Sécurité des Réseaux

Informatiques

Composants et Architectures
de sécurité des réseaux

Dr. Souheil Ben Ayed

ESPRIT 2014-2015
 Plan

● Introduction
● Défense en profondeur
● Les menaces réseaux
● Firewall/Pare-feu
● Fonctionnement d'un firewall
● Architecture et déploiement d'un firewall
● La zone DMZ
● Types de firewall
● Systèmes de Détection et de Prévention d'Intrusions
● Fonctionnement
● Techniques de détection
● Types d'IDS et d'IPS
Octobre 2014 Dr. Souheil Ben Ayed 1
 Introduction

La sécurité du réseau se réfère à toutes les activités visant à

protéger le réseau de l'entreprise.

Les activités et composants de sécurité réseaux visent à protéger:

Network and data

Usability Integrity Fiability
security

La mise en place d'une politique de sécurité réseau efficace vise à

protéger contre une variété de menaces et empêche toute
pénétration ou propagation sur un réseau.
Octobre 2014 Dr. Souheil Ben Ayed 2
 Défense en profondeur

•Mise en place de Potential Attack

WWW

plusieurs couches de Physical security Network-based

sécurité.
Firewall Internal
Firewall
Policies and procedures
Router

•Si l'une des couches Router/Firewall/VPN VPN

WWW
IPS
Network
est compromis ou DMZ DNS
@
Network
IPS Host-based
Firewall

défaillante les autres Security architecture IDS

IDS
IDS
sont encore debout. Account Management Host-based
IDS

Internal devices Host-based

Antivirus

Pas de solution unique pour protéger un réseau contre la

variété de menaces.
Octobre 2014 Dr. Souheil Ben Ayed 3
 Les menaces réseaux

• Nombreuses menaces de sécurité réseau sont

aujourd'hui répartis sur l'Internet.

• Advanced Evasion • Attaques zero-day

Techniques (AET) • Attaques de pirates
• Advanced Persistant • Attaques par déni de
Threat (APT) service DoS
• Virus, vers et chevaux • Interception de
de Troie données et le vol
• Spyware et adware d'identité
Octobre 2014 Dr. Souheil Ben Ayed 4
 Composants de sécurité réseau

• Un système de sécurité réseau est constitué de

plusieurs composants:
 Pare-feu/Firewall
 Système de détection d'intrusions (IDS)
 Système de prévention d'intrusions (IPS)
 Antivirus et antispyware
 Virtual Private Network (VPN)

• Tous les composants travaillent ensemble, ce qui

minimise le maintenance et améliore la sécurité.
Octobre 2014 Dr. Souheil Ben Ayed 5
 Les Firewalls

Octobre 2014 Dr. Souheil Ben Ayed 6

 Firewall

Un pare-feu/firewall est utilisé pour restreindre l'accès à

un réseau à partir d'un autre réseau.

Un firewall comporte au minimum deux interfaces réseau.

Une interface pour le réseau externe ou Une interface pour le réseau à protéger
Internet (réseau interne ou LAN)

Firewall

Internet

Local Area Network

Octobre 2014 Dr. Souheil Ben Ayed 7
 Firewall

• Un firewall logiciel peut être installé sur n'importe quelle

machine et avec n'importe quel système d'exploitation pourvu
que:
 La machine soit suffisamment puissante pour traiter le trafic
réseaux la traversant.
 Aucun autre service que celui du firewall ne fonctionne sur le
serveur.
 Le système soit sécurisé.

• Les firewalls peuvent filtrer les messages en se basant sur:

 Le type du trafic (protocole)
 Les adresses source et destination
 les numéros de ports.

Octobre 2014 Dr. Souheil Ben Ayed 8

 Fonctionnement d'un Firewall

• Un pare-feu/Firewall est un dispositif utilisé pour

appliquer des politiques de sécurité (contrôle les
flux du trafic réseau) au sein d'un réseau ou
entre plusieurs réseaux.

• Il peut être logiciel ou matériel dédié permettant

d'examiner tous les messages en entrée ou
sortie du réseau local et de bloquer tous ceux
qui ne remplissent pas les critères de sécurité
spécifié.
Octobre 2014 Dr. Souheil Ben Ayed 9
 Fonctionnement d'un Firewall

• Un système firewall contient un ensemble de règles

prédéfinies permettant:
 D'autoriser la connexion (allow) ;
 De bloquer la connexion (deny) ;
 De rejeter la demande de connexion sans avertir
l'émetteur (drop).

