elle permet de planifier des améliorations de sécurité, notamment en matière d’équipements,
de logiciels et de procédures.
 Elle définit les rôles et responsabilités des utilisateurs, des administrateurs et des cadres.
 Elle définit les comportements des actions autorisés et ceux qui sont interdite.
 Elle définit une procédure de traitement des incidents de sécurité.
 Elle permet la mise en œuvre et l’application d’une sécurité globale en tant que norme de
sécurité entre des sites.
c- les fonctions de cette stratégie
Une stratégie de sécurité exhaustive remplit les fonctions essentielles suivantes :
21
 Elle protège les personnes et les informations.
 Elle définit les règles de comportement des utilisateurs, des administrateurs système, de la
direction et du personnel de sécurité.
 Elle autorise le personnel de sécurité à surveiller et à effectuer des sondages et des enquêtes.
 Elle définit les conséquences des violations et les applique.
C’est pourquoi les entités en charge des services de sécurité de Tunisie Télécom proposent de
consolider la sécurité de réseau, grâce à l’application d’une politique de sécurité adaptée au besoin et
mise en œuvre par divers matériels et des procédures.
2. Alimentation électrique
Tous les équipements électriques d’un réseau dépendent bien évidemment du courant électrique.
Toute chute ou perturbation du réseau électrique se répercutera inévitablement sur le réseau
informatique (crash disques, arrêts des serveurs et des services, perte de données etc..) en entraînant
parfois des dégâts matériels très lourds et irréversibles. Pour éviter ce genre de désagrément
l’entreprise peut recourir à :
a. Onduleur professionnel : équipé de batteries il assurera une continuité de
l’alimentation pour un délai respectable, jusqu’à ce que l’alimentation secteur soit de
nouveau opérationnelle. Dans le cas ou le courant tarderait à revenir il permettra de
sauvegarder les travaux en cours et d’éteindre proprement les machines. [3]
b. Groupe électrogène : solution préférable en entreprise, le groupe électrogène prendra
automatiquement le relais en cas de coupure électrique. Son autonomie n’est pas
limitée comme l’onduleur puisqu’il produit de l’électricité mécaniquement grâce. [3]
3. Principe de topologies redondantes
La redondance de couche 2 améliore la disponibilité du réseau grâce à la mise en place de chemins
alternatifs via l’ajout d’équipements et de câbles. Si les données ont la possibilité d’emprunter
plusieurs chemins pour traverser le réseau, un chemin peut être coupée sans aucune incidence sur la
connectivité des périphériques du réseau.
Fig 3.1 : Principe de topologies redondantes
22
Le protocole STP (Spanning Tree Protocol) est activé sur tous les commutateurs : Lorsqu’il existe
plusieurs chemins entre deux périphériques du réseau et que le protocole STP a été désactivé sur ces
commutateurs, une boucle de couche 2 peut se former. Si le protocole STP est activé sur ces
commutateurs (paramètre par défaut), aucune boucle de couche 2 ne se forme.
Ce principe permet d’éliminer les risques de pannes du réseau provoquées par un composant unique et
d’améliorer la fiabilité des réseaux.
Mais ce redondance prouve des novelles problèmes tel que :
-
Trames de monodiffusion en double
Tempêtes de diffusion : Une tempête de diffusion se produit lorsque toute la bande passante
disponible est consommée en raison du nombre trop élevé de trames de diffusion prises dans
une boucle de couche 2
Par conséquent, ces problèmes provoquent rapidement la désactivation du réseau. Heureusement, les
commutateurs sont capables de détecter les boucles dans un réseau. Le protocole STP élimine ces
problèmes de boucle.
4. Le support
Pour qu’un réseau soit fonctionnel, il faut interconnectés les périphériques de réseau. Les
connexions est présenté sous deux forme : câblées ou sans fil mais dit au défaut multiple de sécurité de
connexion sans fil par apport au celle câblées donc elle est plus préférable de utiliser un support
câblées et pour cette connexion aussi on a plusieurs type des supports : le support à base de cuivre ;
comme les câbles téléphoniques à paire torsadée, les câbles coaxiaux ou ce que l’on appelle des câbles
à paires torsadées non blindées de catégorie 5 paire torsadée non blindée (UTP) qui conduit des
signaux électriques ou support à base de fibre optique qui transporte des signaux lumineux et qui
constituent une autre forme de support pour réseau, du au les avantages qui présente le support en fibre
optique tel que sa capacité et aussi sa divers service moderne qui peut fournie et aussi c’est un support
indétectable donc elle est plus préférable de utiliser que les autre type de support. [4]
5. les matérielle utiliser pour la sécurité de réseau
Elle concerne essentiellement l’emplacement physique du matériel et des dispositifs réseau.
