La sécurité des réseaux informatique
April 22, 2017 | Author: b_nadjet | Category: N/A
Short Description
Download La sécurité des réseaux informatique...
Description
République Algérienne Démocratique et Populaire Ministère d’Enseignement Supérieur et de la Recherche Scientifique C.F.C de Bab Ezzouar
Mémoire Fin D’étude en vue de l’obtention Du Diplôme des Etudes Universitaire Appliquées Filière : Organisation et Protection des Systèmes d’Information dans l’Entre prise
Thème
La configuration de base d’un Firewall Cisco ASA 5550
Réalisé par : Melle Bouchouika Nadjet Melle Belkadi Sihem
Années Universitaire : 2008-2009
Promoteur : Mr Zeraoulia Khaled Melle Zerrouk Radia
Dédicaces Bouchouika nadjet
A ma raison de vivre, d’espérer A ma source de courage, a ceux que j’ai de plus cher :
Mon papa, ma maman, pour leur amour, leur confiance et leur soutien
A mes frères : Omar, Mohamed et Salaheddine A mes sœurs : fèriel et Aicha
A toute ma famille Bouchouika et Boutamine
Et a toute la promotion OPSI
Dédicaces
Belkadi sihem
Je dédie ce travail à :
Mes chers parents
Mes frères Et sœurs
Mes adorables nièces
Et a toute la promotion OPSI
Remerciements
Nous tenons à présenter nos sincères remerciements à Monsieur MERAKAB, chef du centre « RMS », qui nous a motivées grâce à son aide, sa compréhension et sa gentillesse. Nous remercions également le personnel exerçant au sein de l’entreprise « Algérie Télécom » pour leur accueil, leur attitude constructive et leur patience à notre égard. Nous tenons plus particulièrement à exprimer reconnaissance envers notre encadreur Melle ZERROUK Radia
notre
Nous remercions notre promoteur Mr ZERAOULIA Khaled. Grâce à son aide et sa patience. Nous remercions aussi tous ceux qui ont participé de prés ou de loin au bon déroulement de ce projet de fin d'études
Sommaire Introduction générale .................................................................................................................. 1 Chapitre І : Les réseaux informatiques І.1 Introduction ........................................................................................................................... 3 І.2 Historique ............................................................................................................................. 3 І.3 Définition ............................................................................................................................. 5 І.3.1 Types de réseau .................................................................................................................. 5 І.3.2 Les équipements d’interconnexion de réseau .................................................................... 6 І.3.2.1 Les Câble......................................................................................................................... 6 І.3.2.2 Concentrateurs réseaux ................................................................................................... 6 І.3.3 Topologie de réseau ........................................................................................................... 7 І.3.3.1 Topologie physique ........................................................................................................ 8 І.3.3.2 Topologie logique .......................................................................................................... 9 І.4 Protocoles de réseau ............................................................................................................. 9 І.4.1 Le modèle OSI et le modèle TCP/IP .................................................................................. 9 І.4.1.1 Les couches du modèle OSI ......................................................................................... 10 І.4.1.1.1 Le rôle de chaque couche ........................................................................................... 11 І.4.1.1.2 La communication des données entre les couches ..................................................... 12 І.4.1.2 Les couches du modèle TCP/IP.. .................................................................................. 13 І.4.1.2.1 Le rôle de chaque couche .......................................................................................... 13 І.4.1.2.2 Les principaux protocoles de TCP/IP. ....................................................................... 14 І.4.2 D’autres Protocoles ......................................................................................................... 15 І.4.3 Les modes de transfert . ................................................................................................... 16 І.4.3.1 Les protocoles d'application utilisant TCP ou UDP ..................................................... 16 І.4.3.2 Les Ports TCP/UDP ... .................................................................................................. 16 І.5 Le routage ........................................................................................................................... 17 І.5.1 L’adressage IP .................................................................................................................. 17 І.5.1.1 Les structure d’adresse IP. ............................................................................................ 18 І.5.1.2 L’adresse IP d’internet .................................................................................................. 19 І.5.1.2.1 Les classe d’adresse IP ............................................................................................... 19 І.5.1.2.2 Le masque de réseau .................................................................................................. 20 І.5.1.2.3 L'adresse de diffusion................................................................................................. 20
І.5.1.3 L’adresse IP privé . ...................................................................................................... 21 І.5.1.4 Plages d'adresses IP spéciales ...................................................................................... 21 І.5.2 Exemple............................................................................................................................ 22 І.5.3 Définition de routage........................................................................................................ 23 І.5.3.1 Table de routage ............................................................................................................ 23 І.5.3.2 Protocoles de routage ................................................................................................... 24 І.5.3.2.1 Protocoles de routage interne .................................................................................... 24 І.5.3.2.2 Protocoles de routage externe .................................................................................. 25 І.6 Conclusion........................................................................................................................... 26 Chapitre ІІ : Les menaces réseau ІІ.1 Introduction........................................................................................................................ 27 ІІ.2 Notion du risque en informatique ...................................................................................... 27 ІІ.2.1 Les causes de risque........................................................................................................ 27 ІІ.2.2 Topologie des menaces réseau........................................................................................ 28 ІІ.2.2.1 Source humains ............................................................................................................ 28 ІІ.2.2.2 Source techniques ....................................................................................................... 29 ІІ.2.3 Les faiblesses des protocoles réseau ............................................................................. 30 ІІ.2.3.1 Faiblesse du protocole TCP/IP ................................................................................... 30 ІІ.2.3.2 Faiblesse des protocoles applicatifs standards ............................................................. 30 ІІ.2.3.3 Faiblesse des protocoles réseau et transport ............................................................... 31 ІІ.2.3.4 Faiblesses des protocoles de couche basses................................................................. 31 ІІ.2.4 Les faiblesses d’authentification..................................................................................... 31 ІІ.3 Les attaque réseau .............................................................................................................. 32 ІІ.3.1 Définition d’une attaque .. .............................................................................................. 32 ІІ.3.2 Les différentes étapes d’une attaque .............................................................................. 32 ІІ.3.3 Classification des attaques .............................................................................................. 33 ІІ.3.4 C’est qui un attaquant ..................................................................................................... 33 ІІ.3.5 Les différents types d’attaque ........................................................................................ 35 ІІ.4 Conclusion ........................................................................................................................ 38 Chapitre ІІІ : La politique de sécurité ІІІ.1 Introduction ...................................................................................................................... 39 ІІІ.2 Objectifs de sécurité ........................................................................................................ 39 ІІІ.3 Recommandations générales ........................................................................................... 40 ІІІ.4 Les guide de sécurité réseau des équipements ................................................................ 40
ІІІ.5 La politique de sécurité d’un réseau ................................................................................. 41 ІІІ.5.1 Une politique de sécurité physique ............................................................................... 42 ІІІ.5.2 Une politique de sécurité logique .................................................................................. 43 ІІІ.5.2.1 Règles de sécurité génériques .................................................................................... 43 ІІІ.5.3 Une politique de sécurité administrative ....................................................................... 44 ІІІ.6 La sécurité de réseau ....................................................................................................... 45 ІІІ.6.1 Les mots de passe ......................................................................................................... 46 ІІІ.6.1.1 Les différents types de mots de passe ........................................................................ 46 ІІІ.6.1.2 Construction d’un mot de passe solide ....................................................................... 47 ІІІ.6.2 Les antivirus ........ ......................................................................................................... 47 ІІІ.6.2.1 Principes de fonctionnements .................................................................................... 47 ІІІ.6.2.2 Composants d'un antivirus ......................................................................................... 48 ІІІ.6.3 Les firewalls .................................................................................................................. 48 ІІІ.6.3.1 Catégories de firewalls ............................................................................................... 49 ІІІ.6.3.2 Principe de fonctionnement ........................................................................................ 49 ІІІ.6.4 La mise en place d’une DMZ ...................................................................................... 50 ІІІ.6.4.1 L’Objectif de DMZ .................................................................................................... 50 ІІІ.6.4.2 Architecture de DMZ ................................................................................................ 51 ІІІ.6.4.3 Mise en œuvre d’une DMZ ....... ................................................................................ 51 ІІІ.6.5 Les réseauv prisés ........................................................................................................ 52 ІІІ.6.5.1 Principe de fonctionnement ....................................................................................... 53 ІІІ.6.5.2 Topologies de VPN .................................................................................................... 53 ІІІ.6.6 Système de détection d’intrusion................................................................................... 54 ІІІ.6.6.1 Principe de fonctionnement ........................................................................................ 54 ІІІ.6.6.2 Types d’IDS................................................................................................................ 55 ІІІ.6.6.3 Les Méthodes de détection ......................................................................................... 55 ІІІ.6.6.3.1 Approche par scénario ............................................................................................. 55 ІІІ.6.6.3.1.1 Les techniques de détection ................................................................................. 55 ІІІ.6.6.3.2 Approche Comportementale ................................................................................... 56 ІІІ.6.6.3.2.1 Les techniques de détection .................................................................................. 57 ІІІ.6.7 L’audit de sécurit ........................................................................................................... 58 ІІІ.6.7.1 Méthodologies d'audit de la sécurité .......................................................................... 58 ІІІ.6.7.2 Type des Méthodologies utilisée ................................................................................ 58 ІІІ.6.7.3 Démarche d'audit de sécurité...................................................................................... 59
