Cours
Comprendre
C d des
d notions
ti de
d sécurisation
é i ti des d
Sécurité des réseaux réseaux, sous forme d’exposés théoriques et
d’
d’exemples
l pratiques.
ti
Med_elhdhili@yahoo.es
h d
hamdenebalkis@yahoo.fr
b lk @ h f
ham_senda@yahoo.fr Pré requis
Concepts de base de la sécurité informatique
Concepts de bases des réseaux
Remarque: ce document doit être complété par les notes de cours
réseaux TCP/IP
1 2
Plan Plan
Chap1: Introduction à la sécurité réseaux Chap5:Architecture de sécurité
VLAN
VPN
Chap2:Les attaques réseaux DM
Chap4: Contrôle d
d’accès
accès
Niveau réseau: Filtrage et ACL
Niveau application: authentification (certificat…)
(certificat )
3 4
Introduction
Chapitre 1
Réseaux
introduction à la sécurité Bases de
Personnel
données
d réseaux
des é
SÉCURITÉ
Web DE QUI ? Locaux
DE QUOI ?
Systèmes
p
d’exploitations Matériel
Applications
5 6
Découvrir
Dé i les
l risques
i
Composants d’une politique de sécurité
politique de confidentialité
Effectuer des tests technique de vulnérabilité
politique d’accès
Proposer
p des recommandations
politique
l d’
d’authentification
h f
Politique de responsabilité
Proposer un plan d’action
Politique de maintenance
politique de rapport de violations
…
13 14
Conclusion
La sécurité
tâche
tâ h difficile
diffi il
pas de sécurité à 100%
Chapitre 2
Motivation des attaquants
Attirance de ll'interdit
interdit
Le désir d'argent (violer un système bancaire) Attaques réseaux
Le désir de renommée (impressionner des amis)
l'envie de nuire (détruire des données, empêcher un
système de fonctionner)
…
15 16
Objectifs des attaquants Motivation des attaquants
Désinformer Vengeance/rancune
Politique/religion
Empêcher l'accès à une ressource
Défis intellectuels
Prendre le contrôle d'une ressource
Envie de nuire aux autres
Récupérer d l'information
de l f
Impressionner les autres
Utiliser le système compromis pour attaquer un Vol d’informations
autre (rebondir)
( ) Désir d
d’argent
argent
…
Falsification d’informations
17 18
Æ Informations d’authentification
d authentification
Æ Information secrète (en cas de guerre par exemple)
Suppression de données
Æ…
19 20
Exemples d’attaques (sur les faiblesses des protocoles)
Les attaques réseaux exploitent les faiblesses Attaques sur la fragmentation des paquets IP
Des
D protocoles:
t l
Ping
Pi off death
d th
Conception simple, légère et non sécurisé Données:
Des mécanismes d’authentification:
Taille maximum d ’un paquet IP = 65535 octets
ICMP est encapsulé par IP
Exemple: usurpation d’identité
Attaquant:
Des implémentation:
Générer des fragments appartenant à des paquets ICMP de
Exemple:
xe p e: mot
ot de passe en
e clair
c a sur
su lee réseau,
éseau, bugs taille > 65535
Exemples d’attaques (sur les faiblesses des protocoles) Exemples d’attaques (sur les faiblesses des protocoles)
Attaques sur la fragmentation des paquets IP Attaques sur la fragmentation des paquets IP
Tiny
Ti fragment
f t attack
tt k
The
Th tteardrop
d Att
Attackk (chevauchement)
Données: Attaque:
TCP est encapsulé dans IP
Chevauchement des champs offsets (IP encapsulant UDP)
Les filtres testent généralement le premier fragment Objectif:
Attaque:
A êt lle système
Arrêter tè ((attaque
tt D
DoS)
S)
Utiliser de petit fragments pour forcer la division de l’entête Parade
TCP sur deux fragments
g
Patches
Exemple: les flags TCP sont placés dans le second fragment,
ce qui ne permet pas au filtres de supprimer les connexions
Une variante de cette attaque laisse des gap entre
indésirable les fragments
Parade
Fixer, au niveau des filtres, une taille minimale du premier
fragment
23 24
Exemples d’attaques (sur les faiblesses des protocoles) Exemples d’attaques (sur les faiblesses des protocoles)
Attaques sur la fragmentation des paquets IP Attaques sur la fragmentation des paquets IP
The
Th O
Overlapping
l i Fragment
F t Attack
Att k (chevauchement)
The
Th O
Overlapping
l i Fragment
F t Attack
Att k (chevauchement)
Objectif: Objectif:
Passer a travers un firewall
Passer a travers un firewall
Attaque: Attaque:
Le premier
L i fragment
f t contient
ti t ddes iinformations
f ti TCP que le
l
Le premier
L i fragment
f t contient
ti t d
des iinformations
f ti TCP que le
l
système de filtrage accepte. système de filtrage accepte.
