CCNP Security Ch01 PDF

BIG SOFT
Introduction à la Sécurité
Réseaux IOS Cisco
Préparation à la certification CCNA/CCNP Sécurité
IINS (Implementing Cisco IOS Network Security)
Chapter 1
Préparé par : Younes GUEROUANI CCNP Security 1
Objectifs
Ce cours Cisco Sécurité permettra au participants de comprendre la
nécessité d’appliquer des stratégies de sécurité dans les réseaux. Ils
seront capables d’améliorer les tâches pour sécuriser les réseaux à l’aide
des fonctionnalités de sécurité disponibles dans l’IOS (Routeur Cisco,
SDM, CLI, …).
A l’issue de cette formation, les participants seront capables de :
- Décrire les composants des stratégies de sécurité des réseaux qui
peuvent être utilisés pour contrer les menaces et les attaques dans un
contexte de continuité de service ;
- Développer et mettre en œuvre les mesures sécuritaires qui permettent
de protéger les éléments du réseau et de l’infrastructure ;
- Déployer et maintenir les contrôles de menaces et les technologies de
limitation et de détection des menaces pour le périmètre de sécurité
dans les réseaux informatiques.
Chapter 1
PLAN
• Apprendre l’essentiel de la sécurité
 Présentation des concepts de la sécurité
 Services, mécanismes et types d’attaques de sécurité
 Contre-mesures et gestion des risques
 Stratégie, Standard, Directives et Procédures de sécurité
• Savoir protéger l’infrastructure des réseaux Cisco

 Présentation de la protection des réseaux Cisco à l’aide de SDM, CCP, …
 Configuration AAA sur l’IOS Cisco à l’aide de Cisco SDM
• Mettre en place la connectivité sécurisée

 Assimiler l’essentiel des technologies VPN IPSec
 Configurer les différents scénarios de VPN (Client-to-Site, Site-to-Site, …)
• Contrôler et limiter les menaces à l’aide des Pare-feux

 Assimiler le concept des pare-feux (CBAC, ZBF)
 Concevoir et intégrer les politiques de pare-feux IOS Cisco
Chapter 1
Apprendre l’essentiel de la sécurité
• Introduction
L'adoption croissante des technologies de l’information et de la
communication (TIC) améliore la productivité des entreprises et leur permet
d’offrir de meilleurs services, d’améliorer leur efficacité et leur agilité.
Toutefois, l’évolution rapide de ces technologies a pour contrepartie
l’augmentation des menaces liés aux systèmes d’information.
• Ces menaces/attaques qui se multiplient avec la croissance accélérée des
réseaux qui sont aujourd’hui de plus en plus ouverts sur Internet et qui sont
liés à la manipulation, au stockage et à la transmission des données, etc.)
• Les menaces peuvent se catégoriser de la manière suivante :
 Accès physique,
 Interception de communication,
 Détournement ou altération de message,
 Déni de service (DoS)
 Intrusion
Chapter 1
• Présentation des concepts de la sécurité
S. Zevin définit la sécurité comme étant "la protection de l’information et des
systèmes d'information contre tout accès et utilisation non autorisés, divulgation,
perturbation, modification ou destruction".
Selon C. Alberts, "la sécurité revient à déterminer ce qui doit être protégé et
pourquoi, ce qui a besoin d'être protégé et comment le protéger tant qu'il existe".
• La sécurité représente "la satisfaction des besoins de sécurité des biens