ІІІ.6.7.3.1 Audit organisationnel de sécurité ............................................................................ 59 IІІ.6.7.3.2 Audit technique de sécurité ..................................................................................... 60 ІІІ.7 Conclusion ....................................................................................................................... 61 Chapitre IV : Conception IV.1. Introduction .................................................................................................................... 62 IV.2. Définition de firewall ..................................................................................................... 62 IV.3. Types de pare-feu .......................................................................................................... 63 IV.3.1 Les pare-feux bridge ..................................................................................................... 63 IV.3.2 Les pare-feux logiciels ................................................................................................. 63 IV.3.3 Les pare-feux matériels ................................................................................................ 64 IV.4. Fonction principale d’un firewall ................................................................................... 64 IV.4.1 Filtrage . ........................................................................................................................ 64 IV.4.1.1 Le filtrage simple de paquets .................................................................................... 64 IV.4.1.2 Le filtrage dynamique (stateful inspection)......... ...................................................... 65 IV.4.1.3 Le filtrage applicatif .................................................................................................. 65 IV.4.2 Translation d’adresse ................................................................................................... 65 IV.4.3 Contrôle d’accès ......................................................................................................... 66 IV.5. Etude d’un cas ................................................................................................................ 66 IV.5.1 Adresse IP privées ........................................................................................................ 68 IV.5.1.1 Pourquoi avoir des adresses privées .......................................................................... 68 IV.5.2 Translation d’adresses réseau (NAT) ............................................................................ 68 IV.5.2.1 Les différents concepts de NAT ................................................................................ 69 IV.5.2.2 Terminologie du NAT ............................................................................................... 69 IV.5.2.3 Portée du NAT....................................................... .................................................... 71 IV.5.3 Présentation du Cisco ASA 5550 .................................................................................. 71 IV.5.3.1 Les caractéristiques Matérielle de Cisco ASA 5550 .................................................. 71 IV.5.3.2 Les caractéristiques fonctionnelles de Cisco ASA 5550 ............................................ 72 IV.5.3.3 Avantages de Cisco ASA ......................................................................................... 73 IV.5.3.4 Aspects du Cisco ASA 5550 ..................................................................................... 73 IV.5.3.4.1 Aspects Externe ..................................................................................................... 73 IV.5.3.4.2 Aspectes Interne .................................................................................................... 78 IV.5.3.5 Équilibrage de la circulation pour maximiser le débit .............................................. 79 IV.5.4 Modes de base pour Configurer Cisco ASA 5550 ........................................................ 81 IV.6. Conclusion ...................................................................................................................... 81
Chapitre V : Implé mentation V.1 Introduction ...................................................................................................................... 82 V.2 Contextes de sécurité ....................................................................................................... 82 V.3 Problème à traité .............................................................................................................. 83 V.3.1 Schéma explicatif de réseau .......................................................................................... 84 V.3.2 La configuration de Cisco ASA ..................................................................................... 85 IV.3.2.1 Première étape ........................................................................................................... 85 V.3.2.1 Deuxième étape ..................................................... ................................................... 91 V.3.3 Traité le problème......................................................................................................... 100 V.3.4 Une image à partir de secureCrt ................................................................................... 102 V.4 Conclusion ....................................................................................................................... 103
Conclusion générale ............................................................................................................... 104 Annexe A .............................................................................................................................. 105 Bibliographie ......................................................................................................................... 108
Liste des Figures Figure І-1 : Historique de réseau ............................................................................................... 3 Figure І-2 : Topologies de réseau .............................................................................................. 7 Figure І-3 : réseau en bus .......................................................................................................... 8 Figure І-4 : réseau en étoile ....................................................................................................... 8 Figure І-5 : réseau en anneau...................................................................................................... 8 Figure І-6 : réseau maillé ........................................................................................................... 8 Figure І-7 : Le modèle OSI et le modèle TCP/IP .................................................................... 10 Figure І-8 : la communication des données ............................................................................. 12 Figure І-9 : les protocoles de TCP/IP ...................................................................................... 14 Figure І-10 : Structure d’adresse IP ......................................................................................... 18 Figure І-11 : Protocoles de routage ......................................................................................... 24 Figure І-12 : le routage interne IGP ........................................................................................ 24 Figure І-13 : le routage externe EGP ....................................................................................... 26 Figure ІІ-1: Topologie des menaces réseau ............................................................................. 28 Figure ІІІ-1 : le pare-feu dans un réseau. ................................................................................. 49 Figure ІІІ-2 : l’architecture DMZ ............................................................................................ 51 Figure ІІІ-3 : VPN dans un réseau ........................................................................................... 52 Figure IV-1: la mise en place de firewall ................................................................................ 62 Figure ІV-2 : Réseau d’Algérie Télécom ................................................................................ 67 Figure ІV-3 : Terminologie du NAT ....................................................................................... 70 Figure ІV-4 : Cisco ASA 5550 ................................................................................................. 71 Figure ІV-5 : interfaces réseau au panneau arrière .................................................................. 74 Figure ІV-6 : les composants d’ASA dans le Slot 0................................................................. 74 Figure ІV-7 : Indicateur LED .................................................................................................. 75 Figure ІV-8 : Les ports et les voyants dans le Slot 1 ................................................................ 76 Figure ІV-9 : LED de panneau avant ...................................................................................... 77 Figure ІV-10 : Circulation par Gigabit Ethernet ...................................................................... 79 Figure ІV-11 : Circulation par Gigabit Ethernet et Fibre ......................................................... 79 Figure ІV-12 : Les config qui ne fournie pas la circulation .................................................... 80 Figure ІV-13 : La configuration par mode ASDM .................................................................. 81 Figure V-1 : Un câble console ................................................................................................. 82 Figure V-2 : Schéma explicatif de réseau................................................................................. 84 Figure V-3 : démarrage d’un pare-feu ...................................................................................... 91
Liste des Tableaux Tableau І-1 : Les autres protocoles de réseau ......................................................................... 15 Tableau І-2 : quelques ports logiciel utilisé ............................................................................ 17 Tableau І-3 : Espace d’adressage ............................................................................................ 20 Tableau І-4 : Exemple : adresse 192.168.100.1 ....................................................................... 21 Tableau І-5 : L’adresse IP privé .............................................................................................. 21 Tableau IV-1 : Terminologie du NAT...................................................................................... 70 Tableau IV-2 : Caractéristiques Matérielle de Cisco ASA 5550 ............................................. 72 Tableau IV-3 les composants dans le Slot 0............................................................................. 75 Tableau IV-4 : Indicateur LED................................................................................................. 76 Tableau IV-5 : Le voyant de LED ........................................................................................... 76 Tableau IV-6 : les composants dans le Slot 1........................................................................... 76 Tableau IV-7 : les voyants dans la fente 1 ............................................................................... 77 Tableau IV-8 : LED de panneau avant .................................................................................... 77 Tableau V-1 : données de réseau ............................................................................................. 83 Tableau V-2 : description pour la commande nat ................................................................... 97 Tableau V-3 : description pour la commande global .............................................................. 97 Tableau V-4 : description pour la commande route ................................................................. 98 Tableau V-5 : D’autre commande ........................................................................................... 98 Tableau V-6 : Commandes avancée ........................................................................................ 99
Abréviations ACL : Access Control List ARP : Address Resolution Protocol ARPANET : Advanced Research Project Agency Network AS : Système Autonome ASA : Adaptive Security Appliance ASDM : Adaptive Security Device Manager ATM : Asynchronous Transfer Mode BGP : Border Gateway Protocol CLI : Commande-Line Interface DHCP : Dynamique Host Configuration Protocol DMZ : Demilitarized- Zone DNAT : Dynamic Network Address Translation DNS : Domain Name Service EGP : Externe Gateway Protocol EIGRP : Enhanced Interior Gateway Routing Protocol FDDI : Fiber Distributed Data Interface FTP : Fil Transfer Protocol HDLC : High- Level Data Link Control HIDS : Hot Intrusion Detection System HTML : Hyper Text Markup Language HTTP : Hyper Text Transfer Protocol IANA : Internet Assigned Numbers Authority IDS : Intrusion Detection System ICMP : Internet Control Message Protocol IGP : Interior Gateway Protocol IOS : Internetworking Operating System
IP : Internet Protocol ISO : International Standard Organisation LAN : Local Area Network LED : Light-Emitting Diode MAC : Medium Access Control MAN : Métropolitain Area Network NAT : Network Address Translation NIDS : Network Intrusion Detection System NTP : Network Time Protocol OSI : Open Système Interconnection OSPF : Open Shortest Path First PAN : Personnel Area Network POP : Post Office Protocol RIP : Routing Information Protocol SABER : Semi Automated Business Related Environnement SMTP : Simple Mail Transfer Protocol SNAT : Static Network Address Translation SNMP : Simple Network Management Protocol TCP : Transmission Control Protocol TELNET : Telecommunication Network UC : Unité Central UDP : User Datagram Protocol VPN : Virtuel Privet Network WAN : Wide Area Network
Introduction générale Les réseaux et systèmes information sont devenus des outils indispensables au fonctionnement des entreprises. Ils sont aujourd’hui déployés dans tous les secteurs professionnels : les entreprises de communication, les banques, les assurances, la médecine ou encore le domaine militaire. Initialement isoles les uns des autres, ces réseaux sont dans le présent interconnectes et le nombre de points d’accès ne cesse de croitre. Ce développement phénoménal s’accompagne naturellement de l'augmentation du nombre d’utilisateurs. Ces utilisateurs, connus ou non, ne sont pas forcement pleins de bonnes intentions vis a vis de ces réseaux. Ils peuvent exploiter les vulnérabilités des réseaux et systèmes pour essayer d’accéder a des informations sensibles dans le but de les lire, les modifier ou les détruire, pour porter atteinte au bon fonctionnement du système ou encore tout simplement par jeu. Des lors que ces réseaux sont apparus comme des cibles d’attaques potentielles, leur sécurisation est devenue un enjeu incontournable. Cette sécurisation va garantir la confidentialité, l’intégrité, la disponibilité et la non-répudiation. Et pour cela de nombreux outils et moyens sont disponibles, tels que les solutions matérielles, logiciels d'audits, ou les systèmes de détection d'intrusion (IDS), les antivirus, les réseaux privés (VPN) ou encore les firewalls (pare- feu) qui est un élément matérielle ou logiciel permettant de filtré les paquets de données qui traversent un réseau en bloquant certains et autorisant d'autres, cette mécanisme de sécurité offre plusieurs fonctionnement qui aide a mettre en place une politique de sécurité efficace, on trouve : Le filetage des paquets La translation d’adresse IP (NAT) Le contrôle d’accès Dans notre projet fin d’étude on va voire comment mettre en place un firewall matériel et sa configuration de base dans un réseau il s’agit de Cisco ASA 5550, et aussi on va définir la solution de translation d’adresse IP (NAT) cette dernière permet de convertir les adresses privées a des adresses publique.
