Spécialité : Technique des Réseaux informatique groupe : TRI 201

Préparer par : Model :

LAHCEN KOUROU SECURITY
 I. Les 3 facettes de la sécurité
 Personnes : admin de l’entreprise, utilisatuer, développeur, service support
 Processus : sauvegarde , politique d’accès, gestion de la configuration, réparation
 Technologie : Pare-feu, Supervision, Chiffrement de fichiers, Antivirus, détection d'intrusion

II. Politique de sécurité: Propriétés

Une politique de sécurité définit un ensemble des propriétés de sécurité, chaque propriété
représentant un ensemble de conditions que le système doit respecter pour rester dans un état
considéré comme sûr

 L’intégrité : ‫ضمان عدم تعديل الداتا أثناء تنقلها من المصدر الى الوجهة‬
désigne l'état de données qui, lors de transmission, ne subissent aucune altération ou
destruction volontaire ou accidentelle, et conservent un format permettant leur utilisation
 Confidentialité : ‫ضمان وصول الداتا الى األشخاص المسموح لهم باستالمها‬
assurer que seules les personnes autorisées aient accès aux ressources
 Disponibilité : ‫ضمان لألشخاص المسموح لهم بالوصول الى الداتا في أي وقت‬
garantie que les éléments considérés sont accessibles au moment voulu par les personnes
autorisées
 Non répudiation : ‫منع أي شخص من إنكار إرسال أو تلقي رسالة‬
Elle concerne la signature, c'est-à-dire Empêcher une personne de nier avoir transmis ou reçu
un message
 L’authentification : ‫التحقق من الهوية‬
vérifier l'identité d'une entité (personne, ordinateur…), afin d'autoriser l'accès de cette entité
à des ressources ( systèmes, réseaux, applications, …).

III. Anatomie d’une attaque

Fréquemment appelés « les 5 P » constituent le squelette de toute attaque informatique :

Probe: collecter d’informations sur le système cible par le biais d’outils (whois, Arin, DNS lookup). Cette
collecte d’informations peut s’effectuer par un scan de ports grâce au Nmap pour déterminer la version
des logiciels utilisés, ou encore par un scan de vulnérabilités à l’aide du Nessus.

Penetrate: utilisation des informations récoltées pour pénétrer un réseau, par le brute force ou les
attaques par dictionnaires peuvent être utilisées pour outrepasser les protections par mot de passe.

Persist: création d’un compte avec des droits de super utilisateur pour pouvoir se réinfiltrer
ultérieurement. Une autre technique consiste à installer une application de contrôle à distance capable
de résister à un reboot (ex : un cheval de Troie).

Propagate: cette étape consiste à observer ce qui est accessible et disponible sur le réseau local

Paralyze: cette étape peut consister en plusieurs actions. Le pirate peut utiliser le serveur pour mener
une attaque sur une autre machine, détruire des données ou encore endommager le système
d’exploitation dans le but de planter le serveur
IV. Différents types de pirates
Le terme « hacker » est souvent utilisé pour désigner un pirate informatique

white hat hackers : dont le but est d'aider à l'amélioration des systèmes et technologies
informatiques, sont à l'origine des principaux protocoles et outils informatiques que nous utilisons
aujourd'hui; Le courrier électronique est un des meilleurs exemples

black hat hackers : plus couramment appelés pirates, c'est-à-dire des personnes s'introduisant dans
les systèmes informatiques dans un but nuisible.

phreakers : sont des pirates s'intéressant au réseau téléphonique commuté (RTC) afin de téléphoner
gratuitement grâce à des circuits électroniques connectés à la ligne téléphonique dans le but d'en
falsifier le fonctionnement.

script kiddies : (gamins du script, surnommés crashers, lamers ou encore packet monkeys, soit les
singes des paquets réseau) sont de jeunes utilisateurs du réseau utilisant des programmes trouvés sur
Internet, généralement de façon maladroite, pour vandaliser des systèmes informatiques afin de
s'amuser.

