La Scurit des Rseaux

Informatiques 2
LES MENACES
LES OUTILS DE PROTECTION
Menaces de scurits
Menaces pour linfrastructure physique
Menaces envers les rseaux
Piratage psychologique
Menaces pour linfrastructure
physique
Menaces environnementales
Menaces lectriques
Menaces de maintenance
Menaces envers les rseaux
LES MENACES
Lcoute ou sniffing , le scan de port
Usurpation didentit ou Spoofing
Le vol de session ou Hijacking
E-mails forgs, spamming
Exploitation des vulnrabilits Exploit
Dni de service
Attaque par force brute
Virus, vers, chevaux de Troie
Social Engineering
Mthodes dattaque
Les attaques directes.
Les attaques indirectes par rebond.
Les attaques indirectes par rponses.
Types dattaques dun rseau
Attaques de reconnaissance
LE SNIFFING
Consiste capturer une image du trafic qui circule
sur un brin d'un rseau
Intressant sur les rseaux locaux de type Ethernet
Plus de chance de capter une information
intressantes (ex mot de passe en clair)
Protocoles qui changent des informations
d'authentification en clair:
telnet
rsh, rlogin, rexec
ftp
http (avec authentification basique)
pop, imap
LE SNIFFING
LE SNIFFING
Dsniff ( filesnarf, mailsnarf, urlsnarf,
msgsnarf, webspy, sshmitm, webmitm )
Ettercap-ng
Httpcapture
TCPDump
Wireshark
driftnet
LE SCANNING
Recherche des ports ouverts sur une machine
Utilisation des changes entre protocoles pour
avoir des informations sur les accs possibles
sur les machines.
connect() :
La mthode la plus basique
de balayage.
Lattaquant met un appel
connect() tous les
ports (ou ceux qui sont
plus intressants) dune
machine. Si le port est
ouvert la connexion est
tablie.
TCP SCANNING
UDP SCANNING
La technique consiste envoyer un paquet UDP
de 0 octet sur chaque port de la machine. Si
lattaquant reoit un message "ICMP port
unreachable", alors le port est ferm.
Autrement, il peut considrer qu'il est ouvert.
Attaques daccs
Attaques de mot de passe
attaques en force ;
programmes de type cheval de Troie ;
analyseurs de paquets ;
enregistreur de frappe ou keylogger.
Attaques daccs
Exploitation de la confiance
Le spoofing
Ettercap-ng
Dsniff ( dnsspoof, arpspoof, macof )
Redirection de port
Attaque Man-in-the-Middle
Attaque par dni de service
SYN FLOODING
Attaques DDos
Attaque Smurf
Virus non rsidents
Virus rsidents
Virus furtifs
Virus polymorphes (mutants)
Virus flibustiers
Les virus VBS script
Les canulars (Hoaxes)
Programmes malveillants
Les vers
Les bombes logiques
Les chevaux de Troie
Les macrovirus
Les virus de secteur d'amorce
Programmes malveillants
Virus des applicatifs:
Virus par RECOUVREMENT
Virus par AJOUT
Virus par ENTRELACEMENT
Virus par ACCOMPAGNEMENT
Les modes d'infections
Infection par RECOUVREMENT
0110101001101101
1001001010010010
0100101001011001
0100100111011001
Virus
1001010010101010
1100110010010101
0101010110010101
0010101001111000
1001010010101010
1100110010010101
0101010110010101
0010101001111000
Cible
du virus
Taille avant infection: 16 octets Taille avant infection: 16 octets
0110101001101101
1001001010010010
0100101001011001
0100100111011001
1001010010101010
1100110010010101
0101010110010101
0010101001111000
Cible
du virus
Le virus vient se recopier en tte
du programme quil a pris pour
cible
0110101001101101
1001001010010010
0100101001011001
0100100111011001
1001010010101010
1100110010010101
0101010110010101
0010101001111000
Cible
du virus
Taille aprs infection: 16 octets
Lors du prochain lancement du
programme infect, le code du
virus sera excut.
