S ecurit e du r eseau (S4/C4) Menaces informatiques Un gestion ecace et attentive dun r eseau permet de limiter les d elits informatiques

suivants : acc` es abusif au r eseau par des personnes non autoris ees d eni de service intrusion dans le syst` eme interception de mots de passe

Vuln erabilit es La vuln erabilit e est le degr e de faiblesse dun r eseau. On d enombre trois types de vuln erabilit e: faiblesses technologiques faiblesses de conguration faiblesse dans la strat egie de s ecurit e Les faiblesses technologiques incluent : le protocole TCP/IP les syst` emes dexploitation l equipement r eseau Les faiblesses de conguration incluent :

Les menaces augmentent car les outils et les m ethodes dattaque se sont am elior es et il est donc d esormais plus facile de devenir un pirate informatique. Les termes les plus courants pour d esigner les pirates sont : hacker, cracker, phreaker, spammeur, phisher ... Le but du pirate est de compromettre un r eseau ou une application sex ecutant sur un r eseau. R eseaux ouverts et ferm es Un r eseau ouvert donne aux utilisateurs naux un acc` es facile aux ressources du r eseau. Il est facile ` a congurer et engendre peu de frais de s ecurisation. Un r eseau ferm e est ` a loppos e. Il ne donne pas dacc` es aux r eseaux publics ; il est compl` etement isol e du monde ext erieur. Un d e important de s ecurit e est de trouver un juste equilibre entre acc` es et s ecurit e, donc entre r eseau ouvert et r eseau ferm e.

les comptes utilisateur non s ecuris es les comptes syst` eme avec des mots de passe trop facoles les param` etres par d efaut des logiciels non s ecuris es les equipements r eseau mal congur es

Finalement il existe des risques de s ecurit e si les utilisateurs ne respectent pas la strat egie de s ecurit e de lentreprise ou si celle-ci est incompl` ete.

Menaces physiques On distingue 4 cat egories de menaces physiques : menaces menaces menaces menaces mat erielles environnementales electriques de maintenance

Types dattaques dun r eseau Il existe quatre cat egories principales dattaque : reconnaissance acc` es d eni de service vers, virus et chevaux de Troie

Les attaques de reconnaissance peuvent prendre les formes suivantes : Menaces mat erielles : dommages physiques aux serveurs, routeurs, commutateurs, cablages, PCs. Solutions : Les dispositifs r eseau. ceuxci doivent etre dans des locaux ferm es a cl ` e, dont lacc` es nest donn e quau personnel autoris e. Seul un nombre tr` es limit e de personnes y a acc` es. Rappelons que lacc` es physique au mat eriel rend celui-ci compl` etement vuln erable. Menaces environnementales : variations de temp erature ou dhumidit e. Solutions : r egulations de la temp erature et du taux dhumidit e, syst` eme de surveillance, alarme ` a distance. Menaces electriques : tension instable, perte dalimentation Solutions : installations dUPS, syst` eme de surveillance, alarme ` a distance. Menaces de maintenance : manque de pi` eces de rechange, mauvais c ablage, mauvais etiquetage. Solutions : etiquetages m eticuleux, pi` eces de rechange. Les stations de travail sont principalement vuln erables aux attaques de vers, de virus et de chevaux de Troie. Un ver ex ecute un code et installe des copies de lui-m eme dans la m emoire de lordinateur infect e ; celui-ci infecte alorss les autres ordinateurs h otes. Un virus est un logiciel malveillant int egr e dans un autre programme dans le but dex ecuter des fonctions ind esirables sur la station de travail infect e. Le cheval de Troie est con cu pour ressembler ` a une application normale alors quil sagit dun instrument dattaque. attaques de mot de passe exploitation de la conance redirection de port attaque de lhomme du milieu demandes dinformations Internet balayage ping balayage de ports analyseur de paquets

Les attaques dacc` es peuvent prendre les formes suivantes :

Lattaque par d eni de service (DOS) est la forme dattaque la plus r epandue et la plus dicile ` a eliminer. Son but est demp echer lutilisation dun service en epuisant les ressources du syst` eme. Quelques exemples : ping fatal inondation SYN

Piratage psychologique Le piratage psychologique est la m ethode de piratage la plus simple et ne demande aucune comp etence en informatique. Il exploite les faiblesses personnelles dun individu. Exemple : le phishing utilise lemail ou de faux site web dans le but dobtenir des informations condentielles telles que les num eros de carte de cr edit ou des mots de passe... Solutions : il faut informer les utilisateurs de telles pratiques. Un administrateur peut aussi bloquer lacc` es ` a certains sites web ainsi que ltrer les emails suspects.

