Sécurité informatique 1. Concept Général Sécurité informatique
But de la sécurité informatique Prévention Mots de passes forts blocages des ports non utilisés auto-logout auto-lock ...
But de la sécurité informatique Détection Antivirus Firewall Fichiers de Logs / Alerte …
Sécurité informatique Réponse transactions annulées blocage du système suppression de fichiers quarantaine ….
Les processus de sécurité
Antivirus scanne: mémoire, disques, e-mail mise à jour du fichier définition des virus mode heuristique
Contrôle d’accès / Access Control Security Administrator Authentication Database Authentication Barrier Access Control Barrier Objects User Reference Monitor
Contrôle d’accès / Access Control MAC : Mandatory access control Droits et privilèges sur les ressources -> administrateur Pas de partage dynamique de ressources partage pré-établis
Contrôle d’accès / Access Control MAC : Mandatory access control Etiquettes sur toutes les ressources r Fichier R W X
Contrôle d’accès / Access Control DAC : Discretionary Access Control dynamique, souple l’utilisateur peut partager ses fichiers ou les fichiers d’autres utilisateurs pas d’étiquetage obligatoire
Contrôle d’accès / Access Control RBAC : Role based access control attribution de rôles aux utilisateurs : Admistrator role backup operator role Salesperson role
Authentification prouve l’identité des utilisateurs Identification : login Authentification : password
PAP : password authentication protocol Authentification PAP : password authentication protocol authentification la plus simple pas de réel sécurité login/pass envoyés en clair
Authentification PAP : password authentication protocol
Authentification CHAP : Challenge Handshake Authentication protocol pas d’envoi de login/mot de passe le server Chap lance un défi au client chaque partie partage un « secret » (mot de passe) commun
Authentification
Authentification (1) Le client envoie sont LOGIN en clair
Authentification
Authentification (2) Le Serveur se sert du mot de passe du client comme clé d’ encryption pour le message aléatoire « challenge » Mot de passe du client stocké dans la BD Serveur « Challenge » crypté avec le mot de passe client « challenge » message aléatoire crypté Challenge : N (integer) challenge crypté: XFNET Envoi au client par le réseau
Authentification
Authentification (3) Le client décrypte le challenge avec sa clé = mot de passe
Authentification
Authentification (4) Le client ré-encrypte le message avec sa clé Envoie au Serveur par le réseau
Authentification
Authentification (5-6) Le Serveur décrypte le message avec la clé du client stocké dans sa BD N = N Authentification réussie
Authentification Certificats Serveur délivrant certificats certificats électroniques cartes électroniques expiration
Jetons ( security token ) Authentification Jetons ( security token ) privilèges inscrits dans le jeton destruction du jeton en fin de session
Authentification Kerberos Authentification unique / accès à plusieurs ressources
Authentification Authentification multiple
Protocoles et services réseaux Plus de protocoles ou services Plus de vulnérabilités
Protocoles et services réseaux Mail Web Telnet FTP ( mot de passes en clair ) NNTP : Network news Transfer protocol DNS: domain name service
Protocoles et services réseaux IM: Instant messaging ICMP: Internet control message protocol ping
Design Sécurisé des SI
Confidentialité accès autorisé aux données éviter toute divulgation d’informations sensibles
Intégrité données réputées conformes pas de modifications non contrôlées
Disponibilité – Tolérance de panne Le SI est accessible par tous Tous les services proposés sont disponibles selon un certain degré: 99% 99.9% 99.9999%
Comptabilité qui a accédé à 1 ressource ? qui a modifié celle-ci? fichiers/bd de logs fichiers de logs: enregistrement des opérations effectuées sur le SI authentification, échecs d’authentification, liste des adresses IP des clients connectés,…
Création de Zones de sécurité INTERNET : réseau global
Création de Zones de sécurité INTRANET: réseau privé accès impossible depuis Internet
Création de Zones de sécurité EXTRANET: extension du réseau privé pour sites distants ou partenaires
Création de Zones de sécurité
Création de Zones de sécurité DEMILITARIZED ZONE (DMZ) Zone de mise à l’écart de certain serveurs Séparation avec votre intranet Serveurs accessibles par des utilisateurs de niveau de confiance faible (Internet)
DEMILITARIZED ZONE (DMZ)
Création de Zones de sécurité VLAN (Virtual local area Network) Switch port Sous-réseaux séparation logique du réseau séparation des domaines de broadcast interconnexion: Routeurs ou Switch trunkmode
Création de Zones de sécurité
Création de Zones de sécurité NAT: NETWORK ADRESS TRANSLATION plusieurs connexions présentées en 1 seule partage d’une adresse IP ( en général addresse publique adresse Internet) par un pool d’adresse IP ( en général addresse privé adressa de réseau local, LAN, ex: 192.168.0.1-254) trafic interne masqué adresse privéIp du réseau local)
NAT
Création de Zones de sécurité Tuneling Connexion dédiée virtuelle entre 2 systèmes Ex: VPN
Création de Zones de sécurité
Attaques Internes et Externes