La taille du fichier infect reste
inchange (16 octets), cependant
une partie de son code ayant t
efface, il reste inutilisable.
0110101001101101
1001001010010010
0100101001011001
0100100111011001
1001010010101010
1100110010010101
0101010110010101
0010101001111000
1001010010101010
1100110010010101
0101010110010101
0010101001111000
Virus
Cible
du virus
Taille avant infection: 16 octets
Infection par AJOUT
0110101001101101
1001001010010010
0100101001011001
0100100111011001
1001010010101010
1100110010010101
0101010110010101
0010101001111000
1001010010101010
1100110010010101
0101010110010101
0010101001111000
Cible
du virus
Taille avant infection: 16 octets
Le virus vient se recopier en tte
du programme quil a pris pour
cible
0110101001101101
1001001010010010
0100101001011001
0100100111011001
1001010010101010
1100110010010101
0101010110010101
0010101001111000
1001010010101010
1100110010010101
0101010110010101
0010101001111000
Cible
du virus
Taille aprs infection: 20 octets
Le programme hte lanc, le
virus sexcute, rend la main
son hte qui semble fonctionner
normalement, ce qui retarde la
dtection.
La taille du fichier infect a
augment (24 octets). Cette
augmentation de la taille du
fichier peut permettre de le
reprer facilement.
0110101001101101
1001001010010010
0100101001011001
0100100111011001
1001010010101010
1100110010010101
0101010110010101
0010101001111000
1001010010101010
1100110010010101
0101010110010101
0010101001111000
Virus
Cible
du virus
Taille avant infection: 16 octets
Infection par ENTRELACEMENT
0110101001101101
1100110010010101
0100101000010101
0100100111011001
1001010010101010
1100110010010101
0101010110010101
0100100111011001
1100110010010101
0101010110010101
0010101001111000
Cible
du virus
Taille avant infection: 16 octets
Le virus vient sinstaller en
utilisant les espaces inoccups
par le programme quil a pris
pour cible.
Il devient indcelable au premier
abord.
Le fichier COMMAND.COM est la
cible privilgie de ce genre de
virus.
Infection par ACCOMPAGNEMENT
1001010010101010
1100110010010101
0101010110010101
0010101001111000
1001010010101010
1100110010010101
0101010110010101
0010101001111000
Cible
du virus
1001010010101010
1100110010010101
0101010110010101
0010101001111000
1001010010101010
1100110010010101
0101010110010101
Cible
du virus
PROG.EXE PROG.COM
Il y a alors dans un
mme rpertoire
deux fichiers
excutables de
mme nom, de
taille diffrente,
avec des
extensions
diffrentes.
La Scurit des Rseaux
Informatiques
INTRODUCTION
NECESSITE DUNE PSI
LES MENACES
LES OUTILS DE PROTECTION
Analogie de dploiement dun
systme intgr
Transport scuris
Badges et lecteurs
Centre de contrle
Portes et serrures
Surveillance et Alarmes
Gardes et patouilles
Pare-feu et liste d'accs
Dtection d'intrusion
(htes et rseau)
Scanner
Gestion centralise de la
politique de scurit
Identit, serveurs de
contrle d'accs et
autorits de certification
Cryptographie et rseaux
privs virtuels (VPNs)
ADMINISTRATEUR DE
SECURITE
Un mtier part entire,
Les pirates vont du script-kiddy
lattaquant institutionnel, pour protger son
systme il faut que le dfenseur soit au moins
aussi performant que lattaquant.
La premire des failles exploite par un
attaquant cest lerreur humaine.
LES OUTILS DE PROTECTION
Les antivirus
Les pare-feux (firewalls)
Les IDS (Intrusion Detection Systme)
Les VPN (Virtual Private Network)
Autres (VLAN, Proxies, )
La lutte
contre
les infections
Anti-virus jour
H2
D
1 Nb de virus existant au jour J N
1 Nb de virus identifis au jour J - N
D = Nb de virus existant au jour J - Nb de virus identifis au jour J -N
D doit tre le plus petit possible !