• Deux types de politiques de sécurité peuvent être

adopté à chaque table de règles:
 Soit d'autoriser uniquement les communications
ayant été explicitement autorisées.
 Soit d'empêcher les échanges qui ont été
explicitement interdits.
Octobre 2014 Dr. Souheil Ben Ayed 10
 Architecture de Firewall (1/3)

• Bastion host est une machine conçu et configurée pour

protéger les ressources réseaux des attaques externes.
• Cette machine fournit un point d'entrée et de sortie unique
vers Internet ou réseau externe.
• Elle comporte deux interfaces:
 Interface publique connecté directement vers l'Internet.
 Interface privée connecte vers le réseau local.

Octobre 2014 Dr. Souheil Ben Ayed 11

 Architecture de Firewall (2/3)

• Screened subnet firewall permet aux entreprises d'offrir des

services en toute sécurité pour les utilisateurs d'Internet.
• Tous les serveurs hébergeant des services publics (accessible
a partir de l'Internet) sont placés dans la zone démilitarisée
(DMZ).
 La zone DMZ est séparée de l'Internet et du réseau Intranet par le firewall.
 Les services de la zone DMZ répondes aux requêtes du réseau publique.

Le réseau interne
(Intranet) n'est pas accessible
à partir du réseau externe
(Internet).
Octobre 2014 Dr. Souheil Ben Ayed 12
 Architecture de Firewall (3/3)

• Multi-homed firewall réfère à une architecture de deux

réseaux ou plus.
• Multi-homed firewall est équipé de trois interfaces réseaux
ou plus permettant de subdiviser le réseau en se basant sur
les objectifs de sécurité spécifiques de l'organisation.
• Chaque interface est connecté à un segment réseau séparé.

Octobre 2014 Dr. Souheil Ben Ayed 13

 C'est quoi une zone DMZ?

Un DMZ est une machine ou un réseau placé comme un réseau

neutre entre le réseau privé (Intranet) et le réseau publique (Internet)
pour empêcher tout accès du réseau publique vers les ressources et
données du réseau privée.

Octobre 2014 Dr. Souheil Ben Ayed 14

 Evolution des Firewalls

1st generation: Packet Filter

2nd generation: Application Proxy Filter

3rd generation: Stateful Inspection

4th generation: Adaptive Response

5th generation: Kernel Proxy

Octobre 2014 Dr. Souheil Ben Ayed 15
 Packet Filter Firewall /Filtrage Simple

• Fonctionne au niveau de la couche 3 du modèle OSI

(parfois couche 4).
• Chaque paquet est compare a un ensemble de critères
(décrites sous forme de règles) avant de le rediriger.
• En fonction du paquet et des critères, le firewall peut
accepter le paquet, le bloquer ou le rejeter.

• Les règles de filtrages peuvent inclure:

 Adresse IP source et destination
 Numéro de port source et destination
 Type de protocole a filtrer.
Octobre 2014 Dr. Souheil Ben Ayed 16
 Packet Filter Firewall /Filtrage Simple

• Les adresses IP permettent

d'identifier la machine
émettrice et la machine cible.
• Le type du paquet et le
numéro de port donnent une
indication sur le type de
service transporté.
• Le tableau ci-dessous donne des exemples de règles de pare-feu :

Octobre 2014 Dr. Souheil Ben Ayed 17

 Packet Filter Firewall /Filtrage Simple

• Les limites:
 Pas d’authentification des utilisateurs
 Pas de traces des sessions individuelles
 Problème de performances s’il y a trop de règles
 Ce type de filtrage ne résiste pas à certaines
attaques de type IP Spoofing/ IP Flooding ou
encore certaines attaques de type DoS.

Octobre 2014 Dr. Souheil Ben Ayed 18

Application Proxy Filter/Filtrage Applicatif

• Si le filtrage simple ne protège pas pour autant de

l'exploitation des failles applicatives.
 Pas de contrôle du contenu HTTP.
 Ne supporte pas l’authentification des utilisateurs ou des applications.

