1 Formation Sécurité réseaux Animée par Gauthier Catteau

Slides:



Advertisements
Présentations similaires
Travail réalisé par : Abdessamad BOUTGAYOUT Encadré par : Mr. Ahmed REBBANI LP SRI - ENSET Mohammedia
Advertisements

Mise en place d’un système de détection d’intrusion Présenté par:  Elycheikh EL-MAALOUM  Zakaria ZEKHNINI  Mohammed RAZZOK Encadré par: : Mr. SEFRAOUI.
Projet de fin d'étude pour l'obtention du Diplôme Nationale d'Ingénieur en Informatique Conception et développement des modules de GED pour l’ indexation.
Comprendre Internet Bases théoriques et exercices pratiques, pour débutants complets... Et curieux !
Guide Share France Web Single Sign On Panorama des solutions SSO.
Généralités sur les réseaux Généralités sur les réseaux informatiques.
Sécurité des systèmes d'information des EPLEFPA D. COLISSON DRTIC DRAAF/SRFD Rhône-Alpes Octobre 2010.
Le système Raid 5 Table des matières Qu'est ce que le RAID ? Les objectifs Le raid 5 Les avantages et les inconvénients Les composants d’un Raid.
Introduction aux technologies du Web Mercredi 12 décembre 2007 Patrice Pillot
Vers les usages... Le projet EnvOLE séminaire EOLE novembre 2006, Dijon Accueil Orientations Architecture Socle > EnvOLE Services > Centre de ressources.
1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.
Scanning. Responsable : Remy FABREGES Objectif : découvrir des failles de sécurité, s’introduire dans la passerelle Outils : nmap, rooktits.
A9 - Utilisation de composants avec des vulnérabilités connues.
La sécurité Un sujet TRES vaste ! Qu'est ce qu'un « hacker » ? Risques pour un utilisateur lambda ? Comment s'y prennent-ils !? Comment se protéger ? Tout.
Université De Boumerdes Département de physique/Infotronique IT/S6 Réalisé par : Mr RIAHLA Doctorant a l’université de limoge (France) 2008/2009 Université.
CHARTE INFORMATIQUE à l’usage des élèves du collège Saint-Joseph
Les Bases de données Définition Architecture d’un SGBD
Chapitre10 Prise en charge des utilisateurs distants
Système de transmission de données & segmentation du réseaux
Mise en place d’un système de partage de fichiers
Qu’est-ce un serveur de messagerie?
Introduction aux Systèmes de Gestion de Bases de données
SIG 7.5 Sécurité des échanges
Présentation Scribe NG Serveur pédagogique.
La politique de sécurité et le filtrage dans les réseaux
Wifi sécurisé et Windows
INSIA SRT 3 PAM !.
Sécurisation de l’accès Internet
Malwares 2017: Etat des lieux
Chiffrement de bout en bout
Séminaire EOLE Dijon Octobre 2010
Installation et Configuration Internet Information Server (IIS 5)
La sécurité Pour les développeurs.
Centralisation de logs
2ème partie – mise en oeuvre
Chapitre 12 Surveillance des ressources et des performances
Les Pare-Feu.
Sécurité des réseaux (gestion et politique de sécurité) Présenté par : - Megherbi Aicha Ahlem 1.
Cyril Bras Journée « Sécu »
Windows Server 2012 Objectifs
HTTP DNS NTP FTP R231 RJ45 definition HTTP DNS NTP FTP R231 RJ45.
PRESENTATION DE Cahier de charges 1. Mise en place d’un système de portail captif au sein de l’IGA PROJET : 2.
PACK Security Audit/management
Questions Qu'est ce qu'un réseau informatique ?
Bureau distant sur Windows Vista /2008 Server
Sécurité Informatique
Protégez l’entreprise contre les attaques informatiques
Préparé et présenté par: SAOUDI Lalia
Le projet de loi relative au commerce électronique:
Expose : Web Application Firewall.
Plan d'urbanisation Version / 02 / Nov Mai 2013 Passation des marchés Sommaire Une vision unifiée de l'urbanisation et de l'approche.
1 IPSec : IP Security Protocole fournissant un mécanisme de sécurisation au niveau IP. RFC 2401 concernant IPSEC RFC 2402 concernant le mode AH (authentification)
Les protocoles de la couche application Chapitre 7.
Mise en place d'un Serveur Radius pour la sécurité d'un réseau Wireless sous Windows Serveur Présenter par le Stagiaire : Etienne Mamadou Guilavogui.
Sécurité des réseaux ad hoc
La gestion des habilitations par le partenaire
Exposé de système / réseaux IR3
Data Mining Fait par : Belhaj Nadia Derouich Maryem.
Depuis le 5 mai 2018, ce Règlement …
Nicolas BRESSAND SIT MAZAGAN 11/05/2016
Bases – Banques Entrepôts de données
Notions d'architecture client-serveur. Présentation de l'architecture d'un système client/serveur Des machines clientes contactent un serveur qui leur.
Conception de sites web marchands: TD 2
Les outils de piratage informatique 09/05/ REALISER PAR : OMAR ABDI NAFISSA NAIM 1.
RE161 Répartition des adresses IP Le problème de la répartition des adresses IP dans le réseau doit être résolu avec comme objectifs : –de rendre le réseau.
Sommaire Les réseaux de capteurs sans fils Les réseaux de capteurs sans fils Communication dans Contiki Communication dans Contiki Réalisation Réalisation.
Implémentation de FTP Rappel sur FTP Relation entre un site Web et FTP
Qu’est ce qu’une page web? Comment fonctionne un site web?
LES RESEAUX. Besoin de communication LES RESEAUX Pour communiquer via un réseau informatique Support de transmission Carte réseau Éléments de réseau.
Internet Stage – Semaine 5.
Transcription de la présentation:

1 Formation Sécurité réseaux Animée par Gauthier Catteau

2 11 Octobre 2005 Déroulement de la formation ● Les enjeux de la sécurité ● Etat des lieux ● Les acteurs de la sécurité réseau ● Techniques et systèmes ● Comment se protéger ● Limites de la sécurité

3 11 Octobre 2005 Les enjeux de la sécurité ● Qu'est ce que la sécurité d'un système d'information ? – La SSI, c'est l'art de combiner un ensemble de mesures préventives et curatives, à la fois au plan technique et organisationnel en vue de faire face aux menaces que l'on aura pris soin, au préalable, d'identifier et de hiérarchiser. ● Que dois-je protéger, contre qui ou quoi ? – Crime mafieux, politique ou commerciale, le résultat est le même. Mon système d'information doit garder son intégrité et sa disponibilité.

4 11 Octobre 2005 Objectifs ● Lors de la mise en oeuvre d'un dispositif de sécurité, les objectifs suivants se dégagent: 1. La confidentialité des données: Les données ne doivent être connues que par les personnes y étant autorisées. 2. L’intégrité des données: Les données ne doivent être ni détruites ni modifiées de façon indue, que ce soit accidentellement ou par malveillance. 3. La disponibilité des données et des outils: Les données ne doivent pas être perdues, détruites ou rendues inaccessibles. Il s’agit de prévenir des failles de sécurité pouvant surgir lors de la perte de données et lors du recouvrement de ces données. 4. La traçabilité et la transparence des traitements: Il s’agit de journaliser et de suivre les actions et traitements de données afin de pouvoir détecter et, dans la mesure du possible, prévenir que la confidentialité, l'intégralité ou la disponibilité soient compromises.