essentiels".
• Les besoins de sécurité créent des objectifs de sécurité à atteindre et
conduisent à mettre en place des mesures et contre-mesures pour
améliorer la sécurité d’un système.
• Généralement, trois objectifs de base de sécurité sont définis :
la confidentialité, la disponibilité et l’intégrité.
Chapter 1
• Objectifs de base de la sécurité
• La confidentialité est un objectif de sécurité permettant de protéger
l’information lors de son échange contre toute divulgation et accès non
autorisés.
• La confidentialité est assurée en mettant en place des mécanismes
d’identification, d’authentification, d’autorisation et de chiffrement et de
contrôle d’accès afin de ne donner l’accès qu’à ceux qui sont autorisés.
• Un autre aspect de la confidentialité est la protection du flot de trafic contre
l’analyse. Cela requiert qu’un attaquant ne puisse observer les sources et les
destinations, les fréquences ou autres caractéristiques du trafic sur un
équipement de communication.
Chapter 1
• La disponibilité est un objectif de sécurité qui vise à garantir l’accès à un
service, à une information ou à une ressource à tout moment pour les
personnes autorisées.
• La disponibilité est assurée par une protection des ressources et des biens
(par ex. les applications, les systèmes d’hébergement et les équipements
réseau) et aussi, en mettant en place des procédures et des politiques de
sécurité. En effet, les dénis de service (indisponibilité du service) sont causés
par les attaques malveillantes qui peuvent résulter de la non-application des
politiques et des procédures de sécurité.
• La disponibilité est aussi assurée en mettant en place des mécanismes de
contrôle d’accès, d’audit, de redondance et de filtrage (pare-feu).
Exemple de calcul du taux de disponibilité :
Un équipement actif qui, pendant un mois, aura connu 2 pannes de 6 heures,
aura un taux de disponibilité de :
(30 jours x 24 heures - 2 x 6 heures) / (30 jours x 24 heures) = 98,33%.
Chapter 1
• L’intégrité est la propriété assurant qu’une information ou un traitement
n'a pas été modifié ou détruit de façon non autorisée.
• L’intégrité de l’information est assurée en utilisant des mécanismes
d’authentification, d’audit et de signature électronique d’une part et en
vérifiant par des mécanismes de détection d’intrusion (IDS) que les systèmes
hébergeant l’information fonctionnent d’une façon fiable d’autre part.
 L’identification est un objectif qui permet d’attribuer des identifiants aux
utilisateurs ou aux services. Elle sert à l’audit et la traçabilité des activités
d’un utilisateur ou d’un service.
 L’authentification est un objectif qui permet de valider l'identifiant d'un
utilisateur ou d’un service. Ceci est réalisé en présentant la preuve de
possession de l’identité (soumission d’un mot de passe, d’une clé secrète,
d’une signature numérique, etc.)
Chapter 1
• Objectifs de la sécurité
• Identification est un objectif qui permet d’attribuer des identifiants aux utilisateurs ou
aux services. L’identification sert à l’audit et la traçabilité des activités d’un utilisateur
ou d’un service.
• Authentification est un objectif qui permet de valider l'identifiant d'un utilisateur ou
d’un service. Ceci est réalisé en présentant la preuve de possession de l’identité
(soumission d’un mot de passe, d’une clé secrète, d’une signature numérique, etc.)
• Contrôle d’accès (Autorisation) est un objectif qui permet de contrôler l’accès à
l’information et aux systèmes. Pour réaliser ce contrôle, chaque entité essayant
d’obtenir un accès doit d’abord être authentifiée avant que les droits d’accès puissent
être calculés.
• Non-répudiation est un objectif qui empêche aussi bien l’expéditeur que le receveur
de nier le fait d’avoir transmis ou reçu une information. Lorsqu’un message est envoyé,
le récepteur peut prouver que le message a été bien envoyé par l’expéditeur.
De même, lorsqu’un message est reçu, l’expéditeur peut prouver que le message a
bien été reçu par le destinataire.
• Audit est un objectif qui permet de contrôler le fonctionnement d’un système et de
contrôler les mécanismes de sécurité et de conformité afin de détecter leurs
défaillances et les corriger.
Chapter 1
• Modèle de l’information pour la sécurité
• Triangle d’or / CIA (1987) : Le triangle CIA est le pilier immuable
présentant les grands axes de la sécurité. La plupart des autres
modèles utilisent cette représentation en tant que base.
Le triangle opposé existe également. Il porte le nom de DAD, pour

Disclosure, Alteration, Disruption.
Chapter 1
• Parkerian Hexad (2002) : Ce modèle, initié par Donn Parker, ajoute la
nuance d’utilité (une information chiffrée pour laquelle on a perdu la clé
de déchiffrement n’est plus d’aucune utilité, bien que l’utilisateur y ait
accès et que cette information soit confidentielle, disponible et intègre).
Chapter 1
• McCumber Cube (1991) : On y retrouve les trois piliers de la sécurité
(CIA), mais deux autres dimensions apparaissent :
– L’état des données : le stockage, la transmission, l’exécution
– Les méthodes : les principes et les règles à adopter pour atteindre le
niveau de sécurité souhaité
Chapter 1
• McCumber Cube (1991)
Etats de
l'information
Propriétés de
l'information
de sécurité
Mesures de
sécurité
Chapter 1
Confidentialité
Intégrité
Disponibilité
Chapter 1
Traitement
Stockage
Transmission
Chapter 1
Stratégie et Procédures
Technologie
Formation et veille technologique
Chapter 1
Traitement
Stockage
Transmission
Confidentialité
Intégrité
Disponibilité
Stratégie et Procédures
Technologie
Formation et veille technologique
Chapter 1
• Politique et stratégie de sécurité
La politique de sécurité est le document de référence définissant les objectifs
poursuivis en matière de sécurité et les moyens mis en œuvre pour les
assurer. Elle définit un certain nombre de règles, de procédures et de bonnes
pratiques permettant d'assurer un niveau de sécurité conforme aux besoins de
l'organisation.
Une politique de sécurité apporte les avantages suivants:
• un cadre fonctionnel ("texte de loi") permettant d'implémenter des procédures
de sécurité dans l'infrastructure de réseau ;
• un processus permettant l'audit de la sécurité ;
• une sécurité globale ;
• une base pour toute action juridique éventuelle.
Chapter 1
Une politique de sécurité vise souvent à protéger le système d’information
contre les menaces identifiées par l’analyse de risques.
Dans le cadre d’une politique de sécurité, il faut définir :
- les objectifs de sécurité décrivant les propriétés de la confidentialité, l’intégrité et
la disponibilité ;
- l’état du systéme ou ces propriétés sont vérifées ;
- des régles de sécurité décrivant les moyens de modifier l’état du systéme.
Que protéger ? Liste des biens à protéger
De quoi les protéger ? Liste de menaces
Quels sont les risques ? Liste des impacts et probabilités
Comment protéger l’entreprise ? Liste des contre-mesures
Chapter 1
La mise en place d’une politique de sécurité doit être basée sur un choix des
mécanismes les plus simples possibles permettant de protéger les biens et
les ressources, de manière la plus efficace avec un coût acceptable :
 Système d’authentification (biométrie, serveur d’authentification, …) ;
 Chiffrement (PKI, mécanismes intégrés à des protocoles de
communication, par ex. IPsec) ;
 Pare feux (firewall) ;
 Systéme et solution anti-virus ;
 Outils de détection de failles de sécurité ;
 Système de détection d’intrusions (IDS) ;
 Systéme d’exploitation sécurisé (mis-à-jour avec des correctifs) ;
 …
Chapter 1
Il est recommandé qu’une politique de sécurité traite d’abord les points
suivants :
• Diagnostic de l'existant :
 recensement des ressources à protéger ;
 identification de l'infrastructure Réseau ;
 inventaire des outils de sécurité existants.
• Analyse des risques :

