Documente Academic
Documente Profesional
Documente Cultură
Administration :
Plan de Cours
Introduction ladministration rseaux Rappel sur les Protocoles et services IP Administration des quipements (Firewall, routeur) Listes ACL Administration des serveurs DNS, DHCP Administration SNMP (Simple Network Management Protocol),.. Introduction la scurit informatique # types dattaques (Hacking) La cryptographie & lauthentification, Les DMZ et Firewalls VPN, SSL (Secure Socket Layer)
Scurit :
Rfrences:
http://www.itu.int/cybersecurity/ http://www.w3.org/P3P/ Stallings William, Scurit des rseaux, applications et standards, Vuibert, 2002, ISBN 978-2-71178653
2
31/03/2011
Quelques dfinitions
Administrateur :
Administrateur Systme:
Personne responsable de la totalit de la gestion du systme informatique. Il surveille et en assure la maintenance du systme de manire garantir un fonctionnement irrprochable. Veiller au bon fonctionnement des sauvegardes.
Administrateur rseau:
Charg de la gestion de tout type dquipements rseau. Il est responsable de bon fonctionnement configuration des quipements rseau, de la rpartition des droits daccs des utilisateurs accder aux serveurs. Lui seul a le droit dajouter des utilisateurs ou dannuler des autorisations daccs, ainsi que linstallation du SE rseau et de la scurit des donnes sur lensemble du rseau
3
31/03/2011
Buts
Le rseau est devenu une ressource indispensable (voire vitale) au bon fonctionnement dune entreprise,.. Ladministration du rseau met en uvre un ensemble de moyen pour :
offrir aux utilisateurs un service de qualit Permettre lvolution du systme en intgrant des nouvelles fonctionnalits Optimiser les performances des services pour les utilisateurs Permettre une utilisation maximale des ressources avec un cot minimal
5
31/03/2011
31/03/2011
10
31/03/2011
Gestion de la scurit
But: protger les ressources du rseau et du systme dadministration Commet: Assurer les services de la scurit (authentification, confidentialit, intgrit, disponibilit et non rpudiation). Moyen : cryptographie + logiciel de supervision + audit surveillance des journaux. Exemple : sous WinNT Server (journaux dvnements)
Journal de scurit Journal systme Journal application
11
Administrer un rseau IP
Un rseau IP est un ensemble dquipements:
Possdant chacun une ou plusieurs interfaces Relis entre eux par des supports physiques divers Gestion des pannes Gestion des configurations Audit des performances Gestion de la scurit
12
31/03/2011
14
31/03/2011
Adressage IP
Une adresse IP est constitue de deux numros:
IP address = <network number><host number> Le numro de rseau identifie le rseau sur lequel est connect le nud. Ce numro doit tre unique. Le numro d'hte identifie le nud sur le rseau en question.
15
16
31/03/2011
17
18
31/03/2011
SR & Masque de SR
Le nombre croissant de rseaux, notamment sur Internet, a fini par poser problme, en particulier cause de la saturation du schma d'adressage. Le fractionnement d'un rseau en plusieurs rseaux permet de rduire le trafic sur chacun des rseaux ou d'isoler certains groupes de travail. <@-IP> = <netw.nr><subnet nr><host nr>
L'change de messages des stations situes sur deux sous-rseaux diffrents ne pourra se faire directement, mais uniquement par l'intermdiaire d'un routeur. Exemple Une classe A avec un masque de SR: 255.255.0.0 est dcoupe en 254 SR de 65534 stations.
Une classe A avec un masque de SR 255.240.0.0 (11111111 11110000 00000000 00000000) est dcoupe en 14 SR de 1 048 574 stations (4 bits permettent de coder 16 valeurs - 2 rserves).
19
20
10
31/03/2011
21
Mise en oeuvre
La mise en uvre de sous-rseaux passe par les tapes suivantes:
Dterminer le nombre de sous-rseaux adresser. Dterminer le nombre maximum d'htes sur chaque sous-rseau. Calculer le nombre de bits ncessaires pour les sous-rseaux et pour les stations (en prvoyant les volutions) Positionner le masque de sous-rseau. Lister les diffrents numros de sous-rseaux possibles en liminant les "tout 0" et les "tout 1".
Exemple : Un rseau d'adresse 160.16.0.0 est divis en 8 SR Chacun de ces SR accueille ont au moins 1000 htes.
22
11
31/03/2011
Solution
Pour adresser 8 sous-rseaux diffrents, il faut 8 numros. 3 bits permettent d'adresser 6 (8-2) sousrseaux et 4 bits permettent d'adresser 14 sousrseaux. Il faut donc prendre cette dernire solution. Il reste dans ce cas, 12 bits pour le numro d'hte ce qui permet 4094 numros d'htes. Le masque sera donc :
11111111 11111111 11110000 00000000 rseau SR hte soit en reprsentation dcimale : 255.255.240.0
23
1 99
ACL Standard:
Permet dautoriser ou dinterdire des @ spcifiques ou
ACL tendu
un ensemble d@ ou de protocoles
100 199
24
12
31/03/2011
Le routeur dtermine sil doit acheminer ou bloquer un paquet en fonction de chaque instruction de condition dans lordre dans lequel les instructions ont t cres Si le paquet arrivant linterface du routeur satisfait une condition, il est autoris ou refus Si le paquet ne correspond aucune instruction dans la liste, celui-ci est rejet Le rsultat de linstruction implicite deny any Any: nimporte quelle @ (de 0.0.0.0 255.255.255.255) Host: abrviation du masque gnrique
Ex: host 172.16.33.5 quivaut 172.16.33.5 0.0.0.0
25
Liste tendue:
Router (config)# access-list numr-liste {permit|deny} protocole source {masque-source} destination {masquedesti} {oprateur oprande}[established..]
26
13
31/03/2011
Exemple:
Rponse:
Router (config)# access-list 1 permit 205.7.5.0 0.0.0.255 Router (config)# int e0 Router (config-if)# access-group 1 out
27
Extrait de /etc/services :
/etc/services : ftp 21/tcp telnet 23/tcp smtp 25/tcp mail pop3 110/tcp # Post Office A consulter, /etc/inetd.conf ; rpertoire contient la liste des services activs sur une machine donne A Voir lExtrait de /etc/inetd.conf
28
14
31/03/2011
29
Le protocole ICMP
Internet Control Message Protocol
TYPE CODE CHECKSUM HEAD-DATA 8 bits; type de message 8 bits; informations complmentaires 16 bits; champ de contrle en-tte datagramme + 64 premiers bits des donnes.
