[PDF] Sécurité des réseaux Comme décrit dans le

View - Download Sécurité des réseaux

Previous PDF

Next PDF

Département d'Informatique Fondamentale et ses Applications

Support de cours

?????? ?Réseaux et Systèmes Distribués

© Dr. R. Boukharrou Page 2 sur 6

informatiques ne cessent de grandir et de se développer. Cette évolution est fortement liée aux techniques et

aux supports de communication utilisés dans les réseaux.

Les interconnexions de réseaux sont innombrables et pratiquement tous les réseaux se trouvent aujourd'hui

imbriqués les uns dans les autres [1], constituant le réseau fédérateur des réseaux de la planète, " Internet ».

Les spécialises prévoient que les réseaux mobiles et sans fils pourraient devenir prédominants dans le transport

de la multimédia, laissant aux réseaux fixes le transport des données à hauts débits. concept de réseau

intrusions. Elle oblige celle-ci à adopter des procédures de sécurité contraignantes pour tous les utilisateur,

particulièrement lorsque des ordinateurs externes, désirent utiliser le réseau de l'entreprise via Internet.

En effet, toutes les entreprises craignent des attaques informatiques, sans toujours savoir quelles formes

celles-ci peuvent prendre. Dans ce module, nous identifierons les menaces les plus courantes nous apprenons comment le protéger avec les techniques existantes.

1. Sécurité informatique

Il est courant que les systèmes informatiques ne sont pas infaillibles. Régulièrement, des " espions1 » internes

ou externes, pénètrent des systèmes informatiques afin de les détruire, ou la plupart du temps, pour dérober de

Certaines failles des systèmes, appelées vulnérabilités, conduisent au vol de données confidentielles, ou

permettent Ainsi, une vulnérabilité non corrigée dans une

entreprise peut lui causer des pertes financières, ou même un retard technologique majeur dû au vol de données

à haute valeur concurrentielle.

Chaque jour de nouvelles vulnérabilités sont découvertes et publiées, concernant différents éléments,

équipements et logiciels des systèmes informatiques. de vulnérabilité est de corriger les

éléments vulnérables du système, en vérifiant la criticité des failles exploitables, ue de

sécurité. La problématique étant de corriger ces vulnérabilités

ce faire, différentes méthodes, normes ou frameworks peuvent être appliqués, dans le but de contrôler et

améliorer la qualité du processu.

1 Espion : appelé aussi assaillant, pirate, hacker, et attaquant

e-Commerce

Communication

© Dr. R. Boukharrou Page 2 sur 8

Ce chapitre consiste à exposer la définition des concepts de sécurité ainsi que les

1. Définitions

1.1. Vulnérabilité

Une vulnérabilité, appelé parfois faille ou brêche, est une faiblesse dans un système informatique, laissant à

un assaillant en le rendant instable. Analogiquement

à une maison, cela revient à laisser une porte non-verrouillée. Du coup, cette porte (faille) peut potentiellement

être utilisée par des voleurs (hackers) pour accéder de façon illégitime à la maison (au système) [1].

Les vulnérabilités résident souvent sur des programmes, car, tout ce qui est " codé » peut potentiellement

librairies et les logiciels, etc. Sachant que les protocoles de communication sont implémentés en des

programmes, des vulnérabilités peuvent également apparaître.

1.2. Menace

Une menace est une action potentielle susceptible de provoquer un dommage sur un système et ayant un impact

sur ses fonctionnalités, son intégrité ou sa disponibilité. De ce fait, une vulnérabilité représente

son niveau dexposition face à une menace.

1.3. Risque

Un risque que peut provoquer une menace à un système est estimé en fonction de la sensibilité et de la

vulnérabilité de ce système. Il est donc important de mesurer le risque, non seulement en se basant sur la

probabilité ou sur la fréquence de son arrivée, mais aussi en mesurant son effet possible.

Donc, tout système (Actif) présentant une vulnérabilité pourra être à tout moment exploitée par un assaillant.

Une attaque potentielle du système est vue comme une menace visant à nuire ce système.

1.4. Sensibilité

Dans un système informatique, plus une information est stratégique pour une entreprise, plus elle a de la valeur,

ce qui la rend sensible. De ce fait, si une information sensible est révélée au public, cela nuirait à

et à la vie privée des individus. Concrètement, la sensibilité de l'information réside dans sa disponibilité, son

intégrité et sa confidentialité.

