Secinf

SECURITE INFORMATIQUE
RSUM
La scurit est un enjeu majeur des technologies numriques modernes. Avec le dveloppement de l'Internet et de la notion du partage en gnral, les besoins en scurit sont de plus en plus importants. Le dveloppement dapplications Internet telles que le commerce lectronique, les applications mdicales ou la vidoconfrence, implique de nouveaux besoins comme, lidentification des entits communicantes, lintgrit des messages changs, la confidentialit de la transaction, lauthentification des entits, lanonymat du propritaire du certificat, lhabilitation des droits, la procuration, etc.. Quil sagisse de donnes mdicales, fiscales ou bancaires, le besoin en scurit est essentiel afin de crdibiliser le systme, tout en respectant la fois les besoins des utilisateurs et des applications. Cette scurit a nanmoins un prix : celui de ltablissement de la confiance entre les partenaires en communication. La confiance des utilisateurs passe par la scurisation des transactions, en utilisant par exemple le chiffrement, la signature lectronique et les certificats. Le travail prsent dans ce mmoire, consiste en la proposition dune architecture rseau scurise Ce mmoire sera constitu de deux grandes parties. La premire traitera, les enjeux actuels de la scurit dans le monde, les types dattaques qui sappuient essentiellement sur des vulnrabilits humaines, systmes et logiciels. Puis on parlera des technologies et des solutions mises en place sur le march afin de mieux scuriser son rseau dentreprise. Dans la seconde partie, on dploiera une maquette de scurit complte selon une architecture bien spcifique afin de pallier aux problmes cits dans la premire partie.
TABLE DES MATIRES
INDEX DES FIGURES

FIGURE 1 : SCHMA RSEAU COMPLET DE LA MAQUETTE................................................................8 FIGURE 2 : SCHMA D'UNE ARCHITECTURE RSEAU UTILISANT UN FIREWALL.....................25 FIGURE 3 : TABLISSEMENT DE LA CONNEXION ENTRE UN CLIENT ET UN SERVEUR FTP EN PASSANT PAR UN FIREWALL........................................................................................................................27 FIGURE 4 : CHOIX DES FIREWALL DANS UNE ARCHITECTURE RSEAU......................................29 FIGURE 5 : FONCTIONNEMENT DU NAT....................................................................................................33 FIGURE 6 : EXEMPLE DE DPLOIEMENT DIDS ET DIPS AU SEIN DUN RSEAU DENTREPRISE...................................................................................................................................................54 FIGURE 7 : LE GNRATEUR MEG CORRLE DE MULTIPLES VNEMENTS POUR DTECTER LA PRSENCE DUN VER..........................................................................................................56 FIGURE 8 : LE GNRATEUR MEG CORRLE DE MULTIPLES VNEMENTS DE FAIBLE GRAVIT POUR GNRER UN UNIQUE VNEMENT DE PRSENCE DE VER..............................56 FIGURE 9 : LVALUATION DU RISQUE AMLIORE LA PRCISION DES ACTIONS DE PRVENTION IPS...............................................................................................................................................57 FIGURE 10 : CRAN D'ENREGISTREMENT DES UTILISATEURS........................................................59 FIGURE 11 : WEBSENSE ENTERPRISE MANAGER..................................................................................61
-4-
INDEX DES TABLEAUX

TABLEAU 1 : AVANTAGES ET INCONVNIENTS D'UN FIREWALL BRIDGE...................................30 TABLEAU 2 : AVANTAGES ET INCONVNIENTS D'UN FIREWALL MATRIEL.............................31 TABLEAU 3 : AVANTAGES ET INCONVNIENTS D'UN FIREWALL PERSONNEL..........................31 TABLEAU 4 : AVANTAGES ET INCONVNIENTS D'UN FIREWALL PLUS SRIEUX.....................31 TABLEAU 5 : APPROCHE COMPORTEMENTALE OU APPROCHE PAR SCNARIOS ?.................39
-5-
Objectifs
Lobjectif de cette partie est de traiter les points suivants :

Prsentation du projet Enjeux de la scurit au sein de lentreprise Dfinition des technologies uvrant pour la scurit des rseaux Prsentation des solutions de scurit rseau existantes sur le march
-6-
I. PRSENTATION DU PROJET
1. Objectif
La scurit informatique est tout un processus . Afin de garder un trs bon niveau de scurit, il faut des contrles rguliers (audits / tests dintrusion), des rgles respectes (politiques de scurit) et des solutions intelligemment dployes (Firewalls applicatifs, Proxies, etc.). Le tout fait que la scurit converge vers des niveaux satisfaisants mais jamais parfaits. Si une composante s'affaiblit c'est tout le processus qui est en danger. Lobjectif du projet est de rpondre une partie de la problmatique de la scurit Informatique au sein des entreprises marocaines. La solution propose au niveau de ce projet ne cadre que la partie lie larchitecture rseau, qui reprsente un maillon parmi dautres dans la politique de scurit de lentreprise. Cette solution a t conue de faon modulaire dans le but de respecter les diffrents besoins des entreprises. Allant de la simple utilisation dun Firewall jusqu lutilisation des certificats avec les PKI Public Key Infrastructure pour lauthentification, le VPN Virtual Private Network IPSEC pour le cryptage des donnes et les IDS Intrusion Detection System intrusions. Le modle rseau de lentreprise qui sera utilis lors de ce projet est celui mentionn dans la Figure 1 se trouvant ci-dessous. pour la dtection des
-7-
Figure 1 : Schma rseau complet de la maquette Ce modle est constitu de quatre grandes parties qui sont les suivantes :
Extrieur : Cette partie concerne toutes les entits qui sont lextrieur de lentreprise. Ces entits peuvent tre des commerciaux nomades qui transmettent leurs donnes, des employs qui veulent avoir accs leurs comptes, des internautes voulant naviguer sur le site institutionnel de lentreprise ou des partenaires commerciaux qui veulent faire des changes travers lExtranet de lentreprise.
DMZ Publique : Cette partie de larchitecture contiendra les serveurs et les services accessibles de lextrieur. On trouvera par exemple le serveur Web, le serveur de messagerie, le serveur de rsolution de Noms DNS et le serveur dantivirus pour analyser le trafic entrant. Cette partie sera au rseau interne seulement pour la messagerie.
DMZ Prive : Cette DMZ est plus scurise que la DMZ Publique. Elle sera seulement accessible partir du rseau Interne et de la DMZ Publique selon des rgles bien dfinies. Cette partie contiendra un serveur dauthentification et un serveur de clefs pour lauthentification des utilisateurs. Un proxy-cache et un filtre Web. Enfin, on mettra un serveur dapplications spcifiques lentreprise.
-8-
Rseau Interne : Cette partie regroupera les diffrents utilisateurs de lentreprise. Elle doit tre la plus scurise des diffrentes autres parties. Cest pour cela quelle nest pas accessible de lextrieur.
Il est noter quon a utilis des IDS au niveau de chaque Firewall afin danalyser le trafic rseau, et de remonter toute anomalie ou comportement anormal qui peut correspondre une attaque. Toutes les technologies qui ont t mentionnes dans ce chapitre, seront expliques en dtail dans le chapitre 3 de ce document.
-9-
SECURITE INFORMATIQUE II. Enjeux de la scurit au sein de lentreprise.

Avant daborder le domaine technique, il est prfrable de prendre un peu de recul et de considrer la scurit dans son ensemble, pas comme une suite de technologies ou de processus remplissant des besoins bien spcifiques, mais comme une activit part entire pour laquelle sappliquent quelques rgles (axiomes) simples.
Pour une entreprise ou une institution connecte lInternet, le problme nest pas savoir si on va se faire attaquer mais quand cela va arriver. Une solution est donc de repousser le risque dans le temps et dans les moyens mettre en uvre en augmentant le niveau de scurit permettant dcarter les attaques quotidiennes, pas forcment anodines et non spcifiquement cibles.
Aucun systme dinformation nest 100% sr.
Ces deux premires rgles ne sont pas du tout les manifestations dune paranoa mais bien un simple constat quil est bon davoir toujours en tte pour ne pas se sentir tort labri de tout danger . En scurit informatique, on ne parle pas dliminer compltement les risques mais de les rduire au minimum par rapport aux besoins/contraintes daffaires. Il ne faut pas oublier non plus de considrer les actions provenant de lintrieur de lorganisation, qui forment une partie (la majorit selon certaines donnes) non ngligeable des sources dattaques.
1. La scurit informatique : Cest quoi ?

Nous pouvons considrer que la scurit informatique est divis e en deux grands domaines :

La scurit organisationnelle La scurit technique
La scurit organisationnelle concerne la politique de scurit dune socit (code de bonne conduite, mthodes de classification et de qualification des risques, plan de secours, plan de continuit, ). Une fois la partie organisationnelle traite, il faut mettre en uvre toutes les recommandations, et plans dans le domaine technique de linformatique, afin de scuriser les rseaux et systmes : cet aspect relve de la scurit technique. Le primtre de la scurit est trs vaste :

La scurit des systmes dinformation La scurit des rseaux La scurit physique des locaux La scurit dans le dveloppement dapplications
- 10 -

La scurit des communications La scurit personnelle
Un risque se dfinit comme une combinaison de menaces exploitant une vulnrabilit et pouvant avoir un impact. De manire gnrale, les risques sont soit des causes (attaques, pannes, ) soit des consquences (fraude, intrusion, divulgation ). Les objectifs de la scurit sont simples : empcher la divulgation de donnes confidentielles et la modification non autorise de donnes. Nous retrouvons ainsi les principes fondamentaux de la scurit :

La confidentialit, Lintgrit, Lauthentification, Le contrle daccs, La non rpudiation1.
Une seule entrave lun de ces principes remet toute la scurit en cause.
2. La scurit informatique : Pourquoi ?

Une politique de scurit informatique mal gre peut conduire trois types dimpacts ngatifs :

La pntration dun rseau, Le vol ou dtrioration dinformations, Les perturbations.
La pntration dun rseau ou systme peut se faire soit par vol didentit soit par intrusion. Ce vol didentit peut se faire par vol du nom dutilisateur/mot de passe de connexion au systme dinformation. Tous les moyens sont bons pour obtenir des informations. On peut citer titre dexemples :

1
Lcoute des rseaux, Lingnierie sociale2,
Assurance qu'un message est bien parti d'un metteur spcifi pour arriver un rcepteur lui aussi spcifi. En fait, c'est surtout l'metteur qui est vis, il ne peut pas rpudier son message (dire qu'il ne l'a pas envoy)
2
Approche utilise afin de soutirer des informations un utilisateur sans mme quil ne sen rende compte. Par exemple, voler une carte de crdit, puis tlphoner au possesseur lgitime de la carte en se faisant passer pour sa banque, et lui demander son code confidentiel. Ce genre de techniques se base sur la navet et le manque de suspicion des gens. - 11 -
Ou tout simplement le fait de regarder par-dessus lpaule de lutilisateur qui sauthentifie.
La pntration dun rseau ou systme peut aussi se faire distance ; par exemple un hacker3 peut pntrer le rseau via un serveur de messagerie. Mais il existe dautres mthodes moins visibles, comme linstallation dun logiciel linsu de lutilisateur, suite la lecture dune page web sur un site. Ainsi un script contenu dans la page web charge, peut envoyer des messages de votre logiciel de messagerie vers dautres personnes.
.3. La scurit informatique : Comment ?

Des produits existent sur le march, qui permettent dviter ces problmes. Nous trouverons par exemple des antivirus, des Firewall, du VPN, de la signature numrique, du proxy4, etc. Chacune des ces technologies ou produits dispose dune couverture spcifique. Par exemple, lantivirus va permettre de bloquer les virus ou Chevaux de Troie entrants par la messagerie ou par change de fichiers. Le trs connu firewall, dont la configuration nest ni simple, ni rapide va permettre de filtrer les changes entre deux rseaux afin de limiter les accs, et de dtecter les ventuelles tentatives dintrusion. Une fonctionnalit supplmentaire a tendance se retrouver intgre dans les firewalls : le VPN. Celui-ci permet de garantir la confidentialit des changes dinformations passant par son intermdiaire en chiffrant5 le flux dinformations. Il est possible de mettre en outre une signature numrique en place. Ainsi, dans le systme de messagerie, le destinataire du message sera certain de lidentit de lmetteur et de lintgrit 6 du message. Il pourra tre le seul lecteur si le message a t chiffr (clef priv e/clef publique). Le serveur Web reste vulnrable, car accessible directement depuis lextrieur du rseau. La mise en place dun reverse proxy 7 rsout laffaire. En effet, toute tentative de connexion au serveur Web parvient au serveur proxy, qui lui-mme envoie une requte au serveur Web. Ainsi le serveur Web nest plus accessible depuis lextrieur du rseau. Les certificats tant utiliss pour la messagerie, pour les VPN ou pour chiffrer les documents, il est possible de regrouper tous ces certificats dans une PKI. La PKI est un
Serveur recevant des requtes qui ne lui sont pas destines et qui les transmet dautres serveurs.
5
Assurance que le contenu de l'information n'a pas t altr ou modifi au cours d'un change. 7 Comme un serveur proxy, mais prservant les accs directs depuis lInternet vers les serveurs internes. - 12 -
systme de gestion de clef publique permettant den assurer la fiabilit. La PKI pose des problmes organisationnels mais pas techniques.
- 13 -
III. DFINITION DES TECHNOLOGIES UVRANT POUR LA SCURIT

DES RSEAUX
1. La Cryptologie
La cryptographie permet l'change sr de renseignements privs et confidentiels. Un texte comprhensible est converti en texte inintelligible (chiffrement), en vue de sa transmission dun poste de travail un autre. Sur le poste rcepteur, le texte chiffr est reconverti en format intelligible (dchiffrement). On peut galement utiliser la cryptographie pour assurer l'authentification, la non-rpudiation et l'intgrit de l'information, grce un processus cryptographique spcial appel signature numrique. Celle-ci permet de garantir l'origine et l'intgrit de l'information change, et aussi de confirmer l'authenticit d'un document.
1.1 Cryptographie Symtrique

La cryptographie classique repose sur l'utilisation d'une clef mathmatique qui sert au chiffrement et au dchiffrement des donnes. Ainsi, pour faire parvenir un message de faon sre, il faut le chiffrer l'aide d'une clef connue uniquement de l'expditeur et du destinataire, puis faire parvenir au destinataire prvu la fois le message et la clef de faon ce que seul celui-ci puisse dcoder le message. La cryptographie classique est galement appele cryptographie symtrique.
1.2 Cryptographie Asymtrique

La cryptographie clef publique utilise deux clefs. La premire demeure prive, tandis que la seconde est publique. Si l'on utilise la clef publique pour chiffrer un message, la clef prive permet de le dchiffrer. Autrement dit, il suffit de chiffrer un message expdier l'aide de la clef publique du destinataire, et ce dernier peut ensuite utiliser la clef prive pour le dchiffrer
1.3 La signature numrique

La cryptographie clef publique 8 rend possible l'utilisation des signatures numriques. Celles-ci permettent de corroborer l'origine d'un message. Pour signer un message, on utilise une fonction mathmatique qui produit un rsum du message (Hash). Le rsum obtenu est chiffr l'aide de la clef prive de l'expditeur. Le rsultat, qui constitue la signature numrique, est annex au message. Le destinataire du message peut ensuite s'assurer de l'origine du message et de l'intgrit de l'information qu'il contient en dchiffrant la signature numrique au moyen de la clef publique de l'expditeur, puis en comparant le rsultat avec le rsum obtenu en appliquant la mme fonction mathmatique au message reu. Cela semble un peu compliqu, mais en pratique, il suffit de cliquer sur une icne l'cran pour lancer tout le processus.
2. VPN Virtual Private Network

8
- 14 -
VPN ont aujourdhui pris une place importante dans les rseaux informatique et linformatique distribues. Nous verrons ici quelles sont les principales caractristiques des VPN. Nous nous intresserons ensuite au protocole IPSEC permettant leur mise en place.
2.1 Principe gnral

Un rseau VPN repose sur un protocole appel protocole de tunneling . Ce protocole permet de faire circuler les informations de l'entreprise de faon crypte d'un bout l'autre du tunnel. Ainsi, les utilisateurs ont l'impression de se connecter directement sur le rseau de leur entreprise. Le principe de tunneling consiste construire un chemin virtuel aprs avoir identifi l'metteur et le destinataire. Par la suite, la source chiffre les donnes et les achemine en empruntant ce chemin virtuel. Afin d'assurer un accs ais et peu coteux aux intranets ou aux extranets d'entreprise, les rseaux privs virtuels d'accs simulent un rseau priv, alors qu'ils utilisent en ralit une infrastructure d'accs partage, comme Internet. Les donnes transmettre peuvent tre prises en charge par un protocole diffrent d'IP. Dans Ce cas, le protocole de tunneling encapsule les donnes en ajoutant un en-tte. Le tunneling est l'ensemble des processus d'encapsulation, de transmission et de dsencapsulation.
2.2 Fonctionnalits des VPN

2.2.1 Les VPN daccs Le VPN d'accs est utilis pour permettre des utilisateurs itinrants d'accder au rseau priv. L'utilisateur se sert d'une connexion Internet pour tablir la connexion VPN. Il existe deux cas :
L'utilisateur demande au fournisseur d'accs de lui tablir une connexion crypte vers le serveur distant : il communique avec le NAS (Network Access Server) du fournisseur d'accs et c'est le NAS qui tablit la connexion crypte.
L'utilisateur possde son propre logiciel client pour le VPN auquel cas il tablit directement la communication de manire crypte vers le rseau de l'entreprise.
Les deux mthodes possdent chacune leurs avantages et leurs inconvnients :
La premire permet l'utilisateur de communiquer sur plusieurs rseaux en crant plusieurs tunnels, mais ncessite un fournisseur d'accs proposant un NAS compatible avec la solution VPN choisie par l'entreprise. De plus, la demande de connexion par le NAS n'est pas crypte, ce qui peut poser des problmes de scurit.
Sur la deuxime mthode, ce problme disparat puisque l'intgralit des informations sera crypte ds l'tablissement de la connexion. Par contre, cette solution ncessite que chaque client transporte avec lui le logiciel, lui permettant d'tablir une communication crypte.
- 15 -
Quelle que soit la mthode de connexion choisie, Ce type d'utilisation montre bien l'importance dans le VPN d'avoir une authentification forte des utilisateurs. Cette authentification peut se faire par une vrification "login / mot de passe".
2.2.2 LIntranet VPN

L'intranet VPN est utilis pour relier au moins deux intranets entre eux. Ce type de rseau est particulirement utile au sein d'une entreprise possdant plusieurs sites distants. Le plus important dans ce type de rseau est de garantir la scurit et l'intgrit des donnes. Certaines donnes trs sensibles peuvent tre amenes transiter sur le VPN (base de donnes clients, informations financires...). Des techniques de cryptographie sont mises en uvre pour vrifier que les donnes n'ont pas t altres. Il s'agit d'une authentification au niveau paquet pour assurer la validit des donnes, de l'identification de leur source ainsi que leur non-rpudiation. La plupart des algorithmes utiliss font appel des signatures numriques qui sont ajoutes aux paquets. La confidentialit des donnes est, elle aussi, base sur des algorithmes de cryptographie. La technologie en la matire est suffisamment avance pour permettre une scurit quasi parfaite. Le cot matriel des quipements de cryptage et dcryptage ainsi que les limites lgales interdisent l'utilisation d'un codage infaillible . Gnralement pour la confidentialit, le codage en lui-mme pourra tre moyen faible, mais sera combin avec d'autres techniques comme l'encapsulation IP dans IP pour assurer une scurit raisonnable.
2.2.3 LExtranet VPN

Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires. Elle ouvre alors son rseau local ces derniers. Dans ce cadre, il est fondamental que l'administrateur du VPN puisse tracer les clients sur le rseau et grer les droits de chacun sur celui-ci. 2.2.4 Caractristiques fondamentales dun VPN Un systme de VPN doit pouvoir mettre en uvre les fonctionnalits suivantes :
Authentification d'utilisateur. Seuls les utilisateurs autoriss doivent pouvoir s'identifier sur le rseau virtuel.
Gestion d'adresses. Chaque client sur le rseau doit avoir une adresse prive. Cette adresse prive doit rester confidentielle. Un nouveau client doit pourvoir se connecter facilement au rseau et recevoir une adresse.
Cryptage des donnes. Lors de leurs transports sur le rseau public les donnes doivent tre protges par un cryptage efficace.
Gestion de clefs. Les clefs de cryptage pour le client et le serveur doivent pouvoir tre gnres et rgnres.
2.3 Protocoles utiliss pour raliser une connexion VPN