5 11 Octobre 2005 Etat des lieux ● Multiplication des accès. ● Prise de consience encore faible. ● Vecteurs de risque. – Vers et virus. – Les attaques ciblées. ● Changement de cible: serveurs -> clients ● La sécurité commence par le contrôle à l'entrée des installations – « Empêcher toute personne non autorisée d’accéder aux installations utilisées pour le traitement de données »

6 11 Octobre 2005 La vulnérabilité des systèmes est due: ● Configuration – Système, applicatif... ● Code faillible – débordement de pile – Backdoor volontaire ou non. ● Et aussi... – Matériel pas adapté aux besoins – Contrat de maintenance non souscrit – Politique de sauvegarde – Négligence

7 11 Octobre 2005 Cartographie des types de Vulnérabilités Application SpecificOperating System Logic Error Network Design Protocol Forced Trust Violation TheftSabotage Social engineering Internal Spying Information Fishing Physical Protection PolicyData Protection Policy Policy Oversight Personnel Protection PolicyInformation Devulgance Policy EavesdroppingWeak passwords Weakness Custom Obscure Security Encryption Demande une intéraction avec la victime Immédiat Minutes Heures Jours Mois Années Secondes Automatisation Impossible Complétement automatisable Cause à effet Résultat instantané

8 11 Octobre 2005 Les acteurs de la sécurité réseau ● L'audit – Intranode – Qualys – Nessus ● Les boitiers de sécurité – Checkpoint – Cisco – Fortinet – Netasq – Arkoon ● La prévention – ISS – Snort ● Les antivirus – TrendMicro – Kaspersky – F-secure – Avast – Grisoft – Symantec – Clamav...

9 11 Octobre 2005 Techniques et systèmes ● Technique d'attaques et d'intrusions. ● Description d'une attaque. ● Fonction et utilité d'un scan de port. ● Ecoute de réseau (sniffing) ● Usurpation d'adresses (spoofing) ● Attaque par deni de service

10 11 Octobre 2005 Technique d'attaques et d'intrusions. ● Etude de l'utilisateur cible potentiel – Recherche les question concernant l'architecture dans les forums et listes de diffusions. – Analyse des entêtes mail pour découvrir l'architecture. ● Indentification de la cible – Type d'os, logiciels installés. ● Recherche de faille façile à exploiter. – Faille SSL, injection de code... ● Attaque est prise de contrôle du poste distant par élévation de privilège. ● Installation d'un rootkit et effacement des traces.

11 11 Octobre 2005 Attaques sur les applications Web ● Les différentes sortes d’attaques sur les applications Web sont les suivantes : – Interprétation des URLs – Mauvais contrôle des données entrées par l’utilisateur – Injection de code SQL – Attaques sur les identifiants de session – Cross Site Scripting (XSS)

12 11 Octobre 2005 Les composants d’une application Web et leurs vulnérabilités

13 11 Octobre 2005 Interprétation des URLS Les URLs utilisées dans le cadre d’une application Web sont du type : Chacune de ces parties est susceptible d’être attaquée : – Protocole : on peut par exemple essayer de remplacer le protocole par afin de désactiver une authentification par certificat client. – Serveur : on peut le remplacer par son adresse IP ou par les noms de domaines d’autres sites hébergés sur le même serveur, afin d’avoir accès à d’autres parties du site. – Chemin : on peut tenter de naviguer dans l’arborescence pour accéder à des parties du site non autorisées ou pour remonter dans l’arborescence par l’utilisation de « /../../ », ou en utilisant des vulnérabilités particulières (le bug Unicode d’IIS, par exemple).