Page | 1
Pou réaliser cette démarche on a partagé notre projet on Cinque chapitre Le premier chapitre comporte une présentation pour les réseaux informatique, qu’elle va englober une définition pour le réseau informatique, ces différents types, ces caractéristique, et aussi comment garantie une connexion entre les composant de réseau, et la connexion entre un réseau et un autre Le deuxième chapitre montre les différentes menaces qui peuvent atteindre un système d’information d’une entreprise ces menaces qui peut être d’une source humain ou technique Le troisième chapitre explique la politique de sécurité qui contient plusieurs aspects et aussi qui définit plusieurs mesures de sécurité pour faire face au divers menaces réseau et pour mettre le système d’information d’une entreprise on haut sécurité Le quatrième chapitre inclus la conception de notre projet au on va montrer les types des firewalls et ces différents fonctionnalité, on va présenter la solution de NAT comme un cas à étudier et aussi on va définir l’équipement utilisée pour réaliser notre démarche on parle de Cisco ASA 5550 on va voir ces divers composant Le cinquième chapitre comportes l’implémentation pour faire configurer Cisco ASA Firewall. Cette démarche a été élaborée au sein de la société algérienne Algérie Télécom
Page | 2
Chapitre I : Les réseaux informatiques
І.1 Introduction : Dans le monde d'aujourd'hui, la plupart des entreprises, quelle que soit leur taille et leur fonctionnalité a besoin d’un système d’information qu’est un ensemble des méthodes et des moyens pour traiter et stocker les informations nécessaire, mais le problème qu’elle se pose comment faire échangé l’information entre les différents services qu’elle appartient et pour qu’elle puise fournir à ses partenaire l'accès à ces information a distance ? Élaborer un réseau informatique été la seul solution pratique pour détecter ce problème posée, l’utilisation d’ordinateur par la plus part des entreprise a facilité la création d’un réseau interne et un autre externe. Dans ce chapitre on va donnée une petite image sur la création de réseau et l’évolution des moyens de communication, après on va donnée une présentation pour le réseau informatique par une définition et des explications pour touts ces caractéristique. І.2 Historique: Les années 50 • Première réseau informatique SABER de IBM • Première Modem
Les années 60 • Réseaux militaires d'ARPANET • Connexion entre 4 université américaines
2000-2008 • Commerce électronique • Word digital library • Web2.0
1990-2000 • Word Wide Web • HTTP et le langage HTML • ADSL, WI-FI
1970-1980 • Protocole TCP/IP • FTP , Telnet et Ethernet
1980-1990 • L'Internet • Routeur, DNS
Figure І-1 : Historique de réseau.
L'ordinateur est un outil très pratique ; mais une fois en réseau, l'étendue de ses possibilités devient pratiquement infinie. Voici l'histoire des moyens de communication et des réseaux informatiques qui ont permis l'apparition d'Internet. Dans les années 50, SABRE (Semi Automated Business Related Environment) réalisé par IBM été le premier réseau informatique dans un but commercial. A la fin de cette période La BELL (Bell Telephone Company), crée le premier Mode m permettant de transmettre des données binaires sur une simple ligne téléphonique.
Page | 3
Chapitre I : Les réseaux informatiques
A partir des années 60 et dans un but militaire, l’ARPANET (Advanced Research Projects Agency Network) un département américain de la défense crée un réseau de communication capable de résister à une attaque nucléaire, et grâce au financement du ministère de la défense une connexion des premiers ordinateurs entre 4 universités Américaines a été établie, il s’agit de l'université de Columbia, Californie, Utah, et l'institut de recherche de Stanford. Les années 70, Bob Kahn et Vint Cerf élaborent un protocole, permettant d'acheminer des données sur un réseau il s’agit de TCP/IP (Transmission Control Protocol/Internet Protocol). Et L’année 1973 a connu la création d’un protocole nommé FTP (File Transfert Protocol) qui permet de transmettre les fichiers d’un ordinateur à un autre. Deux années plus tard c’était
l’introduction du protocole Telnet, qui permet une meilleure
connexion entre deux ordinateurs. Dans cette même année
Bob Metcalfe met au point
l'interface réseau Ethernet). A partir des années 80, Vinton Cerf lance un plan d'interconnexion (inter-network connection) qui a été le point de départ du réseau Internet. La société Cisco Systems fabrique le premier routeur. En 1984, la mise en place du DNS (Domain Name Server) pour trouver une machine sur Internet. Les années 90 ont vu l’explosion du protocole HTTP (Hyper Text Transfer Protocol), ainsi que le langage HTML (HyperText Markup Language) permettant de naviguer à l'aide de liens hypertextes à travers les réseaux. La même période a connu le développement des réseaux haut débit telles que l’ADSL, WI-FI…etc. Le développement de réseau informatique et ces déférentes technologies n’est été pas arrêté, car dans ces 08 ans passé, le commerce mondial devenant par l’utilisation d’internet un comme rce électronique, et la bibliothèque mondial devient une bibliothèque numérique mondial (Word Digital Library), et la création du Web2.0 qui renouvellent les modes d’usages et d’appropriation des services internet.
Page | 4
Chapitre I : Les réseaux informatiques
І.3 Définition: Le mot réseau est très souvent employé dans un sens qui le lie aux communications. Ainsi tout un chacun connaît le réseau téléphonique, le réseau électrique, le réseau routier on parlera aussi, d'un réseau d'amis. En informatique, un réseau et un ensemble d’équipements reliés entre eux par un quelconque moyen permettant aux informations de circuler (câble, ligne téléphonique, satellite…), deux ordinateurs reliés entre eux par un câble forment déjà un réseau, deux réseau reliés entre eux forment un nouveau réseau, et l’internet c’est le réseau des réseaux. Par cette définition on peut dire que le réseau informatique est distingué par quatre types défirent selon leur taille. І.3.1 Types de réseau : Le réseau personnel (PAN) : Le PAN (Personnel Area Network, en français Réseau Personnel), c’est le plus petite étendue de réseau, il désigne une interconnexion d’équipement informatique dans un espace de dizaine de Mètre. Il peut être appelé réseau individuel ou réseau domestique. [LIV1] Le réseau local (LAN) : Le LAN (Local Area Network, en français Réseau Local), c’est des ordinateurs qui se connectent les un très proches des autres. L’interconnexion sera dans un même immeuble ou deux bâtiments raccordés par une liaison rapide (un câble). Sa longue ur varie de quelques centaines de Mètre. Le réseau métropolitain (MAN) : Le MAN (Metropolitan Area Network, en français réseau métropolitain), interconnectent plusieurs LAN géographiquement proches, au maximum quelques dizaines de kilomètres à des débits importants. Le réseau étendu (WAN) : Le WAN (Wide Area Network en français réseau étendu), c’est la connexion de plusieurs ordinateurs situés à des grandes distances les uns à la suite des autres. Plusieurs ordinateurs connectés à partir de plusieurs points de globe peuvent former un réseau étendu. Un WAN peut être formé de plusieurs LAN ou MAN interconnectés.
Page | 5
Chapitre I : Les réseaux informatiques
І.3.2 Les équipements d’inte rconnexion de réseau : І.3.2.1 Les Câble : Les principaux véhicules de l’information entre machines reliées en réseau local appartiennent à trois grandes familles de câbles : –
Coaxial
–
Paires torsadées
–
Fibres optiques
a. Câbles blindés coaxiaux Ils ressemblent aux câbles TV, ils sont dits BNC. Ils sont de moins en moins utilisés et laissent de plus en plus la main aux paires torsadées. b. Câbles paires torsadées Ils ressemblent très fortement aux câbles téléphoniques. On notera que les torsades diminuent la sensibilité aux perturbations et l’atténuation du signal tout au long du câble. c. Câbles fibres optiques ils transmettent les informations par modulation d’un faisceau lumineux. І.3.2.2 Concentrateurs réseaux Utilisés dans les réseaux en étoile ou maillés, les concentrateurs sont les nœuds d'un réseau informatique. On retrouve les HUB, les Switch, les routeurs.
a. HUB (répétiteur) Est le concentrateur le plus simple. Il amplifie le signal pour le renvoyer vers tous les PC connectés. Toutes les données transitant sur le réseau sont donc renvoyées sur tous les ports, à la différence d'un Switch.
b. Switch (commutateur) Est un des types de concentrateur réseau utilisé dans les topologies en étoile, la différence avec un HUB vient de la méthode de renvoi des données vers le destinataire. Dans le cas d'un hub, les données sont transmises sur tous les ports. Le Switch garde en mémoire dans une table l'adresse du destinataire. Il décode au préalable le message pour l'envoyer uniquement sur ordinateur associé.
Page | 6
Chapitre I : Les réseaux informatiques
c. Le routeur Est un matériel ou un logiciel installé sur un ordinateur
permettant la
communication de données entre 2 réseaux de classes différentes ou même de protocoles différents. Sa fonction est de déterminer la meilleure route pour atteindre le réseau suivant lors du transfert de données. [LIV2] d. La passerelle Ce sont des éléments d’interconnexion pour des réseaux utilisant des protocoles différents. Elles permettent la conversion des protocoles, elles font ce travail en supprimant les couches d’informations des protocoles reçues et en les remplaçant par les couches d’informations requises par les nouveaux environnements. І.3.3 Topologie de réseau : Il existe plusieurs organisations de réseaux, qui ont chacune des capacités et des contraintes différentes. On choisira donc une topologie plus qu'une autre en fonction du réseau à mettre en place. Il existe deux types de topologies de réseau comme la Figure 1-2 l’indique :
Topologies de réseau
Topologies physiques
bus
étoile
anneau
Topologies logiques
maillé
Ethernet
Token ring
FDDI
ATM
Figure І-2 : Topologies de réseau
Page | 7
Chapitre I : Les réseaux informatiques
І.3.3.1 Topologie physique : La topologie qui décrit la façon dont les équipements d’un réseau sont connectés elle s’appelle la topologie physique qui contient plusieurs topologies telle que :
En bus : Dans cette topologie, chaque ordinateur du réseau est connecté à un câble continu ou segment qui connecte la totalité du réseau en une ligne droite, et La technologie utilisée par cette topologie est Ethernet.
Figure І-3 : réseau en bus
En étoile : Cette topologie est la plus utilisée, toutes les équipements sont reliées à un unique composant central ‘‘concentrateur’’. La technologie utilisée dans cette topologie est Ethernet. Figure І-4 : réseau en étoile
En anneau : Dans cette topologie, les ordinateurs sont situés sur une boucle et communiquent chacun à leur tour. Pou cette topologie la technologie utilisée est Token ring. Figure І-5 : réseau en anneau
En maillage : Dans cette topologie, les équipements informatiques sont reliés entre eux sans respecter une règle spéciale pour faire organiser les machines.