 estimation des vulnérabilités ;
 identification des menaces éventuelles ;
 estimation des pertes directes et indirectes ;
 définition des priorités concernant les ressources à protéger.
• Définition des rôles :

 rôle en termes sécurité de l’utilisateur final (end-user)
 chaînage des responsabilités au sein de l'équipe "Sécurité"
 externalisation ou non de la sécurité (si oui : totale ou partielle) ;
Chapter 1
• Procédures de protection :
 mécanismes de contrôle et de neutralisation des virus ;
 procédures de sauvegarde ;
 procédures d'accès aux fichiers et aux répertoires ;
 procédures de configuration et de mise-à-jour des outils installés et des

correctifs correspondants.
• Procédures de détection :
 mécanismes de surveillance des serveurs (données, messagerie, etc.) et des
activités réseaux ;
 procédures de 'lecture' et d'analyse des activités journalières (rapports de
certains outils, messages d'alertes, tableaux de bord, etc.)
• Procédures de réaction (juste après la détection de l'incident) :

 procédures de réaction à une attaque virale ou par pirate ;
 procédures de réaction à des incidents de force majeure.
Chapter 1
• Services, mécanismes et attaques de sécurité
• Un service de sécurité est conçu pour augmenté le niveau de sécurité
des données et des communications et contourner les attaques. Un
service fait appel à un ou plusieurs mécanismes.
• Un mécanismes de sécurité est conçu pour permettre de prévenir,

détecter ou rattraper une attaque de sécurité.
• Une attaque de sécurité est toute action qui a comme conséquence la

compromission des services de la sécurité. Les attaques exploitent les
défaillances et les vulnérabilités.
Chapter 1
• Services de sécurité
• Les services de sécurité liés au système d’information couvrent à la fois
les services de sécurité de base (confidentialité, intégrité et disponibilité) et
les services de sécurité support (identification, authentification,
autorisation, non-répudiation et audit).
À titre d’exemple, le protocole Kerberos peut être utilisé pour mettre en
œuvre le mécanismes d’authentification par mot de passe.
• La sécurité en tant que service est une approche qui consiste à intégrer les
fonctions de la sécurité dans un service dédié. Il s’agit par exemple de
services d’authentification, d’autorisation, de chiffrement/déchiffrement des
messages, de vérification de signatures et de log des messages.
Ces services peuvent être invoqués par les applications pour assurer les
fonctions de sécurité nécessaires.
Chapter 1
• Mécanismes de sécurité
• Un mécanisme de sécurité est un mécanisme conçu pour détecter,
prévenir ou "rattraper" une attaque ou une faille de sécurité.
La plupart des mécanismes de sécurité font appel à des techniques de
cryptographie les plus utilisés dans les outils et les protocoles sécuritaires
afin de réaliser certains services de sécurité.
• La cryptographie permet de transformer un message en texte "clair" en un
cryptogramme (message "chiffré") de sorte que le message originel soit
complètement incompréhensible.
Il existe deux sortes de cryptage ou chiffrement :
 à clé symétrique
 à clé asymétrique
Chapter 1
• Mécanismes de cryptographie Symétrique
• Méthodes de cryptage à clé symétrique : ce type de cryptage est la forme
la plus classique des systèmes cryptographiques. Il permet à l’émetteur et
au récepteur d’utiliser la même clé secrète pour le cryptage et le
décryptage (par ex. DES, IDEA, AES…).
• Il est généralement simple, performant et sûr, mais à condition que
l’échange de la clé secrète soit lui-même sécurisé.
La même clé doit être utilisée pour chiffrer ou déchiffrer le message
Chapter 1
• Mécanismes de cryptographie Asymétrique
• Méthodes de cryptage à clé asymétrique : ce type de cryptage se base sur
un algorithme mathématique qui utilise une paire de clés différentes, une
clé privée que seul son propriétaire a besoin de la connaître et une autre
clé publique connue de tout le monde (par ex. RSA, DSA).
• Une propriété de base pour ce type de cryptage est qu’il est pratiquement
impossible de déterminer la clé privée à partir de la clé publique.
Une clé doit être utilisée pour chiffrer et une autre pour déchiffrer le message
NB : le chiffrements à « clé publique» a été découvert par James Ellis en 1969 et l'idée
de la conception revient à Diffie et Hellman en 1976.
Chapter 1
• Mécanismes de signatures numériques
• Méthode de hashage : la norme ISO 7498-2 définit la signature numérique
comme des «données ajoutées à un message », ou transformation
cryptographique d’un message, permettant à un destinataire d’authentifier
l'auteur d'un document électronique et de garantir son intégrité (seule
l’expéditeur doit être capable de générer la signature). (par ex. MD5, SHA).
Deux empreintes identiques impliquent que le texte en clair n'a pas été modifié
Chapter 1
• Mécanismes de certificats électroniques
• Un certificat de clé publique est un ensemble de données numériques dont
le rôle est de lier une clé publique à son propriétaire. Ce rôle ne peut être
rempli que si le certificat est signé par une tierce partie considérée "de
confiance" par le vérificateur du certificat.
• Un certificat électronique est un ensemble de données contenant au moins
une clé publique, des informations d'identification (nom, localisation,
adresse électronique, etc.) et une signature (clé privée), …
Lors de l’accès à un serveur web sécurisé, le client télécharge