1.5. Attaque

Une attaque est une action representant le moyen d'exploiter une vulnérabilité pour compromettre la sécurité

Il peut y avoir plusieurs attaques pour une même vulnérabilité mais toutes les vulnérabilités ne

sont pas exploitables.

© Dr. R. Boukharrou Page 3 sur 8

1.6. Intrusion

sécurité par

exemple, accéder sans autorisation aux données du système et/ou du réseau , en contournant les

dispositifs de sécurité mis en place. Les raisons des intrusions sont diverses, le but pourrait être la modification

ou le vol d'informations confidentielles, ou bien la destruction des données du système.

Donc, l'objectif principal de la détection d'intrusion est de repérer les actions d'un attaquant qui tente de ou

qui tire partie des vulnérabilités du système. Il est indispensable de définir précisément ce qui est une intrusion,

c'est à dire une défaillance de sécurité.

Une attaque réseau est définie comme une intrusion dans une infrastructure de communication afin d'obtenir

un accès non autorisé à des ressources ou d'exploiter des vulnérabilités existantes. Il est généralement constitué

de deux phases: une attaque passive qui analysera, dans un premier temps, le trafic réseau pour collecter des

informations sensibles, puis comme deuxième phase, une attaque active, qui consiste à nuire au réseau.

2.1. Buts des attaques

Généralement les attaques que peut subir un réseau, cible les informations sensibles afin de nuire à

concernée. Ils existent quatre objectifs potontiels [2] : La modification : incohérences dans le système

La fabrication :

2.2. Classifications des attaques réseaux

Attaques

Passives

Actives

Capture

Analyse du trafic

Mascarade

Rejeu

Modification de

message Sécurité des réseaux 2018-2019 Semestre 2 Université Constantine 2

© Dr. R. Boukharrou Page 3 sur 8

1.6. Intrusion

sécurité par

exemple, accéder sans autorisation aux données du système et/ou du réseau , en contournant les

dispositifs de sécurité mis en place. Les raisons des intrusions sont diverses, le but pourrait être la modification

ou le vol d'informations confidentielles, ou bien la détruction des données du système.

Donc, l'objectif principal de la détection d'intrusion est de repérer les actions d'un attaquant qui tente de ou

qui tire partie des vulnérabilités du système. Il est indispensable de définir précisément ce qui est une intrusion,

c'est à dire une défaillance de sécurité.

Une attaque réseau est définie comme une intrusion dans une infrastructure de communication afin d'obtenir

un accès non autorisé à des ressources ou d'exploiter des vulnérabilités existantes. Il est généralement constitué

de deux phases: une attaque passive qui analysera, dans un premier temps, le trafic réseau pour collecter des

informations sensibles, puis comme deuxième phase, une attaque active, qui consiste à nuire au réseau.

2.1. Buts des attaques

Généralement les attaques que peut subir un réseau, cible les informations sensibles afin de nuire à

concernée. Ils existent quatres [2] : La modification : incohérences dans le système

La fabrication :

ser.

2.2. Classifications des attaques réseaux

Attaques

Passives

Actives

Capture

Analyse du trafic

Mascarade

Rejeu

Modification de

message

© Dr. R. Boukharrou Page 3 sur 12

ainsi que le réseau gérés : Définir le domaine du réseau à protéger ; Définir équipements/points de sécurité, de paramètres de sécurité et de mécanismes de prévention ;

Etablir un plan de réponse en cas incident telles que la procédure de reprise et la procédure qui permet

de corriger la vulnérabilité coupable ;

Proposer une charte du bon comportement de ;

Définir une méthodologie seine de développement des logiciels, ainsi que la procédure de mise à jour.

2.1. Pare-feu (Firewall)

Comme décrit dans le cours précédent, un pare-feu (ou Firewall en anglais) est un programme, ou matériel chargé de protéger un réseau privé ou une machine, de contrôlant tout ce qui le traverse, et notamment, en interdisant tout ce qui ne doit pas traverser. asserelle qui consiste à filtrer les paquets entrants et sortants en se basant [2] : Filtrage entrant : Les connexions ilbloquées, même si, par exemple, un tiers malveillant veut atteindre la porte dérobée sur la machine à travers un cheval de Troie ;

Filtrage sortant : les envois illégitimes depuis la machine sont automatiquement bloqués, par

exemple, l confidentielles volées par un cheval de Troie est bloqué par le pare- feu. Le schéma suivant ant un message entrant depuis un tiers malveillant.