Figure І-6 : réseau maillé
Page | 8
Chapitre I : Les réseaux informatiques
І.3.3.2 Topologie logique : La topologie peut décrire aussi la façon dont les données transitent dans les lignes de communication, c’est ce qu’on appelle la topologie logique. Ethernet : Tous les ordinateurs d'un réseau Ethernet sont reliés à une même ligne de transmission. Dans ce réseau, un poste qui désire émettre vérifie qu’il n’existe aucun trafic sur le réseau auquel il entame sa transmission. Dans le cas le contraire il reste jusqu'à ce que le réseau redevienne libre de tout trafic. Token ring: Token ring utilise la méthode d’accès par jeton. Un jeton circule autour de l’anneau. La station qui a le jeton émet de données qui font le tour de l’anneau. Lorsque les données reviennent, la station qui les envoyés les élimine. FDDI: La technologie FDDI (Fiber Distributed Data Interface) est une technologie d'accès au réseau sur des lignes de type fibre optique. ATM : ATM (Asynchronous Transfer Mode, en français Mode de Transfert Asynchrone) est une technologie de réseau récente, que Ethernet, Token ring, et FDDI. Il a pour objectif de multiplexer différents flots de données sur un même lien. І.4 Protocoles de réseau : Un protocole est une méthode standard qui permet la communication sur un réseau, c'est-à-dire un ensemble des règles et des conventions relatives à respecter pour émettre et recevoir des données, ces règles régissent le contenu, le format, la synchronisation, la mis en séquence et le contrôle des erreurs dans messages échanger entre les périphériques du réseau. І.4.1 Le modèle OSI et le modèle TCP/IP : L'interconnexion réseau est un problème complexe, et pour résoudre ce problème il faut le découper en problèmes simples à traiter c’est-à-dire traitements séparés par niveaux ou couches. La fonction de chaque couche est de fournir des services à son homologue de niveau supérieur en occultant ses traitements propres.
Page | 9
Chapitre I : Les réseaux informatiques
Le modèle TCP/IP comporte 4 couches, il a été créé afin de répondre à un problème pratique, et il est très proche du modèle OSI qui comporte 7 couches, ce dernier qui a été mis au point par l’ISO (International Standard Organisation ou en français l'organisation internationale des standards) correspond à une approche plus théorique, il aide donc a comprend le fonctionnement de TCP/IP. Sur réseau, le modèle le plus utilisable est TCP/IP (Transmission Control Protocol / Internet Protocol) qui est un suit des protocoles reliés entre eux, cet suit des protocoles former la pile TCP/IP. Le schéma suivent définit les différant couches de ces deux modèle (OSI a gauche et TCP/IP a droite):
Figure І-7 : Le modèle OS I et le modèle TCP/IP
On remarque dans ce schéma que les trois couches supérieures de modèle OSI (Application, Présentation et Session) sont considérées comme une seule couche (Application) dans le modèle TCP/IP, et que les deux dernières couches de modèle OSI (Liaison et Physique) sont regroupées dans une seule couche (Accès réseau) dans TCP/IP І.4.1.1 Les couches du modèle OSI : Le modèle OSI (Open Systems Interconnection en français l’interconnexion des systèmes ouverts) décrit un ensemble de spécifications pour une architecture réseau permettant la connexion d'équipements hétérogènes. Le modèle OSI normalise la manière dont les matériels et les logiciels coopèrent pour assurer la communication réseau. Le modèle OSI est le modèle le plus connu et le plus utilisé pour décrire et expliquer un environnement réseau.
Page | 10
Chapitre I : Les réseaux informatiques
Les fabricants d'équipements réseaux suivent les spécifications du modèle OSI, mais aucun protocole ne s'y conforme à la lettre. І.4.1.1.1 Le rôle de chaque couche : La couche Physique: 1
Cette couche assure la transmission d’une suite de bits sur le média de transmission (support physique), ces bits deviennent des signaux numériques ou analogiques. La couche Liaison: 2
Dans cette couche on cherche à savoir comment deux stations sur le même support physique vont être identifiées. Pour ce faire, on peut par exemple assigner à chaque station une adresse (cas des réseaux Ethernet,....). La couche Réseau: 3
Le rôle de cette couche est de trouver un chemin pour acheminer un paquet entre 2 machines qui ne sont pas sur le même support physique. La couche Transport: 4
Elle permet à la machine source de communiquer directement avec la machine destinatrice. On parle de communication de bout en bout. La couche Session: 5
Elle identifie le rôle de chaque station à un moment donné. Elle assure l’ouverture et la fermeture de session entre les applications. En fait, elle contrôle le dialogue et définit les règles d’organisation, de synchronisation, le droit de parole La couche Présentation: 6
A ce niveau on doit se préoccuper de la manière dont les données sont échangées entre les applications. La couche Application: 7
Dans cette couche on trouve normalement les applications qui communiquent ensemble. (Courrier électronique, transfert de fichiers,...) On peut découper le modèle OSI en deux couches selon leurs fonctionnements : Couches de Traite ment = La couche 7+La couche 6+ La couche 5. Couches de Transmission = La couche 4+ La couche 3+ La couche 2+ La couche 1.
Page | 11
Chapitre I : Les réseaux informatiques
І.4.1.1.2 La communication des données entre les couches :
7 6 5
La machine réceptrice
Traitement
La machine émettrice
3 2 1
6 5 4
Transmission
4
7
3 2 1
Message Message Message Segments Paquets Trames Bits Signaux
Médiu m de transmission Figure І-8 : la communication des données
Au niveau de la machine émettrice et lors d’envoi, les données traversent les couches de modèle OSI à partir de la couche Application jusqu’à la couche Physique et dans chaque couche un En-tête est ajoutée, cet en-tête est une information qui garantie la transmission. Au niveau de la machine réceptrice, les données traversent les couches de modèle OSI à partir de la couche Physique jusqu’à la couche Application, et dans chaque couche l’En-tête est lu puis supprimé. Les données alors sont dans leur état original.
Les données sont appelées Message au niveau des couches supérieurs.
Le message est ensuite encapsulé sous forme de Segment dans la couche Transport ; donc le message est découpé en morceau avant envoi.
Le segment une fois encapsulé dans la couche Réseau prend le nom de Paquet.
Une fois arrivé à la couche session, le paquet se découpe en Trame.
La trame se transforme en Bit dans la couche Physique.
Dans les médiums de transmission les Bits deviennent des Signaux.
Page | 12
Chapitre I : Les réseaux informatiques
І.4.1.2 Les couches du modèle TCP/IP : TCP/IP est un ensemble de protocole standard de l'industrie permettant la communication dans un environnement hétérogène . Le nom de ce modèle de référence provient de ses deux principaux protocoles (TCP et IP). Les objectifs principaux de cette modélisation sont : relier des réseaux hétérogènes de façon transparente. garantir les connexions quel que soit l'état des lignes de transmission assurer le fonctionnement d'applications très différentes (transfert de fichier,..) І.4.1.2.1 Le rôle de chaque couche :
La couche Accès réseau :
Elle a pour rôle de transmettre les données sur le média physique utilisé. La couche Internet :
Elle a pour rôle de transmettre les données à travers une série de réseaux physiques différents qui interconnectent un hôte source avec un hôte destination. Les protocoles de routage sont étroitement associés à ce niveau. La couche Transport :
Elle prend en charge la gestion de connexion, le contrôle de flux, la retransmission des données perdues et d'autres modes de gestion des flux. La couche Application :
Elle sert à l'exécution des protocoles de niveau utilisateur tels que les échanges de courrier électronique, le transfert de fichiers, ou les connexions distantes.
Page | 13
Chapitre I : Les réseaux informatiques
І.4.1.2.2 Les principaux protocoles de TCP/IP : Application HTTP
On remarque que chaque couche du la pile TCP/IP contient de nombreux protocoles, chacun d’eux à son propre rôle qui définit le fonctionnement de la couche.
FTP
POP
SMTP
Transport TCP
UDP
Internet IP
ICMP
Accès réseau Ethernet Figure І-9 : les protocoles de TCP/IP
La couche Application : •
HTTP (Hyper Text Transfer Protocol): est un protocole de transfert de document hypertexte; il est réservé pour les pages web "document HTML".
•
FTP (Fil Transfer Protocol): est un protocole de transfert de fichier; il permet de partager les fichiers entre les machines connectées.
•
POP (Post Office Protocol): ce protocole permet de récupérer les E- mail sur le serveur Internet.
•
SMTP (Simple Mail Transfer Protocol): est le protocole standard permettant de transférer le courrier d'un serveur à un autre.
La couche transport : •
TCP (Transmission Control Protocol): est un protocole de transport et de contrôle qui fournit un flux d'octets fiable assurant l'arrivée de données son altération et dans l'ordre avec retransmission en cas de perte, et élimination des données dupliquées.
•
UDP (User Datagram Protocol): est un protocole qui a été conçu pour être simple et rapide il travail dans un mode non connectés "son ouverture de session" et n'effectue pas de contrôle d'erreur.
Page | 14
Chapitre I : Les réseaux informatiques
La couche Internet : •
IP (Internet Protocol): est un protocole parmi les protocoles les plus importants car il trait les paquets IP indépendamment les un des autres en définissant leur représentation, leur routage et leur expédition " l’adressage IP ".
•
ICMP (Internet Control Message Protocol): est un protocole qui permet de gérer les informations relatives aux machines connectés. Il est utilisé pour véhiculer des messages de contrôle et d'erreur pour les couches voisines 'la suit de protocoles'.
La couche Accès réseau : •
Ethernet : Protocole de plus bas niveau sur le réseau, il assure la bonne gestion du médium (détection de collisions) et permet l'acheminement des informations entre émetteur et destinataire au niveau des adresses MAC (Medium Access Control).
І.4.2 D’autres Protocoles :
Tableau І-1 : Les autres protocoles de réseau
Nom de Protocole
DNS
SNMP
DHCP
Signification
Domain Name System
Simple Network Management Protocol Dynamique Host Configuration Protocol
La couche concernée (modèle OSI) Application
Application
Application
Fonctionne ment Est un système permettant d’établir une correspondance entre une adresse IP et un nom de domaine. Il permet aux administrateurs réseau de gérer les équipements de réseau et de diagnostiques les problèmes de réseau à distance. Il permet à un ordinateur qui se connecte sur un réseau local d'obtenir dynamiquement et automatiquement sa configuration IP.
HDLC
High-Level Data Link Control
Liaison
Son but est de définir un mécanisme pour délimiter des trames de différents types, en ajoutant un contrôle d'erreur.
NTP
Network Time Protocol
Application
Permettant de synchroniser les horloges des systèmes informatiques à travers un réseau de paquets, dont la latence est variable.
