La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Module 3 Sécurité des Réseaux

Publié parAlphonse Benoît Modifié depuis plus de 8 années

Présentations similaires

Présentation au sujet: "Module 3 Sécurité des Réseaux"— Transcription de la présentation:

1 Module 3 Sécurité des Réseaux
Menaces Juillet 2004 DECID Formation

2 Sécurité réseau ? Faire de la sécurité:
S’assurer de l’autorisation de toute personne qui consulte ou modifie des données du système S’assurer de la disponibilité de services,si autorisation accordée

3 Attaques Objectifs et méthodes
Déni de service Abus de droit Action physique Intrusion Altération Injection de code Action physique Intrusion Ecoute Injection de code Intrusion Abus d droit Renseignement Déni de service Abus de droit Intrusion

4 Attaques Méthodes et exemples (1)
Intrusion Exploitation des erreurs de config. Exploitation des bugs Diffusion de logiciels (FTP) Tropde requêtes pour saturation Sniffage de paquets Abus de droits Altration d’un élément Destruction d’un câble Débranchement prise électrique Action physique

5 Attaques Méthodes et exemples (2)
Virus, bombes logiques, vers Cheval de Troie Module sniffer, cookies Injection de code Analyseurs de réseaux Scanners Sondes Ecoute Usurpation d’identité Changement IP Se prétendre administrateur

6 Attaques Déni de service – DoS (1)
Objectif: arrêt de l’activité des sociétés Fortes dépendances informatiques Nouvelles technologies Galeries marchandes Dangereuses car coûteuses en terme d’image Implémentation du protocole IP Faiblesses de l’architecture réseau Envoi de paquets IP de taille anormalement importante => saturation mémoire

7 Attaques Déni de service – DoS (2)
Attaque directe Hacker Victime Intermédiaires Intermédiaires Attaque indirecte par réponse Attaque indirecte par rebond Victime Victime Hacker Hacker Plusieurs intermédiaires = DDoS

8 Attaques DoS – « smurf » Multiples pong Falsification d’@ IP
Liste de serveurs Broadcast les plus pertinents Ponng Ping B) Saturation puis déconnection Hacker Victime

9 Attaques DoS – TCP-SYN / flooding
Attente ACK Falsification IP Time-out inefficace Faux client Accusé: ACK 3 Accusés de réception: Syn/ACK 2 Demandes de connexion: Syn @IP de Machine C 1 Hacker Victime

10 Attaques DoS – Les vers Duplicaion du ver au sein de la machine
Saturation mémopire Propagation machines connectées Diversion pour intrusion !!! Saturation Envoi d’un ver Hacker Hacker Propagation Saturation

11 Attaques DoS – Cheval de Troie
Intrusion mahines intermédiaires et infection Contrôle à distance des machines infectées Ordre d’envois multiples de requêtes Intrusion/ Installation Cheval de Trois Saturation Victime Hacker Infection

12 Attaques DoS – Contre-mesures? (1)
DoS basé sur des faiblesses de comportement des services ou protocoles sur IP Contrer ces faiblesses => interdire les services Compliquées à mettre en place Ciblées vis-à-vis du DoS envisagé Possibilité de se protéger contre le flooding Surveiller le trafic Etablir des profils types de comportements et des écarts tolérables Pas si simple en pratique !!!

13 Attaques DoS – Contre-mesures? (2)
Contre les attaques par smurf: Eviter l’utilisation de serveurs broadcast Contre les attaques par des falsfications Filtrage de paquets Refuser tout paquet provenant de l’extérieur et comportant de machine interne Contre les attaques par virus et cheval de Troie Utilisation en mise à jour constante d’anti-virus

14 Attaques IP spoofing - définition
Objectif: se faire passer pour un utilisateur ayant attribuée Applications: Intrusion sur un réseau Abus de droit légitime Manipulations diverses du système: injection de code, vol/altération d’informations Ecoute Cheval de Troie

15 Attaques IP spoofing – Synoptique
Victime Machine RC Hacker Demande RC Accusé de réception SYN/ACK ACK Intrusion si connexion acceptée

16 Attaques IP spoofing – Détails(1)
Généralement, attaque en aveugle: Datagrammes IP renvoyés à la machine RC Aucune visibilité pour l’attaquant (machine A) Difficultés pour l’attaquant: Bien choisir sa machine RC Rendre RC invalide (DoS) Deviner les requêtes à envoyer à la machine attaquée (Victime): Numéro de séquences Compte root et root RC: Relais de confiance

17 Attaques IP spoofing – Détails(2)
N° de séquence et incrémentation (ISN) Démarrage machine ISN=1 Incrémentation de toutes les secondes Incrémentation de à chaque connexion Connexion port TCP machine attaquée Analyse trames reçues Statistiques incrémentation => Dernier n° séquences émis et évolution possible

18 Attaques IP spoofing – Détails(3)
Proposition de n° de séquences par l’attaquant (Hacker): N° d’ACK correct =>Données placées en atente dans le buffer TCP N° d’ACK inférieur au n° attendu => Soit paquet accepté, soit rejeté (fenêtre d’attente)