carders : s'attaquent principalement aux systèmes de cartes à puces (en particulier les cartes
bancaires) pour en comprendre le fonctionnement et en exploiter les failles. Le terme carding désigne le
piratage de cartes à puce.

crackers : sont des personnes dont le but est de créer des outils logiciels permettant d'attaquer des
systèmes informatiques ou de casser les protections contre la copie des logiciels payants. Un « crack »
est ainsi un programme créé exécutable chargé de modifier (patcher) le logiciel original afin d'en
supprimer les protections.

hacktivistes : (contraction de hackers et activistes que l'on peut traduire en cybermilitant ou

cyberrésistant), sont des hackers dont la motivation est principalement idéologique.

V. Les motivations de l’attaquant

 Obtenir un accès au système
 Troubler le bon fonctionnement d'un service
 Glaner (ramasser) des informations personnelles sur un utilisateur
 Utiliser les ressources du système de l'utilisateur, notamment lorsque le réseau sur lequel il est
situé possède une bande passante élevée.
 L'intérêt financier ;
 L'intérêt politique ;
 La mise à l'épreuve des technologies jusqu'à leurs limites afin de tendre vers un idéal plus
performant et plus sûr
VI. la différence entre virus, cheval de troie et vers
 Virus : est un logiciel malveillant intégré à un autre programme pour exécuter une fonction
indésirable spécifique sur l'ordinateur de l'utilisateur
‫الفيروس هو برنامج ضار يصيب األجهزة و ال ينتشر اال بعد فتح الملف المصاب‬
 cheval de Troie (Trojan horse) : se distingue uniquement par le fait qu'il a été entièrement
conçu pour ressembler à une application normale, alors qu'il s'agit d'un outil malveillant.
‫التروجن هو برنامج ضار يختبئ داخل برنامج اخر يبدو في ظاهره بريئ‬
 vers (Worms) :sont des programmes autonomes qui attaquent un système en tentant
d'exploiter une faille spécifique. Lorsque l'exploitation de la vulnérabilité réussit, le ver recopie
son programme de l'hôte assaillant vers les systèmes nouvellement exploités et le cycle
recommence
‫الوورم هو برنامج ضار ال يصيب األجهزة فحسب بل ينتشر في الشبكة بأكملها‬

Solutions : Antivirus , Updatre, Firewall

VII. Différents types d’attaques

‫يتم تقسيم أنواع الهجوم الى العديد من التصنيفات‬

1. Les attaques physiques : est l'intrusion physique dans la salle serveur. Elle permet le vol de
disque dur, serveurs ou autres éléments actifs. Une fois les matériels récupérés, le pirate peut
aisément récupérer les données portant un intérêt.

Deux solutions :

 La sécurisation des locaux, Elle permet de limiter l'accès à certaines personnes dans le temps
 chiffrement des données. conservera (temporairement) la confidentialité des données.

1.1. Les locaux techniques et leur contenu : ‫الغرف التي توضع فيها األجهزة المهمة كالسيرفرات‬
Type de manace :

 Incendie : ‫الحريق‬
solutions : un retour d’alarme vers un poste permanent , vérification des équipements
 Dégât des eaux : ‫األضرار الناجمة عن المياه‬
solutions : un retour d’alarme vers un poste permanent
 Panne électrique : ‫عطل كهربائي‬
solutions : UPS power systems : ‫عبارة عن مزود طاقة لألجهزة الحاسوبية عند االنقطاع المفاجئ‬
 Nuisance liée à l'environnement et au vieillissement : ‫ازعاج في البيئة و الشيخوخة‬
solutions : Nettoyage et entretien sécurisé des locaux
 contrôler la température autour des équipements : ‫السيطرة على درجة الحرارة‬

1.2. Les éléments terminaux du réseau local : ‫األجهزة التي يستعملها الموظفين‬
Type de manace :

 Piratage : ‫اختراق بهدف التجسس‬

 par écoute : Perte de confidentialité
 par utilisation ilicite : altération des informations, détournement, fraude, etc
 Vol (Vol de portable) : ‫اختراق بهدف السرقة‬
 Destruction massive (saccage) : ‫اختراق بهدف التدمير‬
 Indisponibilité. -Perte d’information / matériels
 Utilisation d’un élément terminal pour l’introduction d’un virus : ‫اصابة األجهزة بفيروس‬
 Perte d’intégrité/confidentialité