Page | 15
Chapitre I : Les réseaux informatiques
ARP
X 25
Telnet
Address Resolution Protocol
X 25
Telecommunication Network
Réseau
Réseau
Application
Est un protocole effectuant la traduction d’une adresse de protocole de couche réseau (typiquement une adresse IP) en une adresse Ethernet (typiquement une adresse MAC) protocole de communication normalisé par commutation de paquets en mode point à point offrant de nombreux services un protocole réseau utilisé sur tout réseau supportant le protocole TCP/IP. Son but est de fournir un moyen de communication très généraliste
І.4.3 Les modes de transfert : І.4.3.1 Les protocoles d'application utilisant TCP ou UDP : Les protocoles d'application sont des protocoles de haut niveau, adaptés aux besoins d'applications spécifiques. Ils s'appuient sur UDP ou TCP pour permettre le transfert d'informations entre une application serveur et ses applications clientes. a. Le mode connecté (TCP) : C’est un dialogue à propos du transfert de données établies entre deux machines connectées. La machine réceptrice envoie des accusés de réception lors de la communication, la machine émettrice demandes d'émission etc. qui permettent aux applications de savoir exactement où en est le processus de transfert de données. b. Le mode non connecté (UDP) : Il s'agit d'un mode de communication dans lequel la machine émettrice envoie des données sans prévenir la machine réceptrice, et la machine réceptrice reçoit les données sans envoyer d'avis de réception à la première І.4.3.2 Les Ports TCP/UDP: TCP et UDP utilisent tous deux des ports pour échanger leur information avec applications. La notion de port logiciel permet, lorsqu’un paquet d’information arrive sur une machine, celle ci à besoin de savoir à quelle application de paquet est destiné. Elle utilise pour cela un numéro de port. Voici quelque ports logiciel définit par IANA (Internet Assigned Numbers Authority) [IAN]
Page | 16
Chapitre I : Les réseaux informatiques
Tableau І-1 : quel ques ports logiciel utilisé
N° de port 21 23 25 53 80 110 123 161 443 546 995
Type TCP TCP TCP UDP TCP TCP TCP UDP TCP UDP TCP
Le Protocole FTP Telnet SMTP DNS HTTP POP3 NTP SNMP HTTPS DHCP POP3 sécurisé
Chaque donnée transitant sur le réseau va associer deux numéros de ports : le premier côté émetteur, le second côté récepteur. Chaque communication est donc caractérisée par deux couples (adresse IP + port utilisé) relatif à chaque extrémité.
Par exemple : Si un ordinateur local essaye de se connecter au site web www.osstmm.org dont l’adresse IP est 62.80.122.203, avec un serveur web qui s’exécute sur le port 80, l’ordinateur local se connecterait sur l’ordinateur distant en utilisant l’adresse : 62.80.122.203:80 І.5 Le routage : Le rôle fondamental de la couche réseau (niveau 3 du modèle OSI) est de déterminer la route que doivent emprunter les paquets. Cette fonction de recherche de chemin nécessite une identification de tous les hôtes (ordinateurs, imprimantes, routeurs,…) connectés au réseau. On identifie un hôte réseau par une adresse IP unique. І.5.1 L’adressage IP : Chaque paquet de données transmis par le protocole Internet est étiqueté avec deux adresses IP pour identifier l'expéditeur et le destinataire. Le réseau utilise l'adresse de destination pour transmettre la donnée. Le destinataire sait à qui répondre grâce à l'adresse IP de l'expéditeur. Chaque composant connecté au réseau doit donc posséder au moins une adresse IP pour établir des connexions.
Page | 17
Chapitre I : Les réseaux informatiques
І.5.1.1 Les structures d’adresse IP : La particularité du format d'adresse adopté avec le protocole IP est qu'il associe une partie réseau et une partie hôte en une adresse unique. La partie réseau : c’est une adresse réseau (Net ID) qui identifie un réseau physique. Tous les hôtes d'un même réseau doivent avoir la même adresse réseau. La partie hôte : c’est une adresse machine (Host ID) qui identifie une station de travail, un serveur, un routeur ou tout autre hôte TCP/IP du réseau. L’Host ID doit être unique pour chaque Net ID. Deux formats permettent de faire référence à une adresse IP : Le format binaire : Chaque adresse IP a une longueur de 32 bits et est composée de quatre (04) champs de huit (08) bits, qualifiés d'octets (1 octet = 8 bits). Les 32 bit de l'adresse IP sont alloués à l'ID de réseau et à l'ID d'hôte. La notation décimale à points : Les octets sont séparés par des points et représentent un nombre décimal compris entre 0 et 255.
Exemple : 8 Bi ts
Format Binaire :
Format Décimale :
8 Bi ts
1
1
8 Bits
.
1 octet
=
1
8 Bi ts
.
1
1 1
=
1
1
128 + 64 + 32 + 16 + 8 + 4 + 2 + 1
8 Bi ts
. 1
1
1
1
1 1
1
128 64 32 16 8
=
=
1
4
2
1
255
Figure І-10 : S tructure d’adresse IP
Page | 18
Chapitre I : Les réseaux informatiques
І.5.1.2 L’adresse IP d’internet : І.5.1.2.1 Les classe d’adresse IP : À l'origine, plusieurs groupes d'adresses ont été définis dans le but d'optimiser le cheminement (ou le routage) des paquets entre les différents réseaux. Ces groupes ont été baptisés classes d'adresses IP.
Classe A Le premier octet a une valeur comprise entre 1 et 126 ; soit un bit de poids fort égal à 0. Ce premier octet désigne le numéro de réseau et les 3 autres correspondent à l'adresse de l'hôte. 0
.
8 Bits
Partie réseau (Net ID)
.
8 Bits
8 Bits
.
Partie machine (Host ID)
Classe B Le premier octet a une valeur comprise entre 128 et 191 ; soit 2 bits de poids fort égaux à 10. Les 2 premiers octets désignent le numéro de réseau et les 2 autres correspondent à l'adresse de l'hôte.
10
.
8 Bits
.
Partie réseau (Net ID)
8 Bits
8 Bits
.
Part ie machine (host ID)
Classe C Le premier octet a une valeur comprise entre 192 et 223 ; soit 3 bits de poids fort égaux à 110. Les 3 premiers octets désignent le numéro de réseau et le de rnier correspond à l'adresse de l'hôte.
110
.
8 Bits
.
Partie réseau (Net ID)
8 Bits
.
8 Bits
Partie machine (Host ID)
Page | 19
Chapitre I : Les réseaux informatiques
Classe D Le premier octet a une valeur comprise entre 224 et 239 ; soit 3 bits de poids fort égaux à 111. Il s'agit d'une zone d'adresses dédiées aux services de multidiffusion vers des groupes d'hôtes (host groups).
Classe E Le premier octet a une valeur comprise entre 240 et 255. Il s'agit d'une zone d'adresses réservées aux expérimentations. Ces adresses ne doivent pas être utilisées pour adresser des hôtes ou des groupes d'hôtes. І.5.1.2.2 Le mas que de réseau : Un masque de sous-réseau est une adresse 32 bits utilisée pour bloquer ou "masquer" une partie de l'adresse IP afin de distinguer le Net ID à partir de Host ID .Cela permet à TCP/IP de déterminer si une adresse IP se trouve sur un réseau local ou un réseau distant On retrouve l'adresse du réseau en effectuant un ET logique bit à bit entre une adresse complète et le masque de réseau. . Tableau І-2 : Es pace d’adressage
Classe
Masque réseau
A
255.0.0.0 255.255.0.0 255.255.255.0 240.0.0.0
B C D
Adresses réseau
1.0.0.0 128.0.0.0 192.0.0.0 224.0.0.0
-
126.255.255.255 191.255.255.255 223.255.255.255 239.255.255.255
Nombre de réseaux
Nombre d'hôtes par réseau
126 16384 2097152 adresses uniques
16777214 65534 254 adresses uniques
І.5.1.2.3 L'adresse de diffusion : Chaque réseau possède une adresse particulière dite de diffusion. Tous les hôtes du réseau « écoutent » cette adresse en plus de la leur. Certaines informations telles que le routage ou les messages d'alerte sont utiles à l'ensemble des hôtes du réseau. Il existe deux définitions d'adresses de diffusion : la plus petite (192.168.100.0 dans notre exemple) ou la plus grande (192.168.100.255). La convention sur l'Internet veut que l'on utilise l'adresse la plus grande comme adresse de diffusion.
Page | 20
Chapitre I : Les réseaux informatiques
Tableau І-3 : Exemple : adresse 192.168.100.1
Adresse complète
192.168.100.1
Masque de réseau Partie réseau Partie hôte Adresse Réseau Adresse de diffusion
255.255.255.0 192.168.100. .1 192.168.100.0 192.168.100.255
І.5.1.3 L’adresse IP privé : Pour les réseaux non connectés à l’Internet, les administrateurs décident de la classe et de l’adresse Net ID. Cependant pour des évolutions possibles, il est fortement recommandé de servir des adresses non utilisées sur Internet. Ce sont les adresses privées suivantes en classe A, B et C [RFC] Tableau І-4 : L’adresse IP pri vé
Classe A B C
Masque réseau 255.0.0.0 255.255.0.0 255.255.255.0
Adresses réseau 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255
І.5.1.4 Plages d'adresses IP spéciales : -
L'adresse 127.0.0.0 dénote l'adresse de bouclage (est utilisée pour tester une adresse IP - la machine elle- même).
-
L'adresse 0.0.0.0 est illégale en tant qu'adresse de destination, mais elle peut être utilisée localement dans une application pour indiquer n'importe quelle interface réseau.
-
L'adresse spéciale 255.255.255.255 est utilisée comme adresse de broadcast géné rale.
-
192.168.0.0 n'existe pas sur internet, afin d'être réservée pour les réseaux locaux sous TCP/IP
Page | 21
Chapitre I : Les réseaux informatiques
І.5.2 Exemple : (Q : Question ; R : Réponse). Pour configurer l'interface d'un hôte qui doit se connecter à un réseau existant, on nous donne l'adresse 172.16.19.40/21 :
Q : Quel est le masque réseau de cette adresse ? R : La notation condensée /21 indique que le la partie réseau de l'adresse occupe 21 bits. On décompose ces 21 bits en 8 bits. 8 bits. 5 bits ; ce qui donne : 255.255.248.0.
