Beruflich Dokumente
Kultur Dokumente
W.Kammoun 2009-2010
Wafa Kammoun ISITCom 1
Plan
Introduction Objectifs de la scurit Causes de linscurit # types de menaces et # types dattaques Comment se protger?
# Mesures de Scurit
Introduction
La scurit d'un rseau est un niveau de garantie que l'ensemble des machines du rseau fonctionne de faon optimale et que les utilisateurs possdent uniquement les droits qui leurs ont t octroys Il peut s'agir :
d'empcher des personnes non autorises d'agir sur le systme de faon malveillante d'empcher les utilisateurs d'effectuer des oprations involontaires capables de nuire au systme de scuriser les donnes en prvoyant les pannes de garantir la non-interruption d'un service
Wafa Kammoun ISITCom 3
Causes de linscurit
Ltat actif dinscurit : la non-reconnaissance par lutilisateur des fonctionnalits du systme (ex: la dsactivation des services non ncessaire lutilisateur) Ltat passif dinscurit: la mconnaissance des moyens de scurit mis en place (ex: lorsque ladministrateur dun systme ne connat pas les dispositifs de scurit dont il dispose)
Le but des agresseurs est souvent de prendre le contrle d'une machine afin de pouvoir raliser les actions qu'ils dsirent. Pour cela il existe diffrents types de moyens :
l'obtention d'informations utiles pour effectuer des attaques utiliser les failles d'un systme l'utilisation de la force pour casser un systme
Objectifs de la scurit
La scurit informatique vise assurer:
Lintgrit: garantir que les donnes sont bien celles que lon croit tre; La confidentialit: consiste assurer que seules les personnes autorises aient accs aux ressources changes La disponibilit: permet de maintenir le bon fonctionnement du systme dinformation La non-rpudiation: permet de garantir quune transaction ne peut tre nie Lauthentification: consistant assurer que seules les personnes autorises aient accs aux ressources.
Wafa Kammoun ISITCom 6
Dfinitions
La confidentialit: consiste rendre linformation inintelligible dautres personnes que les seuls acteurs de la transaction Lintgrit: consiste dterminer si les donnes nont pas t altrs durant la communication La disponibilit: garantir laccs un service ou des ressources La non-rpudiation: est la garantie quaucun des correspondants ne pourra nier la transaction Lauthentification: consiste assurer lidentit dun utilisateur, c.a.d quil sagit de la personne quil prtend tre
Wafa Kammoun ISITCom 7
Les menaces
Le Hacking (Attaques)
Cest lensemble des techniques visant attaquer un rseau un site ou un quipement Les attaques sont divers:
Lenvoie de bombe logiciel, chevaux de Troie La recherche de trou de scurit, dtournement didentit Les changements des droits daccs dun utilisateur dun PC Provocation des erreurs
10
11
Risques Divers
Les attaques de virus ou de vers ont caus la panne de millions d'ordinateurs travers le monde. Tout systme peut tre victime de telles attaques, en particulier s'il est connect l'Internet:
Les virus, vers, chevaux de Troie ainsi que les logiciels espions et les tmoins de connexion (cookies) peuvent entraner des pertes irrmdiables de donnes. Les secrets d'affaires, les adresses de partenaires commerciaux, les numros de tlphones portables de parents et amis, la correspondance avec la caisse d'assurance-maladie ou le mdecin traitant, etc., risquent ainsi d'tre dtruits ou, pire encore, d'tre copis votre insu. Les hameonnages (phishing) peuvent entraner des achats non autoriss et facturs sur votre carte de crdit ou causer des frais de tlphone pour plusieurs centaines de Dinars. Il est souvent difficile de convaincre sa banque que les transactions effectues taient illicites. Les canulars (hoaxes) et les pourriels (spam) ne sont souvent que des incidents fcheux causant une perte de temps ( cause du tri manuel); ils peuvent parfois aussi avoir des consquences fcheuses si l'on suit leurs indications ou si l'on accepte l'offre qu'ils contiennent.
Wafa Kammoun ISITCom 12
Ver / Virus
Ver:
Programme capable de se copier vers un autre emplacement par ses propres moyens ou en employant d'autres applications. Il se multiplie rapidement.
Virus:
Un petit programme ou un lment d'un programme, dvelopps des fins nuisibles, qui s'installe secrtement sur des ordinateurs et parasite des programmes.