• Le filtrage applicatif permet de filtrer les communications

application par application. Opérant au niveau 7 (couche
application) du modèle OSI:
 Filtrer le contenu & détecter les intrusions
 Limiter l’envoi & la réception de courriers non sollicités (SPAM).
 Bloquer l’envoi & la réception de certains documents (.exe,
multimédias, etc)
 Empêcher certaines applications (eMule, Kazaa, BitTorrent,
Morpheus...)
 Empêcher certains scirpts: ActiveX filter, invalid URL, Cookies Filter,

Octobre 2014 Dr. Souheil Ben Ayed 19

Application Proxy Filter/Filtrage Applicatif

• Il s'agit d'un dispositif performant.

• En contrepartie, une analyse fine des données

applicatives se traduit donc souvent par un
ralentissement des communications, chaque paquet
devant être finement analysé.

• Une évolutivité limitée

 Solution: le filtrage niveau 3 et 4 fait par la routeur et
décharger au maximum le firewall pour l’inspection
applicative
Octobre 2014 Dr. Souheil Ben Ayed 20
 Stateful Inspection Firewall

• Le filtrage dynamique ou "Stateful Inspection" garde

une trace des paquets et conserver les sessions et
les connexions.
 Maintient une table d'états en interne qui suit la
session de chaque communication jusqu'à sa
fermeture.
 Fournit des données pour le suivi des protocoles sans
connexion comme UDP et ICMP.

• Le filtrage dynamique permet de protéger le réseau

face à certains types d'attaques DoS.

Octobre 2014 Dr. Souheil Ben Ayed 21

 Stateful Inspection Firewall

• Un dispositif pare-feu de type "stateful inspection"

est ainsi capable d'assurer un suivi des échanges:
 Contrôle de l’établissement d’une connexion TCP
(SYN)
 Les numéros de séquences TCP (SEQ).
 Connexion FTP qui
utilisent des ports
dynamiques > 1023
 UDP based applications
 Etc.

Octobre 2014 Dr. Souheil Ben Ayed 22

 Adaptive Response Firewall

• Une amélioration dans la technologie d'un firewall lui

permettant de communiquer avec un système de
détection et de prévision d'intrusion.
• Ce type de firewall permet d'obtenir une réponse
adaptative à des attaques du réseau.
• Le firewall peut s'auto-reconfigurer pour bloquer des
ports ou réinitialiser des connexions.
• Les firewalls de 4ème génération peuvent
accidentellement désactiver des dispositifs
équipements critiques ce qui peut provoquer un
problème de déni de service.
Octobre 2014 Dr. Souheil Ben Ayed 23
 Kernel Proxy Firewall

• Kernel proxy firewall est diffèrent de toutes les quatre

technologies de firewall présenté car il crée une pile de
couche réseaux dynamique et spécifique quand un paquet
nécessite d'être évalué.

• Lorsqu'un paquet arrive à un kernel proxy firewall, une

nouvelle pile de réseau virtuel est créé, qui est constitué de
seulement les protocoles nécessaires pour examiner ce
paquet spécifique.
• Kernel firewall est plus rapides que le firewall applicatif parce
que tous les tâche d'inspection et de transformation se
déroulent dans le noyau sans à les passer vers une couche
logicielle supérieure dans le système d'exploitation.

Octobre 2014 Dr. Souheil Ben Ayed 24

 Critères de choix d’un firewall

• Nature et nombre d'applications (FTP, messagerie,

HTTP, Vidéo, ...)
• Type de filtre (méthodes de filtrage)
• Facilité à enregistrer les actions (login, paramètres
de connexion, ...) à des fins d'audit
• Outils et facilité d'administration (interface
graphique, ...)
• Simplicité du système pare-feu (facile à comprendre
par le(s) administrateur(s))
• Capacité à supporter un tunnel chiffré
• Disponibilité d'outils de surveillance, d'alarmes.

Octobre 2014 Dr. Souheil Ben Ayed 25

 Déploiement d'un Firewall FW

Passerelle de réseau d'entreprise

• Protéger le réseau interne contre les attaques.
• Point de déploiement le plus courant

Passerelle segment interne

• Protéger les segments sensibles (ressources
humaines, …)
• Fournir une deuxième couche de défense
• Protection contre les attaques internes et
l'utilisation abusive

Server-Based Firewall
• Protéger les serveurs d'applications individuels
• Protéger les fichiers

Octobre 2014 Dr. Souheil Ben Ayed 26

 Exemples de déploiement de Firewall

Octobre 2014 Dr. Souheil Ben Ayed 27

Systèmes de Détection d'Intrusions (IDS)
Systèmes de Prévention d'Intrusions (IPS)

Octobre 2014 Dr. Souheil Ben Ayed 28

 Détection d’intrusion

• L’intrusion est l’action d'intervenir, de s'ingérer dans un réseau

sans en avoir le droit.