Techniques datt enuation des risques An dassurer une s ecurit e de base aux r eseau, il est n ecessaire dinstaller : logiciels antivirus rewall personnel patches du syst` eme dexploitation Un logiciel antivirus install e sur un h ote le prot` ege contre les virus connus. Un rewall personnel r eside sur un PC et tente demp echer les attaques. Les patches du syst` eme vuln erabilit es de ce dernier. A cela sajoutent : Un syst` eme de d etection des intrusions (IDS) d etecte les attaques contre le r eseau et envoie ses donn ees de journalisation ` a une console de gestion. Un syst` eme de protection contre les intrusions (IPS) emp eche les attaques contre le r eseau et est aussi dot e des m ecanismes de d efense suivants : un m ecanisme de pr evention pour emp echer lex ecution de lattaque d etect ee. un m ecanisme de r eaction pour immuniser le syst` eme contre des attaques malveillantes. Ces techniques peuvent sappliquer au niveau du r eseau et/ou des h otes. Dans ce dernier cas, on parle respectivement de HIDS et HIPS. dexploitation permettent de limiter les

Roue de la s ecurit e des r eseaux La roue de la s ecurit e des r eseaux est une m ethode ecace pour sassurer que la s ecurit e est test ee et appliqu ee de mani` ere continue. La roue est constitu ee de 4 etapes : s ecurisation surveillance test am elioration

La s ecurisation La surveillance se base sur laudit des journaux des h otes et des dispositifs r eseaux ainsi que lutilisation dIDS pour d etecter les intrusions. La phase de test consiste ` a tester le fonctionnement des solutions de s ecurit e ainsi que les audits en utilisant, par exemple, des outils d evaluation de la vuln erabilit e. Lors de lam elioration, on analyse les donn ees collect ees pendant les phases de surveillance et de test ; elles servent de base pour renforcer la s ecurit e. Strat egie de s ecurit e de lentreprise Une strat egie de s ecurit e est un ensemble de directives d enies en vue de prot eger le r eseau de lentreprise contre les attaques men ee soit de lint erieur, soit de lext erieur. Il sagit dun document vivant, ce qui signie quil est continuellement mis ` a jour selon les besoins de lentreprise. Les fonctions principales dune strat egie de s ecurit e sont les suivantes : prot eger les personnes et les donn ees d enir les r` egles de comportement des utilisateurs, des administrateurs syst` eme, de la direction et du personnel de s ecurite. permettre au personnel de s ecurit e de surveiller d enir les cons equencess des violations et les appliquer

S ecurisation des routeurs La s ecurisation des routeurs de p eriph erie est une etape importante dans la protection du r eseau. Ainsi il est important dagir aux niveaux suivants : s ecurit e physique mise ` a jour de lIOS du routeur sauvegarde de la conguration du routeur et de son IOS d esactivation des ports et des services non utilis es.

Acc` es administratif ` a distance aux routeurs Lacc` es administratif ` a distance avec telnet nest pas s ure car le trac passe en texte clair et les mots de passe peuvent donc etre intercept es. Pour prot eger lacc` es administratif aux routeurs, il est n ecessaire de s ecuriser les lignes dadministration (VTY) et dutiliser SSH (semestre 3/chapitre 2). Pour renforcer la s ecurit e avec SSH, il est possible de limiter le temps dinactivit e de la session ainsi que le nombre de tentatives de connexion. Exemple : R1(cong)# ip ssh time-out 15 R1(cong)# ip ssh authentication-retries 2

Gestion des mots de passe dun routeur Pour r esister ` a une eventuelle attaque, un mot de passe doit etre complexe et apparaitre crypt e dans le chier de conguration. Exemple : R1(cong)# service password-encryption R1(cong)#security passwords min-length 10 R1(cong)#enable secret ci$C0-clasS

Journalisation de lactivit e dun routeur Les journaux permettent de v erier le fonctionnement dun routeur et de d eterminier sil a et e compromis ou non. Les journaux du routeur sont envoy es ` a un h ote de journalisation (Serveur Syslog). Ce dernier doit etre connec e` a un r eseau de conance. Le serveur Syslog doit etre aussi prot eg e en supprimant tous les comptes et services inutiles. Les routeurs prennent en charge 8 niveaux de journalisation : 0 1 2 3 4 5 6 7 emergencies alerts critical errrors warnings notication informational debugging

Services et interfaces de routeur vuln erables Les routeurs prennent en charge un grand nombre de services r eseau aux couches 2,3,4 et 7. Certains de ces services peuvent etre limit es ou d esactiv es sans d egrader le fonctionnement du routeur. Il est pr ef erable de tous d esactiver ` a lexception des commandes :

Conguration pour la journalisation du routeur Pour indiquer au routeur ladresse du serveur Syslog : R1(cong)# logging host ad. IP Syslog

S ecurisation des protocoles de routage En utilisant un analyseur de paquets, les informations voyageant entre les routeurs peuvent etre lues. Les syst` emes de routage peuvent etre attaqu es de 2 fa cons :