Les traces
Les virus infectent des applications, copient leur code dans ces programmes. Pour ne pas infecter plusieurs fois le mme fichier ils intgrent dans lapplication infecte une signature virale.
Wafa Kammoun ISITCom
13
1. La signature. La signature est le code du virus. Comme le nombre de virus devient de plus en plus important et qu'liminer de la liste les "anciens virus" serait dangereux, le travail de comparaison entre sa liste de virus et le fichier analys devient de plus en plus lourd. C'est nanmoins la seule solution. Les virus deviennent "mutants". Pour vitez cette dtection, les virus changent de signature en modifiant leur code de programmation en mme temps que l'infection. Certains virus actuels se coupent en plusieurs morceaux pour se reconstruire la moindre occasion. Encore une difficult de plus pour les anti-virus. 2. La base de donne. Pour dtecter les nouveau virus, les logiciels anti-virus mettent jour leur base de donne rgulirement. Sans cette mise jour, l'utilisation de ces programmes est pratiquement inutile.
Bombes logiques
Les bombes logiques sont programmes pour s'activer quand survient un vnement prcis. De faon gnrale, les bombes logiques visent faire le plus de dgt possible sur le systme en un minimum de temps.
Wafa Kammoun ISITCom 15
Les trojans ont t crs dans les annes 80, par un jeune hacker allemand du nom de Karl Koch
Wafa Kammoun ISITCom 16
Symptmes dinfection
Une infection par un cheval de Troie fait gnralement suite l'ouverture d'un fichier contamin contenant le cheval de Troie. Se traduit par les symptmes suivants :
activit anormale du modem, de la carte rseau ou du disque: des donnes sont charges en l'absence d'activit de la part de l'utilisateur ; des ractions curieuses de la souris ; des ouvertures impromptues de programmes ; des plantages rptition.
Se protger par un Firewall En cas dinfection (dtecter par bouffe-troyen) tlcharger un Cleaner (Ex:http://www.moosoft.com )
Wafa Kammoun ISITCom 17
Phishing
19
Hameonnage (Phishing)
Le mot phishing (hameonnage) se compose des mots anglais "password" (mot de passe), "harvesting" (moisson) et "fishing" (pche). Via l'hameonnage, des pirates tentent d'accder aux donnes confidentielles d'utilisateurs Internet ne se doutant de rien. Il peut s'agir ex. d'informations concernant les comptes pour des soumissionnaires de ventes aux enchres en ligne (ex. eBay) ou des donnes d'accs pour le e-banking. Les pirates font appel la bonne foi, la serviabilit de leurs victimes en leur envoyant des courriels avec des adresses d'expditeur falsifies. Ces courriels signalent ex. la victime que les informations concernant son compte et ses donnes d'accs (p. ex. nom d'utilisateur et mot de passe)
De fait, le lien n'aboutit pas sur le site du fournisseur de services (ex. la banque), mais sur un site l'identique falsifi par les pirates.
Consquences et dangers
Grce aux donnes acquises frauduleusement, l'escroc peut effectuer des transactions bancaires au nom de l'utilisateur d'Internet, la victime, ou placer des offres dans les enchres en ligne.
Wafa Kammoun ISITCom 20
Cookies
Les cookies (tmoins de connexion) sont des petits fichiers texte qui s'installent sur l'ordinateur du visiteur lorsque ce dernier consulte une page Internet, ceci dans le but de lui simplifier la tche. Un cookie est en ralit un fichier stock sur le disque dur de l'utilisateur, afin de permettre au serveur web de le reconnatre d'une page web l'autre. Les cookies sont notamment utiliss par les sites de commerce lectronique afin de conserver les prfrence de l'utilisateur (par exemple les options qu'il a coch) afin de lui viter de les re-saisir. Consquences et danger Les exploitants de sites Internet peuvent l'aide des tmoins de connexion enregistrer le comportement de la personne qui visite le site pour tablir son profil client.
21
22
Dpassement de Tampon
(Buffer Overflow)
est un bogue pouvant tre exploit pour violer la politique de scurit dun systme. Cette technique est couramment utilise par les pirates informatiques.
23
Keylogger matriel
Acclrateur de Rcupration USB permettant de tlcharger super rapidement tout le journal. Cet enregistreur est absolument indtectable pour le systme d'exploitation, ne requiert aucun logiciel ni pilote. un keylogger peut se procurer facilement des emails confidentiels et les rvler toute partie intresse l'extrieur prts payer Enregistrez tout le journal en quelques secondes !