automatiquement le certificat
NB: Sur Internet, le certificat permet à un client de vérifier que la clé publique et
l’URL d’un site marchand appartiennent bien à leur auteur (par ex. www.fnac.fr, …)
Chapter 1
• Mécanismes de certificats électroniques
On distingue deux familles de certificats numériques :
• Les certificats de signature, utilisés pour signer des e-mails ou s'authentifier
sur un site web
• Les certificat de chiffrement : les gens qui vous envoient des e-mails utilisent
la partie publique de votre certificat pour chiffrer le contenu que vous serez
seul à pouvoir déchiffrer.
Les certificats électroniques respectent des standards spécifiant leur contenu
de façon rigoureuse. On trouve parmi les plus connus et les plus utilisés :
• la norme X.509 en version 1, 2, et 3, sur lequel se fondent certaines
infrastructures à clés publiques (PKI).
• OpenPGP, format standard (normalisé dans le RFC 2440)
NB: Un Certificat électronique est géré tout au long de son cycle de vie (création,
renouvellement et révocation) au moyen d’une infrastructure à clés publiques, ou
PKI pour Public Key Infrastructure par l’autorité de Certification (CA)
Ex. Verisign, EnTrust.net, CyberTrust, CertPlus, …
Chapter 1
• Mécanismes de certificats électroniques (PKI)
Une PKI (Public Key Infrastructure) est un ensemble de composants
physiques (des ordinateurs, des équipements cryptographiques, des cartes à
puces), de procédures humaines (vérifications, validation) et de logiciels
(système et application) en vue de gérer le cycle de vie des certificats
numériques ou certificats électroniques.
• Une PKI permet la délivrance des certificats numériques permettant
d'effectuer des opérations cryptographiques, comme le chiffrement et la
signature numérique.
• Une PKI délivre un ensemble de services pour le compte de ses utilisateurs :
 enregistrement des utilisateurs (ou équipement informatique),
 génération, renouvellement, révocation, publication de certificats,
 publication des listes des certificats révoqués,
 identification et authentification des utilisateurs,
 archivage des certificats.
Chapter 1
• Attaques et menaces de sécurité
• Attaque : une attaque est l’action d’exploiter les failles d’un système pour
accéder d’une manière illicite aux données ou pour contourner les mesures
de sécurité et empêcher le bon fonctionnement du système.
Les attaques peuvent être classées en deux catégories :
 Attaques passives qui visent la confidentialité des données (ex. analyse du
trafic, lecture des messages, emails, fichiers, etc.) ;
 Attaques actives qui visent l’intégrité et la disponibilité des données,
l’authentification des utilisateurs, etc. (ex. usurpation de l’identité,
modification des messages, rejeu, interruption de service / DoS)
• Menace : une menace est une source potentielle d’incident, qui peut résulter
en un dommage au système ou un accès non-autorisé aux données.
• Vulnérabilité : un système est dit "vulnérable" s’il a des faille de sécurité.