19 Attaques IP spoofing – Détails(4)
Victime Machine RC Hacker RC SYN/ACK ISN = ACK ISN = n+1 connexion réussie

20 Attaques IP spoofing – Détails(5)
IP spoofing non aveugle Source routing: spécification du routage d’un datagramme Champ optionnel des datagrammes IP L’attaquant (Hacker) impose le chemin de retour Le datagramme peut être analysé Le n° de séquence facilement identifiable La validité des messages envoyés et reçus est contrôlée

21 Attaques IP spoofing – Contre-mesures
Ne pas autoriser d’authentification Filtrage de paquets Paquet interne reçu de l’extérieur (RC) Désactiver l’option « source routing » Chiffrement des données N° séquence initial aléatoire Modification de la pile IP

22 Attaques Bufferflow Objectif: faire exécuter un programme pirate en faisant crasher un application Très efficace mais plutôt difficile à mettre en place Pas d’accès n »*écessaire à la machine victime Mise en œuvre : Emplir la pile de données d’une application (overlow) Ecraser les instructions normales Atteindre les intructions du code pirate

23 Services et risques Courier électronique
Contre-façon Attaque image de marque Attaque par ingéniérie sociale DoS (mail bombing): saturation CPU & disque Virus / Cheval de Troie Sendmail (protocole SMTP) Le plus courant => le plus attaqué Trop complexe Permissions nécessaires pour toutes ses focntionnalités (utilisateurs, root)

24 Services et risques Transfert de fichiers
FTP: File Transfert Protocol Accès données machine si répertoire racine non protégé Attention aux droits d’écriture/lecture Détournement des sites FTP anonymes DoS : FTP bounce (commande Port)

25 Services et risques Terminal ou commande à distance
Telnet Standard: accès application en mode texte Demande d’authentification mais envoi des informations en clair Très vulnérable aux renifleurs et détournement de sessions lors d’accès à des sites distants Commandes R* Peut-être basées sur une relation de confiance Normalement utilisées dans un environnement fiable Idéales pour les IP spoofing

26 Services et risques Service de noms
DNS : Domain Name Service Accès à des infos sur le matériel et les logiciels Informations intéressantes pour les hackers ! A configurer pour: Renseigner complètement les machines internes aux réseaux Renseigner au minimum les machines externes

27 Services et risques Services d’administration réseau
Commandes ping et traceroute DoS Informations machines internes SNMP: Simple Network Management Protocol Stations de gestion SNMP Accès aux configurations des équipements réseaux Contrôle du réseau par des hackers

28 Services et risques Systèmes de fichiers réseau
NFS : Network File System Pas d’authentification pour les machines autorisées Requêtes facilement falsifiables Accès lecture/écriture possibles Pas de traces des transactions Détournement de montage NFS

29 Services et risques Sysèmes X Window
Protocole X.11: Très répandu pour l ’affichage graphique en réseau Echange cleint/serveur par connexion TCP Limitation des fonctions d’authentification Possibilité par connexion sur le serveur: De visualiser un session en cours De la modifier

30 Stratégie de sécurité Le moindre privilège
Défense en profondeur / diversité des défenses Goulet d’étranglement Le ou les mailons les plus faibles Panne sans danger Participation universelle Mise en œuvre d’une solution simple

31 Solutions techniques Dispositifs sécuritaires de base Antivirus
Sensibilisation / informations / formations Attaque par virus/vers/cheval de Troie Maladresses Failles du système Dispositifs d’authentification Intrusion Abus de droit Usurpation d’identité Chiffrement: protocoles sécurisés (IPSec, SSH, sHTTP) Vols d’informations Dispositifs de protection du réseau interne

Télécharger ppt "Module 3 Sécurité des Réseaux"

Présentations similaires

Sécurité informatique

Sécurité informatique
Hygiène de la messagerie chez Microsoft

Hygiène de la messagerie chez Microsoft
Botnet, défense en profondeur

Botnet, défense en profondeur
Modélisation des menaces

Modélisation des menaces
Sécurité informatique

Sécurité informatique
Www.coursmix.com Serveur jeu Le serveur fait partie d'un logiciel de jeu en ligne multi joueur en architecture client serveur. Il répond à des demandes.

Serveur jeu Le serveur fait partie d'un logiciel de jeu en ligne multi joueur en architecture client serveur. Il répond à des demandes.
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.

- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
DUDIN Aymeric MARINO Andrès

DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000

Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
Module 10 : Gestion et analyse de l'accès réseau

Module 10 : Gestion et analyse de l'accès réseau
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.

Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
Réseaux Privés Virtuels

Réseaux Privés Virtuels
Authentification contre Masquarade

Authentification contre Masquarade
La politique de Sécurité

La politique de Sécurité
Xavier Tannier Yann Jacob Sécurite Web.

Xavier Tannier Yann Jacob Sécurite Web.
Le piratage informatique

Le piratage informatique
Les virus informatiques

Les virus informatiques
Système de stockage réseaux NAS - SAN

Système de stockage réseaux NAS - SAN

Présentations similaires

Annonces Google