14 11 Octobre 2005 Mauvais contrôle des données entrées par l’utilisateur ● La règle à adopter est de ne jamais faire confiance à du code tournant côté client, comme des applets Java par exemple. En effet, ce code pourra toujours être décompilé, analysé et modifié pour effectuer les tâches voulues par un attaquant. ● D’autre part, il existe des caractères spéciaux dont la signification, au sein d’une chaîne alphanumérique, peut respecter une syntaxe particulière au niveau d’un langage de programmation ou d’un système d’exploitation, ce qui peut conduire à l’exécution de commandes hostiles. Ces caractères figurent parmi les suivants : $ % ^ & * ( ) - _ + ` ~ \ | [ ] { } ; : ' " ? /,. > <

15 11 Octobre 2005 Injection SQL L’injection SQL peut être une conséquence directe d’un mauvais contrôle des données entrées par l’utilisateur. En effet, les caractères « ‘ » et « ; » peuvent être utilisés pour enchaîner plusieurs requêtes SQL à la suite l’une de l’autre. Considérons par exemple une page HTML comprenant un formulaire d’authentification avec un champ Login et un champ Password. La requête SQL tournant sur le serveur est la suivante : SELECT user FROM table_users WHERE champ_login=’login’ AND champ_password=’password’ Si maintenant un attaquant saisit la chaîne suivante dans le champ Login : Administrateur’; -- La requête exécutée finalement sera la suivante: SELECT user FROM table_users WHERE champ_login=’Administrateur’; --’ AND champ_password=’password’ Le résultat est un contournement de l’authentification : on se retrouve logué en tant qu’Administrateur.

16 11 Octobre 2005 Description d'une attaque.

17 11 Octobre 2005 Fonction et utilité d'un scan de port.

18 11 Octobre 2005 Ecoute de réseau (sniffing)

19 11 Octobre 2005 Usurpation d'adresses (spoofing)

20 11 Octobre 2005 Attaque par deni de service

21 11 Octobre 2005 Comment se protéger ● Exemple d'architecture ● Limiter les risques ● Mise en place de filtrage IP ● Cloisonnement ● Relais ● Mandataire ● VPN, chiffrement ● Intégrité des données ● Respecter la confidentialité des données ● Assurer la preuve de son identité

22 11 Octobre 2005 Exemple d'architecture

23 11 Octobre 2005 Limiter les risques Pour les failles applicatives, système et la configuration ● Arrêt des services non nécessaires ● Installation des correctifs de sécurité (après validation pour éviter le risque de régression) ● Remplacer les logiciels dont le niveau de sécurité ne peut pas être amélioré (si possible) ● Former les administrateurs et les développeurs

24 11 Octobre 2005 Filtrage IP ● Configuration d'un parfeu. – Présentation de Fwbuilder.

25 11 Octobre 2005 Cloisonnement

26 11 Octobre 2005 Relais

27 11 Octobre 2005 Mandataire ● Les mandataires ou « proxy » ont un roles de plus en plus important dans une architecture sécurisé. – Eviter l'accès direct à internet des clients. – Filtrage d'url. ● Warez sources de virus et backdoor. – Filtrage protocolaire. ● Un tunnel http(s) permet de faire transiter tout sorte de flux. ● Utilisation de proxy cache devant les serveurs.

28 11 Octobre 2005 VPN, chiffrement

29 11 Octobre 2005 Intégrité des données ● Contrôle d'intégrité – Technique permettant de surveiller la modification de fichiers sensibles. – Utilisation d'une fonction de hachage pour calculer une empreinte numérique infalsifiable. ● Inconvéniant: – Détection de la modification à posteriori. – Obligation d'avoir une base d'empreinte sur une machine saine et protégée.

30 11 Octobre 2005 Respecter la confidentialité des données

31 11 Octobre 2005 Assurer la preuve de son identité

32 11 Octobre 2005 Limites de la sécurité ● Les limites du filtrage réseau – Les attaques de niveau 2 – VPN et SSL – Les postes nomades qui passent leur temps à entrer et sortir. ● Limites de la détection d'intrusion. – Fragmentation IP et Segmentation TCP. – Fenêtre d'analyse limitée dans le temps.

33 11 Octobre 2005 Conclusion ● La sécurité est un tout – Bon sens, prudence et professionnalisme – Formation des utilisateurs et veille technologique

34 11 Octobre 2005 Fin Merci pour votre attention.