2.3.1 Le protocole IPSEC
- 16 -
IPSEC, dfinit par la RFC 2401, est un protocole qui vise scuriser l'change de donnes au niveau de la couche rseau. Le rseau IPV4 tant largement dploy et la migration vers IPV6 tant invitable, mais nanmoins longue, il est apparu intressant de dvelopper des techniques de protection des donnes communes IPV4 et IPV6. Ces mcanismes sont couramment dsigns par le terme IPSEC pour IP Security Protocols. IPSEC est bas sur deux mcanismes. Le premier, AH, pour Authentication Header vise assurer l'intgrit et l'authenticit des datagrammes IP. Il ne fournit par contre aucune confidentialit : les donnes fournies et transmises par ce protocole ne sont pas encodes. Le second, ESP, pour Encapsulating Security Payload peut aussi permettre l'authentification des donnes mais est principalement utilis pour le cryptage des informations. Bien qu'indpendants ces deux mcanismes sont presque toujours utiliss conjointement. Enfin, le protocole IKE permet de grer les changes ou les associations entre protocoles de scurit. Avant de dcrire ces diffrents protocoles, nous allons exposer les diffrents lments utiliss dans IPSEC. Les mcanismes mentionns ci-dessus font bien sr appel la cryptographie et utilisent donc un certain nombre de paramtres (algorithmes de chiffrement utiliss, clefs, mcanismes slectionns...) sur lesquels les tiers communicants doivent se mettre d'accord. Afin de grer ces paramtres, IPSEC a recours la notion d'association de scurit (Security Association, SA). Une association de scurit IPSEC est une connexion simplexe qui fournit des services de scurit au trafic qu'elle transporte. On peut aussi la considrer comme une structure de donnes servant stocker l'ensemble des paramtres associs une communication donne. Une SA est unidirectionnelle ; en consquence, protger les deux sens d'une communication classique requiert deux associations, une dans chaque sens. Les services de scurit sont fournis par l'utilisation soit de AH soit de ESP. Chaque association est identifie de manire unique l'aide d'un triplet compos de :

L'adresse de destination des paquets, L'identifiant du protocole de scurit utilis (AH ou ESP), Un index des paramtres de scurit (Security Parameter Index, SPI). Un SPI est un bloc de 32 bits inscrit en clair dans l'en-tte de chaque paquet chang ; il est choisi par le rcepteur.
Pour grer les associations de scurit actives, on utilise une base de donnes des associations de scurit (Security Association Database, SAD). Elle contient tous les paramtres relatifs chaque SA et sera consulte pour savoir comment traiter chaque paquet reu ou mettre. Les protections offertes par IPSEC sont bases sur des choix dfinis dans une base de donnes de politique de scurit (Security Policy Database, SPD). Cette base de donnes est tablie et maintenue par un utilisateur, un administrateur systme ou une application mise en place par ceux-ci. Elle permet de dcider, pour chaque paquet, s'il se verra apporter des services de scurit, s'il sera autoris passer ou rejet.
- 17 -
2.3.2 Principe de fonctionnement du protocole IPSEC On distingue deux situations :
Trafic sortant Lorsque la couche IPSEC reoit des donnes envoyer, elle commence par consulter la base de donnes des politiques de scurit (SPD) pour savoir comment traiter ces donnes. Si cette base lui indique que le trafic doit se voir appliquer des mcanismes de scurit, elle rcupre les caractristiques requises pour la SA correspondante et va consulter la base des SA (SAD). Si la SA ncessaire existe dj, elle est utilise pour traiter le trafic en question. Dans le cas contraire, IPSEC fait appel IKE pour tablir une nouvelle SA avec les caractristiques requises.
Trafic entrant Lorsque la couche IPSEC reoit un paquet en provenance du rseau, elle examine l'entte pour savoir si ce paquet s'est vu appliquer un ou plusieurs services IPSEC et si oui, quelles sont les rfrences de la SA. Elle consulte alors la SAD pour connatre les paramtres utiliser pour la vrification et/ou le dchiffrement du paquet. Une fois le paquet vrifi et/ou dchiffr, la Spd est consulte pour savoir si l'association de scurit applique au paquet correspondait bien celle requise par les politiques de scurit.
Dans le cas o le paquet reu est un paquet IP classique, la SPD permet de savoir s'il a nanmoins le droit de passer. Par exemple, les paquets IKE sont une exception. Ils sont traits par IKE, qui peut envoyer des alertes administratives en cas de tentative de connexion infructueuse. 2.3.3 Le protocole AH Authentication Header L'absence de confidentialit permet de s'assurer que ce standard pourra tre largement rpandu sur Internet, y compris dans les endroits o l'exportation, l'importation ou l'utilisation du chiffrement dans des buts de confidentialit est restreint par la loi.
Son principe est d'adjoindre au datagramme IP classique un champ supplmentaire permettant la rception de vrifier l'authenticit des donnes incluses dans le datagramme. Ce bloc de donnes est appel valeur de vrification d'intgrit (Integrity Check Value, ICV). La protection contre le rejet se fait grce un numro de squence.
2.3.4 Le protocole ESP Encapsulating Security Payload ESP peut assurer au choix, un ou plusieurs des services suivants :
Confidentialit (confidentialit des donnes et protection partielle contre l'analyse du trafic si l'on utilise le mode tunnel).
Intgrit des donnes en mode non connect et authentification de l'origine des donnes, protection contre le rejeu.
- 18 -
La confidentialit peut tre slectionne indpendamment des autres services, mais son utilisation sans intgrit/authentification (directement dans ESP ou avec AH) rend le trafic vulnrable certains types d'attaques actives qui pourraient affaiblir le service de confidentialit. Le champ bourrage peut tre ncessaire pour les algorithmes de chiffrement par blocs ou pour aligner le texte chiffr sur une limite de 4 octets. Les donnes d'authentification ne sont prsentes que si ce service a t slectionn. Voyons maintenant comment est applique la confidentialit dans ESP. L'expditeur :
Encapsule, dans le champ charge utile dESP, les donnes transportes par le datagramme original et ventuellement l'en-tte IP (mode tunnel).
Ajoute si ncessaire un bourrage. Chiffre le rsultat (donnes, bourrage, champs longueur et en-tte suivant). Ajoute ventuellement des donnes de synchronisation cryptographiques (vecteur d'initialisation) au dbut du champ charge utile .
2.3.5 La gestion des clefs pour IPSEC : ISAKMP et IKE Les protocoles scuriss prsents dans les paragraphes prcdents ont recours des algorithmes cryptographiques et ont donc besoin de clefs. Un des problmes fondamentaux d'utilisation de la cryptographie est la gestion de ces clefs. Le terme gestion recouvre la gnration, la distribution, le stockage et la suppression des clefs. IKE (Internet Key Exchange) est un systme dvelopp spcifiquement pour IPSEC qui vise fournir des mcanismes d'authentification et d'change de clef adapts l'ensemble des situations qui peuvent se prsenter sur l'Internet. Lorsqu'il est utilis pour IPSEC, IKE est de plus complt par un Domaine d'interprtation pour IPSEC.
2.3.5.1 ISAKMP (Internet Security Association and Key Management Protocol) ISAKMP a pour rle la ngociation, l'tablissement, la modification et la suppression des associations de scurit et de leurs attributs. Il pose les bases permettant de construire divers protocoles de gestion des clefs (et plus gnralement des associations de scurit). Il comporte trois aspects principaux : Il dfinit une faon de procder, en deux tapes appeles phase 1 et phase 2 : dans la premire, un certain nombre de paramtres de scurit propres ISAKMP sont mis en place, afin d'tablir entre les deux tiers un canal protg ; dans un second temps, Ce canal est utilis pour ngocier les associations de scurit pour les mcanismes de scurit que l'on souhaite utiliser (AH et Esp par exemple).
- 19 -
Il dfinit des formats de messages, par l'intermdiaire de blocs ayant chacun un rle prcis et permettant de former des messages clairs. Il prsente un certain nombre d'changes types, composs de tels messages, qui permettant des ngociations prsentant des proprits diffrentes : protection ou non de l'identit, perfect forward secrecy... 2.3.5.2 IKE (Internet Key Exchange) IKE utilise ISAKMP pour construire un protocole pratique. Il comprend quatre modes :

Le mode principal (Main mode) Le mode agressif (Aggressive Mode) Le mode rapide (Quick Mode) Le mode nouveau groupe (New Groupe Mode)
Main Mode et Aggressive Mode sont utiliss durant la phase 1, Quick Mode est un change de phase 2. New Group Mode est un peu part : Ce n'est ni un change de phase 1, ni un change de phase 2, mais il ne peut avoir lieu quune fois quune SA ISAKMP est tablie ; il sert se mettre d'accord sur un nouveau groupe pour de futurs changes Diffie-Hellman. Phase 1 : Main Mode et Aggressive Mode Les attributs suivants sont utiliss par IKE et ngocis durant la phase 1 : un algorithme de chiffrement, une fonction de hachage, une mthode d'authentification et un groupe pour DiffieHellman. Trois clefs sont gnres l'issue de la phase 1 : une pour le chiffrement, une pour l'authentification et une pour la drivation d'autres clefs. Ces clefs dpendent des cookies, des alas changs et des valeurs publiques Diffie-Hellman ou du secret partag pralable. Leur calcul fait intervenir la fonction de hachage choisie pour la SA ISAKMP et dpend du mode d'authentification choisi. Phase 2 : Quick Mode Les messages changs durant la phase 2 sont protgs en authenticit et en confidentialit grce aux lments ngocis durant la phase 1. L'authenticit des messages est assure par l'ajout d'un bloc Hash aprs l'en-tte ISAKMP et la confidentialit est assure par le chiffrement de l'ensemble des blocs du message. Quick Mode est utilis pour la ngociation de SA pour des protocoles de scurit donns comme IPSEC. Chaque ngociation aboutit en fait deux SA, une dans chaque sens de la communication. Plus prcisment, les changes composant ce mode ont le rle suivant :

Ngocier un ensemble de paramtres IPSEC (paquets de SA) changer des nombres alatoires, utiliss pour gnrer une nouvelle clef qui drive du secret gnr en phase 1 avec le protocole Diffie-Hellman. De faon optionnelle, il est
- 20 -
possible d'avoir recours un nouvel change Diffie-Hellman, afin d'accder la proprit de Perfect Forward Secrecy, qui n'est pas fournie si on se contente de gnrer une nouvelle clef partir de l'ancienne et des alas.
Optionnellement, identifier le trafic que ce paquet de SA protgera.
Les groupes : New Groupe Mode Le groupe utiliser pour Diffie-Hellman peut tre ngoci, par le biais du bloc SA, soit au cours du Main Mode, soit ultrieurement par le biais du New Group Mode. Dans les deux cas, il existe deux faons de dsigner le groupe utiliser :
Donner la rfrence d'un groupe prdfini : il en existe actuellement quatre, les quatre groupes Oakley (deux groupes MODP et deux groupes EC2N).
Donner les caractristiques du groupe souhait : type de groupe (MODP, ECP, EC2N), nombre premier ou polynme irrductible, gnrateurs...
2.3.6 Les deux modes de fonctionnement dIPSEC Le mode transport prend un flux de niveau transport du modle OSI et ralise les mcanismes de signature et de chiffrement puis transmet les donnes la couche IP. Dans Ce mode, l'insertion de la couche IPSEC est transparente entre TCP et IP. TCP envoie ses donnes vers IPSEC comme il les enverrait vers IPv4. L'inconvnient de ce mode rside dans le fait que l'en-tte extrieur est produit par la couche IP c'est--dire sans masquage d'adresse. De plus, le fait de terminer les traitements par la couche IP ne permet pas de garantir la non-utilisation des options IP potentiellement dangereuses. L'intrt de ce mode rside dans une relative facilite de mise en uvre. Dans le mode tunnel, les donnes envoyes par l'application traversent la pile de protocole jusqu' la couche IP incluse, puis sont envoyes vers le module IPSEC. L'encapsulation IPSEC en mode tunnel permet le masquage d'adresses. Le mode tunnel est utilis entre deux passerelles de scurit (routeur, firewall, ...) alors que le mode transport se situe entre deux htes.
5. Dfinition des PKI Public Key Infrastructure

5.1 Infrastructure Clef publique
Une PKI assure la scurit des transactions lectroniques et l'change de renseignements sensibles grce des clefs cryptographiques et des certificats. Une PKI offre divers services : confidentialit, contrle d'accs, intgrit, authentification, services de non-rpudiation pour les transactions commerciales lectroniques et les applications informatiques connexes. En outre, elle gre la production et la distribution des paires de clefs publique et prive, et diffuse la clef publique (ainsi que l'identification de l'utilisateur) sous forme de "certificat" sur des babillards lectroniques publics Une PKI comprend ce qui suit :
- 21 -

Autorit de certification ; Annuaire de certificats ; Systme de rvocation de certificats ; Systme de sauvegarde et de rcupration de clefs ; Soutien la non-rpudiation ; Mise jour automatique des clefs ; Gestion de lhistorique des clefs ; Horodatage ; Logiciel client interagissant de manire fiable et continue avec tout ce qui est numr ci-dessus.
Une PKI assure donc, avec un haut niveau de confiance, la protection des clefs prives, veille ce que des clefs publiques spcifiques soient vritablement associes des clefs prives spcifiques, et vrifie que les parties qui possdent une paire de clefs publique et prive sont bien celles quelles prtendent tre.
5.2 Confiance entre les tiers

On entend par la confiance entre les tiers, le fait que deux entits ou deux personnes aient implicitement confiance l'une en l'autre, mme si elles n'ont pas tabli au pralable de liens commerciaux ou personnels. Dans un tel cas, les deux parties ont cette confiance implicite et mutuelle parce qu'elles partagent une relation avec une tierce partie commune, et parce que celle-ci se porte garante de la lgitimit des deux premires parties. La confiance entre les tiers est une exigence fondamentale de toute implantation grande chelle de services de scurit reposant sur la cryptographie clef publique. En effet, celle-ci ncessite l'accs la clef publique d'un utilisateur. Toutefois, dans un rseau de grande taille, il est impossible et irraliste de s'attendre ce que chaque utilisateur tablisse au pralable des relations avec tous les autres utilisateurs. En outre, comme la clef publique d'un utilisateur doit tre accessible l'ensemble des autres utilisateurs, le lien entre une clef publique et une personne donne doit tre garanti par une tierce partie de confiance, afin que nul ne puisse se faire passer pour un utilisateur lgitime. Une tierce partie de confiance, dont les mcanismes sont srs, permet aux utilisateurs d'avoir implicitement confiance dans toute clef publique certifie par cette tierce partie.
- 22 -
Un agent de certification tiers est appel Autorit de Certification CA 9.
5.3 Autorit de Certification

Une CA est une entit de confiance dont la responsabilit est essentiellement de certifier l'authentification des utilisateurs. La fonction d'une CA est trs analogue celle d'un bureau charg de l'mission des passeports dans un gouvernement. Un passeport est un document authentique, mis par une autorit approprie, qui certifie que son dtenteur est bien la personne qu'elle prtend tre. C'est toute fin pratique le document d'identit de la personne. Tout pays qui a confiance en l'autorit d'un bureau de passeports d'un pays tranger honorera les passeports des ressortissants de ce pays. Ceci illustre bien ce qu'on entend par confiance entre les tiers. Tout comme un passeport, l'identit lectronique de l'utilisateur d'un rseau, mise par une CA, est une preuve que cet utilisateur est connu par lautorit de certification. Par consquent, grce au mcanisme de confiance entre les tiers, quiconque a confiance dans la CA peut avoir confiance en l'identit de l'utilisateur. Les critres qui tablissent les CAs et les politiques qui en balisent le cadre de fonctionnement sont d'une importance primordiale pour dterminer le degr de confiance que l'on peut avoir dans les CAs.
5.4 Certificats
Pour un utilisateur du rseau, un certificat est l'quivalent lectronique d'un passeport. Il contient de l'information que l'on peut utiliser pour vrifier l'identit du dtenteur (exemple : son nom). Un lment d'information crucial contenu dans le certificat d'un utilisateur est sa clef publique. Celleci peut servir soit chiffrer les donnes destines au dtenteur du certificat, soit vrifier la signature numrique du dtenteur. La notion de certificat soulve plusieurs questions au sujet du degr de confiance . Par exemple, au sujet de la protection de l'information dans un certificat : comment peut-on tre sr que le nom et la clef publique dans un certificat appartiennent vritablement au prsum dtenteur de celui-ci ? En fait, sans ce niveau de confiance, la cryptographie clef publique n'est d'aucune utilit, car il n'y aurait aucune garantie que l'information est chiffre pour la bonne personne, ou qu'une signature numrique puisse tre associe une personne donne. Afin d'assurer la lgitimit de la clef publique d'un utilisateur et des autres renseignements (par exemple, son nom) qui figurent dans un certificat, une CA signe numriquement l'information du certificat au moyen de sa propre clef de signature prive. La signature numrique de la CA offre ainsi trois lments importants pour la scurit et la confiance l'gard du certificat. Tout d'abord, par dfinition, une signature numrique valide sur un certificat est garantie de son intgrit. En deuxime lieu, comme la CA est la seule entit qui a accs sa propre clef de signature prive, quiconque vrifie la signature de la CA sur le certificat est assur que c'est
9
Certification Authority - 23 -
seulement la CA qui peut avoir cre et signe ce certificat. Enfin, comme seul la CA a accs sa clef de signature prive, la CA ne peut pas nier avoir sign le certificat. Ce concept est souvent appel non-rpudiation.
5.5 Certification Rciproque

La certification rciproque est tout simplement un prolongement du concept de confiance entre les tiers. Dans ce processus, deux CA changent en toute scurit de l'information chacun sur puisse les clefs certifier cryptographiques, de sorte que efficacement la fiabilit des clefs de l'autre. D'un point de vue technique, il s'agit de crer des Certificats rciproques entre les deux CA. Lorsqu'une CA d'une organisation et une CA d'une deuxime organisation font cette certification rciproque, la CA de la premire organisation cre et signe numriquement un certificat contenant la clef publique de la CA de la deuxime organisation. De la mme manire, la deuxime organisation cre et signe un certificat contenant la clef publique de la CA de la premire organisation. Les utilisateurs relevant d'une CA peuvent donc implicitement avoir confiance dans les utilisateurs relevant de l'autre CA. Comme la certification rciproque largit le concept de confiance entre les tiers, il importe que chaque domaine relevant d'une CA n'ait aucune rserve la vigilance des politiques et pratiques de scurit de l'autre domaine en ce qui concerne l'mission des certificats et la ralisation de ses activits. La certification croise va donc au-del du simple change d'information sur les clefs cryptographiques.
7. Firewall
7.1 Quest-ce quun Firewall ?
De nos jours, toutes les entreprises possdant un rseau local possdent aussi un accs Internet, afin d'accder la manne d'information disponible sur le rseau des rseaux, et de pouvoir communiquer avec l'extrieur. Cette ouverture vers l'extrieur est indispensable... et dangereuse en mme temps. Ouvrir l'entreprise vers le monde signifie aussi laisser place ouverte aux trangers pour essayer de pntrer le rseau local de l'entreprise, et y accomplir des actions douteuses, parfois gratuites, de destruction, vol d'informations confidentielles, ... Les mobiles sont nombreux et dangereux. Pour parer ces attaques, une architecture scurise est ncessaire. Pour cela, le cur d'une telle architecture est bas sur un firewall. Cet outil a pour but de scuriser au maximum le rseau local de l'entreprise, de dtecter les tentatives d'intrusion et d'y parer au mieux possible. Cela
- 24 -
reprsente une scurit supplmentaire rendant le rseau ouvert sur Internet beaucoup plus sr. De plus, il peut permettre de restreindre l'accs interne vers l'extrieur. En effet, des employs peuvent s'adonner des activits que l'entreprise ne cautionne pas, le meilleur exemple tant le jeu en ligne. En plaant un firewall limitant ou interdisant l'accs ces services, l'entreprise peut donc avoir un contrle sur les activits se droulant dans son enceinte. Le firewall10 propose donc un vritable contrle sur le trafic rseau de l'entreprise. Il permet d'analyser, de scuriser et de grer le trafic rseau, et ainsi d'utiliser le rseau de la faon pour laquelle il a t prvu et sans l'encombrer avec des activits inutiles, et d'empcher une personne sans autorisation d'accder ce rseau de donnes. Il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces rseaux suivantes telles que montres dans la Figure 2 :

Une interface pour le rseau protger (rseau interne) Une interface pour le rseau externe
Figure 2 : Schma d'une architecture rseau utilisant un Firewall Le systme firewall est un systme logiciel, reposant parfois sur un matriel rseau ddi, constituant un intermdiaire entre le rseau local (ou la machine locale) et un ou plusieurs rseaux externes. Il est possible de mettre un systme Firewall sur n'importe quelle machine et avec n'importe quel systme pourvu que :

La machine soit suffisamment puissante pour traiter le trafic ; Le systme soit scuris ; Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur.
Dans le cas o le systme Firewall est fourni dans une bote noire clef en main , on utilise le terme d' Appliance .
7.2 Fonctionnement dun systme Firewall

Un systme Firewall contient un ensemble de rgles prdfinies permettant :