Un système qu’on peut attaquer est un système vulnérable. Dans le cas
échéant, on dit un système fiable.
Chapter 1
• Outils d’attaques de sécurité
• Scanner réseau (sniffer) : "wireshark"
• Scanner de vulnérabilité : "nmap" (balayage par ping ou recherche de
ports ouverts, etc.)
• Logiciels malveillants
 Virus
 Vers (warms)
 Cheval de Troie (trojan)
 Logiciels d’espionnage (spyware)
 Logiciels de publicité indésirables (adware)
Chapter 1
• Virus : un virus est un programme informatique écrit par des programmeurs mal
intentionnés et conçus pour se multiplier et infecter les ordinateurs lorsqu’ils sont
activés par un événement spécifique.
• Vers (warms) : Un ver est un programme complet (ou un ensemble de

programmes) qui est capable de répandre des copies fonctionnelles de lui-même
sur d’autres systèmes (en règle générale via un réseau). Contrairement aux
virus, les vers n’ont pas besoin de programme hôte.
• Cheval de Troie (trojan) : un trojan est un programme qui semble effectuer une
fonction utile mais qui a une fonction illicite non déclarée (cachée) qui peuvent
supprimer des données, envoyer des copies d’eux-mêmes par courrier
électronique à tout le carnet d’adresses et exposer les ordinateurs à des
attaques supplémentaires (certains trojans ouvrent simplement une brèche de
sécurité par laquelle un ver pourra se répandre).
Chapter 1
• Logiciel espion (spyware) : un spyware est un logiciel qui collecte des
informations à partir d’un ordinateur et les transmet à un autre système espion
• Logiciel de publicité indésirable (adware) : Un adware est un logiciel de

publicité indésirable qui peut générer des annonces pop-up ou la redirection d’un
ordinateur à un site commercial.
• Vandales (vandal) : Un vandale est une application logicielle ou un applet

entraînant une destruction à différents niveaux, il peut effacer un seul fichier ou
la majeure partie d’un système informatique. On parle de sabotage informatique
lorsque quelqu’un met délibérément un virus véhiculant sur le réseau mais aussi
lorsque quelqu’un détruit les données d’un client concurrent même sans en tirer
d’avantage financier.
Chapter 1
• Types d’attaques de sécurité
Les systèmes informatiques mettent en œuvre différentes composantes, allant
de l'électricité pour alimenter les machines au logiciel exécuté via le système
d'exploitation et utilisant le réseau. Les attaques peuvent intervenir à chaque
maillon de cette chaîne, pour peu qu'il existe une vulnérabilité exploitable.
• Attaque "men in the middle" : littéralement "attaque de l'homme au milieu" est
un scénario d'attaque dans lequel un pirate écoute une communication entre
deux interlocuteurs et falsifie les échanges afin de se faire passer pour l'une des
parties. La plupart des attaques de type « man in the middle » consistent à
écouter le réseau à l'aide d'un outil appelé sniffer.
• Attaque "par rejeu" : en anglais "replay attack" est un scénario d'attaque qui
consiste à intercepter des paquets de données et à les rejouer, c'est-à-dire les
retransmettre (sans aucun déchiffrement) au serveur destinataire.
Chapter 1
• Attaque "par déni de service" : en anglais "Denial of Service / DoS" est un
type d'attaque visant à rendre indisponible pendant un temps indéterminé les
services ou ressources d'une organisation. Il s'agit la plupart du temps
d'attaques à l'encontre des serveurs d'une entreprise, afin qu'ils ne puissent
être ni utilisés et ni consultés. On distingue deux types de dénis de service :
 Les dénis de service par saturation, consistant à submerger une

machine de requêtes, afin qu'elle ne soit plus capable de répondre aux
requêtes réelles ;
 Les dénis de service par exploitation de vulnérabilités, consistant à

exploiter une faille du système distant afin de le rendre inutilisable.
• Lorsqu’un déni de service est provoqué par plusieurs machines, il s’agit donc
d’un déni de service distribué ou DDoS (Distributed Denial of Service)
Chapter 1
• Attaque "par réflexion" : en anglais "smurf" est un type d'attaque basé sur
l'utilisation de serveurs de diffusion (broadcast) pour paralyser un réseau.
• Un serveur broadcast est un serveur capable de dupliquer un message et de
l'envoyer à toutes les machines présentes sur le même réseau.
• Le scénario d'une telle attaque est le suivant :
 la machine de l’attaquant envoie une requête ping (ping est un outil exploitant
le protocole ICMP, permettant de tester les connexions sur un réseau en
envoyant un paquet et en attendant la réponse) à un ou plusieurs serveurs de
diffusion en falsifiant l'adresse IP source (adresse à laquelle le serveur doit
théoriquement répondre) et en fournissant l'adresse IP d'une machine cible.
 le serveur de diffusion répercute la requête sur l'ensemble du réseau ;
 toutes les machines du réseau envoient une réponse au server de diffusion,

et le serveur broadcast redirige les réponses vers la machine cible.
Chapter 1
• Attaque "par fragmentation" : en anglais "fragment attack" est une attaque
réseau par saturation (déni de service) exploitant le principe de fragmentation
du protocole IP.
 le protocole IP fragmente les paquets de taille importante en plusieurs paquets

IP possédant chacun un numéro de séquence et un numéro d'identification
commun. A la réception des données, le destinataire réassemble les paquets
grâce aux valeurs de décalage (offset) qu'ils contiennent.
• L'attaque par fragmentation la plus célèbre est l'attaque "Teardrop" qui consiste
à insérer dans des paquets fragmentés des informations de décalage erronées.
Ainsi, lors du réassemblage il existe des vides ou des recoupements
(overlapping), pouvant provoquer une instabilité de toute activité réseau du
système.
NB : A ce jour, les systèmes récents ne sont plus vulnérables à cette attaque.

