Scribd
Importer
36 vues52 pages

Cours 5 TCP IP Attaques & Solutions

Le chapitre 5 aborde les attaques TCP/IP, les méthodes de défense, et les systèmes de sécurité réseau, notamment les listes de contrôle d'accès (ACL) et les firewalls. Il présente également les systèmes de détection d'intrusion (IDS) et leurs types, ainsi que les avantages et inconvénients des systèmes NIDS et HIDS. Enfin, il souligne l'importance de la DMZ pour sécuriser les ressources d'une entreprise tout en permettant l'accès à Internet.

Transféré par

olfa
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
36 vues52 pages

Cours 5 TCP IP Attaques & Solutions

Le chapitre 5 aborde les attaques TCP/IP, les méthodes de défense, et les systèmes de sécurité réseau, notamment les listes de contrôle d'accès (ACL) et les firewalls. Il présente également les systèmes de détection d'intrusion (IDS) et leurs types, ainsi que les avantages et inconvénients des systèmes NIDS et HIDS. Enfin, il souligne l'importance de la DMZ pour sécuriser les ressources d'une entreprise tout en permettant l'accès à Internet.

Transféré par

olfa
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Chapitre 5

Attaques TCP/IP
Préparé par :
Ines BEN HASSINE

E-mails:
[email protected]
[email protected]

A.U.:2021/2022
Modèle général de sécurité réseau
Méthodes de défenses
Logiciels Malveillants
Attaques de sécurité
Classification
Attaques de sécurité
Quelques types d’attaques par niveau
Sniffing

Outils
Sniffing
 Online : écoute passive par surveillance des paquets IP
Sniffing
 Offline : Attaque wifi (brute force)
Sniffing
Sniffing
Sniffing
ARP spoofing et flooding

ARP spoofing

ARP flooding
ARP spoofing et flooding
Attaques DOS (Denial of Service)
DDOS : Distributed DOS
DDOS : Distributed DOS
Attaques DOS : SYN flooding
Attaques DOS : SYN flooding
Attaques DOS : SYN flooding
Attaques DOS : SYN flooding
Chapitre 5_bis

Mécanismes de sécurité
TCP/IP
Préparé par :
Ines BEN HASSINE

E-mails:
[email protected]
[email protected]

A.U.:2021/2022
Introduction

 Il n’existe pas une architecture de sécurité idéale.

 Il faut l’adapter en fonction de : la structure organisationnelle,


la structure géographique, la criticité des applications, le budget,
le personnel,…
les ACL (Access Control List)

 Les listes de contrôle d’accès sont des instructions qui expriment


une liste de règles, imposées par l’opérateur, donnant un contrôle
supplémentaire sur les paquets reçus et transmis par le
routeur.
 Les listes de contrôle d’accès (tables de filtrages) sont capables
d’autoriser ou d’interdire des paquets, que ce soit en entrée ou en
sortie vers une destination.

 ACL, c’est logique : faire passer ou refuser !!!


les ACL (Access Control List)
 Les ACL opèrent selon un ordre séquentiel et logique, en évaluant
les paquets à partir du début de la liste d’instructions.
 Si le paquet répond au critère de la première instruction, il ignore
le reste des règles et il est autorisé ou refusé.

 Si un paquet ne correspond
à aucune instruction dans
l’ACL, le paquet est jeté.
Ceci est le résultat de
l’instruction implicite deny any
à la fin de chaque ACL.
les ACL (Access Control List)
 Emplacement des ACLs :
 La règle est de placer les listes de contrôle d'accès étendues le plus près
possible de la source du trafic refusé  il faut les placer le plus près possible
de la destination.
 Il faut au moins configurer des ACL sur les routeurs périphériques situés aux
frontières du réseau  fournir une protection de base contre le réseau externe
ou de mettre à l'abri une zone plus privée du réseau d'une zone moins
contrôlée.
 configurer des ACL afin que le trafic entrant, le trafic sortant ou les deux
soient filtrés au niveau d'une interface.