2.1.1. Utilités des pare-feux

Un par- :

Contrôle : Gérer les connexions sortantes à partir d réseau local ;

Sécurité : ;

Vigilance : Surveiller et tracer le trafic entre le réseau local et internet.

Par ailleurs, le pare-feu installé sur une machine permet de la protèger contre (1) les intrusions depuis

ernet ertains virus et leur propagation ; ainsi que (3) ls chevaux de Troie en empêchant un intrus à la machine par une porte dérobée installée préalablement.

X Ordre classique

Y uv[}OEOE

Z Ordre

[ Réponse

Victime

Assaillant

????? ?? ????? ?? ???? ?? ?? ????? ?? ????Sécurité des réseaux 2018-2019 Semestre 2 Université Constantine 2

© Dr. R. Boukharrou Page 6 sur 12

2.1.5. Recommandations

Afin pare-feu soit efficace, il faut appliquer les quelques recommandations suivantes :

Utilisation du pare-feu pour créer un périmètre délimité, appelé, une zone démilitarisée (DMZ) ;

Tout le trafic traversant le pare-feu doit être refusé par défaut, puis accepté cas par cas à travers les

règles de filtrage en fonction des applications utilisées ; Inspection régulière du journal du pare-feu pour détecter le trafic anormal ; nérabilités en cas de sinistre ;

Mise à jour régulière du pare-feu.

2.2. Zones démilitarisées (DMZ)

Le nom de ce mécanisme provient à l'origine de la zone coréenne démilitarisée. Etant créée en 1953 après la guerre de corée, la zone démilitarisée est une étroite bande de terre servant de zone tampon entre la Corée du Nord et la Corée du Sud. En informatique, une zone démilitarisée (DMZ2) est un sous- réseau séparé du -feu, permettant eau local (LAN) du réseau externe (par exemple Internet).

car tous les flux en provenance d'Internet sont redirigés par défaut vers la DMZ par le pare-feu. De plus, le

pare-feu bloquera tous les accès au réseau local, même depuis de la DMZ. En effet, en cas de compromission

d'un des services de la DMZ, ln'aura accès qu'aux machines de la DMZ et non au réseau local.

2.2.1. Architectures possibles

-feu à trois interfaces, cependant si ce

pare-feu est compromis, les accès externes ne seront plus contrôlés. Donc, une deuxième architecture consisterait

à utiliser deux pare-feux en cascade afin d'éliminer tout risque . Par ailleurs, il existe une troisième

architecture DMZ qui est située entre le réseau Internet et le réseau local, séparée de chacun de ces deux réseaux

par un pare-feu. [4]. (a) (b) (c)

2DMZ : Demilitarized Zone

Internet

Proxy

Serveur

Web

Internet

Proxy

Serveur

Web

Serveur

Web

Internet

Proxy

Pare-feu

DMZ

© Dr. R. Boukharrou Page 6 sur 12

2.1.5. Recommandations

Afin pare-feu soit efficace, il faut appliquer les quelques recommandations suivantes :

Utilisation du pare-feu pour créer un périmètre délimité, appelé, une zone démilitarisée (DMZ) ;

Tout le trafic traversant le pare-feu doit être refusé par défaut, puis accepté cas par cas à travers les

règles de filtrage en fonction des applications utilisées ; Inspection régulière du journal du pare-feu pour détecter le trafic anormal ; nérabilités en cas de sinistre ;

Mise à jour régulière du pare-feu.

2.2. Zones démilitarisées (DMZ)

Le nom de ce mécanisme provient à l'origine de la zone coréenne démilitarisée. Etant créée en 1953 après la guerre de corée, la zone démilitarisée est une étroite bande de terre servant de zone tampon entre la Corée du Nord et la Corée du Sud. En informatique, une zone démilitarisée (DMZ2) est un sous- réseau séparé du -feu, permettant eau local (LAN) du réseau externe (par exemple Internet).

car tous les flux en provenance d'Internet sont redirigés par défaut vers la DMZ par le pare-feu. De plus, le

pare-feu bloquera tous les accès au réseau local, même depuis de la DMZ. En effet, en cas de compromission

d'un des services de la DMZ, ln'aura accès qu'aux machines de la DMZ et non au réseau local.