------------
C d que l'diteur de l'antivirus doit mettre
la disposition du client des mises jour rgulires
des fichiers de signatures
LES ANTIVIRUS
Comme en mdecine un antivirus ne peut combattre un
virus que si le virus est connu ou sil est de la famille dun
virus connu.
Lessentiel est donc de faire ses mises jour rgulirement.
Favoriser une mise jour automatique et donc une
administration centralise de ses antivirus (une faiblesse
dans la muraille suffit)
Attention aux faux amis !
Principe de lanti-virus
PROGRAMME
ANTIVIRAL GNRAL
CONTROLEUR
DINTEGRITE
ANALYSEUR DE
SIGNATURES
Principe de lanti-virus
UN PROGRAMME ANTIVIRAL GNRAL:
1) Surveille les comportements qui peuvent
tre dus un virus en action ( modification
zones de la mmoire vive ou de fichiers
particuliers du disque dur).
2) En bloquant ces comportements illicites, il
n'limine pas le virus, mais peut l'empcher
d'infecter d'autres programmes ou de
perturber le fonctionnement de l'ordinateur.
Principe de lanti-virus
UN ANALYSEUR DE SIGNATURES:
Recherche sur les disques de
fragments de programme qui
apparaissent dans les virus connus.
(signatures)
Principe de lanti-virus
CONTRLEURS D'INTGRIT:
prennent des instantans des
programmes et des donnes.
les modifications ultrieures de ces
instantans rvlent une infection
virale.
Algorithmes labors utilisent ces
instantans pour reconstituer le
programme originel partir de la
version endommage par le virus.
LES ANTIVIRUS
Limites de l'analyse de code
Contrairement ce qui est dit dans les brochures
publicitaires, l'analyse de code est peu efficace
Ces mthodes, appeles heuristiques (parce
qu'elles sont approximatives) sont seulement
utilises en conjonction avec une dtection de
signatures
L'inefficacit de l'analyse du code peut-tre
prouve mathmatiquement
LES ANTIVIRUS
Protection complte anti-virus
La protection anti-virus est un cas
classique du principe de la dfense en
profondeur
Les produits anti-virus doivent tre
dploys tous les niveaux du rseau
Il doivent se mettre jour et tre contrls
automatiquement
LES ANTIVIRUS
Filtre gnrique
Un filtre gnrique permet de bloquer de nouveaux
virus avant-mme que le logiciel antivirus soit mis jour
Un filtre gnrique permet d'interdire les attachements
qui ne sont pas utiles :
.exe, .pif, .vbs, .scr, .shs, .bat,
Principe de l'interdiction par dfaut : on peut tout
interdire par dfaut et spcifier les attachements autoriss
pdf, ms-office sans macros,
Le filtre doit tre install sur les passerelles mail, web et
ftp
Le web comme vecteur des malwares
Virtualisation du navigateur ?
LES ANTIVIRUS
Un Firewall est un outil permettant de mettre en uvre une
politique daccs restreint au rseau
dautres outils et technologies sont ncessaires pour mettre en uvre
une politique de scurit complte
Les Firewalls permettent une sparation contrle entre les
rseaux
Ils en limitent les accs illicites, au moyen de diffrentes
techniques
Authentification
Filtrage
Translation dadresse et de ports
Marquage
etc
LES FIREWALLS
Routeur / firewall
physique (Ethernet)
rseau (IP, IP/X25)
transport (TCP,UDP)
applications
ftp,http,smtp, telnet...
firewall
routeur routeur
filtrant
LES FIREWALLS
Contrler l accs d un rseau un autre
firewall = passage oblig pour les flux
(services et les protocoles)
se protger des malveillances externes
ouvrir son Intranet vers l Internet
mieux communiquer (avec surveillance)
Pourquoi un FIREWALL ?
Contrle d accs, filtrage des flux in/out
appliquer des rgles de scurit
transparence, journalisation centralise
authentification forte
rseaux privs virtuels VPN
translation d adresse IP, masquerading
TOUT est interdit
SAUF ce qui est explicitement autoris
FONCTIONNALITS
IN
IN
OUT
OUT
FWD
FWD
ETH1 ETH2
Pour un Firewall avec deux cartes il y a six sortes de flux
possibles.