1.3. Les liaisons

Type de manace :

 Coupure accidentelle ou volontaire de câbles (sabotage) : ‫قطع الكابالت‬

 Branchement ‘pirate’ : ‫يقوم الهاكر بتوصيل الكابل الى جهازه للوصول الى الشبكة‬
 Ecoute, récupération, modification d’informations
 Interférence (compatibilité électromagnétique): ‫التداخل الكهرومغناطيسي لألجهزة‬
 solutions : Adapter la fréquence des matériels utilisés
 Erreur de manipulation (déconnexion accidentelle) : Dysfonctionnement du réseau
local
2. Les attaques logiques/Réseaux

Une attaque : est l'exploitation d'une faille d'un système informatique (système d'exploitation, logiciel
ou bien même de l'utilisateur) à des fins non connues par l'exploitant du système et généralement
préjudiciables.

2.1. Attaque de reconnaissance : ‫مرحلة استطالع لتجميع المعلومات عن الشبكة قبل البدء في الهجوم الفعلي‬

C'est une attaque permet de découverte et mappage non autorisés de systèmes, services ou
vulnérabilités

 packet sniffers : ‫أنواع من البرامج تستخدم في التقاط الداتا‬

sont des types de programmes pour (sniff) ou capturer les données par logiciel comme
Wireshark.
Solutions : Il peut être protégé par crypto et anti-sniffer : ‫تشفير الداتا‬
 ping sweep : ‫أنواع من البرامج تستخدم في ارسال البينغ لمعرفة األجهزة النشيطة المتاحة‬
sont des types de programmes pour Connaître les équipements actifs (Alive) par logociel comme
angry IPScanner ou nmap
 port scan :‫أنواع من البرامج تستخدم في معرفة البورتات المفتوحة على الجهاز‬
déterminer quels sont les ports ouverts, et donc en déduire les services qui sont exécutés sur la
machine cible comme (port 80/TCP) par logiciel comme port scanner
 using the internet database : ‫استعمال (هو لوكاب) لمعرفة كل شيئ عن دومين معين‬
whois : whois lookup sont des websites qui enregistre tous les informations sur les domaines.
‫عند شراء دومين هناك سيت ويب (هو لوكاب) يقوم بتسجيل كل شيء عن هذا الدومين مثل رقم الهاتف و اميل و‬
‫ و يمكنك طلب اخفاء هذه المعلومات عند شرائك للدومين‬. ‫عنوان الشخص الذي قام بشرائه‬

2.2. Attaques par accès : ‫مرحلة اختراق للوصول الى الشبكة‬

C’est une attaque de manipulation non autorisée des données, des accès aux systèmes ou des privilèges
utilisateur

 attaques de mots de passe (password attack) : peuvent utiliser un analyseur de paquets qui
récupère les comptes utilisateur et les mots de passe transmis en clair. peuvent également faire
référence aux tentatives de connexion répétées à une ressource partagée, Ces tentatives répétées
sont appelées :
attaques par dictionnaire (dictionary attack) :
‫برامج تشغل ملف يحتوي على كلمات السر البديهية المعروفة للوصول الى كلمة السر‬
attaques en force (brute-force attack) : ‫برامج تجرب كل أنواع المفاتيح للوصول الى كلمة السر‬
attaques hybride : combinaison par force brute et par dictionnaire
 NB : Il peut être protégé par désaciver les comptes inutilisés, et désactiver les
comptes pour une période donnée après plusieurs tentatives d'échec d'authnetification
(verrouiller le compte = lock down account)
 trust expolitation (exploitation de la confiance) : ‫اختراق جهاز عن طريق الوصول الى جهاز اخر‬
la redirection de port est une attaque qui utilise un hote compromis pour faire passer, au travers
d'un pare-feu, un trafic qui serait normalement bloqué. ce type d'attaque est principalment limité
par l'utilisation de modèles de confiance appropriés. Par outil netcat
 NB : Un logiciel antivirus et un système IDS sur l'hote permettent de détecter et
d'empecher l'installation d'utilitaires de redirection de port sur cet hote par le pirate
comme outil netcat
 Man in the middle : ‫هو التقاط الداتا من الهاكر و اعادة ارسالها الى الوجهة و كأنه هو المصدر‬
cette attaque permet de détourner le trafic entre deux stations , Quelqu'un utilise un outil pour
capturer des données (sniffing) et les envoyer au destinataire en tant que source