D'autoriser la connexion (allow) De bloquer la connexion (deny)
10
Terme Anglais, appel aussi pare-feu, coupe-feu ou garde-barrire - 25 -
De rejeter la demande de connexion sans avertir l'metteur (drop).
L'ensemble de ces rgles permet de mettre en uvre une mthode de filtrage dpendant de la politique de scurit adopte par l'entit. On distingue habituellement deux types de politiques de scurit permettant :
Soit d'autoriser uniquement les communications ayant t explicitement autorises : TOUT

CE QUI N'EST PAS EXPLICITEMENT AUTORIS EST INTERDIT
Soit d'empcher les changes qui ont t explicitement interdits.
La premire mthode est sans nul doute la plus sre, mais elle impose toutefois une dfinition prcise et contraignante des besoins en communication. 7.2.1 Le filtrage simple de paquets Un systme Firewall fonctionne sur le principe du filtrage simple de paquets (en anglais Stateless Packet Filtering ). Il analyse les en-ttes de chaque paquet de donnes (datagramme) chang entre une machine du rseau interne et une machine extrieure. Ainsi, les paquets de donnes changes entre une machine du rseau extrieur et une machine du rseau interne transitent par le Firewall et possdent les en-ttes suivants, systmatiquement analyss par le firewall :

Adresse IP de la machine mettrice ; Adresse IP de la machine rceptrice ; Type de paquet (TCP, UDP, etc.) ; Numro de port (un port est un numro associ un service ou une application rseau).
Les adresses IP contenues dans les paquets permettent d'identifier la machine mettrice et la machine cible, tandis que le type de paquet et le numro de port donnent une indication sur le type de service utilis. Les ports reconnus (dont le numro est compris entre 0 et 1023) sont associs des services courants (les ports 25 et 110 sont par exemple associs au courrier lectronique, et le port 80 au Web). La plupart des dispositifs Firewall sont au minimum configurs de manire filtrer les communications selon le port utilis. Il est gnralement conseill de bloquer tous les ports qui ne sont pas indispensables (selon la politique de scurit retenue). Le port 23 est par exemple souvent bloqu par dfaut par les dispositifs Firewall car il correspond au protocole Telnet, permettant d'muler un accs par terminal une machine distante de manire pouvoir excuter des commandes distance. Les donnes changes par Telnet ne sont pas chiffres, ce qui signifie qu'un individu est susceptible d'couter le rseau et de voler les
- 26 -
ventuels mots de passe circulant en clair. Les administrateurs lui prfrent gnralement le protocole SSH11, rput sr et fournissant les mmes fonctionnalits que Telnet. Limites du Filtrage simple de paquets Le premier problme vient du fait que l'administrateur rseau est rapidement contraint autoriser un trop grand nombre d'accs, pour que le Firewall offre une relle protection. Par exemple, pour autoriser les connexions Internet partir du rseau priv, l'administrateur devra accepter toutes les connexions TCP provenant de l'Internet avec un port suprieur 1024. Ce qui laisse beaucoup de choix un ventuel pirate. Il est noter que de dfinir des ACL 12 sur des routeurs haut de gamme - c'est dire, supportant un dbit important - n'est pas sans rpercussion sur le dbit lui-mme. Enfin, ce type de filtrage ne rsiste pas certaines attaques de type IP Spoofing / IP Flooding, la mutilation de paquet, ou encore certaines attaques de type DoS. Ceci est vrai sauf dans le cadre des routeurs fonctionnant en mode distribu. Ceci permettant de grer les ACL directement sur les interfaces sans remonter la carte de traitement central. Les performances impactes par les ACL sont alors quasi nulles. 7.2.2 Le filtrage dynamique Le filtrage simple de paquets ne s'attache qu' examiner les paquets IP indpendamment les uns des autres, ce qui correspond au niveau 3 du modle OSI. Or, la plupart des connexions reposent sur le protocole TCP, qui gre la notion de session, afin d'assurer le bon droulement des changes. D'autre part, de nombreux services (le FTP par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (c'est--dire de manire alatoire) un port afin d'tablir une session entre la machine faisant office de serveur et la machine cliente. La figure suivante illustre lchange entre un Client et un Serveur FTP.
Figure 3 : tablissement de la connexion entre un Client et un Serveur FTP en passant par un Firewall
SSH (Secure Shell) permet aux utilisateurs (ou bien des services TCP/IP) d'accder une machine travers une communication chiffre (appele tunnel) 12 Access Control List
11
- 27 -
Ainsi, il est impossible avec un filtrage simple de paquets de prvoir les ports laisser passer ou interdire. Pour y remdier, le systme de filtrage dynamique de paquets est bas sur l'inspection des couches 3 et 4 du modle OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur. Le terme anglo-saxon est Stateful inspection ou Stateful packet filtering , qui se traduit en filtrage de paquets avec tat . Un dispositif pare-feu de type Stateful inspection est ainsi capable d'assurer un suivi des changes, c'est--dire de tenir compte de l'tat des anciens paquets pour appliquer les rgles de filtrage. De cette manire, partir du moment o une machine autorise initie une connexion une machine situ de l'autre ct du pare-feu; l'ensemble des paquets transitant dans le cadre de cette connexion seront implicitement accepts par le pare-feu. Si le filtrage dynamique est plus performant que le filtrage de paquets basique, il ne protge pas pour autant de l'exploitation des failles applicatives, lies aux vulnrabilits des applications. Or ces vulnrabilits reprsentent la part la plus importante des risques en terme de scurit. Limites du filtrage dynamique Tout d'abord, il convient de s'assurer que les deux techniques sont bien implmentes par les Firewalls, car certains constructeurs ne l'implmentent pas toujours correctement. Ensuite une fois que l'accs un service a t autoris, il n'y a aucun contrle effectu sur les requtes et rponses des clients et serveurs. Un serveur HTTP pourra donc tre attaqu impunment. Enfin les protocoles maisons utilisant plusieurs flux de donnes ne passeront pas, puisque le systme de filtrage dynamique n'aura pas connaissance du protocole. 7.2.3 Le filtrage applicatif Le filtrage applicatif permet de filtrer les communications application par application. Le filtrage applicatif opre donc au niveau 7 Couche application du modle OSI, contrairement au filtrage de paquets simple Niveau 4 . Le filtrage applicatif suppose donc une connaissance des protocoles utiliss par chaque application. Le filtrage applicatif permet, comme son nom l'indique, de filtrer les communications application par application. Le filtrage applicatif suppose donc une bonne connaissance des applications prsentes sur le rseau, et notamment de la manire dont elle structure les donnes changes (ports, etc.). Un firewall effectuant un filtrage applicatif est appel gnralement passerelle applicative ou proxy , car il sert de relais entre deux rseaux en s'interposant et en effectuant une validation fine du contenu des paquets changs. Le proxy reprsente donc un intermdiaire entre les machines du rseau interne et le rseau externe, subissant les attaques leur place. De plus, le filtrage applicatif permet la destruction des en-ttes prcdant le message applicatif, ce qui permet de fournir un niveau de scurit supplmentaire.
- 28 -
Il s'agit d'un dispositif performant, assurant une bonne protection du rseau, pour peu qu'il soit correctement administr. En contrepartie, une analyse fine des donnes applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communications, chaque paquet devant tre finement analys. Par ailleurs, le proxy doit ncessairement tre en mesure d'interprter une vaste gamme de protocoles et de connatre les failles affrentes pour tre efficace. Limites du filtrage applicatif Le premier problme qui se pose est la finesse du filtrage ralis par le proxy. Il est extrmement difficile de pouvoir raliser un filtrage qui ne laisse rien passer, vu le nombre de protocoles de niveau 7. En outre le fait de devoir connatre les rgles protocolaires de chaque protocole filtr pose des problmes d'adaptabilit de nouveaux protocoles ou des protocoles maisons. Mais il est indniable que le filtrage applicatif apporte plus de scurit que le filtrage de paquet avec tat, mais cela se paie en performance. Ce qui exclut l'utilisation d'une technologie 100 % proxy pour les rseaux gros trafic au jour d'aujourd'hui. Nanmoins d'ici quelques annes, le problme technologique sera sans doute rsolu. Enfin, un tel systme peut potentiellement comporter une vulnrabilit dans la mesure o il interprte les requtes qui transitent par son biais. Ainsi, il est recommand de dissocier le parefeu (dynamique ou non) du proxy tel que montr dans la Figure 4, afin de limiter les risques de compromission.
Figure 4 : Choix des Firewall dans une architecture rseau
7.3 Les diffrents types de Firewall

7.3.1 Les Firewall Bridge Ces derniers sont relativement rpandus. Ils agissent comme de vrais cbles rseau avec la fonction de filtrage en plus, d'o leur appellation de Firewall. Leurs interfaces ne possdent pas d'adresse IP, et ne font que transfrer les paquets d'une interface a une autre en leur appliquant les rgles prdfinies. Cette absence est particulirement utile, car cela signifie que le Firewall est
- 29 -
indtectable pour un hacker lambda. En effet, quand une requte ARP est mise sur le cble rseau, le Firewall ne rpondra jamais. Ses adresses Mac ne circuleront jamais sur le rseau, et comme il ne fait que transmettre les paquets, il sera totalement invisible sur le rseau. Cela rend impossible toute attaque dirige directement contre le Firewall, tant donn qu'aucun paquet ne sera trait par ce dernier comme tant sa propre destination. Donc, la seule faon de le contourner est de passer outre ses rgles de drop. Toute attaque devra donc faire avec ses rgles, et essayer de les contourner. Dans la plupart des cas, ces derniers ont une interface de configuration spare. Un cble vient se brancher sur une troisime interface, srie ou mme Ethernet, et qui ne doit tre utilise que ponctuellement et dans un environnement scuris de prfrence. Ces Firewalls se trouvent typiquement sur les switchs. Avantages
Inconvnients (les paquets
Impossible
de
l'viter
Possibilit de le contourner (il suffit de passer outre ses rgles)
passeront par ses interfaces)
Peu coteux
Configuration souvent contraignante Les fonctionnalits prsentes sont trs basiques (filtrage sur adresse IP, port, le plus souvent en Stateless)
Tableau 1 : Avantages et inconvnients d'un Firewall Bridge 7.3.2 Les Firewalls matriels Ils se trouvent souvent sur des routeurs achets dans le commerce par de grands constructeurs comme Cisco ou Nortel. Intgrs directement dans la machine, ils font office de boite noire , et ont une intgration parfaite avec le matriel. Leur configuration est souvent relativement ardue, mais leur avantage est que leur interaction avec les autres fonctionnalits du routeur est simplifie de par leur prsence sur le mme quipement rseau. Souvent relativement peu flexibles en terme de configuration, ils sont aussi peu vulnrables aux attaques, car prsent dans la boite noire qu'est le routeur. De plus, tant souvent trs lis au matriel, l'accs leur code est assez difficile, et le constructeur a eu toute latitude pour produire des systmes de codes signs afin d'authentifier le logiciel (systme RSA ou assimils). Ce systme n'est implant que dans les firewalls haut de gamme, car cela vite un remplacement du logiciel par un autre non produit par le fabricant, ou toute modification de ce dernier, rendant ainsi le firewall trs sr. Son administration est souvent plus aise que les Firewalls bridges, les grandes marques de routeurs utilisant cet argument comme argument de vente. Leur niveau de scurit est de plus trs bon, sauf dcouverte de faille ventuelle comme tout firewall. Nanmoins, il faut savoir que l'on est totalement dpendant du constructeur du matriel pour cette mise jour, ce qui peut tre, dans certains cas, assez contraignant. Enfin, seules les spcificits prvues par le constructeur du matriel sont implmentes. Cette dpendance induit que si une possibilit nous intresse sur un
- 30 -
firewall d'une autre marque, son utilisation est impossible. Il faut donc bien dterminer l'avance ses besoins et choisir le constructeur du routeur avec soin. Avantages

Inconvnients
Intgr au matriel rseau Administration relativement simple Bon niveau de scurit
Dpendant du constructeur pour les mises jour
Souvent peu flexible
Tableau 2 : Avantages et inconvnients d'un Firewall matriel 7.3.3 Les Firewalls logiciels Prsents la fois dans les serveurs et les routeurs faits maison , on peut les classer en plusieurs catgories : 7.3.3.1 Les Firewalls personnels Ils sont assez souvent commerciaux et ont pour but de scuriser un ordinateur particulier, et non pas un groupe d'ordinateurs. Souvent payants, ils peuvent tre contraignants et quelque fois trs peu scuriss. En effet, ils s'orientent plus vers la simplicit d'utilisation plutt que vers l'exhaustivit, afin de rester accessible l'utilisateur final. Avantages
Inconvnients

Scurit en bout de chane (Poste Client)
Facilement contournable Difficiles dpartager de par leur nombre norme
Personnalisable assez facilement
Tableau 3 : Avantages et inconvnients d'un Firewall personnel 7.3.3.2 Les Firewalls plus Srieux Tournant gnralement sous linux, car cet OS offre une scurit rseau plus leve et un contrle plus adquat, ils ont gnralement pour but d'avoir le mme comportement que les firewalls matriels des routeurs, ceci prt qu'ils sont configurables la main. Le plus courant est iptables (anciennement ipchains), qui utilise directement le noyau linux. Toute fonctionnalit des firewalls de routeurs est potentiellement ralisable sur une telle plateforme. Avantages

Inconvnients
Personnalisables Niveau de scurit trs bon
Ncessite une administration systme supplmentaire
Tableau 4 : Avantages et inconvnients d'un Firewall plus srieux Ces firewalls logiciels ont nanmoins une grande faille : ils n'utilisent pas la couche bas rseau. Il suffit donc de passer outre le noyau en ce qui concerne la rcupration de ces paquets, en utilisant une librairie spciale, pour rcuprer les paquets qui auraient t normalement dropps
- 31 -
par le Firewall. Nanmoins, cette faille induit de s'introduire sur l'ordinateur en question pour y faire des modifications... chose qui induit dj une intrusion dans le rseau, ou une prise de contrle physique de l'ordinateur, ce qui est dj Synonyme d'inefficacit de la part du firewall.
7.4 DMZ Zone Dmilitarise

7.4.1 Notion de cloisonnement Les systmes pare-feu permettent de dfinir des rgles d'accs entre deux rseaux. Nanmoins, dans la pratique, les entreprises ont gnralement plusieurs sous-rseaux avec des politiques de scurit diffrentes. C'est la raison pour laquelle il est ncessaire de mettre en place des architectures de systmes pare-feux permettant d'isoler les diffrents rseaux de l'entreprise : on parle ainsi de cloisonnement des rseaux (le terme isolation est parfois galement utilis). 7.4.2 Architecture DMZ Lorsque certaines machines du
rseau interne ont besoin d'tre accessibles de l'extrieur (serveur web, un serveur de messagerie, un serveur FTP public, etc.), il est souvent ncessaire de crer une nouvelle interface vers un rseau part, sans accessible pour aussi bien du de de de rseau interne que de l'extrieur, autant la On risquer scurit ainsi compromettre l'entreprise. zone
parle
dmilitaris
(note
DMZ pour DeMilitarized Zone) pour dsigner cette zone isole hbergeant des applications mises disposition du public. La DMZ fait ainsi office de zone tampon entre le rseau protger et le rseau hostile. La figure ci-dessous montre la position dune DMZ au sein dun rseau. Les serveurs situs dans la DMZ sont appels bastions en raison de leur position d'avant poste dans le rseau de l'entreprise. La politique de scurit mise en uvre sur la DMZ est gnralement la suivante :

Trafic du rseau externe vers la DMZ autoris ; Trafic du rseau externe vers le rseau interne interdit ; Trafic du rseau interne vers la DMZ autoris ; Trafic du rseau interne vers le rseau externe autoris ; Trafic de la DMZ vers le rseau interne interdit ;
- 32 -
Trafic de la DMZ vers le rseau externe interdit.
La DMZ possde donc un niveau de scurit intermdiaire, mais son niveau de scurisation n'est pas suffisant pour y stocker des donnes critiques pour l'entreprise. Il est noter qu'il est possible de mettre en place des DMZ en interne afin de cloisonner le rseau interne selon diffrents niveaux de protection et ainsi viter les intrusions venant de l'intrieur.
7.5 NAT Network Address Translation

7.5.1 Principe du NAT Le mcanisme de translation d'adresses NAT a t mis au point afin de rpondre la pnurie d'adresses IP avec le protocole IPv4 (le protocole IPv6 rpondra terme ce problme). En effet, en adressage IPv4 le nombre d'adresses IP routables (donc uniques sur la plante) n'est pas suffisant pour permettre toutes les machines ncessitant d'tre connectes internet de l'tre. Le principe du NAT consiste donc utiliser une adresse IP routable (ou un nombre limit d'adresses IP) pour connecter l'ensemble des machines du rseau en ralisant, au niveau de la passerelle de connexion internet, une translation (littralement une traduction ) entre l'adresse interne (non routable) de la machine souhaitant se connecter et l'adresse IP de la passerelle. Cette passerelle peut tre un routeur tel que montr dans la figure suivante.
Figure 5 : Fonctionnement du NAT D'autre part, le mcanisme de translation d'adresses permet de scuriser le rseau interne tant donn qu'il camoufle compltement l'adressage interne. En effet, pour un observateur externe au rseau, toutes les requtes semblent provenir de la mme adresse IP.
7.5.2 Espaces dadressages L'organisme grant l'espace d'adressage public (adresses IP routables) est l' IANA13. La RFC 1918 dfinit un espace d'adressage priv permettant toute organisation d'attribuer des adresses IP aux machines de son rseau interne sans risque d'entrer en conflit avec une adresse IP publique
13
Internet Assigned Number Authority - 33 -
alloue par l'IANA. Ces adresses dites non-routables correspondent aux plages d'adresses suivantes :

Classe A : plage de 10.0.0.0 10.255.255.255 ; Classe B : plage de 172.16.0.0 172.31.255.255 ; Classe C : plage de 192.168.0.0 192.168.255.55 ;
Toutes les machines d'un rseau interne, connectes internet par l'intermdiaire d'un routeur et ne possdant pas d'adresse IP publique doivent utiliser une adresse contenue dans l'une de ces plages. Pour les petits rseaux domestiques, la plage d'adresses de 192.168.0.1 192.168.0.255 est gnralement utilise. 7.5.3 Translation statique Le principe du NAT statique consiste associer une adresse IP publique une adresse IP prive interne au rseau. Le routeur (ou plus exactement la passerelle) permet donc d'associer une adresse IP prive (par exemple 192.168.0.1) une adresse IP publique routable sur Internet et de faire la traduction, dans un sens comme dans l'autre, en modifiant l'adresse dans le paquet IP. La translation d'adresse statique permet ainsi de connecter des machines du rseau interne internet de manire transparente mais ne rsout pas le problme de la pnurie d'adresse dans la mesure o n adresses IP routables sont ncessaires pour connecter n machines du rseau interne. 7.5.3.1 Avantages et inconvnients du NAT statique En associant une adresse IP publique une adresse IP prive, nous avons pu rendre une machine accessible sur Internet. Par contre, on remarque qu'avec ce principe, on est oblig d'avoir une adresse publique par machine voulant accder Internet. Cela ne va pas rgler notre problme de pnurie d'adresses IP... D'autre part, tant qu' donner une adresse publique par machine, pourquoi ne pas leur donner cette adresse directement plutt que de passer par un intermdiaire ? A cette question, on peut apporter plusieurs lments de rponse. D'une part, il est souvent prfrable de garder un adressage uniforme en interne et de ne pas mler les adresses publiques aux adresses prives. Ainsi, si on doit faire des modifications, changements, interventions sur le rseau local, on peut facilement changer la correspondance entre les adresses prives et les adresses publiques pour rediriger les requtes vers un serveur en tat de marche. D'autre part, on gche un certain nombre d'adresses lorsqu'on dcoupe un rseau en sousrseaux (adresse de rseau, adresse de broadcast...), comme lorsqu'on veut crer une DMZ pour rendre ses serveurs publiques disponibles. Avec le NAT statique, on vite de perdre ces adresses. Malgr ces quelques avantages, le problme de pnurie d'adresses n'a toujours pas t rgl. Pour cela, on va se pencher sur la NAT dynamique. 7.5.4 Translation dynamique Le NAT dynamique permet de partager une adresse IP routable (ou un nombre rduit d'adresses IP routables) entre plusieurs machines en adressage priv. Ainsi, toutes les machines du rseau
- 34 -
interne possdent virtuellement, vu de l'extrieur, la mme adresse IP. C'est la raison pour laquelle le terme de mascarade IP14 est parfois utilis pour dsigner le mcanisme de translation d'adresse dynamique. Afin de pouvoir multiplexer (partager) les diffrentes adresses IP sur une ou plusieurs adresses IP routables, le NAT dynamique utilise le mcanisme de translation de port ( PAT - Port Address Translation), c'est--dire l'affectation d'un port source diffrent chaque requte de telle manire pouvoir maintenir une correspondance entre les requtes provenant du rseau interne et les rponses des machines sur Internet, toutes adresses l'adresse IP du routeur. 7.5.4.1 Avantages et inconvnients du NAT dynamique Comme nous l'avons vu, le NAT dynamique permet des machines ayant des adresses prives d'accder Internet. Cependant, contrairement au NAT statique, il ne permet pas d'tre joint par une machine de l'Internet. Effectivement, si le NAT dynamique marche, c'est parce que le routeur qui fait le NAT reoit les informations de la machine en interne (Adresse IP, port TCP/UDP). Par contre, il n'aura aucune de ces informations si la connexion est initialise de l'extrieur... Le paquet arrivera avec comme adresse de destination le routeur, et le routeur ne saura pas vers qui rediriger la requte en interne. La NAT dynamique ne permet donc que de sortir sur Internet, et non pas d'tre joignable. Il est donc utile pour partager un accs Internet, mais pas pour rendre un serveur accessible. De plus, tant donn que l'on peut "cacher" un grand nombre de machines derrire une seule adresse publique, cela permet de rpondre notre problme de pnurie d'adresses. Par contre, les machines n'tant pas accessibles de l'extrieur, cela donne un petit plus au niveau de la scurit.
8. Les systmes de dtections dintrusions

