La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

José M. Fernandez M-3109 340-4711 poste 5433 INF4420: Éléments de Sécurité Informatique Module III : Sécurité des réseaux informatiques.

Présentations similaires


Présentation au sujet: "José M. Fernandez M-3109 340-4711 poste 5433 INF4420: Éléments de Sécurité Informatique Module III : Sécurité des réseaux informatiques."— Transcription de la présentation:

1 José M. Fernandez M poste 5433 INF4420: Éléments de Sécurité Informatique Module III : Sécurité des réseaux informatiques

2 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 2 Où sommes-nous ? Semaine 1 – Intro Semaines 2, 3 et 4 – Cryptographie Semaine 6, 7 – Sécurité dans les SE (suite) Semaine 8 – Période de relâche Semaine 9 – Sécurité des BD et des applications Web Semaine 10 – Contrôle périodique Semaine 11, 12 et 13 – Sécurité des réseaux Risques spécifiques aux réseaux Des attaques, des attaques et encore des attaques Configuration sécuritaires et contre-mesures Semaine 14 – Gestion de la sécurité. Intervenants et modes d'intervention Aspects légaux et déontologiques

3 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 3 Module III – Sécurité des réseaux Semaine 11 Notions de bases sur les réseaux Risques spécifiques aux réseaux Analyse de risques par couche Attaques typiques par couche Attaques intra-couche Semaine 12 Configuration sécuritaire de réseaux Plan d'adressage, routage et NAT Pare-feux DMZ, VPN et serveurs mandataires Encore des attaques Dissection d'une attaque standard Attaques de déni de service (DOS) Pourriel et hameçonnage Semaine 13 Détection d'intrus (IDS) Protocoles sécuritaires de réseaux SSH SSL et TLS (HTTPS) IPSEC/IPv6

4 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 4 Configuration sécuritaire Principes de bastionnage de réseaux Bloquer tous le trafic non pertinent Paquets qui ne vont pas à la bonne place adresses IP vs. table de routage Applications/services non offerts (superflus) Ports fermés/ouverts Segmentation du réseau Utiliser des routeurs/passerelles/serveurs mandataires Cacher les adresses IP internes (par NAT) Protéger les services/serveurs critiques « Défense en profondeur » Principe de loignon Chaque niveau à un contexte différent Permet de mieux ajuster le modèle de sécurité

5 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 5 Network Address Translation Principe de base Le réseau interne est dans le domaine « privé » 10.*.*.* ou *.* Non-routable (par défaut) vers lextérieur ou sur lInternet Pour les paquets sortant (priv_src_IP, priv_src_port) est associé à une nouvelle paire (public_src_IP, public_src_port) Ces associations sont conservés dans une table NAT Pour les paquets entrant On utilise le dest_port pour retrouver la bonne paire (priv_src_IP, priv_src_port) Implémenté par Routeur ou passerelle Coupe-feu Serveur mandataire

6 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 6 Réseaux privés virtuels (VPN) Objectifs Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles de façons sécuritaires à travers un réseau intermédiaires non sécurisé Techniques de base Tunneling Chaque sous réseau protégé par une passerelle VPN Encapsulation de paquet ( NAT) Ancien paquet devient message Nouvelle entête en fonction des passerelles Chiffrement Message (= ancien paquet) peut-être chiffré pour éviter linterception ou modification sur le réseau non-securisé Contrôle daccès Seuls les paquets provenant des clients ou sous-réseaux autorisés sont ré-acheminés vers le réseau interne

7 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 7 Zone démilitarisée (DMZ) Objectif Permettre fournir des services de ou vers lextérieur du réseau interne, tout en protégeant celui-ci Principe de base Créer une zone intermédiaire où se trouve les services strictement nécessaires Adresses des serveurs DMZ sont routables et accessibles de lextérieur : tout le temps de lintérieur : si pertinent Protégé par un coupe-feu/passerelle Isolé du réseau interne par un coupe-feu/passerelle

8 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 8 Services typiques dans une DMZ Services fournis à lextérieur Serveur DNS (pour adresses DMZ seulement) Serveur SMTP Serveur Web Passerelle VPN Services fournis à lintérieur Serveur mandataires Web M-à-j des fichiers du serveur Web Connexion avec serveur SMTP interne Connexion entre serveur Web et serveur de BD

9 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 9 Types de coupe-feu Selon limplémentation Matériel Pare-feu filtrant Parfois intégré dans le routeur « Network appliances » Combine dautres fonctionalités Logiciel Serveur pare-feu dédié Pare-feu client ou individuel Selon les fonctionnalités Filtrage statique Filtrage dynamique Pare-feu dapplication Pare-feu filtrant Serveur mandataire (proxy)