23
Fig 3.2 : la topologie de réseau sécurisé [7]
a- Le routeur
Puisque le réseau de notre entreprise set criée sur le réseau Internet (liaison spécialisée
permanente), la société se voit attribuer une plage d'adresses IP publique uniques. La mise en place
d'un routeur en frontal de ce point d'accès Internet permet de :
- fournir un accès aux segments de réseau et aux sous-réseaux ;
- annoncer les réseaux et filtrer les utilisateurs.
Le routeur lit les informations:
 l’adresse IP : source et destination
 Protocole (TCP=6, UDP=17, ICMP=1)
 Port-Source, Port Destination
En fonction de ces éléments, il peut décider de garder ou de dropper le paquet.
Pour mettre en œuvre ce cloisonnement, il faut :
1. Découper notre réseau privé en domaines de sécurité
2. Déterminer les flux entre les différents domaines de notre réseau
3. Définir une politique de sécurité sur le flux de données
4. Appliquer ces règles de flux sur les équipements intérimaire de réseau (les commutateurs, les
routeurs, ...) [7]
Comme les routeurs sont des passerelles vers d’autres réseaux, ils constituent des cibles évidentes et
sont soumis à une variété d’attaques. Parmi ces des différents problèmes de sécurité rencontrés on peut
citer :
- Un contrôle d’accès compromis peut révéler les détails de configuration du réseau et faciliter
ainsi les attaques contre d’autres parties du réseau.
- La performance réduire de tables de routage de routeurs, refuser des services de
communication et exposer des données sensibles.
24
Un filtre de trafic mal configuré sur un routeur peut exposer les parties internes du réseau à
des attaques, ce qui permet aux assaillants de passer plus facilement inaperçus.
Donc La sécurisation des routeurs situés en périphérie du réseau est la première étape de la
sécurisation. La sécurité des routeurs s’envisage en réfléchissant aux aspects suivants :
- Sécurité physique est assuré par : les périphériques physiques utilisés pour la connexion au
routeur doivent se trouver dans un local fermé à clé pour éviter que un périphérique non
surveillé peut contenir des chevaux de Troie ou d’autres types de fichiers exécutables.
- Mise à jour du logiciel IOS du routeur chaque fois et utilisez la version la plus stable qui
correspond aux besoins de votre réseau.
- Sauvegarde de la configuration du routeur et de son logiciel IOS,
- Durcissement du routeur pour éliminer l’abus éventuel des ports et des services inutilisés :
Les routeurs Cisco prennent en charge un grand nombre de services réseau aux couches 2, 3, 4 et 7. La
première étape essentielle consiste à déterminer à quel "public" s'adresse un service donné, en
subdivisant les ressources selon plusieurs catégories (interne à l'entreprise, externe à l'entreprise et
anonyme, externe à l'entreprise et authentifié). Donc certains de ces services sont vulnérables et sont
des processus automatiques et des paramètres prévus pour la prise en charge de configurations
spéciales ou d’ancienne génération qui présentent des risques de sécurité et peut donc peut servir à des
attaques du réseau. Certains de ces services peuvent être limités ou désactivés pour améliorer la
sécurité sans toutefois dégrader le fonctionnement du routeur parmi ces services on peut citer :
- Routage par la source IP : Fonction IP qui permet aux paquets de spécifier leurs propres
routes.
- Notification d’adresses IP inaccessibles : Le routeur signale explicitement les adresses IP
incorrectes aux expéditeurs.
-
Fig 3.3 : sécurité par routeur
b- Les VPN (Virtual Private Network)
Internet est un support de communication public et donc très vulnérable concernant l’écoute et
l’interception de données. Il devient donc essentiel de pouvoir établir un circuit sécurisé de bout en
bout sur Internet afin de garantir la confidentialité des transmissions.
Les VPN permettent de créer un tunnel sécurisé entre le client distant et le réseau local de l’entreprise
grâce à un protocole de tunnelisation (tunneling) qui se chargera de crypter la communication de bout
en bout.
 Réseau : Un réseau numérique de télécommunication
 Privée : Qui interconnecte les sites, réseaux locaux ou ordinateurs distants appartenant à un
même organisme (et seulement ceux-ci)
25
 Virtuel : Grace à des liaisons virtuelles qui s'appuient sur une infrastructure de communication
sous-jacente
Fig 3.4 : Schéma représentative d’un réseau VPN crié sur un réseau public
Prenons le cas d’un travailleur itinérant. Celui-ci ne se trouvera pas dans l’enceinte de l’entreprise et
donc aura besoin d’accéder à distance via Internet aux ressources locales de l’entreprise à laquelle il
est affilié. Cependant
On obtient donc un réseau virtuel car il relie deux réseaux "physiques" distants par un circuit sécurisé
logique (tunnel) établit sur une liaison non fiable (Internet), et privé car les données peuvent être vues
et décryptées que par les seuls les ordinateurs de part et d'autre du VPN et donc restent
incompréhensibles pour tout ordinateurs ne faisant pas partie du VPN.