15 messages utiliss
10 informations
Ping Messages de routeurs Horodatage
5 erreurs
Destination inaccessible Temps dpass Divers Redirection
15
31/03/2011
Communication with desination host administratively prohibited Network Unreachable for type of Service Host Unreachable for type of Service
31
Paquets ICMPv6
Utiliser l'utilitaire ping6 (quivalent l'utilitaire ping) pour tester la prsence d'une machine sur le rseau en prenant une @IPv6 la longueur du message ICMPv6 est limite 1 280 octets, afin dviter les problmes de fragmentation, puisqu'il est difficilement envisageable de mettre en uvre la dcouverte du MTU
Type message
1 2 3 4 128 129 130 131 132 133 134 135 136 137
Meaning
Destination Unreachable Packet Too Big Time Exceeded Parameter Problem Echo Request Echo Reply Group Membership Query Group Membership Report Group Membership Reduction Router Solicitation Router Advertisement Neighbor Solicitation Neighbor Advertisement Redirect
32
16
31/03/2011
33
17
31/03/2011
Web
Virtualisation
Scurit
Fondamentaux
Succession de 2003 Contient 4 piliers: built-in-web, Virtualization technologies. Peut assurer et produire une infrastructure rseau securise 35 avec des cots rduits, en augmentant la flexibilit dans une organisation
Plateformes
32 bits (x86) 64 bits (x64 et IA64*)
18
31/03/2011
-Amlioration du dploiement, de la rcupration et de l'installation base sur une image source ; - Amlioration des outils de diagnostic, de supervision, de traabilit des vnements et de rapports ; -Apport de nouvelles fonctionnalits de scurit telles que Bitlocker (specification de protection des donnes, qui fournit le chiffrement par partition) et prsente une amlioration du Pare-feu - permet aux ressources systme d'tre partitionnes de faon dynamique l'aide du module Dynamic Hardware Partitioning (Gestion Dynamique du Partitionnement )
37
Option dinstallation minimale Surface dexposition rduite Interface en ligne de commande Ensemble de rles restreints Choix linstallation ! Nest pas une plateforme applicative
Rles du serveur
(en plus de ceux de la version Core)
TS IAS Web Server Share Point Etc
Server
Avec .Net 3.0, shell, outils, etc.
GUI, Shell, IE, Composants Scurit, TCP/IP, Systme de fichiers, RPC, Media, Frame, .Net plus dautre sous-systmes Core Server etc.
Il s'agit de la nouveaut la plus notable propose par Windows Server 2008 : loption 38 dinstallation Server Core installe uniquement le strict minimum
Server Core
19
31/03/2011
Fondamentaux
Installation
Cette installation apporte plusieurs avantages : - Rduction tout d'abord des ressources ncessaires ; - Rduction de la maintenance et de la gestion, puisque seuls les lments ncessaires pour les rles dfinis sont installer et configurer ; - Rduction enfin de la surface dexposition aux attaques, directement li au nombre rduit dapplications et services 39 excutes sur le serveur ;
Configuration initiale
Initial Configuration Tasks
Administration du serveur
Server Manager
Gestion des rles Gestion des fonctionnalits
40
20
31/03/2011
Server Manager
Votre nouvel ami Rationnaliser les outils et disposer dun outil central permettant dajouter, de configurer et de grer les diffrents rles et fonctionnalits du serveur
Un seul outil pour configurer Windows Server 2008 Portail dadministration Ligne de commande servermanagercmd.exe
42
21
31/03/2011
Active Directory
Fondamentaux
Objectifs:
Disposer de mcanismes permettant une installation granulaire dActive Directory Amliorer la prise en charge des serveurs distribus gographiquement (agences) Optimiser la consommation de bande passante Elever le niveau de scurit
43
44
22
31/03/2011
Scurit
Authentification, autorisations et audit Contrleur de domaine en lecture seule
Performance
Rplication Sysvol diffrentielle
Administration
Active Directory sous forme de service Editeur dattributs Protection contre les suppressions accidentelles Administration des stratgies de groupe avec GPMC
45
Auto-configuration du serveur DNS Auto-configuration du client DNS Cration et configuration des dlgations DNS
46
23
31/03/2011
Avec Windows Server 2008 : il devient possible de dfinir des politiques de comptes au niveau des utilisateurs et des groupes du domaine
Ne sapplique pas ni lobjet ordinateur ni aux comptes locaux (utilisateurs hors domaine) Ncessite un niveau fonctionnel de domaine Windows Server 2008
47
Read-Only DC
Authentification
Hub
Hub WS 2008 DC
Branch
1. AS_Req vers le RODC (requte pour TGT) 2. RODC: regarde dans sa base: Je nai pas les crdentiels de lutilisateur"
Read Only DC
3 2
3. Transmet la requte vers un Windows Server 2008 DC 4. Windows Server 2008 DC authentifie la demande
1
5 6
7 7
5. Renvoi la rponse et la TGT vers le RODC (Hub signed TGT) 6. RODC fournit le TGT lutilisateur et met en queue une demande de rplication pour les crdentiels 7. Le Hub DC vrifie la politique de rplication des mots de passe pour savoir sil peut tre rpliqu
48
24
31/03/2011
Administration du Serveur
Fondamentaux
Objectifs: Rationaliser les outils dadministration Elargir les possibilits offertes en terme dadministration locale et distante Dployer plus rapidement de nouveaux systmes (postes et serveurs)
49
50
25
31/03/2011
SNMP Planificateur de tches Evnements et transfert dvnements Pas de support du code manag donc pas de support de Windows PowerShell
51
52
26
31/03/2011
Le systme DNS permet didentifier une machine par un nom reprsentatif de la machine et du rseau sur lequel elle se trouve. Le systme est mis en uvre par une base de donnes distribue au niveau mondial. DNS fournit un niveau dadressage indirect entre un nom dhte et sa localisation gographique
53
54
27
31/03/2011
Arborescence limite 128 niveaux Un domaine est un sous-ensemble de larborescence Aucune possibilit de doublon
hte : cooper, domaine : ups-tlse, gTLD : fr Fully Qualified Domain Name : cooper.ups-tlse.fr
Nom du Domain: chaque nud possde une tiquette (label): max 63 caract.