Q : Combien de bits ont été réservés pour les sous-réseaux privés ? R : La valeur du premier octet de l'adresse étant comprise entre 128 et 192, il s'agit d'une adresse de classe B. Le masque réseau d'une classe B étant 255.255.0.0, 5 bits ont été réservés sur le troisième octet pour constituer des sous-réseaux.
Q : Combien de sous-réseaux privés sont disponibles ? R : Le nombre de valeurs codées sur 5 bits est de 2^5 soit 32. Il y a donc 30 sous-réseaux disponibles si l'on retire le sous-réseau 0 conformément au document RFC 950 et le sous-réseau avec les 5 bits à 1 qui sert à la diffusion générale.
Q : Combien d'hôtes peut contenir chaque sous-réseau ? R : Les adresses des hôtes sont codées sur les bits à 0 du masque réseau. Avec le masque /21, il reste : 32 - 21 = 11 bits. Le nombre de valeurs codées sur 11 bits est de 2^11 soit 2048. Chaque sous-réseau peut contenir 2046 hôtes. On a retiré la valeur 0 puisqu'elle sert à identifier l'adresse du réseau et non celle d'un hôte ainsi que la valeur avec les 11 bits à 1 qui sert à la diffusion sur le sous-réseau.
Q : Quelle est l'adresse du sous-réseau de l'exemple ? R : Les deux premiers octets étant compris dans la partie réseau, ils restent inchangés. Le quatrième octet (40) étant compris dans la partie hôte, il suffit de le remplacer par 0. Le troisième octet (19) est partagé entre partie réseau et partie hôte. Si on le convertit en binaire, on obtient : 00010011. En faisant un ET logique avec la valeur binaire correspondant 5 bits réseau (11111000) on obtient : 00010000 ; soit 16 en décimal. L'adresse du sous-réseau est donc 172.16.16.0.
Page | 22
Chapitre I : Les réseaux informatiques
Q : Quelle est l'adresse de diffusion du sous-réseau de l'exemple ? R : Les deux premiers octets étant compris dans la partie réseau, ils restent inchangés. Le quatrième octet (40) étant compris dans la partie hôte, il suffit de le remplacer par 255. Le troisième octet (19) est partagé entre partie réseau et partie hôte. Si on le convertit en binaire, on obtient : 00010011. On effectue cette fois-ci un OU logique avec la valeur binaire correspondant aux 3 bits d'hôtes à un (00000111). On obtient : 00010111 ; soit 23 en décimal. L'adresse de diffusion du sous-réseau est donc 172.16.23.255.
І.5.3 Définition de routage : Le terme routage désigne le mécanisme par lequel les données d'un équipement expéditeur sont acheminées jusqu'à leur destinataire en examinant les informations situées au niveau 3 du modèle OSI, même si aucun des deux ne connaît le chemin complet que les données devront suivre. Avoir une procédure de routage efficace est particulièrement important pour les réseaux décentralisés. La couche Internet doit connaitre la topologie de réseau et l’adressage IP, pour qu’elle puisse choisir le meilleur chemin des paquets, ce chemin est sauvegardé dans une table appelée Table de routage. І.5.3.1 Table de routage : La table de routage est composée de la liste des réseaux connus, chacun de ces réseaux est associé à un ou plusieurs routeurs voisins qui vont acheminer les paquets vers cette destination. Dans la table de routage on trouve trois types de routes : Les routes correspondant à des réseaux directement connectés: Pour ces réseaux, le routeur peut acheminer le paquet directement à la destination finale en faisant appel au protocole de couche Physique (Ethernet par exemple). Les routes statiques : Configurées en dur sur le routeur par l'administrateur du réseau. Les routes dynamiques : Apprises d'un protocole de routage dynamique dont le rôle est de diffuser les informations concernant les réseaux disponible
Page | 23
Chapitre I : Les réseaux informatiques
І.5.3.2 Protocoles de routage : La maintenance des tables de routage des routeurs ne pouvant être raisonnablement effectuée manuellement au-delà d'une certaine taille du réseau, on a défini des protocoles permettant d'échanger les informations de routage entre les routeurs.
Protocoles de routage
routage interne
vecteur de distance
états de lien
RIP
OSPF
routage externe
Hybride
EIGRP
BGP
Figure І-11 : Protocoles de routage
І.5.3.2.1 Protocoles de routage interne : Les protocoles de routage interne, assurent la gestion du routage entre les routeurs d'un système autonome (AS est un ensemble de réseaux sous la même autorité administrative). Comme le réseau d’Algérie Télécom que la figure suivante l’indique :
Alger
Constantine Routeur Imprimante
Serveur
Annaba
Ouargla
Ordinateur
Figure І-12 : le routage interne IGP
Page | 24
Chapitre I : Les réseaux informatiques
Les protocoles de routage interne sont des IGP (Interior Gateway Protocol), ils fonctionnent de différentes façons : a. Vecteur de distance : Est celui qui utilise un algorithme de routage qui additionne les distances pour trouver les meilleures routes RIP (Routing Information Protocol) : Protocole d'information de routage, C’est un protocole qui utilise un algorithme permettant de trouver le chemin Le plus court. Il supporte un maximum de 15 nœuds traversés (il n’est pas adapté au réseau de grande taille). Il fonctionne par envoi de messages toutes les 30 secondes. Les messages RIP permettent de dresser une table de routage.
b. États de lien : Ils transmettent la totalité des informations de routage à tous les routeurs participants et établissent des tables de voisins directs. OSPF (Open Shortest Path First) Est un protocole beaucoup plus complexe que RIP mais ses performances et sa stabilité sont supérieures. Le protocole OSPF utilise une base de données distribuée, qui garde en mémoire l’état des liaisons. Ces informations forment une description de la Topologie du réseau et de l’état de l’infrastructure. OSPF est la meilleure facture pour les réseaux de taille importante.
c. Hybride : Protocole de routage à vecteur de distance qui reprend des concepts d'états de liens. EIGRP (Enhanced Interior Gateway Routing Protocol) Ce protocole de routage a été développé par Cisco pour améliorer RIP et le rendre plus stable. Il fonctionne très bien Mais il est bien sûr uniquement compatible avec les produits Cisco.
Page | 25
Chapitre I : Les réseaux informatiques
5.3.2.2 Protocoles de routage externe : Les protocoles de routage externe assurent la gestion du routage entre plusieurs systèmes autonomes c’est-à-dire entre IGP est IGP. Ce sont des EGP (Externe Gateways Protocol).
Algérie Télécom
Routeur Sonatrach
Banque
Figure І-13 : le routage externe EGP
BGP (Border Gateway Protocol) Ce protocole est utilisé sur Internet pour le routage entre, par exemple, les différents systèmes autonomes OSPF. Ce protocole a été créé pour des besoins propres à Internet suite à la grande taille du réseau lui- même.
І.6 Conclusion : Il est vrai que le réseau informatique a aidé les entreprises de développer leurs services et graniter la communication à haut niveau entre ces différents partenaires. Mais ce réseau il ne définit pas les mécanismes de sécurité pour l’échange de ces informations. Par l’utilisation d’internet un individu de l’extérieur et qui n’a pas le droit d’accès peut modifier et voler et détruire n’import quelle informations peut être importante pour l’entreprise.
Page | 26
Chapitre II : Les menaces réseau
ІІ.1 Introduction: L’évolution de réseau informatique a permet aux entreprise d’ouvrir ces activité au monde externe, Lorsqu'une entreprise connecte son réseau privé à l'Internet, il ne s'agit pas seulement de fournir à ses employés l'accès à l'information externe et les ser vices Internet, mais aussi des utilisateurs externes fournissant un moyen d'accéder à l'entreprise de sa propre information. Histoires d'horreur abondent dans les médias en ce qui concerne les entreprises qui ont eu des informations de vol, de modification, ou autrement compromise par des assaillants qui ont eu accès via l'Internet. Dans ce chapitre on va découvrir les différents risques et menaces quelles peuvent atteindre un réseau et les vulnérabilités qu’elles peuvent être exploité par les attaquant. ІІ.2 Notion de risque en informatique Le risque peut se résumer par l'équation suivante : Risque = Vulnérabilité x Menace x Impact Les menaces désignent l'ensemble des éléments (généralement externes) pouvant atteindre les ressources informatiques d'une organisation. Les vulnérabilités expriment toutes les faiblesses des ressources informatiques qui pourraient être exploitées par des menaces, dans le but de les compromettre. L'impact est le résultat de l'exploitation d'une vulnérabilité par une menace et peut prendre différentes formes : perte financière, affectation de l'image de marque, perte de crédibilité...etc. ІІ.2.1 Les causes de risque : On distingue généralement deux types de risque: L’état actif : c'est-à-dire la non-connaissance par l'utilisateur des fonctionnalités du système, dont certaines pouvant lui être nuisibles (par exemple la non-désactivation de services réseaux non nécessaires à l'utilisateur)
Page | 27
Chapitre II : Les menaces réseau
L’état passif : c'est-à-dire lorsque l'administrateur (ou l'utilisateur) d'un système ne connaît pas les dispositifs de sécurité dont il dispose ІІ.2.2 Topologie des menaces réseau : Une menace est une cause potentielle d'incident, qui peut résulter en un dommage au système ou à l'organisation. Les sources de menaces réseau peuvent être humaines ou techniques. [WIKI]
Les sources de menaces
Humains
Techniques
- La maladresse
- Incidents liés au matériel
- L'inconscience et l'ignorance
- Incidents liés au logiciel
- Altérat ion de l’informat ion
- Incidents liés à l'environnement
- Divulgation de renseignements
- Redondance des matériels
- Erreur ad ministrative
- Dispersion des sites
- Violation d’autorisation Figure ІІ-1: Topologie des menaces réseau
ІІ.2.2.1 Sources humains Les risques humains sont les plus importants, même s'ils sont le plus souvent ignorés ou minimisés. Ils concernent les utilisateurs mais également les informaticiens eux- mêmes. La maladresse : Comme en toute activité, les humains commettent des erreurs ; ils leur arrivent donc plus ou moins fréquemment d'exécuter un traitement non souhaité, d'effacer involontairement des données ou des programmes, etc.