Le client et serveur VPN sont tous les deux capables de chiffrer et déchiffrer les données de part et
d’autre du tunnel donc on a deux types de Tunnels :
 Tunnel obligatoire : Node to Node, est crié au niveau de deux extrémités de tunnel.
 Tunnel volontaire : End to End, est crié au niveau des clients.
Fig 3.5 : les différents types de tunnel
Les principaux protocoles de tunnelisation sont situant sur les deux couches :
 Couche réseau : IPsec mis au point par l'IETF, permettant le transport des données chiffrées
dans les réseaux IP.
 Couche liaison de donné :
 PPTP (Point-to-Point Tunneling Protocol)
 L2F (Layer Two Forwarding)
 L2TP (Layer Two Tunneling Protocol) : protocole de niveau 2 s’appuyant sur PPP
mis au point par l'IETF pour rendre compatible PPTP et L2F.
26
c- Les pare-feux
Qui permettent de contrôler la connexion entre l’entreprise et l’extérieur. Les pare-feux sont la
principale réponse aux problèmes de confidentialité et d’attaques visant à pénétrer votre réseau ou
votre système d’information. Ils sont généralement installés dans la zone où votre entreprise n’a aucun
contrôle et où se passent généralement les attaques; c’est la zone de lien avec Internet.
Les pare-feu peuvent filtrer les paquets selon différentes méthodes de filtrage :
-
-
Filtrage simple: opère au niveau de la couche 3, analyse les paquets entrants et sortants.
Filtrage dynamique: opère au niveau de la couche 3 (réseau) et de la couche 4 (transport) lui
permettant de suivre entièrement les transactions de type client/serveur en gérant plus
particulièrement les sessions.
Filtrage applicatif: opère au niveau de la couche 7 (application) et est basée sur une
connaissance des protocoles et des ports utilisés par les applications. [14]
d- Les sondes de détection d’intrusion
Qui ont un rôle majeur dans la reconnaissance d’attaques et dans la prévention de celles-ci.
Ces sondes sont installées en amont des pare-feux et analysent tout le trafic entrant et sortant de votre
réseau. Elles sont situées généralement sur le lieu d’échange entre l’entreprise et ses partenaires ou
clients. [4]
e- Les DMZ; différents serveurs en zones
La gestion des droits d'accès sera facilitée par le regroupement des différents serveurs en zones
"démilitarisées" (DMZ) : au sein d'une même zone se trouveront des serveurs accessibles par le même
type de "public". Ce segment d’accès public est généralement appelé zone démilitarisée (DMZ).
Il est nécessaire de choisir une topologie de réseau qui se prête à la sécurité et d'appliquer des
principes d'isolation. En séparant le réseau en sous-réseaux, on pourra mieux gérer chacune des platesformes indépendamment. Il est donc nécessaire de créer un nouvel espace distinct du réseau public et
du réseau interne, afin de ne pas mettre en péril la sécurité et de garantir la confidentialité des données.
Les serveurs situés dans la DMZ seront renforcés en termes de sécurité : des authentifications et une
gestion des droits plus forte, des mécanismes de surveillance comme les sondes d'intrusion, des
fausses failles ("pots de miel") pour faire perdre leur temps aux pirates / hackers.
Si un serveur de la DMZ (appelé aussi "bastion") tombe et que le pirate "écoute" le réseau, il ne pourra
récupérer rien de confidentiel. Cette DMZ se construit autour d'une ou plusieurs infrastructures
filtrantes qui possèdent au moins deux interfaces réseau.
Les DMZ et les solutions filtrantes offrent un mécanisme de protection du réseau interne vis-à-vis des
menaces externes tout en offrant des services à l'extérieur. Ainsi, toutes les DMZ ne sont pas
forcément "visibles" du monde public. [7]
Fig 3.6 : Fonctionnement de DMZ [7]
27
f- Les proxys et serveurs DNS et DHCP
Un proxy (serveur proxy) est un serveur qui s’interpose entre le réseau local et Internet. Il est
utilisé le plus souvent pour le Web (http) mais peut aussi être utilisé pour d’autre protocole. Le serveur
Proxy sert d’intermédiaire ou relais, ainsi les machines clientes n’effectuent plus leurs requêtes
directement sur le Web mais transmettent leur requête au serveur proxy. Une fois la requête reçue le
serveur Proxy la transmet au serveur recherché par le client. Ce serveur envoie la réponse au serveur
Proxy qui la transmet à son tour à la machine cliente. L’intérêt du serveur Proxy est qu’il pourra
assurer différentes fonctions telles que les fonctions d’archivage, de cache, d’authentification et de
filtrage : [14]
 Archivage : Le serveur Proxy garde une trace des sites visités par les utilisateurs dans un
fichier de log en enregistrant automatiquement les requêtes des clients.