Le deuxième fragment
g réécrit une p partie de l’entête TCP
Le deuxième fragment
g réécrit une ppartie de l’entête TCP
placée dans le premier fragment en plaçant des informations placée dans le premier fragment en plaçant des informations
malicieuses malicieuses
Exemple courant: changer le numéro de port 80 (HTTP) par
Exemple courant: changer le numéro de port 80 (HTTP) par
23 (telnet) 23 (telnet)
Parade Parade
Un firewall doit assurer une valeur minimale pour le champs
Un firewall doit assurer une valeur minimale pour le champs
fragment offseet 25 fragment offset 26
Exemples d’attaques (sur les faiblesses des protocoles) Exemples d’attaques (sur le design des protocoles)
TCP syn flooding Attaques DoS
SYN x
LISTEN
Données:
D é SYNy, ACKx+1
SYN_RECVD
Données
D é
3 way hand-shake
Les protocoles permettent la diffusion !
ACK y+11
Attente dans l ’état
Attaque:
A
CONNECTED
SYN_RECVD (75s)
Saturer la bande passante par inondation avec des gros
Nombre
N b li limité
iéd de connexions
i d
dans cet éétat paquets
Attaque:
Objectifs:
Rendre indisponible un service,
service un système ou un réseau
Etablir plusieurs connexion successives semi-ouverte
afin de saturer la pile TCP de la victime Æ Perte de
Exemple: attaque smurf
connectivité
ti ité
Inondation du réseau avec
a ec des ping ayant
a ant des adresses de
broadcast et une adresse source fausse ou d’une victime
Parade
Parade
réduction du timer, filtrage, fermer les port inutile…
Ne pas répondre pour les adresses broadcast, filtrage
27 28
Exemples d’attaques (sur le design des protocoles) Exemples d’attaques (sur le design des protocoles)
Attaque LAND Email Bombing/Spamming
Attaque:
Att
Données
D é
Forger plusieurs segments TCP syn avec l ’adresse
Falsification de l ’adresse d ’origine
source identique
id ti à l ’adresse
’ d de
d la
l machine
hi victime
i ti
Attaque:
A
Effet:
Bombing: envoi d ’un message répété à une même adresse
S
Spamming:le
i l message estt envoyéé à d
des milliers
illi d ’adresses
’ d
Congestion ou crash de la victime
Objectif:
Parade
congestion
ti ddu réseau
é
Filtrage ou software
crash du serveur de messagerie
Parade
Supervision, filtrage…
29 30
Exemples d’attaques (sur le design des protocoles) Exemples d’attaques (sur le design des protocoles)
ICMP redirect et ICMP unreachable ARP spoofing
Attaque
Att ICMP redirect
di t
Attaque:
Att
Un attaquant envoie à une machine un message ICMP- Répondre à une trame ARP who is? par une trame ARP
redirect pour lui indiquer un autre chemin à suivre (qui reply
l avec une adresse
d MAC quii ne correspond
d pas à
passe par lui)
l ’adresse IP
Attaque
q ICMP unreachable
Un attaquant envoie à une machine un message ICMP-
unreachable
Objectif:
Æ La machine ne peut plus joindre le réseau Faire passer un trafic
f par llui
Parade Fausser les tables ARP
31 32
Exemples d’attaques (sur le design des protocoles) Exemples d’attaques (sur le design des protocoles)
IP spoofing (usurpation d’identité) UDP bombing
Données:
D é
Attaque Deux services utilisés dans le passé pour le test du
Envoyer des paquets IP en utilisant une adresse IP source réseau
é ett sontt activés
ti é par déf
défautt
d’une autre machine
Service echo: echo des caractères reçus
Service chargen: générateur de caractères
Objectif:
Obj tif
Se masquer
Attaque:
Utiliser les privilèges de l’adresse
l adresse usurpée
Établir une connexion entre ces deux services (dans deux
machines différentes ou dans la même machine)
Parade
Objectifs
j
Authentification (Ipsec,
(Ipsec SSL…)
SSL )
Congestion du réseau et dégradation des performances des
machines victimes
Parade:
P d
33
désactiver les ports correspondants 34
Confidentialité Clé = K
Chiffrement
Message Canal sécurisé
Intégrité
g +
M
Signature
Si
Non répudiation + C = EK (M)
C M = DK (C )
électronique Canal non sécurisé
Mécanismes authentification
³ ³
------ Clé secrète xxxxx xxxxx Clé secrète ------
------
Certificats et A th tifi ti
Authentification ------ Cryptage
C t xxxxx Ré
Réseau
xxxxx
Dé
Décryptage
t
x -----
PKI ----- x
Message Message
Message Message
original chiffré chiffré original
41 42
Chiffrement Chiffrement
Chiffrement asymétrique Chiffrement hybride
A( pk A , sk A ) B( pkB , skB ) Clé publique du
Clé privée du
pk
destinataire xxxx
xxxx destinataire
B xxxx
Cryptage xxxx Décryptage
xxx xxx
Canal authentifié
Clé Clé secrète Clé secrète Clé secrète
C secrète chiffrée chiffré
hiff é
C = pkB (M) Canal non sécurisé
M = sk B (C ) Réseau
49 50