La scurit des systmes d'information vise garantir la confidentialit, l'intgrit et la disponibilit des services. C'est une tche difficile, tout particulirement dans un contexte de connectivit croissante. Pour amliorer la scurit, il faut mettre en place des mcanismes, d'une part pour assurer que seules les personnes autorises peuvent consulter ou modifier des donnes, d'autre part pour assurer que les services peuvent tre rendus correctement. La premire mesure prendre est la protection physique des quipements. Les accs aux locaux et aux units centrales doivent tre contrls car, par exemple, tous les efforts de protection de donnes sont vains si on peut s'emparer du disque dur. Il faut galement mettre en uvre les mcanismes d'authentification et de contrle d'accs. L'authentification consiste pour l'utilisateur prouver son identit au systme d'une ou plusieurs faons : mot de passe, objet de scurit (carte puce, clef lectronique) ou biomtrie (empreinte
14
En anglais IP masquerading - 35 -
digitale, vocale ou rtinienne). Le contrle d'accs permet de dfinir les droits que l'on accorde aux diffrents utilisateurs sur les donnes (droits de lecture, criture et excution) ou les machines (droit de se connecter). L'tape suivante consiste utiliser des outils d'analyse automatique des vulnrabilits du systme (ex : COPS, SATAN). Cela permet de trouver certaines failles dues une mauvaise configuration du systme. Ainsi, des droits d'accs trop permissifs des fichiers sensibles ou des machines peuvent permettre un utilisateur, par un enchanement appropri de commandes, d'obtenir des privilges d'accs suprieurs ceux prvus initialement. Avec l'interconnexion croissante des rseaux et le dveloppement de l'internet, les possibilits d'attaque distance ont considrablement augment. Pour contrler au niveau rseau l'accs une machine depuis l'extrieur, il faut installer un pare-feu qui devient un point de passage oblig. Il a pour rle de filtrer les paquets indsirables changs avec l'extrieur (services non disponibles, adresse source suspecte, adresse destination prohibe) et de relayer les flux applicatifs. Il permet par ce biais d'viter de nombreuses attaques en dni de service ( Ping Of Death, SYN Flood, ...) et rduit le nombre d'informations que l'on peut collecter sur le rseau interne partir de l'extrieur. Malheureusement, il existe la plupart du temps des moyens pour contourner les mcanismes voqus ci-dessus. Pour ce faire, il n'est mme plus ncessaire d'tre un pirate expriment car de nombreux outils sont offerts sur l'internet. Ces outils exploitent les failles qui sont continuellement dcouvertes dans les systmes, services et protocoles. Les pare-feux, aussi indispensables soient-ils, ne doivent pas tre pris pour la panace. En effet, ils ne protgent, ni d'une configuration incomplte ou errone, ni de ce qui les traverse en mode tunnel . Par ailleurs, ils peuvent tre compromis par un attaquant externe. De plus, ils sont impuissants face une menace interne (80% des attaques seraient d'origine interne) puisqu'ils ne surveillent que les changes rseau avec l'extrieur. On ne peut donc envisager un systme scuris sans contrle de ce que font les utilisateurs. C'est le rle de l'audit de scurit et de la dtection d'intrusions.
8.1 La dtection d'intrusions : une ncessit

L'audit de scurit est un mcanisme intgr aux systmes d'exploitation et toutes les grandes catgories d'applications. Il permet d'enregistrer tout ou partie des actions effectues sur le systme. Une analyse ultrieure des informations enregistres doit permettre de dtecter d'ventuelles intrusions. Cette analyse est appele dtection d'intrusions. Il n'est pas envisageable de faire cette dtection manuellement car la recherche d'actions suspectes se fait dans d'immenses volumes de donnes. Il a donc fallu trouver des mthodes et dvelopper des outils pour analyser automatiquement les traces d'audit. Le grand nombre de systmes de dtection d'intrusions dvelopps ce jour, ne permet pas d'en envisager une prsentation exhaustive. Nous prsentons donc dans ce paragraphe une typologie
- 36 -
des mthodes proposes ce jour. On reprend cet effet un travail fait dans le laboratoire d'IBM Zurich, qui utilise les critres de classification suivants (voir figure 1) :

Le principe de dtection utilis, Le comportement en cas d'attaque dtecte, La source des donnes analyser, La frquence d'utilisation.
8.1.1 Principes de dtection Les deux approches qui ont t proposes ce jour sont l'approche comportementale et l'approche par scnarios. La premire se base sur l'hypothse que l'on peut dfinir un comportement normal de l'utilisateur et que toute dviation par rapport celui-ci est potentiellement suspecte. La seconde s'appuie sur la connaissance des techniques employes par les attaquants : on en tire des scnarios d'attaque et on recherche dans les traces d'audit leur ventuelle survenue.
8.1.1.1 L'approche comportementale Le comportement normal d'un utilisateur ou d'une application (profil) peut tre construit de diffrentes manires. Le systme de dtection d'intrusions compare l'activit courante au profil. Tout comportement dviant est considr intrusif. Parmi les mthodes proposes pour construire les profils, les plus marquantes sont les suivantes :
Mthodes statistiques : Le profil est calcul partir de variables considre comme alatoires et chantillonnes intervalles rguliers. Ces variables peuvent tre le temps processeur utilis, la dure et l'heure des connexions, etc. Un modle statistique (ex : covariance) est alors utilis pour construire la distribution de chaque variable et pour mesurer, au travers d'une grandeur synthtique, le taux de dviation entre un comportement courant et le comportement pass. L'outil NIDES 15 utilise, entre autres, cette mthode.
Systmes experts : Ici, c'est une base de rgles qui dcrit statistiquement le profil de l'utilisateur au vu de ses prcdentes activits. Son comportement courant est compar aux rgles, la recherche d'une anomalie. La base de rgles est rafrachie
H.S. Javitz, A. Valdes, T.F. Lunt, A. Tamaru, M. Tyson, and J. Lowrance. Next generation intrusion detection expert system (NIDES). Technical Report A016-Rationales, SRI, 1993.
15
- 37 -
rgulirement. L'outil Wisdom&Sense16 utilise cette mthode, aujourd'hui tombe en dsutude.
Rseaux de neurones : La technique consiste apprendre un rseau de neurones le comportement normal d'un utilisateur. Par la suite, lorsqu'on lui fournira les actions courantes, il devra dcider de leur normalit. L'outil Hyperview 17 comporte un module de ce type et plusieurs travaux de recherche vont dans le mme sens. Cette mthode reste prometteuse, mais n'est pas encore industrialise.
Immunologie : Cette analogie informatique de l'immunologie biologique a t propose par Forrest18. Il s'agit de construire un modle de comportement normal des services rseaux Unix (et non un comportement normal d'utilisateurs). Le modle consiste en un ensemble de courtes squences d'appels systme reprsentatifs de l'excution normale du service considr. Des squences d'appels trangres cet ensemble sont alors considres comme la potentielle exploitation d'une faille du service.
L'approche comportementale permet de dtecter des attaques inconnues auparavant ainsi que les abus de privilges des utilisateurs lgitimes du systme. Par contre, le comportement de rfrence n'tant jamais exhaustif, on s'expose des risques de fausses alarmes (faux positifs). De plus, si des attaques ont t commises durant la phase d'apprentissage, elles seront considres comme normales (risque de faux ngatifs). 8.1.1.2. L'approche par scnarios Des scnarios d'attaques sont construits et l'analyse des traces d'audit se fait la recherche de ces scnarios. Les mthodes proposes ce jour et cet effet sont les suivantes : Systmes experts : Le systme expert comporte une base de rgles qui dcrit les attaques. Les vnements d'audit sont traduits en des faits qui ont une signification smantique pour le systme expert. Son moteur d'infrence dcide alors si une attaque rpertorie s'est ou non produite. Les outils rcents ne l'utilisent plus. Algorithmes gntiques : L'outil GASSATA utilise des algorithmes gntiques pour rechercher des attaques dans des traces d'audit. Chaque individu de la population code un sous-ensemble particulier d'attaques qui sont potentiellement prsentes dans les traces d'audit. La valeur d'un individu est proportionnelle au degr de ralisme de l'hypothse qu'il code, au vu du fichier d'audit.
H.S. Vaccaro and G.E. Liepins. Detection of anomalous computer session activity. In Proceedings of the IEEE Symposium on Security and Privacy, May 1989. 17 H. Debar, M. Becker, and D. Siboni. A neural network component for an intrusion detection system. In Proceedings of the IEEE Symposium of Research in Computer Security and Privacy, pages 240-250, May 1992. 18 S. Forrest, S.A. Hofmeyr, and A. Somayaji. Computer immunology. Communications of the ACM, 40(10):88-96, October 1997.
16
- 38 -
Pattern matching : Il s'agit l de la mthode la plus en vue actuellement. Des signatures d'attaques sont fournies, des niveaux smantiques divers selon les outils (de la suite d'appels systme aux commandes passes par l'utilisateur). Divers algorithmes sont utiliss pour localiser ces signatures dans les traces d'audit. On peut voir deux inconvnients cette approche : on ne peut dtecter que des attaques connues et il faut remettre jour la base de scnarios d'attaque trs souvent. 8.1.1.3. Approche comportementale ou approche par scnarios ? Chacune de ces deux approches prsente des avantages et des inconvnients (voir tableau 1). C'est pourquoi une approche hybride semble indispensable.
Avantages
Dtection
Inconvnients
cible donn. Pour un utilisateur au comportement erratique, toute activit est "normale". En cas de profonde modification de l'environnement du systme cible, dclenchement d'un flot ininterrompu d'alarmes (faux positifs) Utilisateur pouvant changer lentement de comportement dans le but d'habituer le systme un comportement intrusif (faux ngatifs).
d'intrusion Choix dlicat des mesures retenir pour un systme
8.1.2 Comportements en cas d'attaque dtecte Une autre faon de classer les systmes de dtection d'intrusions, consiste voir quelle est leur raction lorsqu'une attaque est dtecte. Certains se contentent de dclencher une alarme (rponse passive) alors que d'autres prennent des mesures correctives (rponse active). La plupart des systmes de dtection d'intrusions n'apportent qu'une rponse passive l'intrusion. Lorsqu'une attaque est dtecte, ils gnrent une alarme en direction de l'administrateur systme par email, message dans une console, voire mme par beeper. C'est lui qui devra prendre les mesures qui s'imposent.
Comportemen tale Par scnarios
inconnue possible.
Prise en compte des Base de rgles dlicate construire. comportements exacts des potentiels. Seules les attaques contenues dans la base sont attaquants dtectes.
Tableau 5 : Approche comportementale ou approche par scnarios ?
- 39 -
Si le systme est plus sophistiqu (et surtout plus rcent), il peut prendre automatiquement des mesures pour empcher ou stopper l'attaque en cours. Par exemple, il coupera les connexions suspectes ou mme (pour une attaque distante) reconfigurera le pare-feu pour qu'il refuse tout ce qui vient du site incrimin. Il pourra galement prvenir l'administrateur. 8.1.3. Sources des donnes analyser Les sources possibles de donnes analyser sont une caractristique essentielle des systmes de dtection d'intrusions. Les donnes proviennent, soit de fichiers gnrs par le systme d'exploitation, soit de fichiers gnrs par des applications, soit encore d'informations obtenues en coutant le trafic sur le rseau. 8.1.3.1. Sources d'information systme Un systme d'exploitation propose plusieurs sources d'information :
Historique des commandes systmes : Tous les systmes d'exploitation fournissent des commandes pour avoir un "instantan" de ce qui se passe. Ainsi, sous UNIX, des commandes telles que ps, pstat ou vmstat fournissent des informations prcises sur les vnements systme.
Accounting : L'accounting fournit de l'information sur l'usage des ressources partages par les utilisateurs (temps processeur, mmoire, espace disque, dbit rseau, applications lances, ...).
Systme d'audit de scurit : Tous les systmes d'exploitation proposent ce service pour dfinir des vnements, les associer des utilisateurs et assurer leur collecte dans un fichier d'audit. On peut donc potentiellement disposer d'informations sur tout ce que font les utilisateurs : accs en lecture un fichier, excution d'une application, etc.
Les outils utilisant ces sources de donnes sont appels Host Based Intrusion Detection System, HIDS. 8.1.3.2. Sources d'information applicatives Les grandes catgories d'applications savent toutes gnrer des informations sur l'utilisation qui en est faite. C'est le cas des fichiers de logs gnrs par les serveurs ftp et les serveurs web. Peu de systmes de dtection d'intrusions les utilisent. On peut toutefois citer l'outil WebStalker. 8.1.3.3. Sources d'information rseau Des dispositifs matriels ou logiciels (sniffers) permettent de capturer le trafic rseau. Cette source d'information est intressante car elle permet de rechercher les attaques en dni de service qui se passent au niveau rseau et les tentatives de pntration distance. Nanmoins, il est difficile de savoir qui est l'origine de l'attaque car il est facile de masquer son identit en modifiant les paquets rseau. Presque tous les outils (commerciaux) rcents utilisent cette source d'information.
- 40 -
Les outils utilisant ces sources de donnes sont appels Network Based Intrusion Detection System, NIDS. 8.1.4. Frquence d'utilisation La dernire caractristique des systmes de dtection d'intrusions est leur frquence d'utilisation : priodique ou continue. Certains systmes de dtection d'intrusions analysent priodiquement les fichiers d'audit la recherche d'une ventuelle intrusion ou anomalie passe. Cela peut tre suffisant dans des contextes peu sensibles (on fera alors une analyse journalire, par exemple). La plupart des systmes de dtection d'intrusions rcents effectuent leur analyse des fichiers d'audit ou des paquets rseau de manire continue afin de proposer une dtection en quasi temps-rel. Cela est ncessaire dans des contextes sensibles (confidentialit) et/ou commerciaux (confidentialit, disponibilit). C'est toutefois un processus coteux en temps de calcul car il faut analyser la vole tout ce qui se passe sur le systme.
8.2. Les limites actuelles de la dtection d'intrusions

Nous avons dj voqu les inconvnients inhrents chaque approche de la dtection d'intrusions. Tout outil implmentant une approche prsente bien sr les inconvnients de cette approche. Nous n'y revenons donc pas. Les systmes de dtection d'intrusions actuels sont trop ferms, ce qui limite, d'une part les possibilits de comparaison de performance, d'autre part les possibilits de coopration. Pourtant, diverses initiatives tendent rsoudre ce problme. Ainsi le groupe de travail Common IntrusionDetection Framework (CIDF) vise dfinir un standard d'interoprabilit entre outils. Par ailleurs, l'IETF a cr rcemment un autre groupe, Intrusion Detection Working Group (IDWG), qui vient de commencer ses travaux. Nous ne dveloppons pas plus ici. Bien que le but principal des outils soit de dtecter des intrusions afin de s'en protger, un but annexe pourrait tre de fournir des preuves lorsque des poursuites en justice sont envisages. Ds lors, un problme se pose : l'inadquation entre les preuves exiges par les tribunaux et celles fournies par les outils. Ceux-ci peuvent fournir des fichiers de logs du systme, leurs propres diagnostics, une partie du trafic rseau captur durant l'attaque, des adresses IP incrimines et divers autres fichiers. Pour autant, comment prouver que tout cela n'a pas t altr, surtout si l'attaque a russi ? Quels mcanismes peuvent garantir de manire sre l'horodatage des vnements sur l'ensemble du rseau ? Et surtout, comment prouver que les logiciels qui ont collect ces preuves sont exempts de bugs lorsque l'on ne peut pas avoir accs au code source ? On le voit, les outils actuels ne peuvent prtendre dlivrer des preuves lgales d'intrusions. Au del de ces deux limites, il y a plus grave. Les systmes de dtection d'intrusions actuels peuvent tre mis en dfaut, soit parce qu'ils sont incapables de dtecter certains types d'attaque, soit parce qu'ils sont eux-mmes attaquables. 8.2.1 Attaques non dtectables
- 41 -
Nous l'avons mentionn, certains systmes rcents permettent de prendre automatiquement des contre-mesures. Un attaquant suffisamment dou peut effectuer une attaque qui aura l'air de provenir d'une machine du rseau interne. L'outil coupera alors les connexions avec la machine incrimine, ce qui constitue un dni de service. Un nouveau type d'attaque met en dfaut tous les outils actuels : plusieurs personnes effectuent une attaque distribue conjointe la cadence d'une action toutes les quelques heures. La distribution et la lenteur de l'attaque la fait passer inaperue. Les outils bass rseau prsentent quant eux des faiblesses intrinsques :
Ceux qui surveillent en temps-rel le trafic sont incapables de suivre les dbits des rseaux frame relay ou ATM.
Une attaque qui consiste envoyer des paquets altrs. Certains des paquets ne sont pris en compte que par une des deux machines, celle sur laquelle tourne l'outil de dtection ou celle attaque. Ainsi l'outil n'analyse pas rellement ce qui est vu par la machine cible.
8.2.2 Attaque des outils eux-mmes Les outils de dtection d'intrusions peuvent eux-mmes tre la cible d'attaques les rendant inoprants sur un ou plusieurs aspects. L'attaque relle passera ensuite inaperue. Chacun des composants peut tre attaque : le module qui fournit les donnes analyser (systme d'audit ou autres), le module d'archivage, l'ventuel module de contre-mesures, le module d'analyse :
Si on russit empcher l'arrive des donnes en entre, la dtection d'intrusions s'arrte, bien sr.
Si le dispositif d'archivage peut tre compromis, alors on ne peut assurer, ni l'enregistrement effectif des dtails d'une attaque, ni son intgrit.
Si le module de contre-mesures est mis hors-service, alors l'attaque peut continuer puisque l'outil est incapable de ragir. Il n'y a que l'administrateur (s'il est prsent) qui puisse agir aprs notification de l'intrusion.
Le module d'analyse peut tre mis bout de ressources. En dterminant ce qui demande le plus de ressource l'outil, un attaquant peut le surcharger avec des activits inutiles. Une autre manire de faire consiste forcer l'outil allouer toute la mmoire dont il dispose pour analyser des actions sans intrt. Pour continuer tourner, il sera amen librer de la mmoire en cessant, par exemple, la surveillance de connections restes inactives depuis longtemps. Toute attaque sur l'une d'entre elles restera indtectable. Enfin, si on russit faire consommer l'outil tout son espace disque pour des activits sans importance, il ne pourra plus stocker les vnements intressants. Il n'y aura donc pas de traces d'une intrusion ultrieure.
- 42 -
Conclusion Dans cette partie, on a montr que la dtection d'intrusions dans les rseaux ne vient pas concurrencer les mcanismes de scurit traditionnels mais, au contraire, les complter. Mme si on ne peut pas atteindre la scurit absolue, on veut au moins pouvoir dtecter l'intrusion afin d'y remdier. On a galement prsent les principes mis en uvre par les systmes de dtection d'intrusions pour atteindre leur but. Finalement, on a vu que de nombreux problmes restent rsoudre avant que la dtection d'intrusions soit fiable. Cette technologie n'est pas encore arrive maturit et les outils existants ne sont pas toujours la hauteur des besoins. Certaines approches thoriques doivent encore tre valides dans la pratique. De nouvelles approches demandent encore tre approfondies comme l'immunologie ou les systmes bass agents.
Partie 2 : Les solutions adquates pour les PME/PMI
Objectifs
Lobjectif de cette partie est de traiter les points suivants :

Choix des mcanismes de scurit Prsentation des solutions de scurit rseaux les plus rpandus sur le march
- 43 -
I. CHOIX DES MCANISMES DE SCURIT

