Sécurité des Systèmes d’Information

(Sec deSI)
note Redigé par Stephano Sido L3 ENI.

 Les 4 points clés de la sécurité des systèmes d'information tamty tona ti :

1. 1. Firewall
2. 2. IDS (Intrusion Detection System)
3. 3. IPS (Intrusion Prevention System)
4. 4. Serveur Proxy

Tout est basé sur des règles de filtrage, d'analyse et de blocage.

Chapitre 0 : architecture réseaux securisé

Configuration Réseau Type

Internet → WAN → Firewall → DMZ → Switch → LAN

Composants de l'Architecture

 WAN (Wide Area Network) : Interface vers Internet

 DMZ (Demilitarized Zone) : Zone tampon pour les services publics
 LAN (Local Area Network) : Réseau interne protégé
 Firewall : Point de contrôle principal
 Switch : Équipement de distribution réseau

Services de Gestion Réseau

 NAT (Network Address Translation) : Masquage des adresses internes

 DHCP : Attribution automatique d'adresses IP
 DNS : Résolution de noms de domaine
 Honeypot : Services leurres pour détecter les intrusions
Chapitre 1 : Firewall
Le firewall (pare-feu) est une barrière de protection qui contrôle le trafic réseau entrant et
sortant. Il applique des règles basées sur les adresses IP et les numéros de ports.

Types de Firewall :

• Matériel (Hardware) : Pare-feux physiques (Cisco ASA, Fortinet, WatchGuard) placés entre le
routeur et le réseau local.

• Logiciel (Software) : Programmes installés sur un système (Windows Defender Firewall, UFW
sous Linux).

� Exemples de configuration :

# iptables (sous Linux) :

iptables -A INPUT -p tcp --dport 80 -j ACCEPT # Autorise HTTP

iptables -A INPUT -p tcp --dport 22 -j DROP # Bloque SSH

# UFW (Uncomplicated Firewall) :

ufw allow 443/tcp # Autorise HTTPS

ufw deny 21 # Bloque FTP

� Fichier de configuration :

• /etc/ufw/ufw.conf pour UFW

• Règles iptables : souvent sauvegardées via `iptables-save` dans /etc/iptables/rules.v4

Chapitre 2 : IDS (Intrusion Detection System)

L’IDS est un outil de sécurité qui analyse le trafic réseau ou les activités système pour détecter
des comportements anormaux.

Fonctions : détecter les intrusions, surveiller en temps réel, et alerter en cas de comportement
suspect.

Types d’IDS :
• NIDS (Network-based IDS) : Analyse du trafic réseau (ex : Snort, Suricata)

• HIDS (Host-based IDS) : Surveille l’activité locale (ex : OSSEC, Wazuh)

• Hybrid IDS : Combine NIDS et HIDS

• Distributed IDS : IDS réparti sur plusieurs machines avec gestion centralisée

Méthodes de détection :

• Par signature : comparaison avec une base de modèles connus

• Par règles : règles personnalisées pour détecter des comportements

🛠️ Outils NIDS :

Outil Description
Snort IDS en ligne de commande, open source,
basé sur signatures
Suricata Plus moderne que Snort, supporte
multithreading
Zeek (ex-Bro) Analyse comportementale et protocolaire
Security Onion Distribution complète avec Snort, Suricata,
Zeek + ELK stack

🛠️ Outils HIDS :

Outil Description
OSSEC IDS open source basé sur les hôtes, logs,
rootkit detection
Wazuh Fork de OSSEC avec tableau de bord web
AIDE Vérifie l’intégrité des fichiers système

� Fichiers de configuration utiles :

• Snort : /etc/snort/snort.conf

• Suricata : /etc/suricata/suricata.yaml

• OSSEC/Wazuh : /var/ossec/etc/ossec.conf

Chapitre 3 : IPS (Intrusion Prevention System)