2.3. Attaques par saturation : ‫هجوم التشبع‬

 Déni de service (DoS) : les attaques empêchent l'utilisation d'un service par les personnes
autorisées en épuisant les ressources du système.
‫الهدف من هذا الهجوم هو حرمان المستهدف من خدمة معينة‬
ping fatal (ping flood) : le pirate envoie un paquet ping mal formé ou de très grande taille
Packet Fragment : Utilise une mauvaise gestion de la défragmentation au niveau ICMP
mail bombing : consiste à envoyer plusieurs milliers d’emails à destination d’une entreprise
ou d’un utilisateur cible. L’impact est évidement avec un remplissage massive de la boite à
lettre utilisateur, mais surtout de saturer le débit Internet de l’entreprise ciblée
 NB : Il peut être protégé par utlilisation Quota
Attaque par inondation SYN : Exploite la connexion en 3 phases de TCP (Three Way
Handshake : SYN / SYN-ACK / ACK).
1. Le pirate envoie de nombreuses requétes SYN au serveur Web, le serveur Web
envoie des réponses SYN-ACK
2. Le serveur Web attend pour effectuer la connexion en trois étapes
3. Un utilisateur légitime envoie une requete SYN
4. Le serveur Web n'est plus disponible
 NB : Il peut être protégé par supprimer "half open session : demi session
ouverte" chaque 30 seconde ou supprimer certain session
 attaque par réflexion (Smurf) : Le pirate à envoyer requêtes ICMP ECHO à la destination
d'un broadcast de réseau .Cette machine cible va recevoir un nombre énorme de réponses,
car toutes les machines vont lui répondre, et ainsi utiliser toute sa bande passante.
Déni de service distribué (DDoS) : Le pirate est d’utiliser plusieurs hotes sources
intermédiaires (daemons ou zombies ) pour l’attaque et des maîtres (masters) qui les
contrôlent. Ainsi, la cible ne verra que le Zombie dans ses logs et pas la source réelle du
hacker.
‫ و‬.‫هو اصابة بعض األجهزة ب (وورم) حيث تقوم هذه األجهزة المصابة بعمل هجوم على سيرفر معين في وقت واحد‬
.‫يعتبر من أصعب أنواع الهجوم ألن السيرفر ال يستطيع تحديد ما اذا كان الطلب االتي له سليم أم الهدف منه تدميره‬