1. Les mcanismes de chiffrement
Les mcanismes de chiffrement se dcomposent en deux grandes familles :
Le chiffrement applicatif : dans ce cas le chiffrement est assur par lapplication. Le principal intrt est que deux parties disposant de la mme application peuvent bnficier de la confidentialit de leurs changes quel que soit le moyen et les quipements qui les relient ;
Le chiffrement IP ou VPN : dans ce cas le chiffrement est assur par les moyens ou quipements de connexion. Le principal intrt est que les VPN permettent dassurer la confidentialit quelle que soit lapplication utilise. Cependant, tant donn le manque encore prsent de normes dfinitives sur les VPN, linconvnient est que les deux parties doivent possder des quipements matriels ou logiciels compatibles.
Pour rsumer, si une application spcifique dispose dun mcanisme de chiffrement propre, il est actuellement prfrable de lutiliser. Le mcanisme de VPN doit tre envisag uniquement dans le cas ou il est le seul possible. Dans ce cas, le mcanisme VPN de Check Point, solide et ayant fait ses preuves, pourra tre utilis vers une passerelle VPN-1/Firewall-1 de larchitecture. Ce mcanisme pourra tre utilis de deux faons distinctes :
Mode client passerelle : si le client accde Internet depuis un poste client directement, il lui suffira dinstaller sur son poste client le logiciel SecuRemote (gratuit) de Check Point ;
- 44 -
Mode passerelle passerelle : si le client est une socit ayant sa propre plateforme daccs Internet, il devra install une passerelle VPN-1/Firewall-1 sur son site.
De plus, dans le cas de la prsence de deux pare-feux de types diffrents, il est judicieux de grer les VPN sur le pare-feu amont (le plus proche de lextrieur) car dans le cas contraire, ce pare-feu serait amen laisser passer tous les flux chiffrs sans possibilit de contrle.
2. Les mcanismes dauthentification

De la mme faon que les mcanismes de chiffrement, les mcanismes dauthentification peuvent tre soit offert par lapplication, soit par un mcanisme spcifique, ncessaire pour les accs nomades et peut tre la maintenance tierce. Pour les accs pouvant tre de nature diffrentes (accs VPN par Internet ou accs RTC), il est ncessaire dutiliser un mcanisme standard de dialogue entre lquipement voulant effectuer lauthentification et le serveur dauthentification. Le seul choix rellement universel lheure actuelle est le protocole Radius. Il faut galement tre en mesure de proposer des authentifieurs matriels (ou Token), au minimum pour les postes nomades. La tendance actuelle est de proposer des Token ergonomiques et trs faciles dutilisation pour les postes portables, qui ncessitent la prsence de ports USB. Lautre choix reste les Token de type calculettes, moins simples mais utilisables avec tout poste client. Ces considrations devront tre prises en compte pour le choix dun produit dauthentification.
3. Les mcanismes de messagerie

Le choix qui simpose dans les structures de messagerie dune architecture de scurit est dutiliser un relais de messagerie (effectuant du contrle de contenu) puis de transmettre les messages un serveur interne en utilisant toujours le protocole SMTP qui est un protocole utilisant un port TCP fixe (25) contrairement Exchange. Il nest pas raisonnable de faire transiter du protocole Exchange au travers dun pare-feu.
4. Les mcanismes de contrle de contenu

Les mcanismes de contrle de contenu, spcifiquement les fonctions antivirales et de filtrage dURLs peuvent tre mises en uvre suivant deux mthodes distinctes :
Coupls avec un quipements de type pare-feu : les mcanismes de contrle de contenu restent transparents pour les autres systmes en tant utiliss automatiquement par les pare-feux. Cest le cas de lutilisation des protocoles CVP et UFP de Check Point. Lavantage est doffrir une structure simple configurer. Les inconvnients incluent des problmes de performances ainsi que limpossibilit dassurer la haute disponibilit.
- 45 -
Utiliss de faon autonomes : dans ce cas, les systmes assurant le contrle de contenu sont utiliss en tant que relais applicatif, pour HTTP ou SMTP par exemple. Linconvnient est la non transparence pour le reste de larchitecture mais les avantages sont les performances et la possibilit dtre utiliss avec des pare-feu en haute disponibilit.
5. Les mcanismes daccs Internet

Les besoins associs laccs Internet des utilisateurs peuvent tre constitus de quatre grands axes :

Cache interne ; Authentification ; Contrle de contenu ; Filtrage dURLs. possibles sont axs sur le positionnement et le dcoupage des diffrentes
Les choix
fonctionnalits ncessaires. On peut envisager :
Le cumul des diffrentes fonctions sur un mme systme : en interne une mme machine offre les quatre services. Cela est peu envisageable dun point de vue performance globale ;
La sparation des fonctions : ceci permet damliorer les performances et de bien segmenter les fonctions. Cela peut tre effectu de la faon suivante : o Cache et authentification : sur un systme interne. Il est en effet obligatoire davoir lauthentification et le cache au plus prs des utilisateurs ; o Contrle de contenu et filtrage dURLs : sur un ou deux systme(s) en zone relais. Ceci permet de segmenter correctement les flux (en vitant les flux directs de lintrieur vers lextrieur). De plus, ce(s) systme(s) pourrai(en)t galement avoir un mcanisme de cache si le cache interne se rvlait insuffisant.
6. Les critres de choix des solutions

Le dernier point important est le choix des produits susceptibles de supporter les diffrentes fonctions cites. Afin de choisir des produits aptes remplir correctement les fonctions souhaites, il est ncessaire dappliquer certains critres :

Fonctionnalit : un produit choisi doit bien sr possder les fonctionnalits requises ; Stabilit : un produit choisi doit avoir acquis une certaine stabilit et surtout tre de source (diteur, constructeur) stable ;
- 46 -
Intgration : un produit choisi doit pouvoir sintgrer avec les autres produits de la plate-forme. Dans ce cas, il sagit dappliquer lexprience de socits ayant dj intgr ce type de produits ;
Administration : un produit choisi doit pouvoir tre administr de faon simple et si possible distance (sans poser de problmes de scurit) ;
Existant : il est important de tenir compte de lexistant en terme de produits dj achets/dploys ainsi que des comptences internes.
Il nest pas question de faire ici une liste de produits possibles mais de prsenter une liste de produits rpondant aux besoins et critres cits.
II. PRSENTATION DES SOLUTIONS DE SCURIT RSEAUX LES

PLUS RPANDUS SUR LE MARCH
Lobjectif principal de cette partie est de prsenter quelques solutions de scurit proposes par les diteurs. Ces solutions concernent essentiellement les technologies prcites dans les chapitres prcdents, tels que les Firewalls, les VPN, les IDS/IPS, les solutions dauthentification, les antivirus, les PKI, etc. Aussi, notre objectif dans cette partie nest pas de favoriser une solution par rapport une autre mais de faire une comparaison technique entre les diffrentes solutions ainsi que sur leurs performances leurs frquences dutilisation sur le march.
1. Les principales solutions de Firewall

Des botiers aux solutions logicielles, des technologies traditionnelles aux plus hybrides, ce panorama prsente les principales solutions ou gammes de solutions de pare-feu du march, qu'elles soient sous forme logicielle ou sous forme de botier (Appliance). Dans ce chapitre, nous allons tudier les firewalls suivants :

PIX pour les firewalls de niveau 4 SideWinder pour les firewalls de niveau 7
1.1 PIX
Les pare-feu PIX Firewall garantissent une scurit hautes performances ingale. 1.1.1 Hautes performances
- 47 -
La gamme Cisco Secure PIX Firewall est une gamme d'appareils de scurisation hautes performances, faciles installer et intgrant composants matriels et logiciels. Elle permet de protger les rseaux dentreprises internes du monde extrieur et offre toutes les garanties de scurit d'un pare-feu de rseau. Contrairement aux serveurs proxy permanents, gros consommateurs de ressources systme, qui appliquent des procdures de scurit chaque paquet de donnes au niveau applicatif, les pare-feu Cisco Secure PIX utilisent un systme ddi de scurisation en temps rel (non UNIX). Ces pare-feu PIX sont exceptionnellement performants : ils prennent en charge plus de 256 000 connexions simultanes, traitent plus de 6 500 connexions par seconde et atteignent des dbits de prs de 170 Mbits/s. Ces capacits dpassent de loin celles des autres quipements pare-feu ddis ou des pare-feu logiciels bass sur des systmes d'exploitation centraux.
1.1.2 Quelques fonctionnalits 1.1.2.1 Cut-Through Les pare-feu de la gamme PIX Firewall augmentent encore leurs performances de faon spectaculaire grce une fonction d'authentification volue appele cut-through proxy . Certes, les serveurs proxy UNIX peuvent assurer une vrification de l'utilisateur et contrler l' tat (informations sur l'origine et la destination d'un paquet), toutefois leurs performances en sont considrablement rduites, car ils traitent tous les paquets au niveau de la couche applicative du modle OSI (interconnexion de systmes ouverts), gros consommateur de CPU. En revanche, la fonction de cut-through proxy de la gamme PIX Firewall contrle un utilisateur uniquement en dbut de session, au niveau de la couche applicative, comme un serveur proxy. Une fois que l'identit de l'utilisateur a t vrifie, l'aide d'une base de donne standard adoptant le systme de contrle TACACS+ (Terminal Access Controller Access Control System) ou RADIUS (Remote Access Dial-In User Service), et que l'autorisation a t contrle, le pare-feu laisse passer le flux des donnes de la session. Le trafic circule directement et rapidement entre les deux parties, et l'tat de la session est prserv sans que la scurit soit compromise. Cette fonctionnalit assure au PIX Firewall des vitesses beaucoup plus rapides que les serveurs proxy. 1.1.2.2 Failover Pour accrotre encore la fiabilit, la gamme PIX Firewall propose en option un kit de secours d'urgence qui limine tout risque de panne. Lorsque deux pare-feu fonctionnent en parallle et qu'un incident se produit sur l'un des deux, le second prend le relais des oprations de scurit, de faon totalement transparente.
- 48 -
1.1.3 Grande simplicit, donc faible cot d'exploitation Pour simplifier l'administration de rseau, le PIX Firewall intgre une nouvelle interface utilisateur graphique et un outil de configuration bas sur le Web qui permet, par un simple clic de la souris, d'extraire, diter et grer sur un site central niveaux de scurit. Grce aux rapports de gestion, les administrateurs de rseaux peuvent faire des analyses statistiques sur les tentatives d'accs non autoriss, la densit du trafic et les enregistrements d'vnements ; ces analyses permettent ensuite d'tablir les cots d'exploitation. Les administrateurs de rseaux peuvent galement connatre les sites Web les plus visits, par utilisateur, en consultant le rapport des URL. Ils peuvent en outre dfinir des seuils qui permettent aux pare-feu PIX Firewall d'envoyer des messages d'alerte en temps rel via la messagerie lectronique ou pager lorsqu'ils dtectent des tentatives d'accs pirate. Le PIX Firewall peut galement filtrer les applications Java potentiellement dangereuses. Remarque : Grce la gamme PIX Firewall de Cisco, il est possible dviter tous les cots dus l'installation des pare-feu bass sur les systmes d'exploitation grand-public. Avec ce type de systme, il faut tout d'abord acqurir le matriel, puis installer le systme d'exploitation et le configurer avec des paramtres scuriss, et enfin installer l'application pare-feu de rseau. En outre, il faut avoir recours un expert, pour configurer et installer les stations de travail NT ou UNIX haut de gamme et coteuses. 1.1.4 Plus de problme de manque d'adresses IP La gamme PIX Firewall dispose d'une fonction d'expansion et de reconfiguration de rseau IP qui vite d'tre pnalis par un manque d'adresses IP. Le systme NAT de traduction d'adresses rseau permet d'exploiter chacune des adresses IP du pool de rserve dfini par l'IANA (RFC 1918). En outre, les pare-feu PIX Firewall peuvent slectionner un groupe d'adresses particulier et en autoriser ou refuser la traduction. Une autre fonctionnalit de la gamme PIX Firewall est la traduction d'adresse de port ( PAT) avec multiplexage au niveau du port : cette mthode prserve les donnes d'un pool d'adresses externe en autorisant la traduction de ports source dans les connexions TCP ou les conversions UDP. Les utilisateurs peuvent traduire plusieurs adresses locales internes en une adresse locale externe unique, l'aide de numros de port diffrents pour distinguer chaque traduction.
- 49 -
1.2 SideWinder
Prinstalle et prrgle pour faciliter son dploiement, la famille Sidewinder G2 de pare-feu/VPN fournit une solution de scurit prte lemploi qui sintgre de manire transparente nimporte quel rseau IP. Aucune formation ou quipe dexperts informatiques nest ncessaire. Les dispositifs Sidewinder G2 offrent une solution complte qui combine le pare-feu logiciel intransigeant de Secure Computing avec une famille de plates-formes de serveurs hautes performances monts en rack. Les modles Sidewinder G2 sinstallent tous proprement dans un rack 19 pouces standard. Aucun terminal, clavier ou systme dalimentation ddi nest ncessaire. Convivial pour les rseaux, Sidewinder G2 comprend la prise en charge intgre des principaux protocoles rseau domestiques (SNMP, OSPF, RIP, NTP, ICMP, PING, etc.). Les administrateurs peuvent aisment contrler le bon fonctionnement de Sidewinder G2 grce aux rapports et aux outils de surveillance intgrs. Ils peuvent galement exporter les donnes danalyse vers les meilleurs produits de reporting tiers tels que WebTrends. Avec ses fonctionnalits de dploiement facile Power-It-On!, ses capacits de
sauvegarde/restauration distance, sa journalisation centralise, sa surveillance exhaustive dtat/analyse et ses fonctionnalits prcurseurs de dtection dintrusion et de rponse automatise, Sidewinder G2 se positionne parmi les meilleures solutions Firewall de niveau 7. 1.2.1 Performances volutives, Fiabilit et Haute disponibilit volutivit et fiabilit sont profondment ancres dans la conception du Sidewinder G2 Firewall. SecureOS UNIX de Secure Computing est le premier et unique systme dexploitation pare-feu optimis pour les processeurs Pentium dans les laboratoires de test de performances Intel. Avec un dbit en gigabits et plus de 1 millions de connexions simultanes sur le modle 4000 haut de gamme. G2 Firewall comprend un logiciel de basculement par inspection dtat de grande qualit et, utilis en combinaison avec les solutions dquilibrage de charge certifies de Secure Computing, Sidewinder offre une volutivit illimite et un dbit lev rpondant aux besoins des diffrentes entreprises. 1.2.2 Scurit hybride ingale et Gestion de type Windows Larchitecture de la scurit hybride du
Sidewinder G2 combine toute la gamme des mcanismes de pare-feu, y compris les filtres de base des paquets, linspection complte de ltat, les proxy de niveau circuit, les proxy dapplication, les serveurs scuriss, les alertes
- 50 -
en temps rel de dtection dintrusion Strikeback et la protection contre les DoS au sein dun unique package, simple et rentable. Sidewinder G2 combine linspection complte de ltat avec le filtrage de la couche application afin de contrecarrer les attaques les plus sophistiques. Au fur et mesure que le nombre dentreprises et dadministrations sappuyant sur des services Web comme .NET, XML et SOAP augmente, le filtrage de la couche application devient un lment incontournable de lenvironnement scuritaire. Les proxy intelligents de niveau application et les serveurs scuriss protgent les services DNS, FTP, HTTP, la messagerie SMTP et dautres services Internet trs priss dune manire efficace.
2. Les principales solutions de systmes de dtection dintrusions

Confronts une multiplication et une complexit croissante des remontes dalertes, les administrateurs de la scurit et du rseau ont besoin quune information structure et organise leur soit remonte. De mme, lorsqu'ils dploient une solution ou des matriels de dtection (IDS) ou de prvention d'intrusion (IPS), une console d'administration centralise leur est indispensable, que ce soit pour un ou plusieurs serveurs stratgiques - solutions dites Host IDS - ou bien pour l'intgralit du rseau de l'entreprise - solutions Network IDS . Fonctionnant comme des solutions anti-virus ou anti-spam, les IDS se rfrent une base de signatures d'attaques connues. Mais afin de donner leur solution plus de ractivit lorsqu'une attaque surgit, certains diteurs ont dcid de transformer leur offre en IPS (Intrusion Prevention System), axant leur technologie vers la prvention proactive, capable de ragir en temps rel lorsque qu'une anomalie est dtecte ou qu'une intrusion est avre. Sur ce march, on trouve deux acteurs phares que sont ISS et Cisco. Suivent ensuite dans le dsordre Network Associates, Snort, Symantec, NetASQ, Top Layer Networks, Netscreen, Hogwash, TippingPoint, etc. Dans ce chapitre, on va dtailler l'offre d'ISS avec sa gamme Proventia et l'offre de Cisco avec son produit IPS4200.
2.1 La gamme Proventia dInternet Security Systems

Les appliances de Prvention d'Intrusions Proventia d'Internet Security Systems bloquent automatiquement les attaques malveillantes tout en prservant la bande passante et la disponibilit du rseau. Les appliances Proventia G utilisent des technologies prouves qui surpassent de loin les capacits de protection et la prcision des pare-feux actuels, des systmes de dtection d'intrusions et des autres systmes en coupure de protection contre les intrusions. Les attaques connues et inconnues sont bloques en temps rel, telles que les dnis de services distribus, les chevaux de Troie, les attaques hybrides, liminant la ncessit d'une implication continue de l'administrateur. Les appliances Proventia viennent complter les autres offres de
- 51 -
protection rseau, serveur et postes de travail d'Internet Security Systems, gres par la plateforme d'administration centralise SiteProtector.
2.1.1 Les avantages de Proventia Blocage dynamique

Active une rponse fiable de blocage immdiat contre le trafic illgitime Autorise le trafic lgitime de passer librement sans impacter la performance du rseau Utilise un processus de purification du trafic dans le but de stopper les attaques prcdemment
Offre une protection immdiate contre les attaques connues et inconnues vous laissant le temps de tester les correctifs et de planifier leur application manuelle via le processus de Virtual Patch
Prvention prouve sans faux positif
Ces
capacits
d'analyse
protocolaire
approfondie
garantissent
une
protection
performante et prcise contre les attaques connues et inconnues
Analyse plus de 100 protocoles rseau et inclut plus de 2500 signatures uniques
Administration centralise avec SiteProtector
Contrle, surveille et analyse avec un minimum de ressources humaines ddies et de cots oprationnels
S'adapte toutes tailles d'entreprise Corrlation avance des donnes, analyse d'impacts et reconnaissance de schmas d'attaques suspectes avec le module SiteProtector SecurityFusion
Performance et Fiabilit
Protge la vitesse du lien rseau sans consommer de bande passante ou perturber la disponibilit du rseau
Permet au trafic de passer en cas de coupure d'alimentation de l'appliance Des systmes de qualit Premium bas sur l'quipement Intel qui inclut : o Des ventilateurs internes redondants
- 52 -
o o Une unit de stockage RAID pour empcher des checs fatals hardware Alimentation interchangeable chaud
Une protection contre les intrusions en mode espion
Invisible aussi bien sur le rseau que pour les attaquants
2.2 La solution IPS de Cisco