Hte: correspond une machine
55
DNS
Hirarchie des serveurs Serveurs distribus dans larborescence hirarchique
Un serveur ne maintient quun sous-ensemble de larborescence On parle dautorit sur une zone : Authoritative Name Server
Chaque serveur a besoin de connatre les autres serveurs responsables des autres parties de larborescence
Chaque serveur connat la liste des Root Servers Chaque Root Server connat tous les TLDs et gTLDs Un serveur racine peut ne pas connatre le serveur qui a autorit sur une zone Un serveur racine peut connatre un serveur intermdiaire contacter pour connatre le serveur qui a autorit sur une zone
56
28
31/03/2011
Gestion du cache
Cooper.ups-tlse.fr conserve la rponse dans son cache Cooper.ups-tlse.fr rpond directement toute nouvelle requte DNS www.stri.net
57
En mode interactif, on peut slectionner le type de requte l'aide de la commande set type=RR . Exemple: nslookup www.univ-evry.fr 194.199.90.1 En mode non interactif, on le prcise avec l'option -query-type=RR .
Exemple: pour obtenir les serveurs dns de la zone univ-evry.fr: nslookup -querytype NS univ-evry.fr .
Exercice: Utilisez la commande nslookup pour obtenir les informations correspondant au nom de la machine qui a comme adresse ip 192.168.202.2
58
29
31/03/2011
FQDN : Full Qualified Domain Name Le nom complet d'un hte, sur l'Internet, c'est--dire de la machine jusqu'au domaine, en passant par les sous-domaines. URL : Uniform Resource Locator C'est la mthode d'accs un document distant. Un lien hypertexte avec une syntaxe de la forme: <Type de connexion>://<FQDN>/[<sous-rpertoire>]/.../<nom du document> Exemple: http://www.ac-aix-marseille.fr/bleue/francais/nouveau.htm
http: Hyper Text Transfert Protocol www.ac-aix-marseille.fr: FQDN du serveur de pages personnelles /bleue/francais/: arborescence de rpertoires nouveau.htm: nom du document.
URI : Universal Resource Identifier. c'est la mme chose que l'URL. Le W3C (World Wide Web Consortium), garant de l'universalit de l'Internet, voudrait voir abandonner URL au profit d'URI. Notez la trs subtile divergence de sens, qui vaut bien, le changement.
59
DNSSEC
Implmentation de DNSSEC sous Windows 2008 serveur cot serveur:
Distribution des trust anchors ; Dploiement des certificats pour les serveurs DNS ; Dploiement de la politique de scurit dIPSEC sur le Serveur DNS ; Dploiement de la politique de scurit dIPSEC sur un poste client
http://www.labo-microsoft.org/articles/DNSSECPRES/3/Default.asp
Dployer les certificats pour lauthentification du Serveur DNS
60
30
31/03/2011
DHCP
L @ IP est alloue selon les critres suivants:
Ne pas tre dj alloue une autre station La mme station reoit toujours la mme adresse Cette adresse est alloue pendant une priode dtermine (bail) Le client vrifie la validit de l@
62
31
31/03/2011
DHCP Discover
Client DHCP envoie une trame "DHCPDISCOVER", destine trouver un serveur DHCP. Cette trame est un "broadcast", donc envoy l'adresse 255.255.255.255. N'ayant pas encore d@ IP, il fournit aussi son @ MAC
63
64
32
31/03/2011
Serveur DHCP
Le serveur DHCP maintient une plage d@ distribuer ses clients. Il tient jour une BD des @ dj utilises et utilises il y a peu (c.a.d que l'on rcupre souvent la mme @, le DHCP ayant horreur des changements ) Lorsqu'il attribue une adresse, il le fait par l'intermdiaire d'un bail. Ce bail a normalement une dure limite Aprs expiration du bail, ou rsiliation par le client, les informations concernant ce bail restent mmorises dans la BD du serveur pendant un certain temps. Bien que l'adresse IP soit disponible, elle ne sera pas attribue en priorit une autre machine. C'est ce qui explique que l'on retrouve souvent la mme adresse d'une session l'autre.
65
le client peut renouveler le bail, en s'adressant directement au serveur qui le lui a attribu. Il n'y aura alors qu'un DHCPREQUEST et un DHCPACK.
66
33
31/03/2011
Avantages
L'avantage de DHCP rside essentiellement dans la souplesse de configuration des htes :
allocation dynamique des adresses avec rduction des risques de conflit dfinition d'un nombre important de paramtres (masque de SR, passerelle par dfaut...) possibilit d'avoir plus d'htes que d'adresses.
67
Inconvnients
Sur un rseau constitu de plusieurs SR, interconnect par des routeurs, DHCP prsente une limitation d'utilisation. Le mcanisme de fonctionnement utilise des broadcasts qui ne passent pas les routeurs. Puisque requte de diffusion ne passe pas par un routeur, un client DHCP ne pourra pas recevoir d'adresse DHCP d'un serveur situ derrire un routeur. Dans ce cas:
installer un serveur DHCP par SR installer un agent relais DHCP. Un agent relais DHCP prsent sur le rseau du poste client peut transmettre la requte au(x) serveur(s) DHCP
68
34
31/03/2011
Telnet 192.168.19.100 23 commande permet la cration dune connexion TCP avec le serveur de la machine distante Le serveur Telnet: Le serveur sexcute sur la machine distante sinon le service nest pas disponible
Client Telnet
Serveur Telnet
TCP IP
TCP IP
69
35
31/03/2011
Le concept SNMP
Protocole d'administration de machine supportant TCP/IP
Conu en 87-88 par des administrateurs de rseau
Avantages :
protocole trs simple, facile d'utilisation permet une gestion distance des diffrentes machines le modle fonctionnel pour la surveillance et pour la gestion est extensible indpendant de l'architecture des machines administres
71
Le Modle SNMP
L'utilisation de SNMP suppose que tous les agents et les stations d'administration supportent IP et UDP.
Ceci limite l'administration de certains priphriques qui ne supportent pas la pile TCP/IP. De plus, certaines machines (ordinateur personnel, station de travail, contrleur programmable, ... qui implantent TCP/IP pour supporter leurs applications, mais qui ne souhaitent pas ajouter un agent SNMP.
=> utilisation de la gestion mandataire (les proxies)
Un protocole activ par une API permet la supervision, le contrle et la modification des paramtres des lments du rseau.
72
36
31/03/2011
Le modle SNMP
Une administration SNMP est compose de trois types d'lments:
La station de supervision (appele aussi manager) excute les applications de gestion qui contrlent les lments rseaux. Physiquement, la station est un poste de travail. Station de gestion capable dinterpreter les donnes La MIB (Management Information Base) est une collection d'objets rsidant dans une base d'information virtuelle. Ces collections d'objets sont dfinies dans des modules MIB spcifiques. Le protocole, qui permet la station de supervision d'aller chercher les informations sur les lments de rseaux et de recevoir des alertes provenant de ces mmes lments.
