La Sécurité des Réseaux Informatiques Copyright © 2002 (thegrima at altern dot org)

Introduction Cadre de ce document Cible de ce document Statut de ce document

Préambule ➢ L'élèctronique et l'informatique envahissent chaque composante de la société humaine. ➢ Chacun de ces pôles d'information vont se retrouver interconnectés. ➢ La technologie donne de grands espoirs, mais amène aussi son lot de questions. Les machines sont-elles fiables ? Est-il possible qu'elles ne remplissent pas leur rôle ? Ou qu'on ne les détourne de ce rôle ? Cadre ➢ Focalisation sur la sécurité des réseaux utilisant les protocoles IP, TCP et Ethernet. ➢ Ils sont des standards de facto. Cibles ➢ Le document se veut technique mais accessible pour une personne ayant des connaissances de base en informatique. ➢ Administrateur réseau (ou toute autre personne) désirant acquérir des notions de base concernant la sécurité des réseaux.

Statut ➢ Le document maître, sous quelque forme que ce soit, et cette présentation sont distribués sous la GNU Free Documentation licence (GNU FDL) v1.1. Vous pourez trouver un exemplaire de cette licence en annexe n°I du document principal. ➢ Ce document et la présentation ont entiérement été composés à l'aide d'outils Libres et Open Source. Ce document a été composé a l'aide de OpenOffice sous un système GNU/Linux, dans le but de promouvoir l'utilisation à grande échelle des outils libres.

Introduction aux réseaux Modèle OSI Ethernet ARP IP TCP UDP ICMP Architecture Client/Serveur

Modèle OSI Modèle théorique défini l'ISO. Communication scindée en 7 couches. Chaque couche ne pouvant interagir qu'avec les couches contigües. Chaque couche définit un protocole. Les données sont encapsulées dans les couches inéfieures. Lors d'une communication, chaque couche semble ne parler qu'avec la couche identique de l'autre machine.

Ethernet Adresse unique et universelle, représentée sur 48 bits (exemple de notation: 08:00:20:0C:F3:4C). Permet de transporter des données entre des machines connectées physiquement. Assure l'intégrité des données transportées grâce à un checksum.

ARP Le but de l'ARP est de trouver l'adresse ethernet d'une machine distante dont on ne connait que l'adresse de la couche réseau (ex: l'adresse IP). Fonctionne sur un systéme de requête/réponse en deux temps. Comme pour Ethernet, ARP ne fonctionne que sur un réseau local.

IP IP est la base d'Internet, il permet à différents ordinateurs de communiquer sur de grandes distances. Il assure sans connexion un service non fiable de délivrance de paquets IP. Deux paquets IP issus de la même machine et ayant la même destination peuvent ne pas suivre obligatoirement le même chemin. Adresse IP unique, représentée par un entier de 32 bits (exemple de notation: ). Peut-être routé vers la destination et fragmenté si cela s'avére nécessaire.

TCP TCP permet de créer un dialogue entre deux machines qui s'envoient des données par le protocole IP. Mode Connecté : une communication s'établit préalablement par un échange de message mettant en place la connexion qui sera abandonnée à la fin de l'échange (les datagrammes seront liés les un aux autres). Sécurité : TCP assure que tous les datagrammes sont transmis et recus dans l'ordre par le récepteur grâce au processus d'acquittement. Full-Duplex : communication dans les deux sens des informations de contrôle et des données Identification des communications entre applications grâce à la notion de port (exemple: port 80 pour le HTTP). UDP Le protocole UDP n'ajoute pas de service particulier par rapport à IP, il permet seulement le multiplexage/démultiplexage des communications entre applications grâce à la notion de port. Non fiable, mode non-connecté, pas de réordonnancement

ICMP ICMP permet d'envoyer des messages d'erreur à d'autres ordinateurs. Le but d'ICMP n'est pas de fiabiliser le protocole IP, mais de fournir le compte-rendu d'une erreur détectée lors d'une transmission. Notion de Client/Serveur Un système client/serveur fonctionne selon ce schéma: Le client émet une requête vers le serveur grâce à son adresse et le port, qui désigne un service particulier du serveur Le serveur reçoit la demande et répond à l'aide de l'adresse de la machine cliente et son port.

Principes Fondamentaux de sécurité Services à assurer Notions à protéger Types d'agressions Types d'agresseurs Trois notions fondamentales

Services à assurer Disponibilité : garantie de la continuité du service. Intégrité : garantie que l'information n'est pas altérée. Confidentialité : garantie que de l'information n'est pas divulguée à des tiers non autorisés (frauduleusement ou non)

Notions à protéger Vos données : les informations (fichiers, traitements) qui sont sur les ordinateurs, pour qu'elles ne soient pas : rendues indisponibles. détruites ou altérées. Accédées si elles sont confidentielles. Vos ressources : le temps CPU, l'espace disque, le réseau (la bande passante, le volume). Votre réputation (institutionnelle, professionnelle ou personnelle), votre responsabilité.

Types d'agressions L'intrusion, d'où qu'elle vienne (par le réseau, via un terminal local, via un programme). Le déni de service (Denial of Service ou DoS) : atteinte à la disponibilité (conséquence très connue des virus). Le vol d'informations. Il n'est pas nécessaire de pénétrer un système pour obtenir de l'information (écoute du réseau par exemple).