Applications Observer l'usage des sites WWW, des e-mails et du chat par vos enfants ou salaris Surveiller la productivit de vos salaris Sauvegarder les copies des documents crs Et ayant de trs petites dimensions, seulement 48 mm de longueur
24
Prendre des mesures de Protection Chacun est appel contribuer la scurit de son systme, sous peine de s'exposer aux risques et de constituer ainsi un danger pour les autres utilisateurs. En appliquant les mesures et les rgles de comportement prsentes, vous assurez une bonne protection de votre ordinateur
Wafa Kammoun ISITCom 26
Comment se protger?
Cryptage Pare-feu Mises jour de votre PC Logiciels anti-virus
Antispam Antispyware, ..
Wafa Kammoun ISITCom 27
Mcanismes
Scurit informatique
Protection dun site Parefeux, Anti-Virus Chiffrement, Signature lectronique
Signature : authentification
Thorie unifie du chiffrement cl publique : schma RSA S/MIME Gestion des certificats
Wafa Kammoun ISITCom 28
Firewall
Pare-feu ou garde-barrire, est un outil matriel (HW) ou logiciel (SW), charg de protger le rseau local du monde extrieur et de certains programmes malveillants. contrler les accs et bloquer ce qui est interdit.
autoriser les ordinateurs du rseau local se connecter lInternet. bloquer les tentatives de connexion dInternet vers les ordinateurs du rseau local
Wafa Kammoun ISITCom 29
Rseau Interne,
Mail FTP
Port exploit par un Virus
DNS
Paquets Malforms
30
FireWall
Un Firewall vise, au niveau de la scurit, deux objectifs: 1. Contrler et protger les htes du rseau local
Contre la divulgation non autorise dinformations sensibles Contre les virus de toutes sortes Contre les attaques par Cheval de Troie
2.
Contd
C'est une liste ordonne de la forme: (rgle 1, action 1) (rgle 2, action 2) (rgle 3, action 3) etc. Les rgles peuvent tre: adresse destination du paquet, adresse source, port destination, port source, date, heure, etc. Les actions peuvent tre: refuser le paquet, ignorer le paquet, accepter le paquet, transmettre le paquet sur un autre rseau, modifier les enttes du paquet...
32
2.
Accept
any
192.168.10.3
tcp
any
80
3.
Accept
192.168.10.0/ 24 any
any
tcp
any
80
b4
deny
any
any
any
any
33
1 99
ACL Standard:
Permet dautoriser ou dinterdire des @ spcifiques ou un ensemble d@ ou de protocoles
100 199
ACL tendu
Wafa Kammoun ISITCom 34
Le routeur dtermine sil doit acheminer ou bloquer un paquet en fct de chaque instruction de condition dans lordre dans lequel les instructions ont t cres Si le paquet arrivant linterface du routeur satisfait une condition, il est autoris ou refus Si le paquet ne correspond aucune instruction dans la liste, celui-ci est rejet Le rsultat de linstruction implicite deny any Any: nimporte quelle @ (de 0.0.0.0 255.255.255.255) Host: abrviation du masque gnrique
Ex: host 172.16.33.5 quivaut 172.16.33.5 0.0.0.0
Wafa Kammoun ISITCom 35
Liste tendue:
Router (config)# access-list numr-liste {permit|deny} protocole source {masque-source} destination {masque-desti} {oprateur oprande}[established..]
Wafa Kammoun ISITCom 36
Architecture DMZ
L'acronyme "DMZ" signifie DeMilitarized Zone ou "zone dmilitarise" On appelle DMZ une zone qui n'est ni publique, ni interne. Ces zones ne peuvent exister que si le pare-feu possde plus de deux interfaces rseau, une pour la connexion au rseau externe et l'autre pour la connexion au rseau interne. Si un pare-feu possde trois interfaces au moins, il est possible de crer une DMZ sur la troisime interface. On y placera les serveurs qui ont besoin de sortir sur l'extrieur, mais qui ont galement besoin d'tre protgs des menaces internes. Ainsi, si des utilisateurs en interne veulent faire des oprations frauduleuses sur les serveurs (web, serveur de messagerie, serveur FTP public, etc.), ils devront franchir la barrire du pare-feu et les rgles de filtrage mises en place.