2.4. Attaques Applicatives

 Les problèmes de configuration : Il est très rare que les administrateurs réseaux configurent
correctement un programme. En général, ils se contentent d’utiliser les configurations par défaut.
Celles-ci sont souvent non sécurisées afin de faciliter l’exploitation du logiciel (ex : login/password
par défaut d’un serveur de base de données).
 Les buffers overflows : Les buffers overflows, ou dépassement de la pile, sont une catégorie de
bug particulière. Issus d’une erreur de programmation, ils permettent l’exploitation d’un Shell-
code à distance. Ce Shell-code permettra à une personne mal intentionnée d’exécuter des
commandes sur le système distant, pouvant aller jusqu’à sa destruction.
 Les bugs : Un bogue dans une méthode (ou dans un programme) est une erreur qui doit être
éliminée. Il peut s’agir d’une défaillance simple comme une boucle sans fin ou une plus complexe
(erreur dans l’algorithme). Lorsqu’une erreur se produit dans votre code, ou lorsque vous
désirez contrôler l’exécution de vos méthodes, vous déboguez, c’est-à-dire que vous détectez
les bogues dans votre programme.
 NB : Un patch ou correctif, est une section de code que l'on ajoute à un logiciel, pour
y apporter des modifications : correction d'un bug
 Les scripts : Principalement web (exemple : Perl, PHP, ASP), ils s’exécutent sur un serveur et
renvoie un résultat au client. Cependant, lorsqu’ils sont dynamiques (i.e. qu’ils utilisent des
entrées saisies par un utilisateur), des failles peuvent apparaître si les entrées ne sont pas
correctement contrôlées. L’exemple classique est l’exploitation de fichier à distance, tel que
l’affichage du fichier mot de passe du système en remontant l’arborescence depuis le
répertoire web.
 Les injections SQ : Tout comme les attaques de scripts, les injections SQL profitent de
paramètres d’entrée non vérifiés.
le but des injections SQL est d’injecter du code SQL dans une requête de base de
données. Ainsi, il est possible de récupérer des informations se trouvant dans la base
(exemple : des mots de passe) ou encore de détruire des données. Les attaques par
injection de commandes SQL sont des attaques visant les sites web s'appuyant sur des
bases de données relationnelles.
 2.5. Attaques Réseaux
 L’attaque par Rejeu : C’est une forme d'attaque réseau dans laquelle une transmission est
malicieusement ou frauduleusement répétée par une tierce partie interceptant les paquets sur la
ligne.
 Contre-mesure : IPSec implémente un mécanise d'anti-rejeu basé sur l'utilisation d'un code
d'authentification de message ou MAC (Message Authentication Code) --> Chiffrement
symétrique.
 IP Spoofing : ‫هو التظاهر بأنني شخص اخر للوصول الى الشبكة‬
 le But est Usurper l’adresse IP d’une autre machine
 ARP Spoofing (ARP Redirect) : But Rediriger le trafic d’une machine vers une autre.
 DNS Spoofing : But Fournir de fausses réponses aux requêtes DNS, c'est-à-dire indiquer
une fausse adresse IP pour un nom de domaine.
 Fragments attacks : Le but de cette attaque est de passer outre les protections des
équipements de filtrage IP.
 TCP Session Hijacking : Le but de cette attaque est de rediriger un flux TCP afin de pouvoir
outrepasser une protection par mot de passe.

VIII. Défenses réseaux: Firewall

Le pare-feu est un outil qui a pour but de sécuriser au maximum le réseau local de l'entreprise, de
détecter les tentatives d'intrusion et d'y parer au mieux possible. Cela représente une sécurité
supplémentaire rendant le réseau ouvert sur Internet beaucoup plus sûr. De plus, il peut permettre de
restreindre l'accès interne vers l'extérieur et vice versa.

1. Différents types de filtrages

Filtrage simple de paquet (Stateless) : C'est la méthode de filtrage la plus simple, elle opère au
niveau de la couche réseau et transport du modèle OSI. Cela consiste à accorder ou refuser le passage
de paquet d'un réseau à un autre en se basant sur :

L'adresse IP Source/Destination.
Le numéro de port Source/Destination.
Le protocole de niveaux 3 ou 4

Filtrage de paquet avec état (Stateful) : L'amélioration par rapport au filtrage simple, est la
conservation de la trace des sessions et des connexions dans des tables d'états internes au Firewall. Le
Firewall prend alors ses décisions en fonction des états de connexions, et peut réagir dans le cas de
situations protocolaires anormales. Ce filtrage permet aussi de se protéger face à certains types
d'attaques DoS.

Filtrage applicatif (pare-feu de type proxy) : Le filtrage applicatif est comme son nom l'indique
réalisé au niveau de la couche Application. Pour cela, il faut bien sûr pouvoir extraire les données du
protocole de niveau 7 pour les étudier. Les requêtes sont traitées par des processus dédiés, par exemple
une requête de type HTTP sera filtrée par un processus proxy HTTP. Le pare-feu rejettera toutes les
requêtes qui ne sont pas conformes aux spécifications du protocole. Cela implique que le pare- feu
proxy connaisse toutes les règles protocolaires des protocoles qu'il doit filtrer.
2. Différents types de firewall
2.1. Les firewalls matériels
PIX (cisco)
ASA (cisco)
Firepower (cisco) : tayt3aml m3a chaque application f web , par example momkin t
aurorisé like o t refuser comment
Fortigate
sophos

Avantages

 Intégré au matériel réseau.