La solution de prvention des intrusions Cisco IPS (Intrusion Prevention System) est une offre logicielle qui est conue pour identifier, rfrencer et bloquer le trafic malveillant avant quil ne compromette la continuit de lactivit de lentreprise. Avec ses capacits prouves de dtection et de prvention en ligne de qualit industrielle, la solution Cisco IPS ralise une protection complte des donnes comme de linfrastructure informatique. La solution Cisco IPS offre une protection prcise et proactive qui permet ses utilisateurs de bloquer davantage de menaces avec une confiance accrue grce :
Lidentification globale des menaces Linspection approfondie du trafic des couches 2 7 protge le rseau des violations de politiques, de lexploitation de ses vulnrabilits et des activits malveillantes ;
Des technologies prcises de prvention Elles vous permettent deffectuer des actions de prvention en toute confiance sur un ventail largi de menaces sans risquer de rejeter le trafic autoris. Le systme innovant dvaluation des risques ainsi que le gnrateur de mta-vnements MEG (Meta-Event Generator) de Cisco identifient les attaques avec prcision et permettent de mettre rapidement en uvre les actions de dfense ;
Une collaboration en rseau originale La collaboration de rseau, avec ses techniques efficaces de capture du trafic, ses fonctions dquilibrage de charge et sa capacit danalyse du trafic crypt, apporte encore plus dvolutivit et de robustesse ;
Des solutions compltes de dploiement Loffre logicielle Cisco IPS permet la mise en uvre des solutions de dtection et de prvention des intrusions dans tous les environnements. Environnements clients de tous types (depuis les PME et les agences dentreprise jusquaux installations du sige social ou des fournisseurs de services), mais aussi environnements hardware adapts. La gamme des quipements spcialiss Cisco IPS se compose des serveurs ddis de la gamme Cisco IPS 4200 ainsi que des modules de commutation de la gamme Cisco Catalyst 6500. Le module de dtection des intrusions (IDS) destin aux routeurs daccs Cisco fournit des fonctionnalits volues qui renforcent les fonctions traditionnelles de dtection. De plus, un ensemble spcialis de fonctions de prvention des intrusions est disponible en tant que solution
- 53 -
Cisco IOS pour les routeurs Cisco. Pour la configuration des units et la visualisation des vnements, Cisco propose des solutions comme IPS Device Manager, destin la gestion des serveurs uniques et la surveillance des vnements, ainsi que CiscoWorks VMS (VPN/Security Management Solution), spcialis dans la gestion de plusieurs units avec corrlation dvnements multiples. Lorsquils sont associs, ces lments ralisent une solution de prvention en ligne complte qui vous permet, en toute confiance, de dtecter et de bloquer les types les plus varis de trafics malintentionns avant quils compromettent la continuit des activits de lentreprise. 2.2.1 Caractristiques et Avantages Des services IPS pour bloquer les vers et les virus Destin aux serveurs ddis de gamme Cisco 4200 ainsi quau module IDSM-2 pour les commutateurs de la gamme Cisco Catalyst 6500, le logiciel Cisco IPS Version 5.0 fournit des fonctionnalits en ligne de prvention des intrusions qui bloquent efficacement les vers et les virus aux endroits stratgiques du rseau. La Figure 30 montre comment les serveurs ddis et les modules Cisco IPS ralisent des solutions de dploiement compltes sur lensemble du rseau.
Figure 6 : Exemple de dploiement dIDS et dIPS au sein dun rseau dentreprise
Support des services hybrides IDS/IPS, qui permet au mme logiciel de travailler la fois en mode de dtection (IDS) et de prvention (IPS). La Figure 30 montre comment dployer stratgiquement des units IPS pour quelles assurent, simultanment et
- 54 -
individuellement, des services de dtection et de prvention. Cette fonctionnalit permet de rduire considrablement le cot total d'acquisition en supprimant la ncessit de dployer de multiples units sur un mme rseau.
Support dun large ventail dactions de rejet des paquets , notamment la possibilit de rejeter individuellement les paquets malveillants, tous les paquets dun flux contenant plusieurs paquets malveillants ou tous les paquets provenant de ladresse IP du pirate. Ces actions en ligne compltent les actions de dfense existantes, comme la rinitialisation des connexions et les modifications des listes de contrle d'accs sur les commutateurs, les routeurs et les pare-feu, pour fournir un ensemble de techniques de contrle des attaques qui travaillent de concert pour bloquer efficacement les vers et les virus.
Des technologies de prvention prcises
Cisco Meta Event Generator (MEG) Le gnrateur de mta-vnements MEG effectue une corrlation on-box pour classer les attaques de manire prcise. Le logiciel Cisco IPS Sensor Version 5.0 intgre des fonctions volues de corrlation des vnements au niveau de lquipement qui fournissent aux administrateurs de la scurit une mthode automatise pour accrotre le niveau de confiance dans la classification des activits malveillantes dtectes par lIPS. Ce mcanisme permet, par des actions appropries, de contenir les vecteurs dinjection des vers et des virus et de bloquer la propagation des vers lchelle du rseau tout entier. Ce mcanisme repose sur les techniques suivantes :
La corrlation des alertes relatives aux vers qui exploitent des vulnrabilits multiples. La Figure 31 montre comment plusieurs alertes dclenches sur une courte priode peuvent tre corrles en temps rel afin de constituer un mta-vnement unique qui assure une meilleure visibilit de lactivit dun ver ;
La corrlation dune squence dactions caractrisant linfestation par un ver. Les analyses de tendances historiques ralises pour caractriser le cycle de vie des vers rvlent souvent une squence particulire dactions dtectables juste avant quils parviennent sinfiltrer dans le systme. Ces actions interviennent au cours de la phase de sondage , une succession dactivits de reconnaissance du rseau cible. Le gnrateur MEG donne lutilisateur la possibilit de dfinir les prcurseurs de linfiltration du ver en dsignant un algorithme logique qui se dclenchera en cas de dtection dune suite particulire dvnements. De telles corrlations engendrent des mta-vnements qui permettent, avec un meilleur niveau de confiance, dalerter lutilisateur de la prsence dune activit malveillante ;
La corrlation de multiples vnements de faible dangerosit qui sous-entendent lventualit dun vnement unique bien plus grave. A mesure quun ver se propage dans le rseau, il gnre des alertes plus ou moins srieuses. Cisco MEG relie entre - 55 -
elles des alertes de faible gravit et apparemment indpendantes qui signent un vnement grave ou haut risque pour permettre lutilisateur de rejeter, avec un haut niveau de confiance, les paquets associs (Figure 32) ;
Lamlioration du niveau de fiabilit des alertes par la simultanit des rponses positives dalgorithmes hybrides de dtection. Par exemple, lorsque des activits caractristiques dattaque par saturation sont dtectes (identification via une signature classique de type saturation ), le gnrateur MEG peut servir corroborer lun des vnements avec lautre et fournir ainsi un mta-vnement unique qui indique, avec une plus grande probabilit, quune attaque est en cours.
Ces niveaux complmentaires de scurit apportent la confiance ncessaire pour dployer une action de prvention des intrusions en ligne sans risque de rejet du trafic lgitime , tout en identifiant les vers et en les empchant de se propager dans votre rseau.
Figure 7 : Le gnrateur MEG corrle de multiples vnements pour dtecter la prsence dun ver
Figure 8 : Le gnrateur MEG corrle de multiples vnements de faible gravit pour gnrer un unique vnement de prsence de ver Lvaluation du risque augmente la prcision et le niveau de confiance des actions de prvention (IPS) de rejets des paquets en classant les menaces en fonction des risques encourus (Figure 33). De manire automatise, lvaluation du risque utilise un algorithme pluridimensionnel unique qui tient compte de diffrents facteurs, et notamment de :
La gravit de lvnement Valeur dont la pondration est modifiable par lutilisateur et qui caractrise les dgts potentiels du trafic suspect ;
- 56 -
La fiabilit de la signature Valeur dont la pondration est modifiable par lutilisateur et qui dfinit dans quelle mesure la signature est susceptible de caractriser la menace ;
La valeur de lquipement Paramtre dfini par lutilisateur et reprsentant la valeur quil attribue lhte cible ;
La pertinence de lattaque Pondration interne qui rend compte de tous les faits complmentaires que le logiciel possde sur la cible de lvnement.
Lvaluation du risque ainsi obtenue est un nombre entier appliqu de manire dynamique chaque signature IPS, politique ou algorithme de dtection des anomalies. Plus cette valeur est leve et plus le risque de scurit est grand en cas de dclenchement de lalerte correspondante. On obtient ainsi un mcanisme qui permet lutilisateur de dvelopper des politiques de prvention des attaques contre son rseau ou de mieux classer les vnements pour les tudier par la suite en fonction de leur priorit. Lutilisateur est ainsi mieux inform pour prendre des dcisions concernant des actions de prvention en ligne et limine pratiquement tout risque de rejet du trafic lgitime.
Figure 9 : Lvaluation du risque amliore la prcision des actions de prvention IPS
3. La solution pour le serveur dauthentification

Grer ses mots de passe de faon simple, scuriser ses accs distance, se prmunir des renifleurs de clavier : autant de raisons qui peuvent pousser une entreprise se tourner vers des solutions d'authentification forte. L'authentification forte consiste ajouter au traditionnel systme de login/mot de passe, une solution annexe supplmentaire qui peut tre un code supplmentaire gnr alatoirement pour une courte dure, un algorithme de cryptage, des certificats ou un systme de signature lectronique. En matire d'authentification forte, trois types de solutions se distinguent : le principe de calculette, qui se prsente sous la forme d'une petite calculatrice et gnre un code automatique dure de vie limite (principe du Token ou jeton), la clef USB, capable de stocker des mots de passe crypts ou de grer les certificats lectroniques d'accs aux documents, et enfin les systmes de cartes puce.
- 57 -
Dans cette partie nous allons faire un focus sur la solution de Secure Computing SafeWord PremierAccess, qui est une solution trs utilise sur le march.
3.1 La solution SafeWord PremierAccess

SafeWord PremierAccess permet didentifier catgoriquement les utilisateurs avant de les autoriser accder aux systmes stratgiques de lentreprise. PremierAccess limine les inconvnients des mots de passe laide dun large choix doptions dauthentification plus scurises, plus conviviales et moins chres implmenter que les mots de passe traditionnels. Lutilisation dune telle solution prsente plusieurs avantages, qui seront traits dans le point suivant. 3.1.1 Fonctionnalits et Avantages
Grer plusieurs points daccs et protger les applications laide dun seul produit : SafeWord PremierAccess permet de grer de manire transparente les accs des utilisateurs au Web, au rseau VPN et aux applications rseau. Grce un systme de gestion exclusif, PremierAccess vous permet de scuriser tous vos points daccs sans les dpenses et la complexit lies lintgration de plusieurs produits.
Choisir le mcanisme dauthentification appropri au niveau de scurit dsir : SafeWord PremierAccess assure une authentification fiable plusieurs facteurs sur un large ventail de priphriques. Les jetons SafeWord gnrent de nouveaux mots de passe pour chaque connexion utilisateur, liminant ainsi les risques de vol, demprunt, de piratage ou simplement de mise par crit des mots de passe. Des mots de passe usage unique peuvent galement tre dlivrs par lintermdiaire de jetons logiciels ou MobilePass, qui les envoie sous forme de messages texte la plupart des tlphones mobiles, rcepteurs de radiomessagerie et assistants numriques (PDA). Il prend en charge un grand nombre de
technologies dauthentification : mots de passe, jetons, certificats numriques, cartes puce, jetons USB, priphriques sans fil et systmes biomtriques. Il permet aussi de choisir la puissance du mcanisme dauthentification en fonction des exigences de scurit ncessaires la protection des ressources de lentreprise.
Scurit de laccs distance : Les autorisations et lauthentification des utilisateurs sont plus importantes que jamais pour laccs aux systmes distants tels que les rseaux VPN, les serveurs de clients lgers et les rseaux WLAN, permettant un accs direct au cur du rseau de lentreprise.
- 58 -
PremierAccess assure une prise en charge transparente de lauthentification pour le protocole sans fil 802.11 et pour les principaux fournisseurs de clients lgers et VPN, dont Citrix, Check Point, Cisco, Alcatel, Nortel et Microsoft.
Contrler les accs (qui et o) grce des autorisations personnalises bases sur des rles : Lidentification des utilisateurs reprsente la premire tape, mais contrler quelles ressources leur sont disponibles et quel endroit est tout aussi important. PremierAccess offre une autorisation granulaire base sur le rle de lutilisateur ou sa relation avec lorganisation.
Connexion
aux
systmes
externes
avec
authentification :
PremierAccess
prsente la capacit exclusive de jouer le rle de mdiateur (broker) dans lauthentification pour les systmes tiers de type RADIUS ou Active Directory. Cette fonctionnalit permet alors dtendre les capacits de contrle d'accs et dautorisation de PremierAccess linfrastructure existante de lentreprise.
Gestion simple et pratique : Grce aux fonctionnalits dauto-inscription des utilisateurs, dadministration centralise ou dlgue et de support technique, le dploiement et la gestion de PremierAccess est trs simple. Le Centre denregistrement Web permet aux utilisateurs de sinscrire aisment laide des rles pr-affects et des rgles daccs.
Figure 10 : cran d'enregistrement des utilisateurs
4. Le filtrage Web
Grce la facilit daccs aux informations mondiales quil offre, le rseau Internet largit lhorizon de toutes les entreprises et de tous les individus. Cependant, un accs illimit au Web peut avoir des consquences ngatives sur les individus, les performances du rseau et le chiffre
- 59 -
daffaires de lentreprise. Un filtrage Web efficace permet dinculquer quelques valeurs de principe aux membres de lorganisation, tout en prservant laccs aux informations indispensables son succs. Dans cette partie, nous allons tudier les trois solutions phares sur le march qui sont :

Websense Enterprise ; SurfControl ; SmartFilter.
4.1 Websense Enterprise

Utilise l'chelle mondiale par plus de 17 800 entreprises, dont la moiti des socits classes Fortune 500, Websense Enterprise est la solution logicielle EIM (Employee Internet Management) n 1 du march. Bas sur un serveur, le logiciel Websense vous permet de surveiller, grer et mettre des rapports sur le trafic Internet gnr depuis les rseaux internes de lentreprise, en toute transparence. Websense utilise une technologie d'mulation pour fournir la solution de filtrage Internet la plus prcise, la plus fiable et la plus volutive du march. Ce filtrage consiste faire passer toutes les requtes de pages Web par un point de contrle Internet tel qu'un pare-feu, un serveur proxy ou un moteur de cache. Websense s'intgre ces points de contrle pour vrifier chaque requte et dterminer si elle doit tre autorise ou refuse. Toutes les rponses sont consignes dans des rapports.
Websense Enterprise protge les entreprises et les employs qui utilisent Internet dun nombre croissant de menaces.
Websense Enterprise amliore la productivit des employs, renforce la scurit, limite la responsabilit lgale et optimise lutilisation des ressources informatiques.
Websense Enterprise offre une intgration transparente aux produits phares de linfrastructure rseau ainsi quune souplesse et un contrle sans prcdent.
Websense Enterprise inclut la base de donnes principale et les outils de cration de rapports Websense, produits phares du secteur, fournissant une analyse et une cration de rapports performantes sur les activits Internet et bureautiques.
- 60 -
Figure 11 : Websense Enterprise Manager 4.1.1 Risque et dfis en matire de productivit
Les abus lis Internet reprsentent pour les entreprises amricaines des pertes annuelles de productivit de plus de 85 milliards de dollars
Bien que 99% des entreprises utilisent un logiciel [antivirus], 78% dentre elles ont t attaques par des virus, vers, ou autres applications dangereuses
37% des employs utilisant Internet sur leur lieu de travail aux tats-Unis ont visit un site Web class X pendant les heures de bureau
Plus de 72% des internautes utilisent des applications forte consommation de bande passante incluant la messagerie instantane, le tlchargement de musique et la lecture de clips vido
4.1.2 Avantages Websense filtre le contenu Internet en utilisant la base de donnes Websense Master qui rpertorie plus de 4 millions de sites, organiss en plus de 80 catgories, notamment MP3, jeux de hasard, shopping et contenus pour adultes. Vous pouvez choisir de bloquer, autoriser, limiter (par le biais de quotas horaires) ou diffrer les accs l'une ou l'autre des catgories par utilisateur, groupe d'utilisateurs, station de travail ou rseau.
- 61 -
De nouveaux sites s'ajoutent chaque jour la base de donnes et Websense Enterprise tlcharge automatiquement les mises jour, la nuit, sur votre serveur, vous permettant ainsi de rester en phase avec l'volution de l'Internet.

Amlioration de la productivit des employs Rduction du risque de violation de la scurit Limitation des risques lis aux activits Internet des employs en matire de responsabilit lgale
Optimisation de l'utilisation des ressources informatiques, y compris de la bande passante et des ressources bureautiques.
Mise en place de politiques dutilisation des applications Internet.
Websense Enterprise v5.5 aide :
Prserver les prcieuses ressources en bande passante o Les annonces publicitaires en ligne consomment 10 % de la bande passante du rseau dune entreprise. o Actuellement, les fichiers MP3 reprsentent lun des principaux problmes sur le lieu de travail et surchargent la bande passante de lentreprise. o Le contenu multimdia reprsente la deuxime menace sur les lieux de travail. Lanne dernire, en effet, 9 millions demploys ont accd un contenu multimdia sur leur lieu de travail. Les sites proposant ces contenus (notamment les divertissements ou les films) prvoient une croissance de 2000 %, pour atteindre 20,5 milliards de dollars en 2004.
Eviter les problmes juridiques o Une entreprise sur quatre a pris des mesures contre une utilisation incorrecte dInternet sur le lieu de travail, ce qui engendre cots et contrarits. o Les problmes rencontrs sont notamment les suivants : distribution de documents contenu prjudiciable (notamment des documents sur la pornographie, la drogue et le racisme), ainsi que le tlchargement de logiciels sans licence et de fichiers audio.
Optimiser la productivit des salaris o 40 % des employs reconnaissent surfer sur Internet des fins personnelles pendant les heures de bureau. o En moyenne, les employs visitent des sites des fins prives environ 3 heures par semaine.
- 62 -
o Pour une entreprise de 500 utilisateurs, le cot engendr par lutilisation d'Internet des fins personnelles par les employs, dont le salaire moyen est de 16 $ par heure, pendant 3 heures par semaine, s'lve 460 800 $ par an. Ces avantages peuvent tre tendus laide des solutions Websense IM Attachment Manager, Bandwidth Optimizer. 4.1.3 Websense IM Attachment Manager Websense Enterprise IM Attachment Manager est un module dextension permettant aux responsables informatiques de contrler lenvoi et la rception de fichiers via les clients de messagerie instantane (MI). Websense Enterprise permet aux responsables informatiques dlaborer des politiques souples dutilisation de messagerie instantane. IM Attachment Manager amliore ces capacits en limitant les risques en termes de scurit et de responsabilit lgale lis lutilisation non contrle de pices jointes MI tout en amliorant la disponibilit des ressources informatiques et la productivit des employs. IM Attachment Manager aide les entreprises :
Limiter les menaces de scurit dues des programmes malveillants porteurs de virus, de vers, de chevaux de Troie ou de logiciels espions.
Minimiser les pertes en termes de proprit intellectuelle. Limiter la responsabilit concernant le partage illgal de matriaux dont les droits sont protgs ou le partage de contenus inappropris.
Rduire la consommation de bande passante relative aux transferts de fichiers caractre non professionnel. Options de filtrage souples - Configure diffrentes politiques de pices jointes MI par utilisateur, groupe, station de travail, rseau, jour et heure. Application automatique de la politique - Surveille automatiquement les pices jointes MI et autorise ou refuse les demandes de transfert de fichiers MI conformment la politique approuve. Des mises jour automatiques de la liste du protocole de pices jointes MI garantissent la prcision et minimisent les exigences administratives. Dtection des menaces MI au sein de votre socit -
Analyse les informations historiques et en temps rel sur l'utilisation par les employs des pices jointes MI utilisant les outils de cration de rapports Websense Enterprise incluant Explorer, Reporter et Real-Time Analyzer. 4.1.4 Websense Enterprise Bandwith Optimizer
- 63 -
Websense Enterprise Bandwidth Optimizer permet aux entreprises d'optimiser les ressources en bande passante de leur rseau en instaurant et en grant des priorits en temps rel au niveau du trafic rseau. Lorsque le trafic rseau atteint les seuils prdfinis, BWO bloque les utilisations non professionnelles et garantit un accs prioritaire des applications professionnelles critiques aux ressources du rseau. Les bannires publicitaires, les fichiers audio et vido en temps rel, le partage de fichiers en Peer-to-Peer et autres applications utilisent des ressources rseau de plus en plus importantes.
Plus de 72% des internautes utilisent des applications gourmandes en bande passante incluant la messagerie instantane, le tlchargement de musique et la lecture de clips vido.
44% des employs utilisent des mdias en temps rel. Alors qu'une partie du trafic rseau peut tre aisment classe comme non cruciale pour l'entreprise, il est souvent difficile de dterminer si ce trafic est directement li ou non au travail, notamment lorsqu'il s'agit de mdias en temps rel. Les politiques de gestion de l'utilisation d'Internet qui se limitent bloquer toutes les applications forte consommation de bande passante au niveau du pare-feu de l'entreprise peuvent s'avrer inefficaces.
La solution Bandwidth Optimizer fournit un outil de gestion sophistiqu pour l'allocation de la bande passante rseau. Elle permet ladministrateur de :
Dfinir des seuils d'utilisation de la bande passante pour les sites Web non professionnels, notamment pour le shopping et le divertissement, et des seuils plus levs pour les sites professionnels.
Grer la bande passante alloue aux sites de messagerie instantane en fixant des seuils adapts pour des utilisateurs ou des groupes spcifiques, permettant de bavarder en ligne lorsqu'une bande passante suffisante est disponible.
Grer la bande passante alloue aux mdias en temps rel en bloquant ces applications lorsque la bande passante est insuffisante.
Des options de filtrage souples - Fixe les limites de la bande passante l'aide des protocoles rseaux ou de catgories de sites Web. Plusieurs types de limitations de la bande passante - BWO supporte deux types de seuils en temps rel bass sur des protocoles et des catgories de pages Web :
Une limitation base sur le trafic rseau sortant total Les nouvelles demandes de bande passante sont refuses lorsque le trafic sortant total excde un seuil prdfini.
- 64 -
Une limitation base sur une utilisation de la bande passante par application - Les nouvelles demandes spcifiques une application sont refuses lorsque la bande passante totale utilise par cette application excde un seuil prdfini. Lorsque la limite de la bande passante est atteinte, Websense Enterprise refuse les nouvelles requtes jusqu' ce que la bande passante retombe en dessous du seuil prdfini, permettant ainsi le fonctionnement des applications professionnelles pleine vitesse. Les connexions rseaux dj tablies ne sont pas affectes. Politiques bases sur l'utilisateur et sur l'heure Fixe diffrentes limitations pour l'utilisation de la bande passante en fonction des utilisateurs, des groupes, des postes de travail, des rseaux et de l'heure de la journe. Application dynamique des politiques - Websense Enterprise contrle automatiquement les niveaux de la bande passante du rseau et accepte ou refuse de manire dynamique les requtes d'applications du rseau. Aucune intervention administrative n'est ncessaire.
4.2 SurfControl
SurfControl Web Filter est conu pour parer aux risques lis aux contenus Internet et protger de manire optimale votre rseau et votre entreprise contre les risques suivants :

Responsabilit juridique, Scurit, Productivit, Ressources rseau.
SurfControl Web Filter prsente les atouts suivants :

Filtrage du trafic Internet Filtrage du type de fichiers autoriss au tlchargement Multi-plates-formes Notification par e-mail Mise jour journalire automatise des bases Rapports prdfinis, paramtrables et automatiques Interface web pour analyse en temps rel
- 65 -
Technologie intelligente et dynamique
4.2.1 Avantages SurfControl Web Filter est une solution complte qui fournit les outils pour comprendre et grer lutilisation dInternet dune manire parfaitement adapte aux besoins de lentreprise. SurfControl Web Filter protge contre les usages hostiles ou tout simplement inappropris dInternet et comprend : Une base de donnes parfaitement renseigne - SurfControl Web Filter dispose de la plus grande base de donnes de recensement de sites web.