 Fonction de cache : La fonction de cache permet de garder en mémoire les pages web
fréquemment visitées par les utilisateurs du réseau local cela pour accélérer le renvoie
d’informations au client et pour économiser la bande passante vers Internet. Cependant le
serveur Proxy s’assure de la validité des informations en comparant régulièrement les
informations stockées en mémoire avec les données distantes.
 Authentification : Le serveur Proxy peut être utilisé pour authentifier les utilisateurs désirant
accéder à des ressources externes à l’entreprise. L’utilisateur devra s’identifier à l’aide d’un
login et d’un mot de passe.
 Fonction de filtrage : Le serveur Proxy peut aussi filtrer les requêtes des clients en fonction
d’une liste de requêtes autorisées et/ou interdites. Si un client Web fait la requête d’un site non
autorisé sur le serveur Proxy, le serveur Proxy ne pourra pas satisfaire la demande du client.
On peut aussi mettre en place un filtrage de contenu avec une liste de mots clés. [14]
6. Les logiciels de sécurité
a- Arrêt des services inutiles
Les services utilisent souvent des ports leur permettant de communiquer vers l’extérieur. Ainsi
plus il y a de services en exécution plus le nombre de ports ouvert sera important. A défaut d’être filtré
par un pare-feu il se révélera utile de désactiver les services superflus.
b- Le chiffrement de donnée (le cryptage et le décryptage)
Le chiffrement garantir la protection des données susceptibles d’attaques, que ce soit sous
forme de craquage de mots de passe, d’écoute électronique ou de manipulation. Le chiffrement des
données sensibles garantit qu’une transmission susceptible d’être ni écoutée ni observée ni altérée.
Une opération de déchiffrement est nécessaire lorsque les données chiffrées arrivent sur l’hôte de
destination. On a deux méthodes de chiffrement de données ; [4]
Cryptage symétrique : consiste à utiliser une clé pour le cryptage et une clé qui peut être déterminé a
partir de clé de cryptage pour le décryptage ce type de cryptage caractériser par : La clé partager et
sécuriser et l’algorithme connus
 L’avantage c’est la rapidité et facilité de l’implémentation.
 L’inconvénient c’est que le nombre des clés utiliser sont limité et la sécurité est partielle
puisque la clé et partagé
28
Cryptage asymétrique : consiste à utiliser deux clés, une privé et l’autre publique, le principe de base
consiste à crypté les données par la clé public de part de l’émetteur et le décrypté par la clé privée qui
n’est connue que par la destination seule de part de ce dernier
 L’avantage : l’utilisation de clé privé permet de garantir la confidentialité et la sécurité de
message
 L’inconvenant c’est que l’implémentation n’est pas rapide
c- Configuration de sécurité des ports
Cette opération est réaliser sur les ports de commutateur Fast Ethenet de sorte que le port
accepte un nombre bien définit des périphériques, acquière les adresses MAC de ces périphériques de
façon dynamique et bloque le trafic issu d’hôtes non valides en cas de violation.
d- Principe de VLAN
Les VLANs segmentent logiquement les réseaux commuté en se basant sur les fonctions, les
groupes de projet, et non pas sur la base géographique ; un VLAN regroupe de port ou d’utilisateurs
d’un même domaine de broadcaste et se groupement peut se reposer sur l’ID du port, une adresse
MAC, un protocole ou nue application.
Ces avantages :
-
minimiser le nombre des commutateurs utiliser donc au lieu donc au lieu de utiliser pour
chaque VLAN un commutateur on utilise un seul commutateur.
déplacement et ajout facile des hôtes sur le réseau
changement facile de la configuration du réseau
contrôle plus facile du trafic réseau
amélioration de sécurité.
On a deux types de VLAN :
-
VLAN statiques
VLAN dynamiques
Le routage entre réseaux locaux virtuels est le processus de routage de trafic entre différents VLAN,
en utilisant un routeur dédié ou un commutateur multicouche. Le routage entre VLAN facilite la
communication entre des périphériques isolés par des limites de VLAN.
Lorsque le nombre de VLAN augmente sur un réseau, l’approche physique consistant à utiliser une
interface de routeur par VLAN est vite entravée par les limitations matérielles physiques d’un routeur.
Les routeurs disposent d’un nombre limité d’interfaces physiques qu’ils peuvent utiliser pour se
connecter à différents VLAN. Les grands réseaux comportant de nombreux VLAN doivent utiliser
l’agrégation de VLAN pour affecter plusieurs VLAN à une seule interface de routeur afin de respecter
les contraintes matérielles des routeurs dédiés.