73
74
37
31/03/2011
Les rponses de SNMP la suite de requtes, l'agent rpond toujours par GetResponse. Toutefois si la variable demande n'est pas disponible, le GetResponse sera accompagn d'une erreur noSuchObject. Les alertes (Traps, Notifications) Les alertes sont envoyes quand un vnement non attendu se produit sur l'agent. Celui-ci en informe la station de supervision via une trap. Les alertes possibles sont: ColdStart, WarmStart, LinkDown, LinkUp, AuthentificationFailure.
75
Les commandes get-request, get-next-request et set-request sont toutes mises par le manager destination d'un agent et attendent toutes une rponse get response de la part de l'agent. La commande trap est une alerte. Elle est toujours mise par l'agent destination du manager, et n'attend pas de rponse. 76
38
31/03/2011
MIB
La MIB (Management Information base) est la base de donnes des informations de gestion maintenue par l'agent, auprs de laquelle le manager doit sinformer. 2 MIB publics ont t normalises: MIB I et MIB II Un fichier MIB est un document texte crit en langage ASN.1 (Abstract Syntax Notation 1) qui dcrit les variables, les tables et les alarmes gres au sein d'une MIB. La MIB est une structure arborescente dont chaque nud est dfini par un nombre ou OID (Object Identifier). Elle contient une partie commune tous les agents SNMP d'un mme type de matriel et une partie spcifique chaque constructeur. Chaque quipement superviser possde sa propre MIB.
77
Structure de la MIB
78
39
31/03/2011
Larborescence MIB:
Les informations stockes dans la MIB sont ranges dans une arborescence. MIB dispose d'objets supplmentaires. Elle constitue une branche du groupe iso.org.dod.internet.mgmt .
79
Groupe
system interfaces at
Commentaires
Informations gnrales sur le systme. Informations sur les interfaces entre le systmes et les sous-rseaux. Table de traduction des adresses entre internet et les sous-rseaux. Informations relatives l'implantation et l'xcution d'IP (Internet Protocol). Informations relatives l'implantation et l'xcution de ICMP (Internet Control Message Protocol). Informations relatives l'implantation et l'xcution de TCP (Transmission Control Protocol). Informations relatives l'implantation et l'xcution de UDP (User Datagram Protocol). Informations relatives l'implantation et l'xcution de EGP (Exterior Gateway Protocol). Informations sur la transmission et sur les protocoles utiliss par chaque interface. Informations relatives l'implantation et l'xcution de SNMP. 80
ip
icmp
tcp
udp
egp
transmission snmp
40
31/03/2011
Object identifier
Les variables de la MIB-2 sont identifies par le chemin dans l'arborescence, not de deux faons:
l'aide des noms de groupes : iso.org.dod l'aide des numros des groupes: 1.3.6. Les identifiants sont dfinis l'aide du langage SMI. Ex:
Dfinition SMI
mgmt OBJECT IDENTIFIER ::= { internet 2} mib OBJECT IDENTIFIER ::= { mgmt 1 }
1.3.6.1.2.1
1.3.6.1.2.1.2
iso.org.dod.internet.mgmt.mib. interface
Ex: On utilisera l'OID (Object Identification) qui dsigne l'emplacement de la variable consulter dans la MIB. On aura par ex. sur un commutateur Nortel Passport l'OID .1.3.6.1.4.1.2272.1.1.20 dsignant le taux de charge du CPU. 81
Fonctions assures
Primitives
GetRequest GetNextRequest SetRequest GetResponse Trap
Descriptions
le manager demande une information l'agent le manager demande l'information suivante l'agent le manager initialise une variable de l'agent l'agent retourne l'information ladministrateur interruption - l'agent envoie une information ladministrateur
82
41
31/03/2011
83
84
42
31/03/2011
Introduction la scurit
La scurit d'un rseau est un niveau de garantie que l'ensemble des machines du rseau fonctionnent de faon optimale et que les utilisateurs possdent uniquement les droits qui leur ont t octroys Il peut s'agir :
d'empcher des personnes non autorises d'agir sur le systme de faon malveillante d'empcher les utilisateurs d'effectuer des oprations involontaires capables de nuire au systme de scuriser les donnes en prvoyant les pannes de garantir la non-interruption d'un service
85
43
31/03/2011
Menaces de scurit
Attaques passives:
Capture de contenu de message et analyse de trafic coutes indiscrtes ou surveillance de transmission
Attaques actives:
Mascarade, modifications des donnes, dni de service pour empcher lutilisation normale ou la gestion de fonctionnalits de communication
87
Le but des agresseurs est souvent de prendre le contrle d'une machine afin de pouvoir raliser les actions qu'ils dsirent. Pour cela il existe diffrents types de moyens :
l'obtention d'informations utiles pour effectuer des attaques utiliser les failles d'un systme l'utilisation de la force pour casser un systme
88
44
31/03/2011
Le Hacking (attaques)
Cest lensemble des techniques visant attaquer un rseau un site ou un quipement Les attaques sont divers on y trouve:
Lenvoie de bombe logiciel, chevaux de Troie La recherche de trou de scurit Dtournement didentit Les changements des droits daccs dun utilisateur dun PC Provocation des erreurs
90
45
31/03/2011
Attaques,services et mcanismes
Ladministrateur doit tenir compte des 3 aspects de la scurit de linformation:
Service de scurit: pour contrer les attaques de scurit et amliorer la scurit des SI Mcanisme de scurit: pour dtecter, prvenir ou rattraper une attaque de scurit
Usage des techniques cryptographiques
Protger contre Attaque de scurit: une action qui compromet la scurit de linformation possd par une organisation
Obtenir un accs non-autoris, modifier,
91
Les menaces
92
46
31/03/2011
93
Mme ..