10 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 10 Coupe-feu statique Principes de fonctionnement Examine paquet par paquet (« stateless ») Adresses IP src et dest Port src et dest Type de protocole Utilise des règles pour prendre action « block » ou « accept » Règle de routage : « IF src_IP = *.* THEN block » adresses privées adresses internes/externes listes noires Règle dapplication : « IF dest_port = 80 THEN accept » Par port de destination Évaluation séquentielle (!!) Limitations Pas de notion de connexion permet certains types dattaques

11 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 11 Coupe-feu dynamique Principes de bases Examine paquet par paquet, mais essaie détablir relations entre paquets UDP Associe paquet avec dautre paquets sur mêmes ports et adresses En général, permet seulement réponses si requêtes originales venant dadresses internes TCP Garde information sur état et direction de la session TCP Regarde en plus les flags TCP pour déterminer si hors-protocole Applications qui changent de port (e.g. FTP) Suit et autorise les ports éphémères utilisés par les applications Limitations Pas de connaissance de létat de la connexion au niveau application Usurpation de port

12 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 12 Coupe-feu applicatif Principe de base Le coupe-feu regarde le message et interprète son contenu par rapport à lapplication identifié par le port Routeur filtrant Bloque ou accepte en fonction du contenu du message Bon port pour type dapplication Bonne séquence à niveau des protocoles dapplication Serveurs mandataires (proxy) Agisse au nom du client dapplication Déballe et remballe les paquets IP avec nouvel adresse et port src Autres fonctionnalités Authentification et contrôle daccès VPN Anti-virus, anti-spam, filtrage de contenu Caching

13 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 13 Étapes dune attaque standard sur le réseau 1.Définitions et identification dobjectifs Quelle est la cible ? 2.Reconnaissance Où se trouve la cible ? 3.Caractérisation (« Fingerprinting ») Identification de vulnérabilité 4.Pénétration Exploitation de vulnérabilité 5.Exploitation Garder laccès Ne pas se faire prendre Accomplir les objectifs

14 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 14 Attaques de déni de services (DoS) Objectifs Éliminer ou réduire la qualité de service dun fournisseur de services Types Par vulnérabilité (« crippling DoS ») Par saturation (« Flood DoS ») Par absorption (« Black hole DoS ») Particularités Pas de pénétration Camouflage optionnel Pas de contre-mesures absolues !!

15 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 15 Attaque DoS distribuée (DDoS) Principe de base 1. Prendre le contrôle de plusieurs machines (« botnet ») 2. Utiliser ces machines pour générer des requêtes (saturation) Exemples SYN flooding SYN/ACK flooding Direct Indirect (backblast) Session/Application flooding TCP, HTTP, SQL « Spoofing » plus possible Défense Analyse de coût relatif Faire augmenter le coût de lattaque

16 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 16 Crimes informatiques économiques 1.Polluriel et hameçonnage Canulards Vente directe de produits Vente pyramidale Arnaques « nigériennes » Captures de comptes 2.Fraudes publicitaires Modèle de revenu « par click » Génération de « faux » click 3.Augmentation de priorité (« shilling ») Moteurs de recherche Systèmes de recommandation

17 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 17 Pourriel Contre-mesures Détecter courriels identiques Comparaison intégrale ou par fonction de hachage Bloquer une adresse IP si plusieurs courriels identiques/similaires Reconnaissance de pourriel Analyse par règles Contre-contre-mesures Utiliser des machines « jetables » (botnet) Générer des messages différents, mais équivalents Ajouts déléments aléatoires hors-message hachés différents Variations du message Texte mal écrit, mais lisible Message en HTML Texte dans une image Course darmement entre pollueurs et constructeur de filtres

18 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 18 Hameçonnage bancaire Techniques de base En apparence lien pointe sur vrai site Faux site a apparence identique Session redirigée vers vrai site (« ni vu, ni connu ») Techniques avancées DNS spoofing (serveurs DNS compromis ou empoisonné) Prendre le contrôle dun serveur web existant Sans que le propriétaire sen rende compte Pour éviter de se faire repérer Usager/NIP capturés re-acheminé par canal clandestin


Télécharger ppt "José M. Fernandez M-3109 340-4711 poste 5433 INF4420: Éléments de Sécurité Informatique Module III : Sécurité des réseaux informatiques."

Présentations similaires


Annonces Google