• Les intrus peuvent être des individus internes ou externes, qui

tentent d'accéder aux ressources ou de nuire au système
d’information.
 La tentative d’attaque ou d’ intrusion vise la confidentialité,
l’intégrité et/ou la disponibilité d’un système, d’une application
et/ou d’un réseau.

• La détection d’intrusion consiste à:

1. Collecter de façon automatisé les activités (évènements) du système,
d’application ou du réseau à surveiller
2. Analyser les données des activités collectées
3. Alerter en cas de détection d’une signature d’intrusion

Octobre 2014 Dr. Souheil Ben Ayed 29

 Les Systèmes de Détection d’Intrusions (IDS)

• L’IDS (Intrusion Detection System) est un système de

collecte et d’analyse en temps réel ou différé des
évènements en provenance de plusieurs emplacements
dans l’intention de détecter et prévenir en cas d’attaque
ou intrusion.
• Fonctions d’IDS:
 Collecte d’information (surveillance)
 Analyse des évènements (détecter la nature de l’attaque)
 Gestion des alertes
 Réaction active à l’attaque (la ralentir ou la stopper)

• L’IDS est devenu un composant critique et essentiel dans

une architecture de sécurité informatique.
Octobre 2014 Dr. Souheil Ben Ayed 30
 Terminologies

• Faux-positif:
 Activité non malicieuse (fausse alerte) signalé comme étant une
intrusion par l’IDS

• Faux-négatif:
 Activité ou évènement d’une attaque non détecté ni signalé par
l’IDS

• Evasion:
 Attaque informatique ou technique qui détourne les
équipements de détection d’intrusion ( non détecté par les IDS)

• Une sonde IDS:

 Le composant d’IDS qui collecte les informations brutes.
Octobre 2014 Dr. Souheil Ben Ayed 31
 Fonctionnement d’un IDS

• Un IDS est compose de:

 sniffer couplé avec un moteur qui analyse le
trafic selon des règles (signatures).

• Les règles décrivent une signature, une règle

de détection ou un comportement anormale
à signaler.

• Selon l'intrusion ou anomalie détecte, l’IDS

accomplit certaines actions:
 Journaliser l’événement
 Avertir un système avec un message (appel
SNMP)
 Avertir un administrateur avec un message
(email, SMS, etc)
 Amorcer certaines actions sur un réseau ou
un équipement de blocage
Octobre 2014 Dr. Souheil Ben Ayed 32
 Techniques de détection

Comment détecter si le flux est normal ou susceptible d’être

une intrusion ?

Signature-based
Pattern matching Stateful matching

Anomaly-based (heuristic-based)
Statistical Protocol Traffic
anomaly anomaly anomaly
based based based

Rule based
Octobre 2014 Dr. Souheil Ben Ayed 33
 Signature-based detection

• Se base sur une base de signature d’attaques

 Recherche s’il existe une signature qui correspond à
l’évènement collecté.

• Nécessite la mise a jour en continue de la base de

signature.
• Inconvénient: ne peut pas identifier de nouvelles
attaques

• Deux types:
 Pattern matching: Comparer les paquets aux signatures
 Stateful matching: Comparer les signatures aux plusieurs
évènements en même temps.
Octobre 2014 Dr. Souheil Ben Ayed 34
 Anomaly-based detection

• Techniques basées sur le comportement qui passe par

l’apprentissage des activités «normales» d'un
environnement.

• L’apprentissage permet la détection de nouvelles

attaques.

• Trois types
 Statistical anomaly–based: Création d’un profile appelé
‘’normale’’, auquel les évènements sont comparées.
 Protocol anomaly–based: Identifie les protocoles utilisés
hors de leurs limites connues
 Traffic anomaly–based: Identifie un évènement inhabituel
sur le trafic du réseau.
Octobre 2014 Dr. Souheil Ben Ayed 35
 Rule-based detection

• C’est une technique de détection basée sur la comparaison des

évènements avec un ensemble de règles.

• Utilisation de règles à base de condition if/else dans un système

expert.