Types d'agresseurs Les plaisantins, le piratage ludique Les vandales Les compétiteurs La stupidité, les accidents Les services de renseignements Les agressions à but lucratif

Trois notions fondamentales Un Pirate informatique est plus compétent que vous et à plus de temps à y consacrer que vous. Dans une proportion importante, les agressions volontaires ont une cause interne. Raisonnez comme les agresseurs !

Atteinte à la sécurité du réseau Méthode d'un piratage Prise d'informations Prise de contrôle Infiltration Déni de Service Virus

Méthode générale d'un piratage La prise d'informations Informations identitaires principalement utilisées dans une attaque de type Social Engeenering (SE ou «manipulation sociale»). Informations techniques Le scan TCP (nmap) Prise d'empreinte de la pile IP

La prise de contrôle Agression externe Social Engeenering Buffer overflow Failles CGI Agression interne Interception de paquet Détournement de session

L'infiltration Trojan / Backdoor Netbus BackOrifice Modification du système

Déni de Service Attaque de type paralysante. Elle va compromettre la disponibilité de votre réseau. Envoi d'énormes flots de données. Le serveur va tenter de traiter ce flux, ce qui va provoquer une forte consommation de ses ressources. Smurf: DdoS: Utilisation de réseaux distribués pour attaquer une cible.

Virus Un virus se définit par : tout programme d'ordinateur capable d'infecter un autre programme d'ordinateur en le modifiant de façon à ce qu'il puisse à son tour se reproduire. Il existe une vaste gamme de virus, classés selon leur mode de propagation (vers, parasite, macro-virus, polymorphe). Le risque principal des virus vient de l'utilisation massive et monopolitique d'outils bien connus mais mal sécurisés.

Sécurisation d'un réseaux Politique de sécurité Architecture de sécurité (DMZ) Mesure de sécurité préventive Mots de passe Cryptage Sauvegardes Administration Intervention d'une société

Politique de Sécurité Il s'agit d'un ensemble de règles qui définissent ce qui est autorisé, selon les besoins, et ce qui est interdit (en principe tout le reste). Définir avec les utilisateurs du réseau la politique de sécurité. Ces règles doivent s'appliquer à tous, y compris à l'administrateur du réseau... La sensibilisation et le respect des règles par tous éviteront toutes les attaques de type Social Engeenering. Une bonne politique est toujours un compromis entre sûreté et facilité d'utilisation du réseau.

Architecture de Sécurité, la DMZ Adopter une architecture basée autour d'une zone tampon nommée Zone Démilitarisée ou DMZ permet de renforcer la sécurité. Importance de la configuration des firewalls.

Mesure de sécurité préventive Les Mots de Passes Il est facile à retenir par l'utilisateur: Le mot de passe lui rappelle quelque chose dont il se souvient sans peine. Il est difficile à deviner : il est suffisamment long; ne figure SURTOUT pas dans le dictionnaire. Il vaut donc mieux ne pas imposer un changement de password trop fréquent. Utilisation de John The Ripper pour vérifier la solidité des passwords.

Le Cryptage Le cryptage est une méthode infaillible pour protéger vos données. Un message crypté garanti que les informations ne peuvent ni être interceptées ni modifiées. Le cryptage peut être appliqué à énormément de choses, par exemple pour l'administration distante d'un système Impossible d'utiliser les techniques que nous avons passées en revue (snif, MiM).

Les Sauvegardes Une mesure de sécurité de base est de faire des sauvegardes ponctuelles de vos données. Une sauvegarde régulière sur un support non volatil et réputé sûr (CD-Rom) permettra de restaurer facilement les données en cas de sinistre Administration du réseau Analyse régulière des logs Mise à jour des anti-virus Rester informé des dernières évolutions en matière de sécurité informatique Vérification que les logiciels utilisés par les systèmes administrés sont à jour et ne possèdent pas de failles connues.

Intervention d'une société Audit de sécurité Analyse technique (points d'entrée sur le réseau, équipements de sécurité, protocoles mis en oeuvre, etc.). Analyse organisationnelle (politique de sécurité). Test d'intrusion Failles détectées et attaques pouvant être menées. Donne une liste de conseils pour améliorer la sécurité (infrastructure existante et nouvelle). Après une intrusion Permet une analyse correcte de ce qui a été compromis et de ce qui a permis aux pirates de pénétrer votre système.

Conclusion La sécurité nécesite la sensibilisation et la participation active à la politique de sécurité de l'ensemble des utilisateurs. L'utilisateur est remis au centre des préoccupations. La sécurité nécessite une personne qualifiée et formée à cette tâche. Une politique claire et explicite permet de renforcer la sécurité au profit de tous. La sécurité informatique doit s'envisager au regard de ces quatre points : ouverture, formation, sensibilisation et participation.

Bibliographie Livres Micro Application, TCP/IP, collection PC Poche, 2001 BLAESS (Christophe), Programmation système en C sous Linux, édition Eyrolles, 2002 PARKER (Tim), LINUX Ressources d'Experts, édition Campus Press, 1999 GRENIER (Christophe), Netfilter: firewalling sous linux, dans GNU/Linux & Hurd Magazines numéro 39, mai 2002, page 59 Liens Entreprise belge de sécurité informatique : Site personnel : L'ensemble des liens peut être trouvé dans le document principal distribué notamment sur le site précédent.