L’IPS est un système de prévention d’intrusion. Il détecte comme un IDS, mais agit
immédiatement pour bloquer l’attaque.
Fonctions principales :

• ACCEPT : Autorise le trafic

• DROP : Ignore le paquet sans réponse

• REJECT : Refuse le paquet et envoie un message de refus

� Exemples d’actions concrètes :

# Règle de détection d'injection SQL

alert http any any -> any any (

msg:"Tentative d'injection SQL détectée";

content:"select"; nocase;

content:"union"; nocase;

classtype:web-application-attack;

sid:1000001;

# Règle de blocage (DROP)

drop http any any -> any any (

msg:"BLOCK - Injection SQL bloquée";

content:"select"; nocase;

classtype:web-application-attack;

sid:1000002;

Chapitre 4 : serveur proxy

En cybersécurité, un proxy est un intermédiaire entre client et serveur : un intercal autrement
dit ou serveur mendataire.
 Objectif :
Filtrer, surveiller ou modifier le trafic réseau entrant/sortant, pour améliorer la sécurité, le
contrôle ou la performance cad optimisé la bande passante.

Exemple :

 L’ordinateur A veut accéder à http://example.com.

 Le proxy reçoit la demande, la transmet au vrai site, récupère la réponse, puis la
renvoie à A.

Proxy + Sécurité (Utilisation courante)

Un proxy peut être configuré pour :

 Bloquer les sites interdits

 Enregistrer les sites visités par les utilisateurs
 Analyser le contenu du trafic pour détecter les attaques (ex : virus, SQLi…)

DPI (Deep Packet Inspection) — Inspection profonde des paquets

Le DPI est une technique utilisée par un proxy pour analyser le contenu des paquets
réseau, pas seulement les en-têtes.

🔍 Il permet d’inspecter le corps des messages pour détecter :

 Des fichiers malveillants

 Des tentatives d’injection SQL
 Des contenus interdits (vidéos, réseaux sociaux, etc.)

Exemple :

Un élève essaie d’aller sur pornohub.com en classe. Le proxy, avec DPI activé, reconnaît
le contenu de la requête même si c’est chiffré, et bloque l’accès.

SSL Dumping (ou SSL Interception)

Comme le trafic HTTPS est chiffré, un proxy ne peut pas voir le contenu… sauf s’il
fait du SSL Dumping :
  Sans SSL dumping → le contenu reste chiffré → impossible à analyser
 Avec SSL dumping → le proxy déchiffre, analyse, puis rechiffre

Comment ça marche :

1. Le proxy agit comme un faux serveur HTTPS vis-à-vis du client.

2. Il intercepte la connexion, déchiffre les données, les inspecte (DPI), puis les
rechiffre et les renvoie.
3. Cela nécessite l’installation d’un certificat SSL du proxy sur les postes clients.

Exemple :

 Un employé ouvre Gmail.

 Le proxy intercepte le trafic HTTPS, lit le contenu, le scanne contre les malwares,
puis l’envoie normalement.

Exemple Pratique : Proxy Squid + SSL Bump

📁 Configuration type de Squid :

# Dans squid.conf
http_port 3128 ssl-bump cert=/etc/squid/ssl_cert/myCA.pem
key=/etc/squid/ssl_cert/myCA.key
ssl_bump server-first all

🔧 Cela permet à Squid :

 D’agir comme proxy HTTPS

 De déchiffrer le trafic
 D’appliquer des règles (ex : bloquer .exe, .zip, ou sites de jeux)

� Conclusion Rapide
Terme Résumé

Proxy Intermédiaire entre l’utilisateur et Internet

DPI Analyse profonde du contenu des paquets

SSL Dumping Interception + déchiffrement du HTTPS

Chiffrement Rend un message illisible sans clé

Proxy blue team : filtrage de contenu , journalisation , masquage IP, Inspection SSL

Proxy Red team : annonymisation , Bypass des firewall , C2

BON du coup zay ny azo atolotra fa def samy bonne chace aby tsika