Wafa Kammoun ISITCom
Systme FIREWALL
37
Les serveurs situs dans la DMZ sont appels bastions en raison de leur position d'avant poste dans le rseau de l'entreprise. La politique de scurit mise en oeuvre sur la DMZ est gnralement la suivante :
Traffic du rseau externe vers la DMZ autoris ; Traffic du rseau externe vers le rseau interne interdit ; Traffic du rseau interne vers la DMZ autoris ; Traffic du rseau interne vers le rseau externe autoris ; Traffic de la DMZ vers le rseau interne interdit ; Traffic de la DMZ vers le rseau externe refus.
38
39
Problme
40
La cryptographie
Le mot cryptographie est un terme gnrique dsignant l'ensemble des techniques permettant de chiffrer des messages, c'est--dire permettant de les rendre inintelligibles sans une action spcifique. Le verbe crypter est parfois utilis mais on prfre le verbe chiffrer.
La cryptologie est essentiellement base sur l'arithmtique: Il s'agit dans le cas d'un texte de transformer les lettres qui composent le message en une succession de chiffres puis ensuite de faire des calculs sur ces chiffres pour: d'une part les modifier de telle faon les rendre incomprhensibles. Le rsultat de cette modification (le message chiffr) est appel cryptogramme (en anglais ciphertext) par opposition au message initial, appel message en clair (en anglais plaintext) faire en sorte que le destinataire saura les dchiffrer
Wafa Kammoun ISITCom 41
Cryptographie
Ensemble de processus de cryptage visant protger les donnes contre les accs non autoriss Repose sur lemploi de formules mathmatiques et des algorithmes complexes afin de coder linformation Il existe 2 systmes de cryptographie:
Les systmes symtriques: la mme cl utilis pour coder et dcoder (DES: Data Encryption standard)) Les systmes asymtriques: la cl qui sert coder est diffrente de celle qui peut dchiffrer (RSA:Rivest Shamir Adelmann)
Wafa Kammoun ISITCom 42
Taille de la cl
Un des lments importants du systme cryptographique est la taille de la cl
Plus la cl est longue, plus lalgorithme est fort La taille de la cl est gnralement mesure en bits Si la cl est code sur n bits, elle peut prendre 2n valeurs Plus la cl est longue, plus le nombre de cls possibles est important, et plus ceci ncessite de la puissance et du temps de calcul (pour un malveillant) pour la trouver Il est devenu simple de casser des cls de longueur 40 bits, on prfre celles de 128 et 256 bits Casser des cls de 256 bits ncessite un temps de traitement important
Wafa Kammoun ISITCom 43
44
Principe de Cryptage
Tout systme de cryptage est compos dun algorithme de codage Le Cryptage ncessite 2 fonctions essentielles:
Le message M est crypt par une fonction de cryptage E(M)=C Le cryptogramme C est dcrypt par le destinataire par une fonction de dcryptage
D(C)=D(E(M))=M
Wafa Kammoun ISITCom 45
I 3 A Z I A S P Z T
Q 4 N U O N M T E A
U 7 S N N C O E R B
E 2 F M D S N Z O C
S 6 E I E D C E S 46 D
Cesars Cipher
Substitution
if we encode the word SECRET using Cesars key value of 3, we offset the alphabet so that the 3rd letter down (D) begins the alphabet. So starting with: ABCDEFGHIJKLMNOPQRSTUVWXYZ and sliding everything up by 3, you get DEFGHIJKLMNOPQRSTUVWXYZABC
Chiffrement cl symtrique
Encryptage par substitution
poque romaine (Code de Csar)
Texte en clair : abcdefghijklmnopqrstuvwxyz Texte crypt : mnbvcxzasdfghjklpoiuytrewq
Exemple :
Texte en clair: bob. i meat you. alice Texte crypt: nkn. s jcmu wky. mgsbc
Difficult ?