Chapter 1
• Attaque "SYN" : en anglais "TCP/SYN Flooding" est une attaque réseau par
saturation (déni de service) exploitant le mécanisme de poignée de main en
trois temps (three-ways handshake) du protocole TCP.
 Lorsqu'un client établit une connexion à un serveur, le client envoie une

requête SYN, le serveur répond alors par un paquet SYN/ACK et enfin le client
valide la connexion par un paquet ACK (qui signifie un accord).
 Une connexion TCP ne peut s'établir que lorsque ces 3 étapes ont été
franchies. L'attaque SYN consiste à envoyer un grand nombre de requêtes
SYN à un hôte avec une adresse IP source inexistante ou invalide. Ainsi, il est
impossible que la machine cible reçoive un paquet ACK.
 Avec un nombre de paquets SYN très important, si les ressources utilisées par
la machine cible pour stocker les requêtes en attente (connexions ouvertes)
sont épuisées, elle risque d'entrer dans un état instable.
Chapter 1
• Attaque "par usurpation d’adresse IP" : en anglais "IP Spoofing" est une
technique consistant à passer des paquets sur un réseau sans que ceux-ci ne
soient interceptés par le système de filtrage de paquets (pare-feu).
 un système pare-feu (firewall) fonctionne la plupart du temps grâce à des

règles de filtrage indiquant les adresses IP autorisées à communiquer avec les
machines internes au réseau.
 un paquet spoofé avec l'adresse IP d'une machine interne semblera provenir

du réseau interne et sera relayé à la machine cible, tandis qu'un paquet
contenant une adresse IP externe sera automatiquement rejeté par le pare-feu.
NB : certains attaquants utilisent des proxy permettant de masquer d’une certaine

façon l’adresse IP avec du spoofing IP.
Chapter 1
• Attaque "par vol de session TCP" : en anglais "session hijacking" est une
technique consistant à intercepter une session TCP initiée entre deux machine
afin de la détourner. Dans la mesure où le contrôle d'authentification s'effectue
uniquement à l'ouverture de la session, un attaquant réussissant cette attaque
parvient à prendre possession de la connexion pendant toute la durée de la
session.
 La méthode de détournement initiale consistait à utiliser l'option "source

routing" du protocole IP qui permet de spécifier le chemin à suivre pour les
paquets IP, à l'aide d'une série d'adresses IP indiquant les routeurs à utiliser.
 En exploitant cette option, l’attaquant peut indiquer un chemin de retour pour

les paquets vers un routeur sous son contrôle.
Chapter 1
• Méthodologie des attaques de sécurité
• Voici quelques outils les plus populaires utilisés par les attaquants de réseau :
 Outils de recherche (dumpreg, netview et netuser)
 Scanners de ports/adresses (AngryIP, nmap, Nessus)
 Scanners de vulnérabilité (Meta Sploit, Core Impact, ISS)
 Analyseur de paquet (Snort, WireShark, Air Magnet)
 Outils de craquage de cryptage (Cain & Abel, WepCrack)
 Code malveillant (cers, Chevaux de Troie, …)
 Outils d'intrusion système (netcat, MetaSploit, Core Impact)
Chapter 1
• Contre-mesures
• Un mécanisme de sécurité est conçus pour permettre de prévenir, détecter ou
de contrecarrer une attaque de sécurité.
 DMZ/ NAT
 IDS/ IPS
 Filtrage de contenu/NAC (Network Access Control)
Pare-feu/ WAF/ Proxy
 Authentification/ Autorisation/ Accounting (AAA)
 Réseaux auto-défendant (SDN)
 Stratégies, procédures, standards et directives
 Formation et veille technologique
Chapter 1
• Vulnérabilités
• Une vulnérabilités est une faiblesse dans un système, une technologie ou
une stratégie. Aujourd'hui plusieurs organismes recherchent, répertorient et
testent ces vulnérabilités.
• Le gouvernement US a un contrat avec un organisme pour rechercher et publier
les vulnérabilités réseau. Chaque vulnérabilité a un ID et peut être revue par les
professionnels de la sécurité réseau sur Internet.
• La liste CVE (Common Vulnerability Exposure) publie aussi les moyens
d'empêcher que ces vulnérabilités soient utilisées pour des attaques.
Chapter 1
• Types de vulnérabilités
• Les "scanners" de vulnérabilités permettent une évaluation des vulnérabilités .