Page | 28
Chapitre II : Les menaces réseau
L'inconscience et l'ignorance : De nombreux utilisateurs d'outils informatiques sont encore inconscients ou ignorants des risques qu'ils encourent aux systèmes qu'ils utilisent, et introduisent souvent des programmes malveillants sans le savoir. Altération de l’information: l’information est créée, modifiée ou effacée par des personnes non autorisées. Divulgation de renseignements: l’information est lue par des personnes non autorisées ou leur mandataire. Erreur administrative : Des erreurs administratives de configuration dans les systèmes courants si complexes qui conduisent à des vulnérabilités de sécurité. Par exemple, laisser des comptes d’installation d’utilisateurs par défaut grand ouverts. Violation d’autorisation : Utilisation par un attaquant de son compte autorisé d’utilisateur pour accomplir un travail non autorisé. ІІ.2.2.2 Sources techniques Les risques techniques sont tout simplement ceux liés aux défauts et pannes inévitables que connaissent tous les systèmes matériels et logiciels. Ces incidents sont évidemment plus ou moins fréquents selon le soin apporté lors de la fabrication et des tests effectués avant que les ordinateurs et les programmes ne soient mis en service. Incidents liés au matériel : Si on peut le plus souvent négliger la probabilité d'une erreur d'exécution par un processeur. La plupart des composants électroniques, produits en grandes séries, peuvent comporter des défauts et bien entendu finissent un jour ou l'autre par tomber en panne. Certaines de ces pannes sont assez difficiles à déceler car intermittentes ou rares. Incidents liés au logiciel : Ils sont de très loin les plus fréquents ; la complexité croissante des systèmes d'exploitation et des programmes nécessite l'effort conjoint de dizaines, de centaines, voire de milliers de programmeurs. Individuellement ou collectivement, ils font inévitablement des
Page | 29
Chapitre II : Les menaces réseau
erreurs que les meilleures méthodes de travail et les meilleurs outils de contrôle ou de test ne peuvent pas éliminer en totalité. Incidents liés à l'environnement : Les machines électroniques et les réseaux de communication sont sens ibles aux variations de température ou d'humidité (tout particulièrement en cas d'incendie ou d'inondation) ainsi qu'aux champs électriques et magnétiques. Il n'est pas rare que des ordinateurs connaissent des pannes définitives ou intermittentes à cause de conditions climatiques inhabituelles ou par l'influence d'installations électriques notamment industrielles. Dispersion des sites : Un accident (incendie, tempête, tremblement de terre, attentat, etc.) a très peu de chance de se produire simultanément en plusieurs endroits distants. ІІ.2.3 Les faiblesses des protocoles réseau : Les protocoles réseau sont encore jeunes, et aucun d’eux n’a été conçu pour tenir compte des problèmes de sécurité à l'origine. Donc les faiblesses des protocoles réseau sont des points faibles pour la sécurité de réseau d’une entreprise. ІІ.2.3.1 Faiblesse du protocole TCP/IP : Sous sa forme initiale, ce procédé est lent et peu fiable (la taille des paquets peut varier et il convient d’attendre la réception de tous les paquets pour assembler un message). En plus, le mode IP sans connexion est incertain il n’est pas sûr que tous les paquets arrivent correctement à la destination, si l’on établit une connexion en mode TCP/IP ; on ralentit encore la transmission. [LIV3] ІІ.2.3.2 Faiblesse des protocoles applicatifs standards : Les dangers récents visent beaucoup les couches hautes. Des protocoles applicatifs standards de la suite TCP/IP, comme HTTP; FTP; SMTP; DNS….sont particulièrement visés . Ils sont, en effet d’usage tellement courant, que trouver une nouvelle faille, ces failles dont beaucoup sont dues à leur conception.
Page | 30
Chapitre II : Les menaces réseau
ІІ.2.3.3 Faiblesse des protocoles réseau et trans port : Les protocoles de communication réseau, faillibles, peuvent être la cible d’attaque portant sur leurs spécificités, c'est-à-dire leurs en-têtes. De nombreuses méthodes sont connues pour cela. Beaucoup ont exploité les deux niveaux réseau et transport, qui cumulent les faiblesses. [LIV3] Par exemple : Sur Internet Protocol IP, l’adressage logique peut être usurpé. Les opérations de fragmentation/défragmentation peuvent être exploitées. Internet Control Error Message Protocol ICMP, et l’usage des commandes « Ping », a été la source de nombreuses attaques. La poignée de main (3-way handshake) d’établissement de connexion du protocole de Transmission Control Protocol TCP peut être exploitée pour détourner des communications. ІІ.2.3.4 Faiblesses des protocoles de couche basses : Au niveau le plus bas, la sécurisation ne doit pas être en reste quelque soit la taille du réseau, au niveau local, l’usage de commutateurs pour l’interconnexion d’ordinateurs à Ethernet va plutôt dans le sens d’une sécurisation de ce protocole. Si
la
communication
dépasse le cadre de l’entreprise, pallies les dangers potentiels doit être une priorité. ІІ.2.4 Les faiblesses d’authentification : Le protocole HTTP intègre un support d’authentification, appelé (authentification de base), basé sur un modèle simple de demande/réponse, nom d’utilisateur/le mot de passe. L’authentification de base est très faible. Elle ne fournit ni confidentialité ni intégrité, et l’authentification est des plus basique, le problème est que les mots de passe sont transmis sur le réseau. Toute personne analysant le flot de données TCP/IP à un accès complet et immédiat à toutes les informations échangées, y compris le nom d’utilisateur et le mot de passe sont souvent stockés en clair sur le serveur, les sites basés uniquement sur l’authentification de base ne peuvent pas être considérés comme vraiment sûrs.
Page | 31
Chapitre II : Les menaces réseau
ІІ.3 Les attaque réseau : ІІ.3.1 Définition d’une attaque : Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une attaque. Ce dernier est l'exploitation d'une faille d'un système informatique a pour conséquence d’utiliser le système d’une façon qui n’a pas été prévue par ses concepteurs: –
Pour accumuler des informations qui ne sont pas censées être publiques
–
Pour effectuer des actions auxquelles l’on n’est normalement pas autorisé
–
Pour empêcher le dit système de fonctionner
ІІ.3.2 Les diffé rentes étapes d’une attaque : [TH1] La plupart des attaques, de la plus simple à la plus complexe fonctionnent suivant le même schéma : a. Identification de la cible : cette étape est indispensable à toute attaque organisée ; elle permet de récolter un maximum de renseignements sur la cible en utilisant des informations publiques et sans engager d’actions hostiles. On peut citer par exemple l’interrogation des serveurs DNS….. b. Le scanning : l’objectif est de compléter les informations réunies sur une cible visée.il est ainsi possible d’obtenir les adresses IP utilisées, les services accessibles de même qu’un grand nombre d’informations de topologie détaillée (version des services, règle de firewall…). Il faut noter que certaines techniques de scans particulièrement agressives sont susceptibles de mettre à mal un réseau et entraîner la défaillance de certains systèmes. c. L’exploitation : cette étape permet à partir des informations recueillies d’exploiter les failles identifiées sur les éléments de la cible, que ce soit au niveau protocolaire, des services et applications ou des systèmes d’exploitation présents sur le réseau. d. La progression : il est temps pour l’attaquant de réaliser ce pourquoi il a franchie les précédentes étapes. Le but ultime étant d’élever ses droits sur un système afin de pouvoir y faire tout ce qu’il souhaite (inspection de la machine, récupération d’informations,……).
Page | 32
Chapitre II : Les menaces réseau
ІІ.3.3 Classification des attaques a. Attaques passives : elles ne modifient pas le comportement du système, et peuvent ainsi passer inaperçues, comme les attaques sur la confidentialité qui a pour objectifs d’obtenir d’informations sur un système, sur un utilisateur ou un projet. Les méthodes possibles de ce type d’attaques est : Usurpation d’identité, intrusion, Écoute. b. Attaque active : elles modifient le contenu des informations du système ou le comportement du système. Elles sont en général plus critiques que les passives comme les attaques : Attaque sur l’intégrité : qui a pour objectif de modifier ou détruire des données ou des configurations. Ses méthodes possibles : injection de code, action physique, et intrusion. Attaque sur l’authentification : qui a pour objectifs d’utiliser des ressources de façon clandestine sur un système. Ses méthodes possibles : intrusion… Attaque sur la disponibilité : qui a pour objectifs de perturber l’échange par réseau, le service ou l’accès à un service. Ses méthodes possibles : action physique, et intrusion ІІ.3.4 C’est qui un attaquant : Les attaques sont effectuées par un sujet particulier appelé attaquant (espion, pirate, ennemi, intrus…) et dont l’objectif est de détourner les mécanismes de sécurité afin d’accéder aux informations sensibles. On peut associer à un attaquant les propriétés suivantes : Puissance de calcul aussi grande que les concepteurs du système La même connaissance du système que les concepteurs La capacité de faire des déductions à partir des règles d’inférences et des données acquises. La capacité de lire et de stocker toute information non sécurisée explicitement. Le but des attaquants est souvent de prendre le contrôle d'une machine afin de pouvoir réaliser les actions qu'ils désirent. Pour cela il existe différents types de moyens : –
l'obtention d'informations utiles pour effectuer des attaques
–
utiliser les failles d'un système
–
l'utilisation de la force pour casser un système
Page | 33
Chapitre II : Les menaces réseau
Il existe plusieurs type d’attaquant on peut distinguer : Hacker Le terme ' hacker ' sert à désigner des personnes mal intentionnées essayant soit de prendre possession de votre système, soit de violer les codes de vos programmes. Les hackers tentent régulièrement de prendre possession aussi bien des ordinateurs domestiq ues que des larges réseaux. De nombreux réseaux de grandes entreprises ou institutions gouvernementales ont été un jour ou l'autre pris d'assaut par les hackers. Cracker Est une sorte de pirate informatique bien que ce terme soit parfois utilisé pour désigner des personnes cassant les protections des logiciels. Black hat hackers (Les hackers au chapeau noir), c'est-à-dire les experts qui utilisent leurs connaissances à mauvais escient, sont aussi qualifiés de pirates informatiques. Il pénètre par effraction dans des systèmes ou des réseaux dans un objectif personnel, souvent un gain financier. [WIKI] White hat hackers Un hacker qui pénètre par effraction dans des systèmes ou des réseaux dans l'objectif d'aider les propriétaires du système à mieux le sécuriser. [WIKI] Script kiddie Qui est pour l'opinion générale un hacker, souvent jeune, pénétrant par effraction dans des systèmes, généralement pour se vanter auprès de ses amis, en utilisant des programmes déjà prêts à l'emploi. Pour les communautés underground, le script kiddie n'est pas un hacker mais un lamé (l'exact contraire, donc, un individu dénué de toute compétence en informatique). [WIKI]
Page | 34
Chapitre II : Les menaces réseau
ІІ.3.5 Les diffé rents types d’attaque : Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une attaque. Cette dernière est l'exploitation d'une faille d'un système informatique à des fins non connues. Il existe plusieurs telle que : Les virus Les virus sont des programmes autonomes conçus pour se reproduire et se diffuser de manière autonome. Deux éléments caractérisent un virus : La façon dont il se reproduit et infecte le système informatique. Les actions délétères qu’il va réaliser. Les vers Un ver (en anglais worm) est un programme qui se propage d'ordinateur à ordinateur via un réseau comme l'Internet. Ainsi, contrairement à un virus, le vers n'a pas besoin d'un programme hôte pour assurer sa reproduction. Son poids est très léger, ce qui lui permet de se propager à une vitesse impressionnante sur un réseau, e t pouvant donc saturer ce dernier La bombe logique La bombe logique est constituée d’une simple fonction destructrice insérée dans un programme d’usage général, son activation se déclenche lorsqu’une condition particulière est remplie par exemple l’effacement de données et programmes dés qu’un nom ne figure plus dans la liste du personnel. Elle peut également agir à compter d’un nombre donné d’instruction ou encore lors de l’accès à un enregistrement particulier. La fonction destructrice reste en sommeil tant que l’événement programmé n’a pas lieu. Les chevaux de Troie Les chevaux de Troie (Trojan horses) tirent leur nom de la célèbre légende mythologique. Comme dans cette dernière, les troyens utilisent une ruse pour agir de façon invisible, le plus souvent en se greffant sur un programme anodin. Les chevaux de Troie ne reproduisent pas (en tout cas, ce n'est pas leur objectif premier). Ce sont à la base de simples programmes destinés à être exécutés à l'insu de l'utilisateur.