Les sous-interfaces permettent à un routeur d’évoluer pour prendre en charge davantage de VLAN que
ne l’autorisent les interfaces physiques. Le routage entre VLAN dans des environnements étendus
comportant de nombreux VLAN peut généralement être mieux pris en charge en utilisant une seule
interface physique avec de nombreuses sous-interfaces.
29
Concepts d’agrégation : est une connexion physique et logique entre deux commutateur ou un
commutateur et un routeur par lesquels le trafic réseau est acheminé, elle permet d’étendre le VLAN à
l’ensemble d’un réseau ce que permet de résout le problème de liaisons multiple et préserve les ports.
On a donc deux types de port :
-
Port d’accès : ne peut appartenir qu’à un seul réseau local virtuel
Port agrégé : appartient à tous les réseaux locaux virtuels.
Le principe de l’agrégation : lorsque les trames Ethernet sont placées sur une agrégation, elles ont
besoin d’information supplémentaires sur les VLAN auxquels elles appartiennent : encapsulation et
étiquetage. La méthode la plus utiliser c’est la méthode d’identification 802.1 Q.
Routage inter-VLAN : les VLAN on des adresses IP donc pour avoir connecté entre VLANs il faut
utiliser un routeur. Sans agrégation pour acheminer le trafic entre les VLANs dans un environnement
le routeur doit avoir une interface par VLAN donc l’agrégation permet de prendre en charge plusieurs
VLANs en utilisant une seule interface physique mais plusieurs interface logiques
Fig 3.7 : schéma représentatif de principe d’agrégation
e- Un mot de passe fort
Il est possible de limiter les attaques de mot de passe en apprenant aux utilisateurs à définir des
mots de passe fort c’est l’élément le plus fondamental d’un contrôle d’accès sécurisé voici quelques
méthodes recommandées pour assurer un mot de passe fort:
 Ne notez pas les mots de passe sur des bouts de papier conservés à des endroits visibles sur
votre bureau ou sur votre moniteur.
 Évitez d’utiliser les mots d’un dictionnaire, des noms, des numéros de téléphone et des dates.
Les mots de passe contenant des mots de dictionnaire sont vulnérables aux attaques par
dictionnaire.
 Utilisez une combinaison de lettres, de chiffres et de symboles. Le mot de passe doit
comprendre au moins une minuscule, une majuscule, un chiffre et un caractère spécial.
 Faites volontairement des fautes d’orthographe.
30
 Composez de longs mots de passe. Il est recommandé d’utiliser au moins huit caractères. Vous
pouvez appliquer la longueur minimale à l’aide d’une fonction disponible sur les routeurs
Cisco IOS, qui est présentée plus loin dans ce chapitre.
 Changez les mots de passe aussi souvent que possible. Votre stratégie de sécurité doit définir
le moment et la fréquence du changement des mots de passe. Le changement fréquent des
mots de passe offre deux avantages :
 Cette méthode limite la période pendant laquelle un pirate peut casser un mot de passe
 La période d’exposition une fois le mot de passe compromis. [13]
f- La Mise en œuvre du protocole SSH pour sécuriser l’accès administratif à distance
Il n’est pas rare que l’on ait besoin d’accéder à distance en ligne de commande à des machines
de son réseau donc un pirate pourrait écouter le réseau et intercepter les login et mot de passe
administrateur du serveur que l’administrateur aurait tapé pour s’authentifier sur le serveur dont il veut
prendre le contrôle a distance. Le pirate serait alors en mesure de se loguer avec les informations
dérobées et ainsi avoir la main mise sur la machine distante. Pour pallier ce problème un protocole
sécurisé offrant les mêmes possibilités que Telnet a vu le jour. SSH (Secure Shell) permet à un client
de d’ouvrir une session interactive sur une machine distante de façon sécurisée en créant un tunnel
sécurisé entre le client et le serveur grâce à un fort cryptage d'authentification, un fort chiffrage, et la
protection d'intégrité (le mot de passe n’est pas envoyé en clair, à l’inverse d’une connexion Telnet).
Le protocole SSH utilise le port TCP 22. [12]
g- Authentification
L’authentification a pour but de vérifier l’identité d’un utilisateur et de garantir à tout
correspondant que son interlocuteur est bien celui qu’il croit être.
Pour cela, on utilise de différentes technologies et méthodes d’authentification :
- authentification par mot de passe
- authentification par diverses cartes à puces, clés, ou certificats
- authentification basée sur les caractères physiques propre à l’individu, biométrie (empreinte
digitale, ADN, fon de rétine)
L’authentification peut se faire au niveau de la couche réseau, transport, ou transmission.
Voici quelques protocoles d’authentification les plus utilisés :

Authentification PAP
Mode d’authentification pour le protocole PPP, le protocole PAP (Password Authentification Protocol)
est un protocole d’authentification par mot de passe.