Ce qui implique un fichier de rgles qui peut vite devenir trs
important
LES FIREWALLS
Le firewall n est pas la bonne solution pour :
se protger contre les utilisateurs internes malveillants
se protger contre les connexions ne passant pas par lui
parer les menaces nouvelles par les ports autoriss
viter la propagation des virus (exp mail avec pice jointe)
firewall : goulet d tranglement
problme des dbits
quipement trs sensible
LES LIMITES
Il existe quatre principaux types de Firewalls
Filtres de paquets statiques ( stateless )
Filtres de paquets dynamiques ( statefull )
Proxies de niveau application
Chaque type a ses propres avantages et inconvnients
Cela dpend de la politique mettre en uvre
Une architecture globale peut inclure plus dun type de Firewall
Pour permettre une dfense en profondeur
Pour mettre en uvre une politique complexe
Les types de FIREWALLS
57
IDS (Intrusion Detection System)
Outil de dtection dintrusion (software ou
hardware) qui automatise laudit et lanalyse
des processus.
LA DETECTION DINTRUSIONS
58
Intrusion:
tentative de compromettre
la confidentialit
lintgrit
la disponibilit
doutrepasser les mcanismes de scurit
dune machine
dun rseau
Dtection:
surveillance
analyse
alerte
LA DETECTION DINTRUSIONS
59
3 composantes fonctionnelles:
1. La source dinformation
2. Lanalyse
3. La rponse
LES COMPOSANTS
60
B.D
IDS Rponse
ALARMES
Actions
Surveillance
Configuration
Systme
ARCHITECTURE
Simulation de systmes, services et mme
rseaux.
Traage de lattaque.
=> mesures prventives ou rprssives
LES HONEYPOTS
INTRODUCTION AUX
CHIFFREMENT
Introduction
Concepts de cryptographie
Chiffrement symtrique et asymtrique
Les fonctions de hachage
Gnration et gestion des cls
Les rseaux privs virtuel (VPN)
Le tunneling
Les protocoles de scurit des diffrentes couches OSI
IP scuris (Ipsec)
Architecture dIpsec
Principe de fonctionnement
Encryption
Toms machine
Decryption
Bettys machine
Hello Hello
symmetric Key Encryption (Secret Key)
Secret
A03DB98240
Secret
CHIFFREMENT
Idal pour chiffrer des quantits
importantes de donnes
Mesures respecter
changer frquemment de cl secrte pour viter quelle
ne soit dcouverte
Gnrer les cls secrtes de faon scurise
Distribuer les cls secrtes de faon scurise.
Le cryptage symtrique est simple et
rapide, mais il implique des problmes
importants de gestion des cls.
CHIFFREMENT
Encryption
Toms machine
Decryption
Bettys machine
Hello Hello
65
Asymmetric Key Encryption (Public Key)
kept in
secure location
Bettys private key
Tom picks Bettys public key
Betty
A03DB98240
Betty picks her private key
Betty
Public Key
Ring
Tom
Linda
Dino
Betty
CHIFFREMENT
Toms machine Bettys machine
Hello Hello
66
symmetrical Key Encryption (Secret Key)
Secret
Hello+H
Secret
=
H
=
H
HACHAGE HACHAGE
CHIFFREMENT
Gnration et gestion des cls
Le maillon faible
Cls secrtes
Distribution manuelle
Lalgorithme de Diffie-Hellman
Cls publiques
Distribution manuelle
Les certificats numriques
CHIFFREMENT
68
Bob
Alice
Ya Yb
Xa
Ya Yb
Clef secrte
Echange de clef Diffie-Hellman
Xb
(p,q)
(p,q)
de Bob de Alice
D Oscar
Oscar
Bob
Alice
Risque dattaque: De Man in the middle
Do la ncessit de dployer un
PKI
Cl publique
Oscar
Cl publique
Oscar
GESTION DE CLES
Composants de l'infrastructure de
gestion des cls
L'Autorit de Certification (AC ou CA)
L'Autorit d'Enregistrement (AE ou RA)
L'Autorit de Dpt (Repository)
L'Entit Finale (EE : End Entity)
Nature et composition
Numro de srie du certificat
Algorithme de signature
Emetteur
Validit
Identification du dtenteur
Partie publique du Biclef
Signature
Et la stganographie ?