94
47
31/03/2011
95
Problmes de scurit
Les problmes de scurit des rseaux peuvent tre classs en 4 catgories:
La confidentialit: seuls les utilisateurs autoriss peuvent accder linformation Contrle dintgrit: comment tre sr que le message reu est bien celui qui a t envoy (celui-ci na pas t altr et modifi) Lauthentification: avoir la certitude que lentit avec laquelle on dialogue est bien celle que lon croit Non-rpudiation: concerne les signatures
96
48
31/03/2011
Objectifs de la scurit
Identification indique qui vous prtendez tre (username) Authentification valide lidentit prtendue (password) Autorisation dtermine les actions et ressources auxquelles un utilisateur identifi et autoris a accs Non-rpudiation garantie quun message a bien t envoy par un metteur authentifi Traabilit permet de retrouver les oprations ralises sur les ressources (logs)
97
49
31/03/2011
confidentialit : Protection de linformation dune divulgation non autorise l'intgrit : Protection contre la modification non autorise de linformation Disponibilit : Sassurer que les ressources sont accessibles que par les utilisateurs lgitimes Authentification
Authentification des entits (entity authentication) procd permettant une entit dtre sre de lidentit dune seconde entit lappui dune vidence corroborante (certifiant, ex.: prsence physique, cryptographique, biomtrique, etc.). Le terme identification est parfois utilis pour dsigner galement ce service. Authentification de lorigine des donnes (data origine authentication) procd permettant une entit dtre sre quune deuxime entit est la source original dun ensemble de donnes. Par dfinition, ce service assure galement lintgrit de ces donnes.
non-rpudiation: Offre la garantie quune entit ne pourra pas nier tre implique dans une transaction Non-Duplication: Protection contre les copie illicites
99
Dangers et Attaques
Services
Confidentialit Intgrit
Dangers
fuite dinformations
Attaques
masquerade, coutes illicites, analyse du trafic cration, altration ou destruction illicite virus, accs rpts visant inutiliser un systme
modification de linformation
Disponibilit
Auth. dentits
masquerade, vol de mot de passe, faille dans le protocole dauth. falsification de signature, faille dans le protocole dauth. prtendre un vol de cl ou une faille dans le protocole de signature falsification, imitation
100
falsification dinformations
Non-duplication
duplication
50
31/03/2011
Mcanismes de protection
Services Confidentialit Intgrit Mcanismes classiques
scells, coffre-forts, cadenas encre spciale, hologrammes contrle daccs physique, surveillance vido prsence, voix, pice didentit, reconnaissance biomtrique sceaux, signature, empreinte digitale sceaux, signature, signature notariale, envoi recommand encre spciale, hologrammes, tatouage
Mcanismes digitaux
cryptage, autorisation logique fonctions sens unique + cryptage contrle daccs logique, audit, anti-virus secret + protocole dauth., adresse rseau + userid carte puce + PIN fonctions sens unique + cryptage fonctions sens unique + cryptage + signature digitale
Disponibilit
Auth. dentits
Problmatique: Authentification
51
31/03/2011
103
Cryptographie
Dfinition
Science du chiffrement Meilleur moyen de protger une information = la rendre illisible ou incomprhensible
Bases
Une cl = chane de nombres binaires (0 et 1) Un Algorithme = fonction mathmatique qui va combiner la cl et le texte crypter pour rendre ce texte illisible
104
52
31/03/2011
Encryption Process
105
Quelques dfinitions
Cryptage: permet lencodage des informations. Il interdit la lecture dinformations par des personnes non autorises On distingue 2 procds de cryptage:
Procds de transposition, qui modifie la succession des caractres laide dun algorithme. Procds de substitution, qui remplace les caractres dorigine par dautres prlevs dans une liste Rgle ou cl de cryptage sappelle Code Ex: PGP (Pretty Good Privacy): progr. Destin au cryptage des messages lectroniques (conu par Philip Zimmermann 1991)
53
31/03/2011
Application de la cryptographie
Commerce lectronique Protection de la confidentialit de correspondance Protection des bases de donnes contre les intrusions et la d vulgarisation des tiers non autoriss Transmission scurise des donnes sensibles travers les rseaux internationaux
Preuve informatique: Identification et authentification
107
Cryptographie
Ensemble de processus de cryptage visant protger les donnes contre laccs non autoriss Repose sur lemploi des formules mathmatiques et des algorithmes complexes afin de coder linformation Il existe 2 systmes de cryptographie:
Les systmes symtriques: la mme cl utilis pour coder et dcoder (DES: Data Encryption standard)) Les systmes asymtriques: la cl qui sert coder est diffrente de celle qui peut dchiffrer (RSA:Rivest Shamir Adelmann 77)
108
54
31/03/2011
Principe de cryptage
Tout systme de cryptage est compos dun algorithme de codage La Crypt. ncessite 2 fonctions essentielles:
Le message M est crypt par une fonction de cryptage E(M)=C Le cryptogramme C est dcrypt par le destinataire par une fonction de dcryptage D(C)=D(E(M)) = M
109
Systme de chiffrement
Dfinition: Un systme de chiffrement ou crypto systme est un 5tuple (P,C,K,e,D) ayant les proprits suivantes: 1. P est un ensemble appel lespace des messages en clair. Un lment de P sappelle message en clair (Plaintext) 2. C est un ensemble appel lespace des messages chiffrs. Un lment de C sappelle un message chiffr ou cryptogramme (cyphertext) 3. K est un ensemble appel lespace des cls, ses lments sont les cls. 4. e={ek : k K } est une famille de fonctions:
ek : P C, ses lments sont les fonctions de chiffrement 5. D={Dk : k K } est une famille de fonctions Dk : C P, ses lments sont les fonctions de dchiffrement
55
31/03/2011
Alice utilise un systme de chiffrement pour envoyer un message confidentiel m Bob. Elle utilise la cl de chiffrement e et Bob utilise la cl de dchiffrement d qui lui correspond.
Alice calcule C= Ee(m) et lenvoie Bob qui reconstitue m= Dd(C), en gardant la cl de chiffrement secrte Ex: lalphabet: A B C Z et 0 1 2 25
Correspondance entre lettres et nombres, la fonction de chiffrement Ee associ e Z26 est: Ee: x (x+e) mod 26 Dd: x (x-d) mod 26 lorsque d=e cryptage symtrique.
Exemple: En appliquant le chiffre de Csar, au mot CRYPTOGRAPHIE, la cl e = 5, fournit le cryptogramme suivant : HWDUYTLWFUMNJ qui est facile casser.
111
Cryptographie
Chiffrement Symtrique Les Algorithmes utilisant ce systme :
DES (Data Encryption Standard, trs rpandu) : les donnes sont dcoupes en blocs de 64 bits et codes grce la cl secrte de 56 bits propre un couple dutilisateurs IDEA, RC2, RC4
Avantage :
Rapide
Inconvnients :
Il faut autant de paires de cls que de couples de correspondants La non-rpudiation nest pas assure. Mon correspondant possdant la mme cl que moi, il peut fabriquer un message en usurpant mon identit Transmission de cl
112
56
31/03/2011
Exemple :
Texte en clair: bob. i meat you. alice Texte crypt: nkn. s hcmu wky. mgsbc Difficult ? 1026 combinaisons possibles.... mais par l'utilisation de rgles statistiques on trouve facilement la cl ... ... naissance il y a 500 ans du chiffrement polyalphabtique
113
Algorithmes de cryptographie
Par substitution
On change les lettres suivant une rgle prcise (ex: A D la cl est : 3)
Par Transposition
La position des caractres est modifie. Pour crypter un message on lcrit en colonne de taille fixe et on lit les colonnes Ex: Nombre de colonne ici 6 Texte crypt: TRLFAOREFMDSNZOCAZIASPZT NU..