Ses caractéristiques sont les suivantes :
-
-
Echange en deux étapes :
 envoie des informations d’authentification (username/password)
 acceptation ou refus de la connexion
Protocole non sécurisé :
Les informations d’authentification sont envoyées en clair sur le réseau. L’authentification PAP peut
se faire en unidirectionnelle (seul le client est authentifié sur le serveur de compte), ou en
bidirectionnelle (chacun des hôtes s’authentifie mutuellement).
31

Authentification CHAP
Le protocole CHAP (Challenge Handshake Authentcation Protocol) est une méthode
d’authentification plus évoluée que PAP. Celui-ci sécurise le processus d’authentification grâce à un
chiffrement MD5 qui crypte l’authentification lors de son transit sur le réseau.
1. Le serveur d’authentification envoie un nombre aléatoire de 16 bits au client, et un
compteur qui s’incrémente à chaque envoi ;
2. Grâce à l’algorithme MD5 la machine distante « hache » ce nombre, le compteur et le mot
de passe et le renvoie sur le réseau ;
3. Le serveur d'authentification compare ensuite le résultat du hachage effectué par la
machine distante avec le résultat du calcul effectué localement avec le mot de passe de
l'utilisateur ;
4. S’il y a égalité entre les deux résultats alors l’authentification réussit, sinon elle échoue.
Pour des raisons de clarté, on a représenté un seul sens d’authentification CHAP. En réalité, CHAP est
bidirectionnelle et donc il faut répéter une fois de plus ce processus mais dans l’autre sens.
 Authentification EAP
Le protocole EAP (Extensible Authentication Protocol) est utilisé pour l’authentification des
utilisateurs pour les connexions Internet à distance (via modem RTC, câble, ou ADSL). Avec l’EAP
l’authentification est bidirectionnelle : serveur authentifiant le client, le client authentifiant le serveur.
EAP est utilisé par le protocole 802.1X pour définir la manière dont les messages d’identification sont
échangés entre les différents éléments :
-
Client
Commutateur
Serveur d’identification
EAP permet au client et au serveur d’authentification (serveur RADIUS par exemple) d’utiliser un
protocole d’authentification commun pour s’identifier l’un et l’autre (EAP-MD5, EAPTLS, EA1PTTLS, EAP-PEAP,…).
Tant que l’authentification n’est pas complète tout le trafic est bloqué, et seul le trafic EAP est
autorisé. Une fois l’authentification effectuée, le réseau devient accessible. [8]
h. Le logiciel antivirus
Installez un logiciel antivirus sur les hôtes pour les protéger contre les virus connus. Les
logiciels antivirus peuvent détecter la plupart des virus et des chevaux de Troie et les empêcher de se
propager dans le réseau.
Le logiciel antivirus peut procéder de deux manières différentes :
Il analyse les fichiers, en comparant leurs contenus aux virus d’un dictionnaire de virus connus. Les
virus détectés sont signalés selon la méthode définie par l’utilisateur.
Il surveille les processus suspects sur un hôte susceptible d’être infecté. Cette surveillance comprend
la saisie de données, la surveillance des ports et d’autres méthodes.
32
i. L’outil SDM; Security Device Manager
C’est un outil Web de gestion des périphériques : Il est conçu pour configurer les fonctions de
réseau local, de réseau étendu et de sécurité sur les routeurs doté du logiciel Cisco IOS. Il est
préinstallé par défaut sur tous les nouveaux routeurs Cisco à services intégrés. Les fichiers SDM
peuvent être installés sur le routeur, sur un PC ou les deux.
Cisco SDM simplifie la configuration du routeur et de la sécurité grâce à plusieurs assistants
intelligents qui permettent de configurer efficacement un réseau privé virtuel et les paramètres de parefeu du logiciel Cisco IOS. Cette possibilité permet aux administrateurs de déployer, de configurer et
de surveiller rapidement et facilement des routeurs d’accès Cisco.
Les assistants intelligents de Cisco SDM guident les utilisateurs étape par étape dans la configuration
du routeur et de la sécurité, en configurant systématiquement les interfaces de réseau local et de réseau
étendu, le pare-feu, le système de protection contre les intrusions et les réseaux privés virtuels.
Les assistants intelligents de Cisco SDM détectent automatiquement les erreurs de configuration et
proposent des corrections, telles que permettre le trafic DHCP au travers d’un pare-feu si l’interface de
réseau étendu est adressée selon le protocole DHCP. L’aide en ligne de Cisco SDM contient des
informations de base essentielles en plus d’instructions étape par étape pour aider les utilisateurs à
entrer des données correctes. Outils pour utilisateurs avancés
-
ACL
Éditeur « crypto map » pour VPN.
Aperçu de l’interface CLI de Cisco IOS. [3]
j. Détection des intrusions et méthodes de prévention (IDS) (IPS)
Un logiciel antivirus est un système de détection d’intrusion IDS sur l’hôte permettent de
détecter et d’empêcher l’installation d’utilitaires de redirection de port sur cet hôte par le pirate et de le
limiter par l’utilisation de modèles de confiance appropriés.