 Administration relativement simple.
 Bon niveau de sécurité

Inconvénients

 Dépendant du constructeur pour les mises à jour.

 Souvent peu flexibles.

2.2. Les firewalls logiciels :

Présents à la fois dans les serveurs et les routeurs « faits maison », on peut les classer en
plusieurs catégories.
ISA (Microsoft) : obsolète (n9ard)
TMG (Microsoft) : comme ISA
Iptable, Ipchain (Linux)
Firewalld (Linux)

2.3. Les firewalls personnel

Avantages

 Sécurité en bout de chaîne (le poste client).

 Personnalisable assez facilement.

Inconvénients

 Facilement contournable.
 Difficiles à départager de par leur nombre énorme.

2.4. Les firewalls plus « sérieux » : Tournant généralement sous linux, car ce système
d’exploitation offre une sécurité réseau plus élevée et un contrôle plus adéquat
Avantages

 Personnalisables.
 Niveau de sécurité très bon.

Inconvénients

 Nécessite une administration système supplémentaire

Shéma :

‫ على سبيل المثال في هذه الصورة‬. ‫ بعد ذلك يمكنك فتح البورت الذي تحتاجه‬. ‫بمجرد تسطيب (الفايروول) يقوم بغلق جميع البورتات‬
443 ‫االجهزة الموجودة في االنترنيت تريد الوصول الى السيرفر ويب لذلك نفتح بورت‬

Direction inbound : les machines li f INTERNET tay accédéw li Serveurs li kaynin f LAN

Direction outbound : les machines li f LAN tay accédéw li Serveurs li kaynin f INTERNET

 Direction outbound : momkin ay machine f WAN y accédé l serveur HTTPS o man khilalo y
piraté les hotes li f LAN par exploitation de confiance dakchi lach tanzido carte réseau f R1
(katsma zone DMZ) awla kandiro f la zone DMZ (portal : équipement fih software), la zone DMZ
tandiro fiha les serveurs li tay accédéw liha les machines li f WAN.
1) Les machines li f WAN tay accédéw ghir L zone DMZ
2) Portal taydir redirection vers serveur HTTPS

NB : tous les hackers tay accédéw ghir l DMZ o matay9adrouch y accédéw l serveur http
direct.

DMZ (Zone démilitarisée) : Les serveurs situés dans la DMZ sont appelés « bastions » en raison de
leur position d'avant poste dans le réseau de l'entreprise.

La politique de sécurité mise en oeuvre sur la DMZ est généralement la suivante :

Traffic du réseau externe vers la DMZ autorisé ;

Traffic du réseau externe vers le réseau interne interdit ;
Traffic du réseau interne vers la DMZ autorisé ;
Traffic du réseau interne vers le réseau externe autorisé ;
Traffic de la DMZ vers le réseau interne interdit ;
Traffic de la DMZ vers le réseau externe refusé.
IX. Défenses réseaux (IDS Intrusion Detection System)
IDS/IPS : ensemble de composants logiciels et matériels dont la fonction principale est de détecter et
analyser toute tentative d’effraction (volontaire ou non).

NB : chaque virus taykoun 3ando signature , mnin tandiro update l antivirus, tay télecharger les
signatures jdad bach i9dar y détécté les virus jdad.

: shéma :

IDS software

SNORT : tan7ato fih les signatures bach ydétecter les virus

IDS ghir tay détécté attaque ms partie mn attaque taykoun déja dkhal
tandiro configuration SPAN f port d switch li taykoun m relier b IDS

Fonctions : détection des techniques de sondage (balayages de ports, fingerprinting), des tentatives de
compromission de systèmes, d’activités suspectes internes, des activités virales ou encore audit des
fichiers de journaux (logs).