+ Simple - ralentissement du routeur si table de filtrage longue


+ Peu coûteux - pas de gestion de l'allocation dynamique de ports TCP
+ Performant - pas de différenciation appels / données sur TCP
- lourdeur et faible ergonomie de la gestion (telnet, FTP)
Firewall
 ACL : des règles qui servent à limiter l’accès au système de fichiers
 Firewall : logiciel ou matériel gérant les ACL.
 Évolution des systèmes d’informations  Réseaux locaux plus larges
 La connectivité d’un réseau local à Internet permet au monde externe
d’atteindre et d’interagir avec les ressources de ce réseau.

 Difficulté de sécuriser chaque ressource à part !!!


 utiliser des Firewalls : barrière entre un réseau privé et un réseau publique
et ne fait passer que le trafic permis par la politique de sécurité du réseau
interne.

 Exemple open source de firewall: IPCOP (distribution Linux), Pfsense,


Smoothwall, iptables
 iptables est un logiciel libre de l'espace utilisateur Linux grâce auquel
l'administrateur système peut configurer les chaînes et règles dans le pare-feu en
espace noyau.
Firewall
Firewall
Firewall, Types
Firewall
Firewall
Proxy ou mandataire
Firewall
Firewall
Firewall
Firewall
Firewall
 En résumé :
 Un firewall est un logiciel ou matériel qui :
 Analyse des trames qu’il reçoit et prend une décision en fonction des
adresses de couches 2, 3 et 4  Filtrage sans état (Stateless)
 La décision peut être prise en fonction de l’état d’une connexion
 Filtrage dynamique (Statefull)
 La décision peut être prise en fonction du contenu de couche 7
 Filtrage applicatif.

 Limites :
 Ne protège pas contre les menaces internes
 Ne protège pas contre le transfert de programmes et de fichiers
malveillants (Virus, backdoors,…)
 Il ne protège pas du "social engineering"
 ….
Zone démilitarisée (DMZ DeMilitirazed Zone)
 Une entreprise (ou un organisme) a besoin d’accéder à des
ressources sur Internet, d’en exporter mais aussi de se protéger
 L'architecture du réseau de l'entreprise est définie selon les besoins:
 accéder + protéger
 accéder + exporter + protéger
Zone démilitarisée (DMZ DeMilitirazed Zone)
Zone démilitarisée (DMZ DeMilitirazed Zone)
 Une zone démilitarisée est un sous-réseau isolé par un pare-feu. Ce
sous-réseau contient des machines se situant entre :
 un réseau interne (réseau privé) et
 un réseau externe (Internet)
 Découpage en DMZ : 1 Réseau est divisé en 3 Réseaux ou +
 1. Réseau interne (réseau privé) :
 Contenant les postes clients ayant besoin d’accéder à l’extérieur
 Contient des données privées qui ne doivent pas être consultées
de l’extérieur  besoin de sécurité interne
 2. Réseau externe (Internet) :
 Considéré peuplé de volontés malfaisantes
 3. DMZ
 Visible du réseau interne et du réseau externe
 Exemple : cas d’un réseau contenant: Un serveur web (visible de
l’Internet et des utilisateurs internes), Une passerelle SMTP (accessible
des postes clients et des serveurs SMTP d’Internet)
 besoin de visibilité de l’extérieur
Zone démilitarisée (DMZ DeMilitirazed Zone)
Système de détection d’intrusion (IDS Intrusion
Detection System)

 Limites du Firewall:
 Protection limitée, ne protège pas contre les attaques internes,…
 les techniques et les outils d’intrusions ne cessent de se sophistiquer.

 Nécessité d’automatiser le processus de détection d’intrusions;


 Nécessité de collecter les traces d’intrusions pour servir comme preuve;
 Nécessité de détecter les attaques ayant réussi à surpasser les
mécanismes de sécurité déployés.
Système de détection d’intrusion (IDS Intrusion
Detection System)
 Un IDS est un ensemble de composants logiciels et/ou matériel dont la
fonction principale et de détecter et analyser toute tentative
d’effraction volontaire ou non et/ou de maintien dans un système
d’informations.
 Un IDS assure notamment les fonctions suivantes:
 Détection des techniques de sondage (scans, prise d’empreintes…)
 Détection des activités virales
 Détection des activités suspectes internes à l’entreprise
 Audit des fichiers de journaux (logs) en provenance de diverses sources
 Corrélation de multiples sources d’évènements de sécurité