• L’utilisation d'un système expert permet d’intégrer des

caractéristiques de l'intelligence artificielle

• Les règles utilisées peuvent être complexes ce qui demande

généralement plus de ressources matérielle et temps de
traitement des activités
 La signalisation par alerte suite a une attaque ou intrusion n’est
pas en temps réel.

• Cette technique ne permet pas de détecter de nouvelles

attaques
Octobre 2014 Dr. Souheil Ben Ayed 36
 Types d'IDS

Network based IDS (NIDS) Host based IDS (HIDS)

Surveiller l'état de la sécurité au niveau du Surveiller l'état de la sécurité au niveau des
réseau: hôtes:
• contenu des paquets (entête et données) • les évènements sur les journaux de logs
• paramètres du trafic (Volume, cibles, etc.) • l’intégrité des fichiers
• les accès au processus
L’utilisation d’une sonde permet la surveillance
d’une ou plusieurs zone du réseaux. L’utilisation d’une sonde propre pour chaque
machine.

IDS Hybride
Rassemble les fonctionnalités d’un NIDS et HIDS, surveillance du réseau et de terminaux.
L’IDS hybride est utilisé dans un environnement décentralisé avec une supervisons centralise.
• Placement stratégique des sondes sur le réseau.
• Centraliser les informations en provenance de plusieurs emplacements (sondes) sur le réseau.
• Avoir une vision globale sur les composants du système d’information.

Octobre 2014 Dr. Souheil Ben Ayed 37

 Déploiement d’un IDS

• Le déploiement d’un IDS se fait en fonction de la

topologie du réseau et de la politique de sécurité.

• L’emplacement des sondes ( senseurs) IDS lors du

déploiement est très important.
 Protéger les serveurs dans la zone DMZ
 Protéger contre attaques vers et depuis le réseau local
(réseau interne).
 Détection de signes d’attaques avant filtrage (sonde à
l’extérieur des firewalls)

• L’efficacité de l’IDS dépend aussi de la correcte

installation et la mise à jour des bases de règles et de
signatures.
Octobre 2014 Dr. Souheil Ben Ayed 38
 Déploiement d’un IDS

Position (1):
- Détection de tout le trafic entre l’Internet et le réseau
- Trafic entre le réseau local et DMZ invisible pour l’IDS
- Génération de fichiers de log complets mais très complexe à
analyser
- Bonne position pour les Honeypot

Position (2):
- Seul le trafic vers le DMZ est
analysé.
- Détecter les attaques non filtré par
le Firewall.

Position (3):
- Analyser le trafic et détecter les attaques au niveau réseau locale.
- Détecter la majorité des attaques
- Les attaques internes sont les plus fréquents (Virus, Cheval de Troie, …)
Octobre 2014 Dr. Souheil Ben Ayed 39
 Exemple de déploiement de sonde IDS

Octobre 2014 Dr. Souheil Ben Ayed 40

 Système de Prévention d'Intrusions

• L'IDS traditionnel ne détecte que qu'une intrusion est peut

être en cours et envoie une alerte.

• Un IPS est système similaire aux IDS , permettant de prendre

des mesures préventifs afin de diminuer les impacts d'une
attaque.

• Ainsi, un IPS est une technique de contremesure préventive

et proactive, alors qu'un IDS est une technologie de
contremesure détective (alerte en cours ou après impact de
l'attaque).

• Il existe deux types d'IPS: IPS réseau (NIPS) et IPS hôte

(HIPS).
Octobre 2014 Dr. Souheil Ben Ayed 41
 Système de Prévention d'Intrusions

• Principaux différence entre un IDS (réseau) et un IPS

(réseau):
 A l’inverse d’un IDS qui fonctionne en mode promiscuité (positionné
comme un sniffer sur le réseau) un IPS va fonctionner en coupure sur
le réseau.
 Les IPS peuvent bloquer immédiatement les intrusions et ce quel que
soit le type de protocole de transport utilisé et sans reconfiguration
d’un équipement tierce, ce qui induit que l’IPS est constitué en natif
d’une technique de filtrage de paquets et de moyens de bloquages

• L’IPS ne remplace pas l’IDS ou le Firewall

• IPS, IDS et firewall sont des systèmes
complémentaires dans une architecture de sécurité.
Octobre 2014 Dr. Souheil Ben Ayed 42