Dissimulation de donnes dans dautres
donnes :
Texte
Images
Bits
Je suis trs mue de vous dire que j'ai
bien compris, l'autre jour, que vous avez
toujours une envie folle de me faire
danser. Je garde un souvenir de votre
baiser et je voudrais que ce soit
l une preuve que je puisse tre aime
par vous. Je suis prte vous montrer mon
Affection toute dsintresse et sans cal-
cul. Si vous voulez me voir ainsi
dvoiler, sans aucun artifice mon me
toute nue, daignez donc me faire une visite
Et nous causerons en amis et en chemin.
Je vous prouverai que je suis la femme
sincre capable de vous offrir l'affection
la plus profonde et la plus troite
Amiti, en un mot, la meilleure amie
que vous puissiez rver. Puisque votre
me est libre, alors que l'abandon o je
vis est bien long, bien dur et bien souvent
pnible, ami trs cher, j'ai le coeur
gros, accourez vite et venez me le
fait oublier. l'amour, je veux me sou-
mettre.
George Sand Alfred de Musset
Alfred de Musset a rpondu ceci :
Quand je vous jure, hlas, un ternel hommage
Voulez-vous qu'un instant je change de langage
Que ne puis-je, avec vous, goter le vrai bonheur
Je vous aime, ma belle, et ma plume en dlire
Couche sur le papier ce que je n'ose dire
Avec soin, de mes vers, lisez le premier mot
Vous saurez quel remde apporter mes maux.
De la mme manire George Sand a
rpondu ceci :
Cette grande faveur que votre ardeur rclame
Nuit peut-tre l'honneur mais rpond ma flamme.
INTRODUCTION AUX VPN
Introduction
Concepts de cryptographie
Chiffrement symtrique et asymtrique
Les fonctions de hachage
Gnration et gestion des cls
Les rseaux privs virtuel (VPN)
Le tunneling
Les protocoles de scurit des diffrentes couches OSI
IP scuris (Ipsec)
Architecture dIpsec
Principe de fonctionnement
Site site
VPN
Client site
VPN
Client client
VPN
Virtual Private Network
La tunnelisation
Rseau
non fiable
XXX : L2F, PPTP, L2TP
Ethernet,
ATM, FR
XXX PPP IP, IPX
Au niveau 2 :
Au niveau 3 :
IP YYY IP
YYY : IPsec
Virtual Private Network
Station @IP4
Client @IP2
RTC
RNIS
Rseau
non fiable
Passerelle daccs
(LAC)
ISP @IP1
Serveur @IP3
L2TP Network Server
(LNS)
IP
Source @IP2-Destination@IP4
Donnes
PPP
Tunnel L2TP
PPP
IP
Source @IP2-Destination @IP4
Donnes
L2TP
UDP
IP - Source @IP1-Dest @IP3
IP
Source @IP2-Destination @IP4
Donnes
Exemple couche liaison L2TP
Cr pour palier le manque de scurit
IP
Dtaill par la suite
Couche rseau IPsec
SSL pour scuriser HTTP.
SSH pour Telnet, FTP, Xwindows.