40 catgories faciles administrer rparties en 8 thmes et 32 activits 5,5 Millions dURLs recenses Vrification du contenu en plusieurs langues (Anglais, Franais, Allemand, Espagnol, Nerlandais)
Mises jour automatiques quotidiennes
Une technologie intelligente ! - Les agents virtuels de contrle (Virtual Control Agent) - des agents intelligents pour une catgorisation dynamique. Avec la croissance exponentielle du nombre de sites web, les utilisateurs trouveront toujours de nouveaux sites, et ce, quelle que soit la qualit de la base de donnes disposition pour surveiller le trafic. Cest pourquoi SurfControl a dvelopp les Virtual Control Agents qui utilisent une technologie de raisonnement adaptative (ART) pour catgoriser de faon dynamique les nouveaux sites web. Simplicit dutilisation - Linterface, base sur le "glisser-dposer" permet de crer trs facilement les rgles appliquer. De plus, une fois install et paramtr, le logiciel rclame trs peu d'interventions humaines.

Cration de rgles par glisser-dposer Activation des rgles en un seul clic Partages de rgles
Des fonctions intgres de comptes rendus et danalyse - Les outils danalyse et de reporting fournis par le logiciel donnent tous les dtails sur la faon dont laccs Internet est utilis dans la socit et sur les goulets dtranglement susceptibles daffecter les performances du rseau. On peut ainsi facilement reprer les failles dans les rgles fixes et y remdier en quelques clics.
- 66 -
Dploiement flexible - SurfControl peut tre dploy sur nimporte quel rseau. Les solutions indpendantes des plates-formes peuvent tre intgres au rseau sans tenir compte des firewalls, Proxy et autres priphriques alors que les solutions intgres la plate-forme sinstallent sur des priphriques rseau spcifiques. Filtres par utilisateur et groupes - On peut adapter les rgles de filtrage aux besoins des diffrents utilisateurs ou groupes dutilisateurs. Ces utilisateurs ou groupes dutilisateurs peuvent tre spcifis en utilisant :

Active Directory Novell DNS LDAP Les adresses IP Les adresses MAC Les noms des htes
Contrle des fichiers autoriss en tlchargement - Limiter ou interdire le tlchargement de certains types de fichiers (MP3, zip, exe) allge le trafic sur la bande passante et limite les risques lis aux virus. Hirarchisation de lutilisation de la bande passante - Il est possible dappliquer des priorits pour lutilisation de la bande passante. Ce qui permet laccs Internet en priorit pour lutilisation professionnelle. Filtrage des bannires publicitaires et pop-up - En filtrant les bannires, pop up et autres publicits indsirables, SurfControl Web Filter supprime le contenu susceptible dutiliser plus de 10% de la bande passante. Application de rgles daccs Internet en fonction des horaires - Afin de conserver une certaine flexibilit, SurfControl Web Filter peut tre configur pour que les rgles de filtrage ne sappliquent qu' certaines heures dfinies de la journe. Par exemple, laccs des sites sportifs
- 67 -
peut tre interdit pendant les heures de travail et autoris avant et aprs ces heures et/ou pendant la pause djeuner. Gestion organise de la libert daccs Internet - SurfControl Web Filter permet doctroyer un certain volume de trafic ou un certain temps daccs libre Internet. Ainsi, lentreprise peut appliquer des rgles destines la protger et maintenir une bonne productivit tout en mnageant un espace de libert pour ses employs. Notification par E mail - Les responsables de services et administrateurs peuvent tre tenus informs en temps rel par mail dune tentative dutilisation non approprie dInternet grce des mails paramtrables. Linterface de contrle - Linterface de surveillance permet dapprhender facilement lactivit Internet de la socit. Cette interface donne linformation adquate pour prendre des mesures correctives rapides.
4.3 SmartFilter
SmartFilter est un outil simple et performant ayant pour but de contrler et de restreindre lutilisation de lInternet professionnel. La restriction des accs nest intressante que si elle correspond une adquation parfaite entre le besoin professionnel de lutilisateur et le profil daccs propos ce mme utilisateur. Ainsi, SmartFilter propose une gestion prcise et simple des profils daccs lInternet en fonction des utilisateurs, des groupes dutilisateurs
4.3.1 Avantages
- 68 -
Filtrage et blocage des accs - Ladministrateur SmartFilter a la possibilit de filtrer les URL juges non ncessaires lutilisateur en choisissant une restriction base sur 62 catgories prdfinies. Dix catgories libres sont galement disponibles suivant les plates-formes (personnalisation par ladministrateur). Le message dinformation standard de blocage de laccs est modifiable par ladministrateur. Il est galement possible de router les utilisateurs filtrs vers une URL dinformation sur le blocage en cours (afin d'expliquer la politique de scurit en vigueur). Coaching - Cette fonctionnalit permet dafficher des messages d'alertes aux utilisateurs les informant du filtrage activ sur leur session Internet. Ayant pris connaissance de linformation, lutilisateur peut dcider de continuer et accder au site filtr. Les messages diffuss sont paramtrables par ladministrateur. Delay - Cette fonctionnalit est unique SmartFilter. Elle permet de ralentir progressivement les accs dun utilisateur aux sites filtrs. Disposant dun temps de rponse se dgradant chaque accs, lutilisateur se dcourage rapidement et cesse daccder les sites filtrs. Les sites non filtrs conservent des temps de rponse non dgrads. Filtrage par REVERSE DNS - SmartFilter ralise un filtrage sur la base dURLs renseignes dans sa liste de contrle. De plus, et afin dviter les tentatives de connexion par adresse IP, SmartFilter ralise une rsolution reverse DNS qui renforce la scurit. Profil par utilisateur et/ou par groupe - La gestion des profils permet dallouer une restriction un utilisateur ou un groupe dutilisateurs (Exemple : Comptabilit, dveloppement, front office). Cette fonctionnalit permet dutiliser aisment lorganisation de votre site comme rfrence des groupes dutilisateurs. SmartFilter possde une interface LDAP, Active Directory et NTLM. Restriction par station de travail - Cette fonctionnalit permet dattacher une restriction une station de travail ou un groupe de stations de travail sans impacter les autres machines. Mise jour automatique - Ladministrateur peut configurer le produit pour une mise jour automatique auprs du site FTP de Secure Computing (Mise jour automatique paramtrable : Journalirement, une fois par semaine ou une fois par mois). La mise jour manuelle est galement possible par utilisation dun raccourci. Le tlchargement de la liste de contrle SmartFilter seffectue en mode incrmental. Paramtrage des messages d'erreur - Tous les messages visibles par les utilisateurs sont paramtrables et modifiables par ladministrateur du produit. Filtrage par tranche horaire - Fonctionnalit permettant dactiver un filtrage pendant certaines heures de la journe, certains jours de la semaine. Ceci permet de bloquer les accs pendant les heures de bureau ou pendant les heures de saturation du rseau. Catgories paramtrables et personnalisation - Cette fonctionnalit autorise ladministrateur crer ses propres catgories et restreindre laccs des sites non filtrs par la liste de contrle
- 69 -
Secure Computing. Ces catgories permettent galement la mise en place dune liste blanche (Seules les URLs de la catgorie liste blanche sont accessibles par une population). Restriction par mots cls et "Pattern Matching" - SmartFilter permet de mettre en uvre une restriction par mots cls sur les moteurs de recherche. Cette fonctionnalit est paramtrable par ladministrateur de manire pouvoir interdire les sujets indsirables. Le Pattern Matching permet re-catgoriser des groupes dURLS. Ces niveaux supplmentaires de restriction permettent daffiner le filtrage pour certaines populations. Restriction de tlchargements SmartFilter permet dinterdire le tlchargement
Enregistrer la cible sous en fonction des extensions de fichiers. Ainsi, pour une population donne, il est possible dinterdire les tlchargements de fichiers MP3, ZIP, AVI, EXE Logs et rapports - Le produit est livr avec la fonctionnalit de reporting. Cet outil permet de gnrer des rapports complets et dtaills sur les filtrages effectus, par catgories, par utilisateurs, par groupes, par temps de connexion
5. Les principales solutions antivirales

Les virus informatiques sont aujourd'hui omniprsents dans la socit du 21 me sicle. Les entreprises investissent des millions d'euro chaque anne. Pourtant des entreprises perdent rgulirement de nombreuses donnes, des rseaux se trouvent bloqus malgr tout. Dans cette partie, on vous propose de dcouvrir les deux principales solutions antivirales existantes sur le march, qui sont :

Symantec Antivirus Enterprise Edition ; Trend Micro.
- 70 -
5.1 Symantec Antivirus Enterprise Edition
La prsente suite inclut les produits suivants :
Symantec AntiVirus Corporate Edition 10.0 Symantec Mail Security 4.6 pour Microsoft Exchange Symantec Mail Security 4.1 pour Domino Symantec Mail Security pour SMTP 4.1 Symantec Web Security 3.0 Lobjectif de cette suite est dassurer une protection multi-niveaux au sein du rseau de lentreprise tel que montr dans la figure suivante :
5.1.1 Edition
Symantec
AntiVirus
Corporate
Symantec AntiVirus Corporate Edition assure une protection automatise des postes de travail et des serveurs rseau contre les virus et les logiciels espions. La centralisation de la configuration, du dploiement, des alertes et de la journalisation permet aux administrateurs rseau de dterminer les nuds vulnrables face aux attaques. Le contenu intgr permet en outre doptimiser les temps de fonctionnement de vos systmes, de rduire le cot de possession et de garantir l'intgrit des donnes. La protection en temps rel rduit les risques de propagation des logiciels espions et publicitaires, tandis que la suppression automatique permet d'liminer facilement les menaces de scurit. La rparation des effets secondaires nettoie automatiquement les entres de registre, les fichiers et les paramtres de navigation suite une infection par des logiciels espions difficiles identifier. Les administrateurs disposent d'une grande flexibilit et peuvent organiser, application par application, les politiques de scurit de l'entreprise relatives aux logiciels espions et publicitaires. De plus, l'interface de gestion rpute de Symantec AntiVirus Corporate Edition offre un contrle maximal des paramtres de protection. En outre, la protection renforce contre les manipulations frauduleuses empche les accs non autoriss et les attaques l'encontre des processus et des entres de registre. Les menaces potentielles sont automatiquement soumises pour analyse Symantec Security Response, qui propose une mthode d'intervention et de rparation. Grce une fonction de suivi approfondi (Forensics ou assistance informatico-lgale), les administrateurs peuvent dterminer la
- 71 -
source des menaces combines qui se propagent via les partages de fichiers ouverts. Par ailleurs, la fonction avance de blocage en fonction des comportements empche l'utilisation malveillante des systmes clients en sortie (par ex. l'envoi de vers par courrier lectronique). LiveUpdate assure la protection contre les virus, les codes malveillants et les logiciels espions l'aide d'une mise jour unique par un seul fournisseur. Enfin, la technologie de conformit des systmes clients permet l'administrateur de s'assurer que les systmes distants et mobiles connects aux ressources de l'entreprise via le rseau VPN sont conformes aux politiques de scurit en vigueur. 5.1.2 Symantec Mail Security 4.6 pour Microsoft Exchange La technologie antivirus extensible NAVEX de Symantec assure la protection contre les virus connus, mme rcents. Pour garantir une raction et une protection immdiates contre les menaces mergentes, Symantec Mail Security s'appuie sur la mise jour horaire des dfinitions de virus et sur une fonction de blocage en fonction de l'objet et des pices jointes. La solution est galement dote de la fonction Mass-Mailer Cleanup, qui limine les vers contenus dans le courrier de masse. Enfin, l'intgration de LiveUpdate permet de dployer les dfinitions de virus l'chelle de l'entreprise sans interrompre les services d'analyse, ni provoquer l'arrt des serveurs. Symantec Mail Security pour Microsoft Exchange inclut des outils antispam de base tels que la dtection heuristique, des rgles de filtrage personnalises et l'emploi de listes noires et blanches en temps rel. Les messages sont traits diffremment selon le niveau choisi de spam SCL (Spam Confidence Level). Enfin, le contenu indsirable peut tre filtr selon diverses caractristiques du message (par ex. objet, pice jointe, corps et taille du message). Symantec Mail Security pour Microsoft Exchange assure une prise en charge totale de Microsoft Exchange 2003. Il peut tre gr de manire centralise l'aide d'une console multi-serveurs pour une mise jour simultane des paramtres de serveur Microsoft Exchange l'chelle de l'entreprise. 5.1.3 Symantec Mail Security 4.1 pour Domino La protection antivirus de rfrence vous protge des virus connus et inconnus, en utilisant la technologie antivirus extensible NAVEX de Symantec. Les fonctions de blocage d'objet et de pice jointe amliorent la protection en ragissant immdiatement face aux menaces mergentes. La fonction de nettoyage du courrier de masse permet galement d'liminer des bases de donnes Domino les messages infects par des vers. Les outils antispam de base comprennent un moteur antispam heuristique, des rgles de filtrage personnalises et plusieurs techniques de liste blanche afin d'optimiser la dtection et de rduire les faux positifs. Les administrateurs peuvent filtrer le contenu indsirable en fonction des caractristiques du message, telles que l'objet, la pice jointe, la taille du message, ainsi que les mots et les phrases contenus dans le corps de message. L'intgration transparente l'environnement Lotus Domino permet aux administrateurs de configurer la protection en local ou distance, de dfinir des configurations diffrentes pour
- 72 -
chaque serveur ou groupe de serveurs et de mettre jour de manire dynamique la protection antivirus, sans bloquer les services d'analyse ni rendre les serveurs indisponibles. Grce sa fonctionnalit intgre LiveUpdate, les nouvelles dfinitions de virus peuvent tre immdiatement dployes en toute scurit dans toute l'entreprise, offrant ainsi une protection optimale contre les infections virales se propageant rapidement. En outre, cette solution est prise en charge par Symantec Security Response, lquipe mondiale dintervention et de recherche en matire de scurit. 5.1.4 Symantec Mail Security pour SMTP 4.1 Symantec Mail Security pour passerelle SMTP offre une protection intgre et ultra performante contre les virus, le spam et tout autre contenu indsirable, au premier point d'accs du rseau : la passerelle (SMTP) de messagerie Internet. La protection antivirus de rfrence vous protge des virus connus et inconnus, en utilisant la technologie antivirus extensible NAVEX de Symantec. Les fonctions de blocage d'objet et de pice jointe amliorent la protection en ragissant immdiatement face aux menaces mergentes. La fonction de nettoyage du courrier de masse permet galement d'liminer les messages infects par des vers. Enfin, grce LiveUpdate, les dfinitions de virus peuvent tre dployes dans l'entreprise sans interrompre les services d'analyse ni rendre les serveurs indisponibles. Les outils antispam de base comprennent un moteur antispam heuristique, des rgles de filtrage personnalises, des listes noires tierces et personnalises en temps rel et plusieurs techniques de liste blanche afin d'optimiser la dtection et de rduire les faux positifs. La fonction de liste blanche auto-gnre mmorise automatiquement les domaines de messagerie considrs comme fiables par votre entreprise pour faciliter la cration d'une liste blanche complte. En outre, le traitement flexible des messages lectroniques indsirables permet aux administrateurs d'ajouter des indicateurs personnaliss aux messages, de dterminer diffrentes mesures en fonction de la gravit du message lectronique indsirable et de rpartir les tches associes au contrle des messages lectroniques indsirables. Les administrateurs peuvent filtrer le contenu indsirable en fonction des caractristiques du message, telles que l'objet, la pice jointe, la taille du message, ainsi que les mots et les phrases contenus dans le corps du message. 5.1.5 Symantec Web Security 3.0 Symantec Web Security protge votre trafic HTTP/FTP avec l'analyse ponctuelle volutive et performante grce aux technologies de filtrage de contenu et antivirus de rfrence. Elle optimise la productivit des employs et les performances rseau en limitant le trafic aux sites Web professionnels appropris et en liminant les attaques de codes malveillants sur Internet. Cette solution, dveloppe exclusivement par Symantec, intgre des analyses contextuelles, heuristiques bases sur les listes pour protger la passerelle Web contre les virus et le contenu indsirable. Symantec Web Security est une solution intgre de filtrage antivirus et de contenu indsirable. Symantec recherche, dveloppe, intgre et prend en charge ses propres listes de filtres URL
- 73 -
internationales et diverses technologies de protection de rfrence. Le moteur d'analyse modulaire NAVEX de Symantec dtecte les nouvelles classes de virus sans dsinstaller les logiciels existants, redployer les nouveaux logiciels ou rinitialiser le systme. Les technologies Striker Bloodhound et LiveUpdate de Symantec offrent une protection en temps rel, multi-niveaux et permanente contre les attaques de codes malveillants. La technologie d'analyse de contenu brevete multilingue Dynamic Document Review de Symantec analyse les relations entre les mots pour bloquer l'accs au contenu Web inappropri. Les fonctions de gestion des politiques multi-serveurs centralises et le support scuris et intgr des services d'annuaires externes, y compris Utilisateurs/Groupes LDAP et NT, garantissent une administration, une application des politiques et des notifications flexibles et simples pour plusieurs utilisateurs, groupes et serveurs. Symantec Web Security contrle, consigne, lance un audit et fournit des outils d'alertes automatiss. Ce produit amliore galement le dbit rseau en rduisant tout le trafic Internet, optimisant ainsi la fiabilit et la scurit du rseau et du pare-feu. Symantec Web Security est pris en charge par Symantec Security Response.
5.2 Trend Micro

Trend Micro propose des solutions multi-niveaux et tout type dentreprise tel que montr dans la figure suivante :
Pour
les
petites
et
moyennes entreprises, le dfi consiste optimiser les commerciaux sans cette clients, cr les avantages d'Internet Pour de a de risques. catgorie Trend une Micro srie
solutions qui permet de rpondre ces besoins.
Trend
Micro
propose
une
protection
unique contre les virus informatiques et les menaces de la scurit du contenu, ddie aux PCs et serveurs.
- 74 -
PC-Cillin Internet Security Client Server Suite for SMB Client Server Messaging Suite for SMB InterScan VirusWall for SMB NeatSuite for SMB
Les suites Trend Micro rpondent aux besoins spcifiques des PME, avec une administration simplifie de la scurit du systme de messagerie (Microsoft Exchange), des serveurs de fichiers ou d'application et des postes de travail. Bases sur une technologie identique celle des produits "Entreprise", les solutions de scurit Trend Micro ddies au Petites et Moyennes Entreprises sont spcifiquement conues pour rpondre vos besoins et permettent de crer un environnement informatique scuris pour votre entreprise :