B 1 T R L F A O R E
R 5 R E L R N M O P
I 3 A Z I A S P Z T
Q 4 N U O N M T E A
U 7 S N N C O E R B
E 2 F M D S N Z O C
S 6 E I E D C E S D
114
57
31/03/2011
Table de Vigenre
115
Exemple
116
58
31/03/2011
Chiffrement de Vigenre
Le chiffre de Vigenre est la premire mthode de chiffrement poly alphabtique, c'est dire qui combine deux alphabets pour crypter une mme lettre. Ce chiffrement introduit la notion de cl, qui se prsente gnralement sous la forme d'un mot ou d'une phrase. Pour pouvoir chiffrer notre texte, chaque caractre nous utilisons une lettre de la cl pour effectuer la substitution Mathmatiquement, on considre que les lettres de l'alphabet sont numrotes de 0 25 (A=0, B=1 ...). La transformation lettre par lettre se formalise simplement par : Chiffr = (Texte + Cl) mod 26
117
Difficult et limites?
concours organis par RSA Data Security 1997 : 4 mois pour casser le code DES 56 bits en brute force par des amateurs 1999 : 22 h pour casser DESIII solution pour le rendre plus sur .... Passer l'algorithme DES plusieurs fois sur le message avec chaque fois des cls diffrentes (ex : 3DES)
118
59
31/03/2011
Schma de 3DES:
La solution a t dans l'adoption du triple DES: trois applications de DES la suite avec 2 cls diffrentes (d'o une cl de 112 bits)
119
60
31/03/2011
Cryptographie
Chiffrement Asymtrique
El-Gamal Diffie-Helmann
Avantage :
pas besoin de se transmettre les cls au dpart par un autre vecteur de transmission.
Inconvnient :
Lenteur
121
Algorithme RSA
Dvelopp par: Ron Rivest, Adi Shamir et Leonard Adleman en 1977 repose sur des fonctions mathmatique Le RSA est un systme qui repose intgralement sur la difficult de factoriser de grands nombres entiers (au moins 100 chiffres actuellement).
122
61
31/03/2011
123
Exemple :
p = 5, q = 7 donc n = 35 et z = 24 Bob choisit e = 5 et d = 29 ALICE : (chiffrement) m = 12 me=248832 et c = me mod n = 17 BOB : (dchiffrement) c = 17 , m = cd mod n = 12 Cl public est : (35, 5) Cl priv est : (35, 29)
124
62
31/03/2011
125
63
31/03/2011
127
128
64
31/03/2011
129
130
65
31/03/2011
131
Algorithme de Hachage
Usages de lalgorithme de hachage
Alice veut transmettre un document Bob en lui garantissant son intgrit Alice calcule lempreinte de son fichier et lenvoie simultanment avec le document Bob recalcule lempreinte du document et la compare celle que lui a envoy Alice Sils ne sont pas exacts cest que ve a intercept le document et la chang
66
31/03/2011
Authentification
Dfinition
La personne qui j'envoie un message crypt est-elle bien celle laquelle je pense ? La personne qui m'envoie un message crypt est-elle bien celle qui je pense ?
133
Authentification
Technique dIdentification
Prouveur
Celui qui sidentifie, qui prtend tre
Vrifieur
Fournisseur du service
Challenge
Le Vrifieur va lancer un challenge au prouveur que ce dernier doit raliser
134
67
31/03/2011
Technique A Cl Publique
Principe
135
Fonction de hachage
algorithmes de hachage les plus utiliss: MD5 (128 bits) et SHA (160 bits)
136
68
31/03/2011
137
Rcapitulatif
Cryptographie symtrique rpond au besoin de la confidentialit
DES, 3DES, AES, Blowfish, RC2, RC4, RC5 et DEA
69
31/03/2011
Impunit
Les virus
Quest ce quun virus?
Un petit programme ou un lment d'un programme, dvelopps des fins nuisibles, qui s'installe secrtement sur des ordinateurs et parasite des programmes.
Certains virus, apparus rcemment, sont trs perfectionns, qui dans la plupart des cas, exploitent les erreurs commises par les utilisateurs peu informs ou les failles des logiciels. Les utilisateurs domicile ne sont pas les seuls tre exposs au danger. Les entreprises et autres organisations peuvent galement tre victimes d'attaques cibles, menes par des cybercriminels qui tirent parti d'informations drobes aux employs.
Les traces
Les virus infectent des applications, copient leur code dans ces programmes. Pour ne pas infect plusieurs fois le mme fichier ils intgrent dans lapplication infecte une signature virale.
140
70
31/03/2011
IRC Worms
zones de chat..., Ver est class "IRC Worm
141
Exemple : Koobface
Ver informatique dcouvert en Novembre 2008 par McAfee, qui svit sur le site communautaire Facebook. Le ver Koobface se propage en envoyant des e-mails aux amis des personnes dont l'ordinateur a t infect, si lutilisateur a la malheureuse ide de tlcharger le programme, son ordinateur va tre infect et dirigera ses utilisateurs sur des sites contamins lors de recherches sur Google, Yahoo ou encore MSN. Il serait galement capable de drober des informations de nature personnelle comme un numro de carte de crdit. Une raction officielle par la voix de Barry Schnitt, porte-parole de Facebook a communiqu que : "quelques autres virus ont tent de se servir de Facebook de manire similaire pour se propager mais jamais aussi important", Concernant la scurit des informations personnelles de plus de 200 millions de personnes, une enqute au sein du FBI a t mise en place.
142
71
31/03/2011
143
Keylogger :
Un Keylogger est un programme parasite qui se propage souvent grce des virus, vers ou spywares. Sa principale fonction est d'espionner toutes les actions effectues sur votre ordinateur (saisie au clavier, ouverture d'applications, dplacement de fichiers...). Les traces de ces actions sont stockes dans un emplacement prcis puis envoyes vers une bote aux lettres ou sur un site web. Certaines de vos donnes les plus confidentielles peuvent ainsi vous tre soutires l'insu de votre plein gr.