 Exemple open source : SNORT


Système de détection d’intrusion (IDS Intrusion
Detection System)
 Il y a deux approches une en temps réel et l’autre en temps différé.
 L’IDS peut être positionné soit :
 En tête de pont
 En DMZ
 Sur réseau Interne
Système de détection d’intrusion (IDS Intrusion
Detection System)

Composants d’IDS
Système de détection d’intrusion (IDS Intrusion
Detection System)
 Erreurs commises par un IDS:

 False Positives
 L’IDS considère une activité légitime comme malveillante (erreur
d’interprétation)

 False Negatives
 L’IDS considère une activité malveillante comme légitime

 Les erreurs False Negatives sont plus graves que les erreurs
False Positives
Système de détection d’intrusion (IDS Intrusion
Detection System)
 Les différentes classes d’IDS :
 NIDS = Network Intrusion Detection System (exp: SNORT, CiscoIDS, Bro,…)
Il s’agit de sondes réseau que l’on positionne en des points stratégiques du
système et qui analysent les flux de données en transit. Snort est un NIDS
évolué qui fonctionne sous Linux.
 HIDS= Host Intrusion Detection System (exp: RealSecure, Swatch,….)
Il s’agit d’un agent logiciel que l’on installe directement sur les machines
(serveurs ou PCs clients) à protéger et qui offre des services complémentaires:
 Détection de compromission de fichiers (contrôle d’intégrité)
 Analyse de la base de registre (windows) ou des LKMs Loadable Kernel
Module (Linux)
 Analyse et corrélation de logs en provenance de firewalls hétérogènes
 Analyse des flux cryptés (ce que ne peut réaliser un NIDS !)
Système de détection d’intrusion (IDS Intrusion
Detection System)

 Certains IDS sont dit hybrides quand ils intègrent simultanément et de


manière indissociée les 2 fonctionnalités précédentes.
 D’autres classes de produits sont apparentées à des IDS mais offrent des
services complémentaires :
 Honeypots (systèmes de leurre) : utilisés pour ralentir la progression d’un
hacker et étudier ses méthodes d’attaque
 IPS (Intrusion Prevention System): technologie encore immature et pas
suffisamment fiable mais qui pourra s’avérer un complément des IDS.
Système de détection d’intrusion (IDS Intrusion
Detection System)
 NIDS:

 Avantages :
 Surveille toutes les machines d’un seul réseau;
 ne dépend pas du contenu des machines (versions OS, applications,…);
 Insensible aux attaques sur des machines du réseau;
 Peut détecter des attaques réseau : scan, dénis de service, …

 Inconvénients:
 Ne permet pas de savoir si l’attaque a réussi ou non;
 Ne réagit efficacement pour stopper les attaques;
 Ne peut pas surveiller un trafic crypté;
 Surveiller un trafic > 100 Mbps est actuellement un défi.
Système de détection d’intrusion (IDS Intrusion
Detection System)
 HIDS:

 Avantages :
 Indépendance à la bande passante et au cryptage;
 Justesse de détection: détecte si l’attaque a réussi ou non;
 Adapté aux applications;
 Comprend le contexte et peut être capable de stopper l’attaque.

 Inconvénients:
 Ne garantie pas l’intégrité des alertes générées ;
 Peut causer la dégradation des performances des systèmes surveillés;
 Forte dépendance aux OSs et aux applications;
 Nécessite un agent par machine
Système de détection d’intrusion (IDS Intrusion
Detection System)
 Positionnement des sondes :
Système de détection d’intrusion (IDS Intrusion
Detection System)
 Positionnement des sondes :

 Sonde sur le réseau externe:


 Visualise tout le trafic (y compris celui bloqué par le Firewall)
 Permet de donner une idée sur la nature des attaques et des intrus
 Beaucoup de faux signaux (bruit)
 Sonde sur le réseau interne:
 Analyse le trafic ayant réussi à surpasser le Firewall
 Analyse les attaques internes.
 Sonde sur la DMZ:
 Analyse les attaques ayant réussi à atteindre les serveurs publiques.

Vous aimerez peut-être aussi