 Faux positif : une alerte provenant d’un IDS mais qui ne correspond pas à une attaque réelle.
 Faux négatif : une intrusion réelle qui n’a pas été détectée par l’IDS

Systèmes de détection d’intrusions réseaux (NIDS) : ‫اكتشاف الهجوم في الشبكة‬

Objectif : analyser de manière passive les flux en transit sur le réseau et détecter les intrusions en
temps réel.

Fonctionnement : Un NIDS écoute donc tout le trafic réseau, puis l’analyse et génère des alertes si des
paquets semblent dangereux. Les NIDS étant les IDS plus intéressants et les plus utiles du fait de
l’omniprésence des réseaux dans notre vie quotidienne.

Systèmes de détection d’intrusions hôtes (HIDS) : ‫اكتشاف الهجوم على مستوى األجهزة‬

Objectif Un HIDS se base sur une unique machine, n’analysant cette fois plus le trafic réseau mais
l’activité se passant sur cette machine. Il analyse en temps réel les flux relatifs à une machine ainsi que
les journaux.

Fonctionnement Un HIDS a besoin d’un système sain pour vérifier l’intégrité des donnés. Si le système a
été compromis par un pirate, le HIDS ne sera plus efficace. Pour parer à ces attaques, il existe des KIDS
(Kernel Intrusion Detection System) et KIPS (Kernel Intrusion Prevention System) qui sont fortement liés
au noyau.
 Systèmes de détection d’intrusions hybride

NIDS/HIDS : permettent de réunir les informations de diverses sondes placées sur le réseau. Ce
framework permet de stocker dans une base de données des alertes provenant de différents systèmes
relativement variés. Utilisant SNORT comme NIDS, et d’autres logiciels tels que SAMHAIN en tant que
HIDS

X. Défenses réseaux: IPS (Intrusion Prevention System)

IPS : ensemble de composants logiciels et matériels dont la fonction principale est d’empêcher toute
activité suspecte détectée au sein d’un système. Contrairement aux IDS simples, les IPS sont des outils
aux fonctions « actives », qui en plus de détecter une intrusion, tentent de la bloquer. Cependant, les IPS
ne sont pas la solution parfaite comme on pourrait le penser

NB : chaque virus taykoun 3ando signture , mnin tadir update l antivirus, tay télecharger les signatures
jdad

shéma :

IPS software :

SNORT : software tan7ato fih les sigbatures bach ydétecter les virus
IPS taymna3 attack kaml, ms i9dar i3tabr certian trafic normal comme virus
momkin tkhadmo comme mode passive (aykhdam comme IDS)

inconvénients

bloque toute activité qui lui semble suspecte. Or, il est impossible d’assurer une fiabilité à 100%
dans l’identification des attaques

méthodes de détection

Cette approche consiste à chercher dans les activités de l'entité surveillée les empreintes ou les
signatures d'attaques connues. Chacune de ces signatures décrit une attaque bien précise et chaque
attaque peut être détectée par un seul ou une séquence d'événements obtenus à partir d'une ou
plusieurs sondes (collecteur d'informations). Ces derniers permettent de classifier tous les
événements d'attaques qui peuvent provenir, soit d'un hôte (exemple : fichiers audit, trace
d'exécution des commandes, etc.), soit d'un réseau.

NB : momkin cisco routers ikhdm comme IPS

 XI. Déploiement d’un NIDS
Il faut tout d’abord prendre conscience qu’un NIDS n'est pas suffisant pour assurer la sécurité. En
plus d’installer un NIDS, il ne faudra pas oublier les actions habituelles :

les systèmes et les applications doivent être mises à jour régulièrement (patches de
sécurité).
les systèmes utilisant Internet doivent être dans un réseau isolé (DMZ).
chaque utilisateur doit être averti de l’importance de la sécurité de ses mots de passe.
les fonctionnalités des services qui ne sont pas utilisées doivent être désactivées

L'emplacement du senseur est très important :

A l'emplacement B, seul le trafic entre les systèmes de la DMZ et Internet est

analysé. Le trafic entre le réseau interne et Internet n'est pas analysé. Pour cela, il
faudra également placer un senseur au point A.
A l'emplacement C, le trafic entre Internet et le réseau interne ou la DMZ est analysé.
Par contre, le trafic entre le réseau interne et la DMZ est invisible.