144
72
31/03/2011
145
Spyware
Les logiciels espions (spyware) : ils sont souvent cachs dans certains graticiels (freeware, mais pas dans les logiciels libres), partagiciels (shareware) et pilotes de priphriques, pour s'installer discrtement afin de collecter et envoyer des informations personnelles des tiers. Ex: GATOR, appel aussi GAIN (Gator Advertising and Information Network) est un type de spyware qui fournit l 'option de se rappeler le nom de lutilisateur et les mots de passe. Soyez donc vigilants, Il peut aussi se prsenter sous la forme d'une fentre d'installation de Plug-in sous Internet Explorer. Dans ce cas, refusez catgoriquement... de logiciels connus pour embarquer un ou plusieurs spywares : Babylon Translator, GetRight, Go!Zilla, Download Accelerator, Cute FTP, PKZip, KaZaA ou encore iMesh.
146
73
31/03/2011
Phishing
Appel aussi l'hameonnage peut se faire par courrier lectronique, par des sites Web falsifis ou autres moyens lectroniques Cest une technique utilise par des fraudeurs pour obtenir des renseignements personnels consiste faire croire la victime qu'elle s'adresse un tiers de confiance (ex: banque, administration, etc.) afin de lui soutirer des renseignements personnels : mot de passe, numro de carte de crdit, date de naissance, etc. forme d'attaque informatique reposant sur l'ingnierie sociale
147
Phishing
Tout commence par la rception d'un mail. Vous recevez de votre banque, de votre fournisseur d'accs ou d'un cyber marchant un message de forme tout fait habituelle (avec le logo et les couleurs de l'entreprise) vous informant qu'un regrettable incident technique a effac vos coordonnes. Vous tes invit cliquer sur un lien vous menant au site de l'entreprise en question pour ressaisir soit votre numro de carte bleue, vos identifiants et mot de passe de connexion. Vous tes en confiance et suivez attentivement les consignes
148
74
31/03/2011
75
31/03/2011
Comment se protger?
Pare-feu Mises jour de votre PC Logiciels: anti-virus, antispyware, anti-spam,..
151
Stratgies
Approche locale
Poste client
Approche globale
Poste serveur
Ces deux solutions sont complmentaires et doivent faire appel des moteurs antiviraux de fournisseurs diffrents
152
76
31/03/2011
Si l'utilisateur peut intervenir sur les logiciels ou son systme d'exploitation il peut inscrire une @ IP factice (IP spoofing)
permet au pirate responsable de DoS de dissimuler leur identit car il est trs difficile de remonter la source d'un datagramme portant une fausse @ IP
77
31/03/2011
Les outils
Web Server File Server Web Server Via Web Page Workstation Via Email
Workstation
Workstation
78
31/03/2011
Firewall
Le pare-feu est un systme permettant de filtrer les paquets de donnes changs avec le rseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces rseau suivante : une interface pour le rseau protger (rseau interne) une interface pour le rseau externe Un systme pare-feu contient un ensemble de rgles prdfinies permettant : D'autoriser la connexion (allow) De bloquer la connexion ( deny) De rejeter la demande de connexion sans avertir l'metteur (drop).
158
79
31/03/2011
159
Rle du pare-feux
Les firewall protgent les installations informatiques des intrusions surveille (autoriser/denier) les communications d'un PC vers Internet et vice versa Prvenir les attaques du type Denial Of Service
Inondation des messages SYN avec des @IP dorigine factices, qui paralyse lhte. Les tampons de lhte sont remplis de messages factices, ce qui ne laissent plus de place pour les vrais messages Prvenir les modifications de donnes internes Ex: changer la page Web de lentreprise Empcher les pirates daccder des donnes sensibles, Analyser, bloquer ou autoriser les communications via les ports UDP et TCP
160
80
31/03/2011
Filtrage de paquets
Le rseau interne est quip dune passerelle le reliant son FAI. On se faire le filtrage des paquets Filtrage bas sur ltude des en-tte de paquet
@ IP dorigine et de destination Des types des messages ICMP Des datagrammes de connexion et dinintialisation utilisant les bits TCP SYN ou Ack Ex/ filtre les segments UDP et les connexions Telnet (segment TCP avec Port 23). vite toute intrusion trangre via une session Telnet.
Mise en place d'une passerelle d'application (gateway) Serveur spcifique aux applications que toutes les donnes d'applications doivent traverser avant de quitter ou d'entrer dans le rseau
161
Filtrage applicatif
Appel aussi passerelle applicative ou proxy le filtrage applicatif permet la destruction des en-ttes prcdant le message applicatif, ce qui permet de fournir un niveau de scurit supplmentaire. En contrepartie, une analyse fine des donnes applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communications, chaque paquet devant tre finement analys. Afin de limiter les risques le proxy doit ncessairement tre en mesure d'interprter une vaste gamme de protocoles et doit connatre les failles affrentes pour tre efficace.
162
81
31/03/2011
164
82
31/03/2011
Architecture DMZ
Les serveurs situs dans la DMZ sont appels bastions en raison de leur position d'avant poste dans le rseau de l'entreprise. La DMZ possde donc un niveau de scurit intermdiaire, mais son niveau de scurisation n'est pas suffisant pour y stocker des donnes critiques pour l'entreprise.
165
Politique de scurit
La politique de scurit mise en oeuvre sur la DMZ est gnralement la suivante :
Traffic du rseau externe vers la DMZ autoris ; Traffic du rseau externe vers le rseau interne interdit ; Traffic du rseau interne vers la DMZ autoris ; Traffic du rseau interne vers le rseau externe autoris ; Traffic de la DMZ vers le rseau interne interdit ; Traffic de la DMZ vers le rseau externe refus.
166
83
31/03/2011
NAT
Le principe du NAT consiste raliser, au niveau de la passerelle de connexion internet, une translation entre l'adresse interne (non routable) de la machine souhaitant se connecter et l'adresse IP de la passerelle. Le terme NAT reprsente la modification des adresses IP dans l'en-tte d'un datagramme IP effectue par un routeur. SNAT : @source du paquet qui est modifie (altre) DNAT : @destination qui est modifie (altre)
167
168
84
31/03/2011
169
Principe de NAT
Le principe du NAT statique:
consiste associer une @IP publique une @IP prive interne au rseau. Le routeur (passerelle) permet donc d'associer une @IP prive (ex: 192.168.0.1) une @IP publique routable sur Internet et de faire la traduction, dans un sens comme dans l'autre, en modifiant l@ dans le paquet IP. La translation d@-statique permet ainsi de connecter des machines du rseau interne internet de manire transparente
NAT dynamique
permet de partager une @IP routable entre plusieurs machines en @ priv. Ainsi, toutes les machines du rseau interne possdent virtuellement, vu de l'extrieur, la mme @IP. C'est la raison pour laquelle le terme de mascarade IP (IP masquerading ) est parfois utilis pour dsigner le mcanisme de translation d'adresse dynamique.