SOCKS
Couche transport
S-HTTP (RFC 2069)
Couche Application
Exemple de mise en uvre des VPN
VPN hberg sur le pare-feu
VPN en parallle du pare-feu
VPN devant le pare-feu
VPN derrire le pare-feu
Pare-feu
+ VPN
Internet
Intranet
Routeur
Intranet
Routeur
Internet
Pare-feu
VPN
Intranet
Routeur
Internet
Pare-feu
VPN
Intranet
Routeur
Internet
Pare-feu VPN
Intranet
Routeur
Internet
Pare-feu VPN
INTRODUCTION AUX VPN
Introduction
Concepts de cryptographie
Chiffrement symtrique et asymtrique
Les fonctions de hachage
Gnration et gestion des cls
Les rseaux privs virtuel (VPN)
Le tunneling
Les protocoles de scurit des diffrentes couches OSI
IP scuris (Ipsec)
Architecture dIpsec
Principe de fonctionnement
IPsec a t dvelopp dans le cadre des travaux
sur la scurisation de IPv6. Les premires RFC
remontent 1995 (RFC 1825 1829).
IPsec offre schmatiquement deux niveaux de
scurit :
lintgrit, lauthentification et le non-rejeu avec le
protocole AH (Authentication Header) ;
la confidentialit en plus avec le protocole ESP
(Encapsulating Security Payload).
Le niveau de scurit est diffrent selon que lon
utilise le mode Transport ou le mode Tunnel.
IPsec
O intervient Ipsec ?
Ipsec sinsre au niveau IP et agit sur chaque datagramme IP
Protection unique pour toutes les applications
Peut tre mis en uvre sur tous les quipements
utilisant le rseau et assurer soit une protection de bout en
bout, entre les tiers communicants, soit liens par liens.
Obligatoire dans IPv6, il est optionnel dans IPv4 et donc non
livr en standard.
Quels services de scurit sont
fournis ?
But : empcher lespionnage des donnes circulant sur le
rseau et laccs illicite des ressources.
Moyens : Ipsec peut fournir, suivant les options slectionnes,
tout ou partie des services de scurit suivants :
confidentialit des donnes
authenticit des donnes (authentification + intgrit)
protection contre le rejeu
Niveau de scurit lev lorsquil est utilis avec des
algorithmes forts et dans un environnement scuris
Comment sont fournis ces
services ?
Les services de scurit sont fournis au moyens de mcanismes
cryptographiques :
Code dauthentification de message = authenticit des donnes
Chiffrement = confidentialit des donnes
Numro de squence = protection contre le rejeu
Ces mcanismes sont mis en uvre par deux extensions du
protocole IP :
AH dont le rle est dassurer lauthenticit des datagrammes IP
ESP qui peut assurer la confidentialit et/ou lauthenticit des donnes.
Comment sont fournis ces
services ?
Algorithmes cryptographiques :
AH et ESP sont utilisables avec de nombreux algorithmes leur dfinition
nen impose pas de particuliers.
Chaque produit comportant IPsec sera donc livr avec un ensemble
dalgorithmes parmi lesquels ladministrateur pourra choisir.
Modes de protection :
Transport : seul le contenu du paquet est protg, utilisable seulement
entre quipements terminaux.
Tunnel encapsulation du paquet dorigine dans un nouveau paquet.
Mode
Tunnel
Authentification
Chiffrement
Authentification
Chiffrement
Authentification
Authentification
Mode
Transport
ESP AH
Nouvel
En-tte IP
En-tte
AH
En-tte IP
dorigine
Donnes
En-tte IP
dorigine
En-tte
AH
Donnes
En-tte IP
dorigine
En-tte
ESP
Donnes
Nouvel
En-tte IP
En-tte
ESP
En-tte IP
dorigine
Donnes
IPsec Principe
L association de scurit (SA)
: prsentation
Pour saccorder sur les paramtres de scurit
utiliser, IPsec utilise des associations de
scurit nommes SA (Security Association).
Une SA est compose principalement :
dun identifiant SPI (Security Parameters Index) ;
de mcanismes de scurit :
algorithme de chiffrement + cls ;
fonction de hachage + cls ;
mode du protocole IPsec ;
dune dure de vie.
La SA : exemple de
composition
SPI : 12345
Encryption algorithm : DES
HMAC algorithm : MD5
Encryption key : 0x65f3dde
HMAC key : 0xa3b443d9
Expiry : 15:06:09 13Oct2001
La SA : principe de
fonctionnement
Une SA est mono directionnelle.