Les systèmes de détection des intrusions (IDS) détectent les attaques contre un réseau et envoient des
données de journalisation à une console de gestion. Les systèmes de protection contre les intrusions
(IPS) empêchent les attaques contre le réseau et doivent être dotés des mécanismes de défense suivants
en plus de la détection :
-
Un mécanisme de prévention pour empêcher l’exécution de l’attaque détectée.
Un mécanisme de réaction pour immuniser le système contre les attaques ultérieures
provenant d’une source malveillante.
Chacune de ces techniques peut s’appliquer au niveau du réseau ou des hôtes, ou encore aux deux
niveaux pour une protection maximale. [3]
k. Liste de contrôle d’accès
Les attaques DoS et DDoS sont les deux formes d’attaque les plus répandue et aussi les plus
difficile à éliminer peuvent être limitées en mettant en place des listes de contrôle d’accès spéciales
contre l’usurpation et le déni de service. Une liste de contrôle d’accès est un ensemble séquentiel
d’instructions d’autorisation ou de refus qui s’appliquent aux adresses ou aux protocoles de couche
supérieure. Les listes de contrôle d’accès représentent un outil puissant pour contrôler le trafic entrant
ou sortant d’un réseau. Vous pouvez configurer les listes de contrôle d’accès pour tous les protocoles
réseau routés. [3]
33
Le filtrage des paquets, parfois appelé filtrage des paquets statique, contrôle l’accès à un réseau en
analysant les paquets entrants et sortants, et en les transmettant ou en les arrêtant en fonction de
critères prédéfinis.
Un routeur filtre les paquets lors de leur transmission ou de leur refus conformément aux règles de
filtrage. Lorsqu’un paquet accède à un routeur de filtrage, certaines informations de son en-tête sont
extraites. Conformément aux règles de filtrage, le routeur décide alors si le paquet peut être transmis
ou si au contraire il doit être rejeté. Le filtrage des paquets fonctionne sur la couche réseau du modèle
OSI ou sur la couche Internet de TCP/IP.
Un routeur de filtrage des paquets, en tant que périphérique de couche 3, se réfère aux règles pour
déterminer s’il doit autoriser ou refuser le trafic en fonction des adresses IP source et de destination,
du port source, du port de destination et du protocole des paquets. Ces règles sont définies en fonction
des listes de contrôle d’accès.
Rappelez-vous qu’une liste de contrôle d’accès est un ensemble séquentiel d’instructions
d’autorisation ou de refus qui s’appliquent aux adresses IP ou aux protocoles de couche supérieure.
Une ACL (Access Control List) est un ensemble d’instructions qui permettent de définir des règles
d’accès et de filtrage au niveau d’un routeur. A l’aide d’une ACL on peut autoriser ou refuser des
paquets IP en fonction de la source ou de la destination, autoriser ou refuser un ou plusieurs protocoles
(http, ftp, telnet …), ou encore autoriser ou refuser en fonction du type de paquet (IP, udp, tcp, icmp
…).
Une ACL s’appliquera donc selon les critères suivants :





a.
adresse IP source
adresse IP de destination
protocole de communication
port source
port de destination
Objectif : Les ACL ont pour objectif :
 Filtrage du trafic réseau
 Gestion du trafic et analyse de paquets particuliers (ex : éviter la propagation aléatoire
des informations de mise à jour de routage d’un réseau particulier)
 Sécurisation du réseau
 Détermination du trafic autorisé ou bloqué au niveau des interfaces du routeur (ex :
autorisation du smtp, blocage du telnet)
 Accroître les performances du réseau et limiter le trafic (détermination de trafic
prioritaire).
b. Principe de fonctionnement :
 Une ACL est appliqué à une interface du routeur en entrée/sortie.
 Le trafic qui passe par l’interface est analysé afin de déterminer si des conditions de
l’ACL s’y trouvent.
 En fonction de cette vérification le routeur décide s’il doit acheminer ou bloquer le
trafic.
 Une ACL est défini pour chaque protocole.
34
c. Les différents types d’ACL :

ACL Standard :
 Permet d’accepter ou de refuser tout ou une partie d’un ensemble de protocoles.
 Est affectée à une interface.
 Utilise des spécifications d’adresses simplifiées.
 Utilise un numéro de 1à 99
 ACL Etendue :
 Permet un filtrage plus fin et plus souple que les ACL standard.
 Permet d’accepter ou refuser un protocole précis.
 Filtre par rapport aux adresses d’origine, aux protocoles, et aux numéros de port.
 Plus de latence car filtrage plus fins du trafic.
 Utilise un numéro de 100 à 199.

ACL Nommée :
 Permet d’utiliser des noms plutôt que des numéros pour désigner une ACL.