• Ces outils comparent les ressources avec une base de données de vulnérabilités
connues et produisent un rapport de découverte qui décrit la vulnérabilité et
indique sa sévérité.
Chapter 1
• Gestion des risques
• Processus d'estimation, de quantification et d'établissement d'un niveau un
niveau de sécurité conforme aux besoins de l'organisation.
• Le risque peut être limité mais non éliminé.
Patches et mises à jour Contrôle de l'accès Protection par mot de

physique passe
Anti-Virus Pare-feu
Chapter 1
• Gestion des risques (vocabulaire)
• Vulnérabilité : Faiblesse d'un système, réseau ou équipement
• Menace : Danger potentiel amené par une vulnérabilité
• Agent de menace : Entité qui identifie une vulnérabilité et l'utilise pour une attaque
• Risque : Probabilité pour qu'un agent de menace utilise une vulnérabilité et son
impact correspondant
• Exposition : Probabilité de subir des dommages à partir d'un agent de menace
• Contre-mesure : Moyen mis en place pour limiter le risque potentiel
• L'estimation du risque consiste à déterminer en quoi la vulnérabilité est un risque

pour l'organisation ;
• Chaque vulnérabilité peut être évaluée sur une échelle ;

• Quelquefois le calcul anticipé des pertes peut être utile pour déterminer l'impact
d'une vulnérabilité.
Chapter 1
• Gestion des risques
Met en œuvre
Agent de
Exploite
menace
Menace Mène à
Vulnérabilité
Risque
Agit directement sur
Ressource
Peut endommager
Exposition Entraîne
Contre-mesure
Peut être protégé par
Chapter 1
• Administration de la sécurité
 Stratégies Domaines de Sécurité Réseau

 Standards 1. Risk Assessment
 Directives 2. Stratégie de SécuritéiSecurity

3. Asset Management
 Procédures 4. Human Resources Security

5. Physical and Environmental Security
 Guides de base 6. Communications and Operations Management
7. Access Control
8. Information Systems Acquisition, Development and
Maintenance
9. Information Security Incident Management
10. Business Continuity Management
11. Compliance
Chapter 1
• Administration de la sécurité
• Stratégie de sécurité : un document qui stipule comment une organisation
projette de protéger ses ressources d'information vitales et non vitales.
• Dans le cadre d’une stratégie de sécurité, il existe :
 des instructions d'administration qui indiquent une série d'actions et des

procédures appropriées à appliquer ;
 des instructions de pilotage de haut niveau destinées pour ceux qui doivent
prendre des décisions aujourd'hui et dans le futur.
 des exigences généralisées qui doivent être écrites et communiquées aux

autres.
Chapter 1
• Documents de support pour la stratégie
• Standards qui fixent un minimum d'exigences spécifiques dans les
stratégies.
• Directives ou suggestions pour utiliser la meilleure façon d'accomplir
certaines tâches.
• Procédures qui donnent une méthode avec laquelle une stratégie est mise
en œuvre (ensemble d’instructions).
Chapter 1
• Exemple de stratégie de sécurité
• Tous les utilisateurs doivent avoir un "user ID" unique et un mot de passe
qui sont conformes au standard des mots de passe de l’organisation.
• Les utilisateurs ne doivent pas dévoiler leur mot de passe à quiconque
quelque soit son titre ou sa position.
• Les mots de passe ne doivent pas être stockés sous forme écrite ou sou
forme lisible.
• Si une compromission est suspectée, celle-ci doit être rapporté au "help
desk" et un nouveau mot de passe doit être demandé.
Chapter 1
• Exemple de "Standard"
• Un minimum de 8 caractères alphanumériques majuscules ou minuscules est
requis pour les mots de passes des utilisateurs
• Doit inclure un caractère spécial et doit être changé tous les 30 jours
• Un historique des 24 mots de passe précédents sera utilisé pour s'assurer que
les mots de passe ne sont réutilisés trop souvent.
• Exemple de "Directive"
• Prendre une phrase "Up and At 1755 email!" et la convertir en mot de passe
robuste : Up&At1755@!.
• Pour créer d'autres mots de passe à partir de cette phrase, changer le numéro,
déplacer les caractères.
• Exemple de "Procédure" pour changer un mot de passe