Ces solutions ncessitent peu ou pas de personnel IT ddi Facilit de gestion Procdure d'installation simple
La solution globale que nous allons tudier est NeatSuite for SMB 5.2.1 NeatSuite for SMB La solution NeatSuite de Trend Micro pour PME-PMI combine un moteur antispam heuristique labor avec fonction de recherche de la signature, des listes dexpditeurs "autoriss" et/ou "interdits" afin de fournir un excellent niveau de dtection des spams avec un nombre trs faible de faux positifs. Alors quun pare-feu restreint laccs non autoris votre rseau, NeatSuite pour PME-PMI offre l assurance que les menaces provenant dInternet ninfiltrent pas le rseau via les canaux de communication ouverts ncessaires aux affaires de lentreprise : messagerie (SMTP, POP3), accs au Web (HTTP) et tlchargement de fichiers (FTP). Avec ses moteurs dantivirus, de filtrage du contenu et dantispam reconnus, NeatSuite pour PME-PMI offre une protection complte au niveau de la passerelle, de la messagerie, du serveur et du poste de travail. La Solution NeatSuite pour PME-PMI assure les fonctionnalits suivantes : Solution alliant antivirus, filtrage du contenu et antispam
Simplifie l'installation, la configuration et l'assistance via une console de management interface Web unique et intuitive pour postes de travail, serveurs et serveurs de messagerie.
Supprime les difficults lies la maintenance de plusieurs solutions antivirus.
- 75 -
Protection WEB
Scanne activement les fichiers tlchargs depuis Internet la recherche de tout contenu malveillant
Empche l'introduction accidentelle de virus par les employs via leur compte personnel de messagerie Internet
Scanne les codes de programmation Web suspects, comme les scripts et applets Java Dfinit et consigne les URL visites, facilitant ainsi l'application des politiques de scurit
Moteur antispam heuristique
Associe un moteur antispam heuristique une base de donnes contenant les signatures des spams et des listes d'expditeurs "autoriss" et "refuss" afin d'assurer une dtection prcise et un nombre faible de faux positifs
Bloque les messages considrs comme des spams ou les marque afin qu'ils soient filtrs
Diminution des menaces
Bloque les types de fichiers non souhaits ou suspects joints aux messages, tels que les fichiers VBS, SHS, JS, CGI ou DLL
Protection fiable et intgrale
Protge efficacement les postes de travail, serveurs, serveurs de messagerie et passerelle Internet de manire transparente, avec un niveau d'interfrence minimum avec le systme d'exploitation
limine les virus, chevaux de Troie, vers et autres codes malveillants qui franchissent la passerelle Internet ou atteignent les postes de travail ou les serveurs via la messagerie lectronique, les tlchargements partir du Web ou le partage de fichiers
Verrouille l'antivirus du poste de travail afin d'viter toute fraude ou dsactivation de la protection antivirus
Consigne l'utilisation d'Internet, permettant ainsi aux employs de surveiller et d'appliquer les politiques d'utilisation des ressources
Solution conue pour une installation simple et rapide
S'installe distance et de manire transparente sur les postes de travail en rseau, les serveurs de fichiers et les serveurs de messagerie
S'installe simultanment sur plusieurs postes de travail et serveurs, permettant une conomie de temps et d'nergie
Supprime automatiquement les produits antivirus non souhaits installs sur le poste de travail
- 76 -
Mises jour transparentes automatiques
Maintient automatiquement la protection antivirus jour, sans intervention de l'utilisateur
Vrifie automatiquement, toutes les heures, la prsence de mises jour par l'intermdiaire de TrendLabs
Rapidit de mise jour rduisant le risque d'pidmie virale
Surveillance des pidmies virales
Surveille de manire proactive les activits du rseau et du systme pour pouvoir mettre des avertissements sur les nouvelles menaces inconnues trs tt
Initie un rapide balayage de virus au sein de l'entreprise en cas de menace d'pidmie, actualisant la protection de tous les postes de travail, serveurs, serveurs de messagerie et passerelle Internet l'aide des dernires mises jour des fichiers de signatures de virus et moteurs de scan
6. Les principales solutions VPN

Les rseaux privs virtuels ou VPN (Virtual Private Network) sont utiliss par les entreprises pour tablir des connexions scurises de bout en bout, sur une infrastructure de rseau public. Ils sont devenus la solution incontournable des connexions distance pour deux raisons essentielles :
Leur dploiement permet de rduire les cots de communication en optimisant les infrastructures commutes locales des fournisseurs de services dInternet.
Les rseaux VPN permettent aux tltravailleurs, aux travailleurs mobiles comme ceux qui emportent du travail domicile de bnficier dun accs haut dbit.
Pour tirer le meilleur parti des rseaux VPN hautes performances, lentreprise doit dployer une solution VPN solide et hautement disponible avec des priphriques VPN ddis optimiss pour cet environnement. Dans cette partie, on va vous prsenter les deux principales solutions sur le march en matire de VPN, qui sont celles de Cisco et dAventail.
6.1 La gamme Cisco VPN 3000

La gamme de concentrateurs professionnels VPN 3000 est une solution de pointe pour les rseaux VPN daccs distant. Des clients VPN standard et simples utiliser, ainsi que des quipements de terminaison de tunnel VPN volutifs, sont livrs avec un systme de gestion qui permet aux entreprises dinstaller, de configurer et de contrler facilement leurs rseaux VPN daccs distance. En intgrant des fonctions de haute disponibilit parmi les plus avances et une architecture daccs distant spcifiquement conue cet effet, le concentrateur Cisco VPN 3000 offre des performances exceptionnelles et volutives ainsi que des infrastructures VPN solides pouvant prendre en charge les applications daccs distant essentielles pour leur activit. Unique - 77 -
sur le march, il sagit de la seule plate-forme volutive avec composants changeables sur site pouvant tre mis niveau par lutilisateur. Ces composants, intituls modules SEP ( Scalable Encryption Processing), permettent lutilisateur daugmenter facilement le dbit et dexploiter la capacit maximale du systme. Les concentrateurs Cisco VPN 3000 prennent en charge un grand nombre dinstallations logicielles client VPN, dont le client Cisco VPN 3000, Microsoft Windows 2000 L2TP/IPSEC Client et Microsoft PPTP pour Windows 95, Windows 98, Windows NT 4.0 et Windows 2000. Deux modles de concentrateur Cisco VPN 3000 sont disponibles, pour rpondre tous les besoins professionnels des PME/PMI :
Concentrateur Cisco VPN 3005 - Le concentrateur Cisco VPN 3005 est une plateforme VPN conue pour les PME disposant dune bande passante ne dpassant pas le mode bidirectionnel T1/E1 (pas plus de 4 Mbits/s) avec un maximum de 100 sessions simultanes. Le traitement du cryptage est effectu par logiciel. Le Cisco VPN 3005 ne dispose pas de fonctions de mise niveau intgres.
Concentrateur Cisco VPN 3015 - Le concentrateur Cisco VPN 3015 est une plateforme VPN conue pour les PME disposant dune bande passante ne dpassant pas le mode bidirectionnel T1/E1 (pas plus de 4 Mbits/s) avec un maximum de 100 sessions simultanes. Comme pour le Cisco VPN 3005, le traitement du cryptage est effectu par logiciel.
6.1.1 Client Cisco VPN 3000 Son dploiement et son utilisation simples font du client Cisco VPN 3000 un moyen de dfinir des tunnels crypts de bout en bout et scuriss pour le concentrateur Cisco VPN 3000. Cet quipement compatible IPSEC extra plat est livr avec le concentrateur Cisco VPN 3000 et une licence pour un nombre illimit dutilisateurs. Le client peut tre prconfigur pour un dploiement massif et ses connexions initiales requirent une intervention minimale de lutilisateur. La cration et le stockage des politiques daccs VPN sont centralises sur le concentrateur Cisco VPN 3000 et transmises au client lors dune connexion. 6.1.2 Cisco VPN 3000 Monitor Le Cisco VPN 3000 Monitor est une application logicielle destine la centralisation de la surveillance, des alertes et de la collecte de donnes sur un ou plusieurs concentrateurs Cisco VPN 3000. Cette application de type Java est compatible avec Windows 95, Windows 98, Windows NT 4.0 et Windows 2000. Le dispositif dinterrogation SNMP ( Simple Network Management Protocol) permet dobtenir des donnes statistiques sur chaque quipement. La vue Enterprise View permet dafficher ltat de chaque priphrique du rseau.
- 78 -
Ladministrateur peut galement afficher des donnes modulaires de chaque priphrique. En outre, le Cisco VPN 3000 Monitor enregistre des donnes rassembles, les droutements et les historiques danalyse, de gestion des capacits et de dpannage. 6.1.3 Fonctions et avantages Architecture traitement distribu, hautes performances
Support grande chelle de tunnels IPsec, PPTP et L2TP/IPSEC. volutivit (Cisco VPN 3015)
Conception
modulaire
(quatre
emplacements
dextension)
pour
protger
les
investissements, redondance et possibilit de mise niveau simple.
Architecture du systme permettant de maintenir des performances rgulires et une haute disponibilit.
Conception numrique pour une fiabilit optimale et un fonctionnement ininterrompu, 24 heures sur 24.
quipements solides adapts la surveillance et aux alertes en cours dexcution. Compatibilit Microsoft pour un dploiement client grande chelle et une intgration continue aux systmes associs.
Scurit
Support exhaustif des normes de scurit existantes et mergentes pour lintgration de systmes externes dauthentification et linteraction avec des produits tiers.
Fonction de pare-feu laide de filtrage de paquets sans tat et de traduction dadresses afin dassurer la scurit requise sur le rseau local dune entreprise.
Grande souplesse de la fonction de gestion des utilisateurs et des groupes.
Haute disponibilit
Sous-systmes redondants et systmes automatiques de correction en cas de panne pour assurer une dure de fonctionnement optimale.
Grand nombre
doutils et de fonctions de
surveillance
la disposition
des
administrateurs rseau, tat du systme en temps rel et avertissements anticips. Gestion infaillible
Les concentrateurs Cisco VPN 3000 peuvent tre grs laide de navigateurs Web standard (HTTP ou HTTPS), par Telnet, Secure Telnet ou via le port de console.
Les fonctions de configuration et de surveillance sont livres aux entreprises et aux fournisseurs de services.
- 79 -
Les niveaux daccs peuvent tre configurs par utilisateur ou par groupe, permettant ainsi de grer facilement les politiques de scurisation du systme.
6.2 La gamme Aventail VPN SSL

Reconnu comme une des solutions VPN SSL les plus compltes du march et comme la rfrence dans les produits et services VPN SSL clientless , Aventail permet aux entreprises de fournir des accs distants fortement scuriss vers tous types d'applications tout en considrant la spcificit et les contraintes de lendroit o se trouve lutilisateur : la maison, dans un cyber caf, chez un partenaire, ou dans un hotspot public par exemple. Avec le VPN SSL, une entreprise va pouvoir disposer du mme niveau de scurisation apport par les technologies IPSEC mais appliqu au niveau de lapplication. Cette dmarche granulaire, qui consiste fixer les droits daccs en prenant en compte les groupes dutilisateurs, le lieu ou il se trouve et les applications une par une, va gnrer un gain de productivit important tant pour les utilisateurs finaux que les quipes informatiques charges de ladministration. LEX-750 est construit sur la plate-forme ASAP (Anywhere Secure Access Policy) dAventail, qui supporte toutes les applications du march, un logiciel complet dadministration de la politique de scurit et des fonctions EPC (End Point Control) incluant notamment un cache cleaner aux fonctionnalits avances. LEX-750 correspond exactement aux entreprises, dsirant un produit capable de proposer les mmes fonctionnalits volues prsentes dans la version EX-1500 mais adapt aux besoins et ressources des PME/PMI.
- 80 -
6.2.1 Les options dAventail Smart Access Les botiers VPN SSL dAventail offrent tout ce dont vous avez besoin pour fournir un accs scuris nimporte quelle application sur nimporte quel priphrique. La plate-forme daccs scuris aux applications est conue pour fournir lutilisateur un accs pratique et facile utiliser depuis nimporte o et, ladministrateur, une gestion simple, conviviale et une rduction des risques. Pour les utilisateurs finaux, Aventail Smart Access offre une exprience daccs transparente :
Accs par navigateur Web sans client pour les applications Web et de partage de fichiers.
Accs transparent avec Aventail OnDemand, un petit agent Java, pour les applications client/serveur.
Aventail Connect, un client Windows tlchargeable, pour un accs pratique et complet aux applications, avec une protection de rseau et de bureau supplmentaire.
La mthode daccsainsi que le niveau de scuritsont dtermins et dploys automatiquement pour une scurit et une facilit dutilisation pousses lextrme.
Pour les administrateurs, la Console de gestion (AMC) Aventail ASAP intuitive dAventail base sur le Web et le modle de rgles orient objet offrent le contrle le plus puissant avec la plus faible quantit de travail. Unique dans le secteur, Aventail Unified Policy offre une administration centralise et une configuration unique couvrant toutes les ressources et mthodes daccs. 6.2.2 Aventail End Point Control Si les avantages en termes de productivit dun accs distance depuis nimporte o sont clairs, les risques le sont tout autant : vous fournissez maintenant un accs depuis des sites et des priphriques que le service de TI ne peut probablement pas contrler. Aventail End Point Control (EPC) rpond ces menaces inhrentes la scurit au moyen de Device Interrogationqui limine les risques avant lauthentification, de Policy Zonesqui associe les accs un niveau de confiance, et dune protection des donnes qui empche les utilisateurs de laisser des informations confidentielles derrire eux dans des environnements non grs tels quun terminal daccs public. Aventail gre chacun de ces
- 81 -
domaines plus en profondeur, avec une plus grande facilit dutilisation et avec une plus grande scurit que les autres distributeurs. Par exemple, Aventail offre des fonctions de protection des donnes telles quAventail Cache Control pour un nettoyage de la mmoire cache avanc et Aventail Secure Desktop qui encrypte les donnes locales de lutilisateur et les dtruit la fin de la session. Pour une plus grande protection contre lensemble des menaces lies laccs distance, Aventail sintgre avec les pare-feux, la dtection dintrusions et la protection antivirus de ses partenaires technologiques et avec les autres solutions de scurit ct client.
7. Les principales solutions dinfrastructures de clefs publiques

7.1 La solution de Baltimore
UniCERT est une architecture qui dlivre et gre des certificats et fournit des solutions de scurit pour une organisation. UniCERT se compose de 3 niveaux de technologie :
UniCERT core Technology est le cur de la PKI et fournit des fonctionnalits d'autorit de certification, d'autorit d'enregistrement, et de gestion des certificats. o o o o o Certificate Authority Certificate Authority Operator Registration Authority Registration Authority Operator Gateway : fonction de rception des demandes de certificats et de renvoi des certificats et informations correspondantes vers le web, les e-mails et les VPN.
UniCERT
Advanced
Technology
fournit
des
fonctions
d'archivage
de
clefs,
d'enregistrement des fonctions PKI dans un systme.
UniCERT Extended Technology au sommet des fonctionnalits de la PKI, fournit des services valeur ajoute comme l'horodatage.
7.2 La solution dEntrust

Entrust/PKI est une solution d'infrastructure clef publique qui gre automatiquement tous les processus de scurit de l'organisation. Ce logiciel permet l'utilisation des signatures numriques, du chiffrement, des services de gestion de droits pour diffrentes applications.

Entrust/AutoRA : gestion des certificats Entrust/Roaming : authentification des utilisateurs partir d'un poste de travail quelconque pour l'accs aux donnes
Entrust/Timestamp : assure une non-rpudiation des transactions
- 82 -
7.3 La solution de Certplus
Certplus a t cr en 1998 par Gemplus, France Telecom, EADS (Arospatiale Matra) et VeriSign. Depuis dbut 2000, la CIBP (Confdration Internationale des Banques Populaires) a rejoint le cercle des fondateurs. Initiale est une offre PKI pour aider les entreprises btir leur propre infrastructure de gestion de clefs. Elle propose un cadre pour dfinir la politique de certification, les procdures d'enregistrement des demandes et de validation, etc. Elle offre galement les techniques de protection des clefs de signature des certificats, gestion des volumtries, personnalisation de cartes puce, etc. Diffrents modules peuvent venir se rajouter :

Ajout d'administrateur(s) Module d'hbergement local Module d'administration automatise Module d'intgration aux annuaires LDAP
7.4 La solution de RSA

La gamme RSA Keon est une suite de produits fournissant, grant et facilitant l'utilisation des certificats numriques pour les applications de commerce lectronique, les ERP, les VPN, le courrier lectronique et toutes les applications Internet qui se doivent d'tre scuriss. La technologie utilise repose sur le standard de chiffrement asymtrique RSA.
RSA Keon Advanced PKI enrichit les principales fonctionnalits de la PKI en supportant les certificats numriques mis par les principaux CA.
RSA Keon Certificate Server est un composant du systme qui fournit un moteur de gestion de clefs, de certificats, un annuaire LDAP et une base de certificats rvoqus.
RSA Keon Certificate Authority est une autorit de certification qui dlivre, gre et signe des certificats numriques.
Elle est compatible avec les navigateurs Web, des smart cards, des modules de scurit hardware, des VPN, des programmes de courrier lectronique. Cette autorit travaille avec RSA Keon Registration Authority (RA) pour la prise en compte des demandes de certificats des utilisateurs et la vrification d'identit. Un module de recouvrement des clefs et certificats peut galement tre install dans l'infrastructure. RSA Keon Web Passport fournit une infrastructure PKI destine au commerce inter-entreprise.
- 83 -
7.5 La solution de Microsoft
Windows 2000 offre la possibilit de grer une PKI intgre, en interaction avec certaines fonctionnalits dActive Directory. Il est donc possible d'mettre des certificats, ou de les rvoquer et de dfinir une stratgie. Windows 2000 permet de grer des certificats de type X.509v3. Les extensions standards de la version 3 permettent notamment de stocker des informations relatives l'utilisation des clefs, la stratgie de certificats employe, ou encore aux contraintes des chemins d'accs de certification. Les utilisateurs peuvent se servir de la console MMC pour grer leur certificat. Du ct serveur, un composant permet de grer les certificats. Un autre composant offre des pages d'inscription des Autorits de Certification sur le Web. Ainsi les utilisateurs peuvent soumettre une demande de certificat via un serveur web. Windows 2000 permet de grer une hirarchie d'Autorits de Certification, avec une CA racine et des CA secondaires. Les CA secondaires sont certifies par le certificat de la CA racine. Hirarchiser les autorits de certification permet de dvelopper des stratgies de certification diffrentes, en fonction de l'utilisation des certificats, ou des divisions organisationnelles ou gographiques. Par exemple, si vous voulez donner des certificats pour scuriser le mail et des certificats pour s'authentifier au rseau, mais que vous voulez des stratgies de certification diffrentes selon le cas, vous pouvez crer des autorits de certification diffrentes, ce qui vous permettra entre autre de sparer l'administration. Windows 2000 permet la prise en charge des cartes puce pour de l'authentification. Le systme gre l'ouverture d'une session dont l'identification se fait par un certificat stock sur carte puce. Il permet galement d'utiliser les cartes puce pour stocker des informations confidentielles, scuriser la messagerie ou pour tout type d'activit lie l'utilisation de clef publique. Enfin la stratgie de groupe Windows 2000 permet d'automatiser des tches telles que la distribution des certificats ou l'tablissement des listes d'approbation de certificats et des CA communes.
- 84 -

Secinf

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Secinf

Hochgeladen von

Copyright:

Verfügbare Formate

SECURITE INFORMATIQUE

TABLE DES MATIRES

INDEX DES FIGURES

INDEX DES TABLEAUX

SECURITE INFORMATIQUE II. Enjeux de la scurit au sein de lentreprise.

Aucun systme dinformation nest 100% sr.

1. La scurit informatique : Cest quoi ?

La scurit organisationnelle La scurit technique

La scurit des communications La scurit personnelle

La confidentialit, Lintgrit, Lauthentification, Le contrle daccs, La non rpudiation1.

2. La scurit informatique : Pourquoi ?

La pntration dun rseau, Le vol ou dtrioration dinformations, Les perturbations.

Lcoute des rseaux, Lingnierie sociale2,

Ou tout simplement le fait de regarder par-dessus lpaule de lutilisateur qui sauthentifie.

.3. La scurit informatique : Comment ?

III. DFINITION DES TECHNOLOGIES UVRANT POUR LA SCURIT

1.1 Cryptographie Symtrique

1.2 Cryptographie Asymtrique

1.3 La signature numrique

2. VPN Virtual Private Network

2.1 Principe gnral

2.2 Fonctionnalits des VPN

Les deux mthodes possdent chacune leurs avantages et leurs inconvnients :

2.2.2 LIntranet VPN

2.2.3 LExtranet VPN

2.3 Protocoles utiliss pour raliser une connexion VPN

Optionnellement, identifier le trafic que ce paquet de SA protgera.

5. Dfinition des PKI Public Key Infrastructure

5.2 Confiance entre les tiers

5.3 Autorit de Certification

5.5 Certification Rciproque

7.2 Fonctionnement dun systme Firewall

D'autoriser la connexion (allow) De bloquer la connexion (deny)

Terme Anglais, appel aussi pare-feu, coupe-feu ou garde-barrire - 25 -

De rejeter la demande de connexion sans avertir l'metteur (drop).

Soit d'autoriser uniquement les communications ayant t explicitement autorises : TOUT

Soit d'empcher les changes qui ont t explicitement interdits.

Figure 4 : Choix des Firewall dans une architecture rseau

7.3 Les diffrents types de Firewall

Inconvnients (les paquets

Possibilit de le contourner (il suffit de passer outre ses rgles)

passeront par ses interfaces)

Intgr au matriel rseau Administration relativement simple Bon niveau de scurit

Dpendant du constructeur pour les mises jour

Souvent peu flexible

Scurit en bout de chane (Poste Client)

Facilement contournable Difficiles dpartager de par leur nombre norme

Personnalisable assez facilement

Personnalisables Niveau de scurit trs bon

Ncessite une administration systme supplmentaire

7.4 DMZ Zone Dmilitarise

Trafic de la DMZ vers le rseau externe interdit.

7.5 NAT Network Address Translation

Internet Assigned Number Authority - 33 -

8. Les systmes de dtections dintrusions

8.1 La dtection d'intrusions : une ncessit

d'intrusion Choix dlicat des mesures retenir pour un systme

Comportemen tale Par scnarios

Tableau 5 : Approche comportementale ou approche par scnarios ?

8.2. Les limites actuelles de la dtection d'intrusions

Partie 2 : Les solutions adquates pour les PME/PMI

I. CHOIX DES MCANISMES DE SCURIT

2. Les mcanismes dauthentification

3. Les mcanismes de messagerie