 Un nom unique par ACL nommée.
 Facilite la recherche des listes et plus facile à retenir. [11]
Les règles de base qui doivent être respectées lors de l’implémentation des listes d’accès :











Une liste d’accès par protocole et par direction.
Les listes d’accès étendues doivent être appliquées le plus près possible de la source.
Les listes d’accès standard doivent être appliquées le plus proche possible de la destination.
Il existe un refus implicite « deny any » à la fin de toutes les listes de contrôle d’accès. Cela
n’apparaît pas dans la liste de configuration.
La condition de correspondance est examinée en premier. L’acceptation ou le refus est
examiné UNIQUEMENT si la condition est vraie.
Les instructions sont traitées et exécutées dans l’ordre descendant depuis le début jusqu’à la
fin de la liste jusqu’à ce qu’une correspondance soit trouvée. Si aucune correspondance n’est
détectée, le paquet est traité suivant l’opération par défaut.
Ne travaillez jamais avec une liste d’accès qui est appliquée de manière active.
La commande no access-list supprime toute la liste sur une interface. Il n’est pas possible
d’ajouter et de supprimer des lignes spécifiques dans des listes d’accès numérotées.
Une liste d’accès IP envoie un message ICMP d’hôte inaccessible à l’émetteur du paquet
rejeté et élimine le paquet dans la corbeille prévue à cet effet.
Soyez particulièrement attentif lorsque vous supprimez une liste d’accès. Si la liste d’accès est
appliquée à une interface de production et que vous la supprimez, selon la version de l’IOS,
une instruction deny any peut être appliquée par défaut à l’interface et tout le trafic peut être
arrêté.
Les filtres de sortie ne concernent pas le trafic généré par le routeur local. [10]
l.
Le Firewall :
Un firewall ou pare-feu est un dispositif physique (matériel) ou logique (logiciel) permet de
séparer deux niveau de sécurité et servant de système de protection pour les ordinateurs domestiques.
Il est placé au niveau de port d’entrée au réseau, également servir d'interface entre un ou plusieurs
réseaux d’entreprise, afin de contrôler et bloquer la circulation des données en analysant les
informations contenues dans les flux de données et il permet ainsi de parer à certains types d'attaques
tel que les virus, les vers ou les trojans ainsi que les tracer. D’un autre côté, un firewall permet de
protéger le réseau contre la fuite non contrôlée d’informations vers l’extérieur.
35
Il existe 2 principales catégories de firewalls :
 Les firewalls personnels : ils sont installés directement sur l’ordinateur de l’utilisateur
protégeant uniquement les stations de travail ou ordinateurs personnels.
 Les firewalls d’entreprise : ils sont placés entre le réseau Internet et le réseau d’entreprise afin
de protéger ce dernier des différentes menaces d’Internet. Ils sont installés sur des machines
dédiées.
Fig 3.8 : sécurité de réseau par logiciel firewall
Il est également utilisé pour plusieurs causes telles que par exemple la création de zones démilitarisées
(DMZ) pour l’hébergement de serveurs publics, la fonction de routage et création des VPN.
Un firewall fonctionne sur le principe du filtrage de paquets. Cette analyse de filtrage est réalisée au
niveau de la couche réseau et la couche transport de model OSI, ce filtrage est assuré au niveau de
l’en-tête des paquets échangés entre deux ordinateurs en considérant les éléments suivants :
 L'adresse IP de la machine émettrice et réceptrice.
 Numéro de port
 Type de protocole de couche transport utiliser (TCP=6, UDP=17, ICMP=1)
 Type de message ICMP
 Type de flag TCP (SYN, FIN, PSH, ACK,…)
 L’interface d’entrer et sortie
 Les avantages de firewall : simplicité et rapidité d’implémentations
 Les inconvénients :
 Authentification non fiable si elle est réalisée par l’adresse IP
 Refuse légitime de paquet si on a une fragmentation
 L’autorisation et le refus binaire : le contrôle ne prend pas en charge le type de service
36
Fig 3.9 : La différence enter firewall et routeur [9]
Conclusion :
Nous avons abordé dans ce chapitre une multitude de composants physiques ou logiques
nécessaires au bon fonctionnement de notre entreprise. On doit s’assurer qu’aucun intrus ne puisse
capturer les données traversant le réseau au moyen d’une écoute clandestine et que tous les systèmes
vitaux offrent un haut degré de disponibilité.
37
Related documents
Serie 5
Serie 5
Fiche synthèse architecture réseau et internet 2020
Fiche synthèse architecture réseau et internet 2020
TP1-Configuration-de-VLANs
TP1-Configuration-de-VLANs
Atelier 5
Atelier 5
sécurité des réseaux (1)
sécurité des réseaux (1)
Download
advertisement