• Presser Ctrl+Alt+Delete pour faire apparaître la boîte de dialogue du login et
cliquer sur le bouton “Changer le mot de passe”
• Entrez votre mot de passe courant dans la boîte supérieure
Chapter 1
• Exemple de stratégie d’entreprise
Sous-section 6.1 SECURITE du PERSONNEL Version #: 1.0
Stratégie 6.1.3 Clause de confidentialité Approuvé par: SMH
Objectifs La confidentialité des données de l'organisation est un principe clé de notre programme de sécurité
de
l'information. Pour atteindre ce but , ABC Co demandera des clauses de confidentialité signées
pour tous
les utilisateurs autorisés du système d'information. Cette clause sera conforme à toutes les lois en
vigueur au moment de la signature.
But Le but de cette stratégie est de protéger les ressources de l'organisation en informant clairement le
personnel de son rôle et de ses responsabilités afin de garder les informations de l'organisation
confidentielles.
Audience La stratégie de la clause de confidentialité de ABC Co s'appliquent à tous les individus qui ont des
privilèges d'accès accordés aux ressources d'information de ABC Co .
Stratégie Cette stratégie demande que le personnel signe la clause de confidentialité avant d'obtenir un
accès à toute
information sensible ou systèmes.
La clause sera revue avec les membres du personnel quand il y aura un changement dans le poste
occupé, dans le contrat de travail ou avant de quitter l'organisation.
Les clauses seront fournies aux employé(e)s par le département des Ressources Humaines.
Exceptions Les tierce parties dont les contrats comprennent une clause de confidentialité pourront être
exemptés de signature de clauses de confidentialité individuelles selon la volonté du responsable
de la sécurité.
Actions La violation de cette stratégie peut entraîner des actions disciplinaires, lesquelles peuvent inclure
disciplinaires des fins de contrats pour les employés permanents et temporaires; une fin de de relation de travail
pour les consultants et les sous-traitants; un renvoi pour les stagiaires et les bénévoles. De plus,
les individus pourront être poursuivis en justice.
Chapter 1
Chapter 1

CCNP Security Ch01 PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

CCNP Security Ch01 PDF

Încărcat de

Drepturi de autor:

Formate disponibile

BIG SOFT

Préparation à la certification CCNA/CCNP Sécurité

IINS (Implementing Cisco IOS Network Security)

• Savoir protéger l’infrastructure des réseaux Cisco

• Mettre en place la connectivité sécurisée

• Contrôler et limiter les menaces à l’aide des Pare-feux

• La sécurité représente "la satisfaction des besoins de sécurité des biens

Le triangle opposé existe également. Il porte le nom de DAD, pour

Formation et veille technologique

Que protéger ? Liste des biens à protéger

De quoi les protéger ? Liste de menaces

Quels sont les risques ? Liste des impacts et probabilités

Comment protéger l’entreprise ? Liste des contre-mesures

 inventaire des outils de sécurité existants.

• Analyse des risques :

 estimation des pertes directes et indirectes ;

 définition des priorités concernant les ressources à protéger.

• Définition des rôles :

 externalisation ou non de la sécurité (si oui : totale ou partielle) ;

 procédures d'accès aux fichiers et aux répertoires ;

 procédures de configuration et de mise-à-jour des outils installés et des

certains outils, messages d'alertes, tableaux de bord, etc.)

• Procédures de réaction (juste après la détection de l'incident) :

• Un mécanismes de sécurité est conçu pour permettre de prévenir,

• Une attaque de sécurité est toute action qui a comme conséquence la

La même clé doit être utilisée pour chiffrer ou déchiffrer le message

Lors de l’accès à un serveur web sécurisé, le client télécharge

 publication des listes des certificats révoqués,

 identification et authentification des utilisateurs,

 archivage des certificats.

• Vulnérabilité : un système est dit "vulnérable" s’il a des faille de sécurité.

 Cheval de Troie (trojan)

 Logiciels d’espionnage (spyware)

 Logiciels de publicité indésirables (adware)

• Vers (warms) : Un ver est un programme complet (ou un ensemble de

• Logiciel de publicité indésirable (adware) : Un adware est un logiciel de

• Vandales (vandal) : Un vandale est une application logicielle ou un applet

 Les dénis de service par saturation, consistant à submerger une

 Les dénis de service par exploitation de vulnérabilités, consistant à

 le serveur de diffusion répercute la requête sur l'ensemble du réseau ;

 toutes les machines du réseau envoient une réponse au server de diffusion,

 le protocole IP fragmente les paquets de taille importante en plusieurs paquets

NB : A ce jour, les systèmes récents ne sont plus vulnérables à cette attaque.

 Lorsqu'un client établit une connexion à un serveur, le client envoie une

• Le scénario d'une telle attaque est le suivant :

 un système pare-feu (firewall) fonctionne la plupart du temps grâce à des

 un paquet spoofé avec l'adresse IP d'une machine interne semblera provenir

NB : certains attaquants utilisent des proxy permettant de masquer d’une certaine

• Le scénario d'une telle attaque est le suivant :

 La méthode de détournement initiale consistait à utiliser l'option "source

 En exploitant cette option, l’attaquant peut indiquer un chemin de retour pour

 Outils de recherche (dumpreg, netview et netuser)

 Scanners de ports/adresses (AngryIP, nmap, Nessus)

 Scanners de vulnérabilité (Meta Sploit, Core Impact, ISS)

 Analyseur de paquet (Snort, WireShark, Air Magnet)

 Outils de craquage de cryptage (Cain & Abel, WepCrack)

 Code malveillant (cers, Chevaux de Troie, …)

 Outils d'intrusion système (netcat, MetaSploit, Core Impact)

 Filtrage de contenu/NAC (Network Access Control)

Pare-feu/ WAF/ Proxy

 Authentification/ Autorisation/ Accounting (AAA)

 Réseaux auto-défendant (SDN)

 Stratégies, procédures, standards et directives