1026 combinaisons possibles.... par l'utilisation de rgles statistiques, on trouve facilement la cl ... ... naissance il y a 500 ans du chiffrement polyalphabtique
Wafa Kammoun ISITCom 48
Difficult ?
concours organis par RSA Data Security 1997 : 4 mois pour casser le code DES 56 bits en brute force par des amateurs 1999 : 22 h solution pour le rendre plus sur .... Passer l'algorithme DES plusieurs fois sur le message avec chaque fois des cls diffrentes (ex 3DES) Wafa:Kammoun ISITCom 49
Limite de DES
La recherche exhaustive sur 56 bits (256) est maintenant raliste. Mars 2007 : 6:4 j, COPACOBANA (utilisation de FPGA) par luniversit de Bochum et Kiel (cot 10 000 $)
50
Schma de l'algorithme :
La solution a t dans un premier temps l'adoption du triple DES: trois applications de DES la suite avec 2 cls diffrentes (d'o une cl de 112 bits)
51
Table de Vigenre
52
Exemple
53
Analyse de frquence:
Faiblesse: la structure du texte est globalement conserv. Il est donc possible dutiliser les caractristiques linguistiques (redondances, frquences,)
Wafa Kammoun ISITCom 54
Algorithme RSA
Dvelopp par: Ron Rivest, Adi Shamir et Leonard Adleman en 1977 repose sur des fonctions mathmatique appliques sur de grands nombres Le RSA est un systme qui repose intgralement sur la difficult de factoriser de grands nombres entiers (au moins 100 chiffres actuellement).
55
56
Chiffrement asymtrique
Alice veut envoyer un document confidentiel Bob Alice doit se procurer la cl publique de Bob (auprs de Bob ou dun tiers qui la dtient) Alice chiffre le document avec la cl publique de Bob Bob dchiffre le document avec sa cl secrte dont il est le seul dtenteur Si ve russit intercepter le document, elle ne pourra le dchiffrer sans la cl secrte de Bob
Cl Publique B
Cl Prive B
Chiffrement
Dchiffrement
1 2 Clair
3 Clair
58
60
Rcapitulatif
Cryptographie symtrique rpond au besoin de la confidentialit
DES, 3DES, AES, Blowfish, RC2, RC4, RC5 et DEA
62
PGP
Cette restriction l'exportation de la cryptographie a eu diverses consquences:
Les navigateurs tels qu'Internet Explorer ont t limits (pendant longtemps) 40 bits pour tous les "trangers". Seuls les amricains pouvaient tlcharger la ver.128 bits. Si on ajoute cela que l'algorithme RSA tait brevet jusqu'en septembre 2000, il n'en a pas fallu plus aux internautes pour crer GPG (Gnu Privacy Guard), un logiciel compatible avec PGP et utilisant Diffie-Hellman la place de RSA, et hors de contrle du gouvernement amricain puisque cr en Europe.
Wafa Kammoun ISITCom 63
64
65
PGP
..\MM-scurit\TD\Le logiciel PGP.htm
66
67
VPN
La mise en place d'un rseau priv virtuel permet de connecter de faon scurise des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils taient sur le mme rseau local. Ce procd est utilis par de nombreuses entreprises afin de permettre leurs utilisateurs de se connecter au rseau d'entreprise hors de leur lieu de travail. On peut facilement imaginer un grand nombre d'applications possibles :
Accs au rseau local (d'entreprise) distance et de faon scurise pour les travailleurs nomades Partage de fichiers scuriss Jeu en rseau local avec des machines distantes
Wafa Kammoun ISITCom 69
70
Les Protocoles
Les principaux protocoles de tunneling sont :
PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2 dvelopp par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics. L2F (Layer Two Forwarding) est un protocole de niveau 2 dvelopp par Cisco Systems, Northern Telecom (Nortel) et Shiva. L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 2661) pour faire converger les fonctionnalits de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP. IPsec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des donnes chiffres pour les rseaux IP. SSL/TLS offre une trs bonne solution de tunneling. L'avantage de cette solution est d'utiliser un simple navigateur comme client VPN. SSH Initialement connu comme remplacement scuris de telnet, SSH offre la possibilit de tunneliser des connections de type TCP.
Wafa Kammoun ISITCom 71
Une entreprise Multi-site dsire de plus en plus ouvrir son rseau ses employs travaillant distance,en toute scurit.Cest lenjeu auquel rpond efficacement Wafa Kammoun ISITCom 72 une solution de type VPN
Le protocole SSL:
Le protocole SSL (Secure Socket Layer) utilise la technologie de la cryptographie des cls publique/prive et l'authentification dveloppe par RSA Data Security Inc. Le fureteur Navigator's de la compagnie Netscape Communications Corporation utilise l'implantation du protocole SSL. Ce protocole effectue la gestion des cls et l'authentification du serveur avant que les informations ne soient changes.
Wafa Kammoun ISITCom 75