Pour indiquer le niveau de journalisation ` a prendre en compte : R1(cong)# logging trap ad. level Pour sassurer que tous les messages sont envoy es au serveur Syslog : R1(cong)# logging trap debugging Pour activer les envois des journaux : R1(cong)# logging on Il est important davoir un horodatage pr ecis des journaux. Pour garantir la pr ecision des donn ees, il est pr ef erable de r egler le routeur sur un serveur de synchronisation able par linterm ediaire du protocole NTP (Network Time Protocol) : R1(cong)# ntp server ad. IP server NTP Puis dindiquer le d ecalage exact pour la r egion, ainsi que les changements dheure dans lann ee. Pour la r egion qui nous concernant : R1(cong)# clock timezone 1 R1(cong)# clock summertime CEST recurring last sun mar 2 :00 last sun oct 3 :00 Finalement pour obtenir des messages horodat es : R1(cong)# timestamps debug datetime localtime R1(cong)# timestamps log datetime localtime interruption des informations de routage entre routeurs homologues falsication des informations de routage Des informations de routage falsi ees peuvent avoir les buts suivants : redirection du trac pour cr eer des boucles redirection du trac sur une liaison non able dans le but de le surveiller redirection du trac pour le rejeter Il est possible dutiliser MD5 pour authentier les paquets du protocole de routage pour prot eger les informations de routage. Les protocoles RIPv2, EIGRP, OSPF prennent en charge una authentication avec MD5. Rappel : Les interfaces participant aux mises ` a jour de routage peuvent etre contr ol ees avec les commandes passive-interface default et no passiveinterface. Rappelons que les interfaces du routeur qui ne sont pas connect ees ` a un autre routeur ne doivent pas annoncer de mises ` a jour.

10

Authentication pour le protocole EIGRP Etape 1 : On commence par cr eer la chaine de cl es que tous les routeurs doivent utiliser : R1(cong)#key-chain KEY R1(cong-keychain)#key 1 R1(cong-keychain-key)#key-string cisco R1(cong-keychain-key)# exit R1(cong-keychain)# exit Etape 2 : On active lauthentication MD5 pour les paquets EIGRP passant par linterface sp eci ee : R1(cong)# interface S0 R1(cong-if)# ip authentication mode eigrp 1 md5 R1(cong-if)# ip authentication key-chain eigrp 1 KEY

R ecup eration de mots de passe dun routeur En utilisant Tera Term Pro Etape 1 Lancez la commande reload ou eteignez puis rallumez le routeur. S electionnez dans le menu Control, loption Send Break Le prompt suivant sache : rommon > Etape 2 Entrez les commandes suivantes : rommon 1> confreg 0x2142 rommon 2> reset Router > enable Router# copy start run RouterA(cong) # enable secret class R eactivez toutes les interfaces avec la commande no shutdown RouterA(cong) # cong-register 0x2102 RouterA# copy run start

11

12

ACLs r eexives Une ACL r eexive autorise le trac sortant et limite le trac entrant en r eponse a une session provenant du routeur lui-m ` eme. Une ACL r eexive ne se d enit quavec une ACL IP etendue nomm ee.

ACLs temporelles Une ACL temporelle autorise le contr ole dacc` es en fonction du temps. Etape 1 On d enit la tranche horaire HORAIRE :

Elle contribue ` a la protection du LAN contre une attaque ext erieure. LACL r eexive suivante autorise le trac ICMP entrant et sortant, mais autorise uniquement le trac TCP initi e depuis lint erieur du r eseau : Etape 1 : On d enit lACL temporelle associ ee ` a HORAIRE : On permet le passage du trac ICMP et TCP avec une demande de suivi sur les connexions TCP sortantes. R1(cong)# ip access-list extended SORTIE R1(cong-ext-nacl)# permit tcp 192.168.0.0 0.0.255.255 any reect TRAFICTCP R1(cong-ext-nacl)# permit icmp 192.168.0.0 0.0.255.255 any Etape 2 : On cr ee une ACL qui a pour but de v erier le trac entrant et de voir sil a et e initi e de lint erieur. R1(cong)# ip access-list extended ENTREE R1(cong-ext-nacl)# evaluate TRAFIC-TCP Etape 3 : On applique les ACL, ici sur linterface de sortie du LAN R1(cong)# interface S0 R1(cong-if)# ip access-group SORTIE out R1(cong-if)# ip access-group ENTREE in R1(cong)# access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq telnet time-range HORAIRE Etape 3 On applique lACL temporelle sur une interface : R1(cong)# interface S0 R1(cong-if)# ip access-group 101 out Remarque : La tranche horaire peut etre d enie avec les param` etres periodic ou absolute. R1(cong)# time-range HORAIRE R1(cong-time-range)# periodic Monday Tuesday 8 :00 to 17 :00 Etape 2

13

14

Conguration dISDN Etape 1 On congure linterface BRI : R1(cong)# interface BRI0/0 R1(cong-if)# dialer rotary-group 1 R1(cong-if)#dialer-group 1 R1(cong-if)# isdn switch-type basic-net3 Etape 2 On congure linterface Dialer1 R1(cong)# interface Dialer1 R1(cong-if)# ip address negotiated R1(cong-if)# dialer in-band R1(cong-if)# dialer string num-tel R1(cong-if)# dialer-group 1 R1(cong-if)# encapsulation ppp R1(cong-if)# ppp authentication chap callin R1(cong-if)# ppp chap hostname nom R1(cong-if)# ppp chap password 0 mot-de-passe Etape 3 On d enit ` a laide dune ACL le trac int eressant qui activera la connexion isdn : R1(cong)# dialer-list 1 protocol ip list no ACL Pour v erier et debugger la connexion ISDN : R1# debug isdn q931

15