Les SA sont gnres partir des politiques de
scurit dfinies dans la SPD (Security Policy
Database).
Les SA sont stockes dans une base appele
SAD (Security Association Database).
SA 1
Confidentialit
SA 2 Authentification
Rseau interne
Rseau externe
IKE - Internet Key Exchange :
prsentation
IKE est un protocole normalis par lIETF. Son
fonctionnement est dcrit par la RFC 2409.
IKE est dvelopp spcifiquement pour IPsec afin
de grer dynamiquement les SA.
IKE reprend le fonctionnement ISAKMP (Internet
Security Association Key Management) et OAKLEY
(tablissement de cls partages).
Base de donnes SPD
Politique de gestion du paquet
Services de scurit
Passe outre
Rejet
Si scurit indique les SA correspondantes
Politique de scurit
Principe de fonctionnement
SYNTHESE
Bilan des composants dIPsec
AH et ESP = mcanismes de scurisation au niveau IP qui protgent les
donnes transfres
Les paramtres relatifs ces mcanismes sont stocks dans des associations
de scurits (SA)
IKE protocole orient connexion utilis par les quipements IPsec pour
grer les associations de scurit.
Une configuration manuelle des associations de scurit est galement
possible.
Un ensemble de politiques de scurit, qui sont les rgles appliquer au
trafic traversant un quipement donn.
Cest par elles que ladministrateur du rseau configure Ipsec et notamment
indique IKE quels sont les tunnels scuriss crer.
LES VLAN
LES VLAN
LES SERVEURS PROXIES
Mandataires
Les proxies sont des relais d'applications
Ils jouent le rle de serveur pour le client, et de client
pour le serveur
Ils peuvent analyser les donnes dans le contexte de
l'application et filtrer si ncessaire (contenu, virus,
exploits)
Ils permettent d'viter des connexions directes
depuis un rseau interne vers Internet
Ils sont un exemple typique des principes de la
dfense en profondeur et du goulet d'tranglement
LES PROXIES HTTP
Les proxies HTTP permettent non seulement d'viter une
connexion directe entre un client et un serveur mais ont aussi
d'autres fonctionnalits :
LE PROXY TRANSPARENT
LE FILTRAGE DE CONTENU
LE CACHING
LES PROXIES SMTP
Le protocole SMTP se prte bien a tre relay par des proxies
puisque le protocole a t conu pour des relais de courrier qui
acheminent le courrier par tapes jusqu'a sa destination.
Pour utiliser un serveur SMTP en tant que proxy il faut :
Pour le mail sortant: Configurer les serveurs ou clients
internes pour qu'ils utilisent le proxy comme destination pour
leurs connexions SMTP et non les serveurs indiques dans
les MX-records.
Pour le mail entrant: Inscrire dans le DNS le serveur proxy
comme responsable du domaine et indiquer au proxy ou se
trouve le serveur interne qui doit finalement recevoir le
courrier entrant.
INTERNET
DMZ
Serveur
web
Serveur
Proxy
web
Serveur
DNS externe
Serveur
Mail
FIREWALL
EXTERNE
FIREWALL
DIODE
RESEAU INTERNE
LA DMZ
PARTENAIRES
Mais aussi !
Systmes de sauvegarde des donnes
Systmes de reprise sur incident
Audits programms de ses systmes
Veille technologique
Types dAudit
Audit "Bote Blanche"
Audit "Bote noire"
Interne
Externe
Audit "intrusif"
Audit de "vulnrabilits
Audit "de Code"
Audit "Organisationnel"
Les risques se dveloppent
Il faut scuriser son rseau :
Dfinir une politique de scurit
Appliquer cette politique de scurit sur le primtre du rseau et
l'intrieur du rseau
Utiliser des techniques ralistes :
Cloisonner son Intranet
Mettre en place des systmes de scurit Internet
Se doter des comptences pour exploiter en toute scurit
La scurit est un service du rseau
CONCLUSION
Sources:
Site de la DCSSI (SGDN)
Site du Clusif
http://wiki.backtrack-fr.net/
http://www.securiteinfo.com