2.2.1. Architectures possibles

-feu à trois interfaces, cependant si ce

pare-feu est compromis, les accès externes ne seront plus contrôlés. Donc, une deuxième architecture consisterait

à utiliser deux pare-feux en cascade afin d'éliminer tout risque . Par ailleurs, il existe une troisième

architecture DMZ qui est située entre le réseau Internet et le réseau local, séparée de chacun de ces deux réseaux

par un pare-feu. [4]. (a) (b) (c)

2DMZ : Demilitarized Zone

Internet

Proxy

Serveur

Web

Internet

Proxy

Serveur

Web

Serveur

Web

Internet

Proxy

Pare-feu

DMZ

© Dr. R. Boukharrou Page 9 sur 12

Il permet également de construire des réseaux superposés, en

construisant un réseau logique sur un autre réseau et faire ainsi abstraction de la topologie de ce dernier.

En outres, les -Fi public

à un serveur distant en toute sécurité. Ils sont aussi utilisés par le grand public pour accéder à des sites ou

services Web géo-censurés proposés sur Internet ou même pour contourner des restrictions imposées par un

état autoritaire. En effet, un VPN peut agir comme une passerelle vers i , ce qui rend plus difficile son identification et sa localisation. Toutefois, le serveur VPN dispose souvent d'informations permettant d'identifier l'utilisateur.

Les machines connectées à un VPN, se trouvent sur un même réseau local (virtuel), ce qui permet

comme des pare-feux ou des proxys. Par ailleurs, l teur pourra en faire ne le

sera pas forcément, comme par exemple, le téléchargement de fichiers piratés, ou le contournement de filtrages

législatifs. En utilisant un VPN, il est difficile de localiser la machine émettrice par le fournisseur de service,

cependant, le serveur VPN dispose de toutes les informations permettant d'identifier l'utilisateur. celui-ci est jamais sûr de la bonne intention du VPN, puisque

les données peuvent être déchiffrées au niveau du serveur VPN, et rien ne l'empêche de les conserver ce qui

nuirait à notre sécurité. Cet élément est le plus important de tout VPN, car si la confidentialité de nos

communications est compromise, le VPN pert toute son utilité. Donc, un VPN, même de qualité, n'est pas

nécessairement une garantie pour protéger votre vie privée.

2.4.1. Fonctionnement

Un VPN permet de construire un chemin virtuel entre deux machines, récepteur, en se basant sur un protocole de tunnelling, qui consiste à appliquer de transmission et de désencapsulation de données.

Concrètement, a

rajoutant une entête permettant le routage des trames dans le tunnel. Ensuite, les paquets sont envoyés en

empruntant le chemin virtuel. À l'autre extrémité du tunnel (au niveau du recepteur), les données sont extraites

du protocole de tunnelling et poursuivent leur chemin sous leur forme initiale.

2.4.2. Classification des VPN

Deux classes courantes de VPN existent site à site. (a) Accès à distance (b) Site à site ccès à distance : Cette classe de VPN, appelée aussi VPDN (Virtual Private Dial Up

Network), une entreprise de se

© Dr. R. Boukharrou Page 3 sur 9

message chiffré , algorithmes modernes qui chiffrent des suites de bits. La figure suivante ilisant le chiffrement des messages. : (1) Les algorithmes simples dequotesdbs_dbs33.pdfusesText_39

[PDF] Aide-mémoire DÉLAIS DE CONGÉ ET DE PROTECTION. I. Généralités. II. Les délais de résiliation. 1. Le délai de congé pendant le temps d essai

[PDF] Aide-mémoire I Procédure de reconnaissance pour les filières de formation de la maturité professionnelle

[PDF] Aide-soignant - Diplôme détat (DEAS) - Cursus complet

[PDF] AIDER L ENFANT À APPRENDRE À PARLER AVEC DES JEUX DE SOCIÉTÉ

[PDF] Aides à domicile, aides ménagères, travailleuses familiales

[PDF] Aides pour le développement des énergies renouvelables et de la performance énergétique de l habitat privé

[PDF] AIFI ASRIF COLLOQUE AIFI 2011 GENEVE

[PDF] Alan Melnyk Président du Programme technique

[PDF] ALCOOL ET JUSTICE. Dr B. Mordellet Service de Médecine Légale et Pénitentiaire CHU Pontchaillou. le 18 décembre 2008

[PDF] ALERTE budget provincial

[PDF] ALERTE ÉQUITÉ SALARIALE

[PDF] Algorithmique et structures de données I

[PDF] Algorithmique. Mode d application

[PDF] Alimentation et tabac

[PDF] Alimenter son compte CPF