170
85
31/03/2011
10.0.0.12/24 (@ interne)
Internet
171
172
86
31/03/2011
Les inconvnients
Elle est donc utile pour partager un accs Internet, mais pas pour rendre un serveur accessible. IPSec est totalement incompatible avec le NAT La NAT dynamique seule ne peut pas tre considre comme une scurit suffisante. Il est indispensable d'utiliser un filtrage si l'on veut obtenir un bon niveau de scurit.
174
87
31/03/2011
Architecture IPsec
1. Introduction 2. Services IPsec 3. Modes dutilisation
175
IPsec : Introduction
On a conu IPSec (Internet Protocol Security) pour scuriser le protocole IPv6. La lenteur de dploiement de ce dernier a impos une adaptation dIPSec lactuel protocole IPv4. Plusieurs RFC successives dcrivent les diffrents lments dIPSec : RFC 2401, 2402, 2406, 2408
176
88
31/03/2011
IPsec : Introduction
Internet Protocol Security est un ensemble de protocoles (couche 3 modle OSI) utilisant des algorithmes permettant le transport de donnes scurises sur un rseau IP. Composante indissociable dIPV6, optionnelle en IPV4 Composant de VPN Permet ltablissement de communication scurise Les services et algorithmes utiliss sont paramtrables.
177
IPsec : 4 services
Authentification des donnes :
chaque paquet chang a bien t mis par la bonne machine et quil est bien destination de la seconde machine
178
89
31/03/2011
Fonctionnement
On tablit un tunnel entre deux sites: IPSec gre lensemble des paramtres de scurit associs la communication. Deux machines passerelles, situes chaque extrmit du tunnel, ngocient les conditions de lchange des informations :
Quels algorithmes de chiffrement, quelles mthodes de signature numrique ainsi que les cls utilises pour ces mcanismes. La protection est apporte tous les trafics et elle est transparente aux diffrentes applications.
179
IPSec prvoit la dfinition de la politique de scurit avec le choix des algorithmes utiliss et leur porte. Une fois quune politique est dfinie, il y a change des cls avec un mcanisme IKE (Internet Key Exchange) [utilisant le port 500 et le transport UDP]. On peut mettre en oeuvre lauthentification soit en supposant que les deux extrmits se partagent dj un secret pour la gnration de cls de sessions, soit en utilisant des certificats et des signatures RSA. Les machines passerelles traitent ensuite les donnes avec la politique de scurit associe. IPSec propose ensuite deux mcanismes au choix pour les donnes de lchange : ESP (Encapsulating Security Payload) et AH (Authentication Header). ESP fournit lintgrit et la confidentialit, AH ne fournit que lintgrit.
180
90
31/03/2011
Un point faible de IPSec : la gestion des cls solution un PKI (Public Key Infrastructure).
181
IPsec : Architecture
Ensemble de protocoles couvrant deux aspects
Encapsulation des datagrammes IP dans dautres datagrammes IP
services de scurit (intgrit, confidentialit, etc.)
182
91
31/03/2011
IPsec : Architecture
2 protocoles dfinis pour lencapsulation
Authentication Header (AH) Encapsulating Security Payload (ESP)
183
184
92
31/03/2011
AH
Les algorithmes d'authentification utilisables avec AH sont rpertoris dans le DOI IPsec; il existe notamment HMAC-MD5 et HMAC-SHA-1. Assure lauthentification de la source
Protection contre source spoofing
Non rpudiation
Utilisation du RSA
185
Selon les modes de fonctionnement choisis (transport ou tunnel) la position de l'en tte d'authentification AH est la suivante : Les algorithmes dauthentification utilisables avec AH sont lists dans le DOI IPsec (RFC 2407).
93
31/03/2011
ESP
ESP assure quant lui la confidentialit des donnes mais peut aussi assurer leur intgrit en mode non connect et l'authentification de leur origine. A partir du datagramme IP classique, un nouveau datagramme dans lequel les donnes et ventuellement l'en tte originale sont chiffres, est cre. C'est une relle encapsulation entre un en tte et un trailer. La protection contre le rejeu est fournie grce un numro de squence si les fonctions prcdentes ont t retenues Idem plus la confidentialit des donnes
utilise une encryption cls symtrique
187
Suivant les modes de fonctionnement choisis (transport ou tunnel) la position de ESP est la suivante :
Position de ESP en mode transport.
188
94
31/03/2011
IPsec : Architecture
IPsec assure la scurit en trois situations
Hte hte Routeur routeur Hte routeur
189
Mode transport
Transport
Utilis uniquement entre deux machines qui elles-mmes responsable du chiffrement/dchiffrement . Seulement les donnes qui sont chiffres. Les en-tte IP sont conservs
VPN
Workstation A
Server B
In te rn e t
Security gateway 1 encrypted A B data
190
Security gateway 2
95
31/03/2011
Mode tunnel
Tunnel
Le flux est entre deux machines qui se trouvent derrire deux passerelles faisant le chiffrement/dchiffrement En-tte IP et donnes sont chiffrs et un nouveau en-tte est gnr avec ladresse IP du serveur VPN.
VPN
Workstation A
Server B A B data
Inte rnet
source A destination B data Security gateway 1 encrypted 1 2 A B data
191
Security gateway 2
Capture dcran laide de Wireshark ralise dans la sance de TP avec IPSEC. On peut voir le dploiement de lISAKMP lors de lchange
192
96
31/03/2011
193
97
31/03/2011
195
VPN
La mise en place d'un rseau priv virtuel permet de connecter de faon scurise des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils taient sur le mme rseau local. Ce procd est utilis par de nombreuses entreprises afin de permettre leurs utilisateurs de se connecter au rseau d'entreprise hors de leur lieu de travail. On peut facilement imaginer un grand nombre d'applications possibles :
Accs au rseau local (d'entreprise) distance et de faon scurise pour les travailleurs nomades Partage de fichiers scuriss Jeu en rseau local avec des machines distantes
196
98
31/03/2011
197
Une entreprise Multi-site dsire de plus en plus ouvrir son rseau ses employs travaillant distance, en toute scurit. Cest lenjeu auquel rpond efficacement une 198 solution de type VPN
99
31/03/2011
199
Rcapitulatif
Accs non autoris Authentification Confidentialit Chiffrement Virus Antivirus Intrusion IDS/IPS Firewall Modification Hachage consiste verrouiller les donnes laide des composants matriels: clipper-chips
200
100