XII. Techniques anti-IDS : ‫تقنية ضد أيدس‬

Si un pirate détecte la présence d’un IDS, il peut le désactiver, ou mieux encore, générer de fausses
attaques pendant qu’il commettra son forfait tranquillement.

Il existe trois catégories d’attaques contre les IDS :

Attaque par déni de service : rendre l’IDS inopérant en le saturant.

Attaque par insertion : le pirate, pour éviter d’être repéré, injecte des paquets de
leurre qui seront ignorés par le système d’exploitation de la cible mais pris en compte
par l’IDS : l’IDS ne détecte rien d’anormal, alors que sur le système cible, l’attaque a
bien lieu puisque les paquets superflus sont ignorés.
Attaque par évasion : il s’agit de la technique inverse à l’attaque par insertion. Ici,
des données superflues sont ignorées par l’IDS mais prises en compte par le système
d’exploitation. Nous détaillons un peu plus loin quelques techniques d’évasion Web.

XIII. Défenses réseaux: Honeypot

‫هو برنامج يحتوي على تغرات أمنية عن قصد يهدف الى جلب المتسللين و اكنشاف أنواع الهجوم الجديدة‬

un honeypot, ou pot de miel, est un ordinateur ou un programme volontairement vulnérable destiné à

attirer et à piéger les pirates informatiques afin notamment d'observer les moyens de compromission
des attaquants, de se prémunir contre de nouvelles attaques et de laisser ainsi un temps
supplémentaire de réaction à l'administrateur.

Un pot de miel dispose de plusieurs outils de surveillance et d'archivage, nécessaires pour collecter les
informations des activités suspectes. Ces outils doivent être maintenus en permanence puisqu'ils sont
déployés dans un environnement fréquenté principalement par des attaquants. De plus, l'isolation du
 pot de miel du reste du réseau est indispensable pour qu'il ne se transforme pas en une base pour
compromettre d'autres machines

XIV. auto secure :

par défaut f router taykouno des services ouvert (port open) ta9dar tsabab f piratage. Dakchi lach cisco
dart une configuration li katsad ensemble des services. Après nta katfta7 service li m7tajha manullement

3iwad mandiro secure manullement tansta3mlo auto secure bach ndiro disable l had les services soit :

full : par ensemble des questions --> R1# auto secure

no-interact : par fonctionnalité (feature de cisco) --> R1# auto secure no-interact
 R1(config)# ip http server : activer service http
 R1(config)# ip http secure-server : activer service https

Configure Basic Router Security

1- Encruption password
R1# service password-encruption
R1(config)# enable secret 123
2- Password Minimum Length Enforcement
R1(config)# security passwords min-length 10
3- Remote access
On utilise ssh au lieu telnet

Securing routing protocols

1- Prevent RIP routing update propagation

R1(config)# router rip
R1(config-router)# passive-interface default
R1(config-router)# no passive-interface s0/0/0
2- Prevent unauthorized reception of RIP updates
R1(config)# key chain CCNA
R1(config-keychanin)# key 1
R1(config-keychanin-key)# key-string CISCO
R1(config)# int s0/0/0
R1(config-if)# ip rip authentication mode md5
R1(config-if)# ip rip authentication key-chain CCNA

Manage Cisco IOS Device

1- SAVE IOS dans TFTP
R1# copy flash :[nom-IOS] tftp:
2- Recovery IOS

Rommon1> IP_ADDRESS=1921.168.1.2
Rommon2> IP_SUBNET_MASK=[Link]
Rommon3> DEFAULT_GATEWAY=[Link]
Rommon4> TFTP_SERVER=[Link]
Rommon5> TFTP_FILE=[Link]
Rommon6> tftpdnld