Page | 35
Chapitre II : Les menaces réseau
Le piratage C'est-à-dire l’accès non autorisé d’un tiers à tout ou partie du système d’information de l’entreprise. Le pirate qui obtient un accès, même de niveau utilisateur, peut alors à sa guise modifier les données, arrêter certain serveurs vitaux, voire détruire l’ensemble des informations. Il s’agit bien sûr d’un risque majeur. Les trappes Une trappe ou backdoor est un point d’entrée dans un système informatique qui passe au-dessus des mesures de sécurité les plus communes. C’est généralement un programme caché ou un composant électronique qui rend le système de protection inefficace. Ce peut être aussi une modification volontaire du code d'un programme, qui permet très facilement à son développeur de créer son propre outil d'intrusion Password cracking -
Par dictionnaire : Les mots contenus dans un dictionnaire (logiciel) sont à proscrire et sont très vulnérables puisque issus d’un ensemble connu de tous. En résumé le pirate va essayer de casser votre code ou mot de passe en testant tous les mots du dictionnaire (des outils informatiques très performants peuvent réaliser de telles attaques).
-
Les attaques par force brute : Le pirate va essayer de casser le code ou mot de passe en testant toutes les possibilités inimaginables.
TCP/SYN Flooding [COM] Est une attaque réseau par saturation (déni de service) exploitant le mécanisme de poignée de main (3-way handshake), lorsqu'un client établit une connexion à un serveur : le client envoie une requête SYN le serveur répond alors par un paquet SYN/ACK et enfin le client valide la connexion par un paquet ACK (acknowledgement, qui signifie accord ou remerciement). Une connexion TCP ne peut s'établir que lorsque ces 3 étapes ont été franchies. L'attaque SYN consiste à envoyer un grand nombre de requêtes SYN à un hôte avec une adresse IP source inexistante ou invalide. Ainsi, il est impossible que la machine cible reçoive
Page | 36
Chapitre II : Les menaces réseau
un paquet ACK. Les machines vulnérables aux attaques SYN mettent en file d'attente, dans une structure de données en mémoire, les connexions ainsi ouvertes, et attendent de recevoir un paquet ACK. Il existe un mécanisme d'expiration permettant de rejeter les paquets au bout d'un certain délai. Néanmoins, avec un nombre de paquets SYN très important, si les ressources utilisées par la machine ciblent po ur stocker les requêtes en attente sont épuisées, elle risque d'entrer dans un état instable pouvant conduire à un plantage ou un redémarrage. Les dénis de service Les attaques par déni de service (DOS) est différent des autres types d’attaque en cela qu’elles n’occasionnent pas de dommages irréversibles sur le réseau. Au lieu de cela, elles tentent de mettre le réseau hors service en bombardant un ordinateur particulier (un serveur ou un dispositif du réseau) ou en ralentissant le débit des liaisons réseau jusqu’à ce que les performances soient suffisamment médiocres pour irrites les clients et occasionner un manque à gagner pour l’entreprise. IP spoofing Usurpation d’adresse IP, on fait croire que la requête provient d’une machine autorisée. Une bonne configuration du routeur d’entrée permet d’éviter qu’une machine extérieure puisse se faire passer pour une machine interne. Ingénierie sociale Le social engineering est l'art de manipuler les personnes. Il s'agit ainsi d'une technique permettant d'obtenir des informations d'une personne, qu'elle ne devrait pas donner en temps normal, en lui donnant des bonnes raisons de le faire. Cette technique peut se faire par téléphone, par courrier électronique, par lettre écrite, ... Cette attaque est souvent sous estimée puisqu'elle n'est pas d'ordre informatique. Pourtant, une attaque par social engineering bien menée peut se révéler très efficace. Elle n'est donc pas à prendre à la légère. Scanning Le scanning consiste à balayer tous les ports sur une machine en utilisant un outil appelé Scanner. Ce dernier envoie des paquets sur plusieurs ports de la machine. En fonction de leurs réactions, le scanner va en déduire si les ports sont ouverts. C'est un outil très utile pour les hackers. Cela leur permet de connaitre les points faibles d'une machine et ainsi de savoir par
Page | 37
Chapitre II : Les menaces réseau
où ils peuvent attaquer. D'autant plus que les scanners ont évolué. Aujourd'hui, ils peuvent déterminer le système d'exploitation et les applications associées aux ports. Écoute du réseau (sniffer) Il existe des logiciels qui, à l’image des analyseurs de réseau, permettent d’intercepter certaines informations qui transitent sur un réseau local, en retranscrivant les trames dans un format plus lisible (Network packet sniffing). C’est l’une des raisons qui font que la topologie en étoile autour d'un hub n’est pas la plus sécurisée, puisque les trames qui sont émises en « broadcast » sur le réseau local peuvent être interceptées. De plus, l’utilisateur n’a aucun moyen de savoir qu’un pirate a mis son réseau en écoute. L’utilisation de Switch réduit les possibilités d’écoute mais en inondant le commutateur, celui-ci peut se mettre en mode « HUB » par « sécurité ». La meilleure parade est l’utilisation de mot de passe non-rejouable, de carte à puce ou de calculette à mot de passe.
Intrusion L'intrusion dans un système informatique a généralement pour but la réalisation d’une menace et est donc une attaque. Les conséquences peuvent être catastrophiques : vol, fraude, incident diplomatique, chantage… Le principal moyen pour prévenir les intrusions est le coupe- feu (firewall). Il est efficace contre les fréquentes attaques de pirates amateurs, mais d’une efficacité toute relative contre des pirates expérimentés et bien informés. Une politique de gestion efficace des accès, des mots de passe et l’étude des fichiers « log » (traces) est complémentaire.
ІІ.4 Conclusion : Ces menaces jour par jour c’augmente, et si une entreprise ne mette pas une politique de sécurité pour protéger ces information depuis l’extérieure, et réduire les risque interne quelles peut atteindre son système d’information, elle ne sera pas une entreprise de confiance, et elle peut perdre ces clients facilement.
Page | 38
Chapitre IIІ : La politique de sécurité
ІІІ.1 Introduction : Une politique de sécurité est un ensemble de règles qui fixent les actions autorisées et interdites dans le domaine de la sécurité. Chaque entreprise vaudra définir une politique de sécurité, elle va être obligée de respecter ses règles et les améliorer pour qu’elle soit bien protégée contre les différents types de menace. Dans ce chapitre on va présenter une définition pour les objectifs d’une sécurité, et les différents aspects d’une politique de sécurité et les besoins nécessaire pour qu’elle soit élaborée. ІІІ.2 Objectifs de sécurité : L’expression d’objectif de sécurité est réalisée pour l’ensemble des flux d’informations sensibles transitant sur le réseau, suivant les critères de : L’intégrité : garantir que les données échangées sont bien celles que l’on croit avoir échangées. 04 propriétés doivent être vérifiées : non - modification non - suppression non - rajout non – création
La confidentialité : assuré que seules les personnes en communication ont accès aux données échangées, les autres personnes ne doivent pas pouvoir « comprendre » les informations transmises. La disponibilité : maintenir le bon fonctionnement du système d’information, l’accès au service ne doit pas être interrompu. Le non répudiation : garantir qu’une transaction ne peut être niée, pouvoir montrer une «trace» de l’action effectuée. L’authentification : assurer que seules les personnes autorisées ont accès aux ressources et que chaque personne est certaine de l’identité des autres partenaires de l’échange d’information.
Page | 39
Chapitre IIІ : La politique de sécurité
ІІІ.3 Recommandations générales : Dans une entreprise, il faut recenser de manier exhaustive les éléments suivantes : Les serveurs déployés dans l’entreprise Les systèmes d’exploitation et leurs versions Les applications installées, qu’elles soient réellement utilisées ou non Les différents types de configuration. La même application paramétrée d’une autre manière peut donner un usage et un impact sur la sécurité très différents. Il faut également : [LIV4] Définir la topologie du réseau local Recenser tout les routeurs, les commutateurs et touts les hubs simples Connaître la liste des protocoles utilisée Connaître les classes IP attribuées à chaque partie de réseau Connaître la liste des postes utilisateurs ainsi que leur adresse MAC et IP. Connaître le nom de chaque utilisateur et son emplacement physique. Recenser tous les points d’interconnexion possibles de réseau avec l’extérieur de l’entreprise, (connexion internet permanente, liaison avec une entreprise partenaire, modem installés sur des postes utilisateurs) Établir la liste des mots de passe utilisée dans tous les applications, il faut inclure dans cette liste les mots de passe utilisateurs mais également les mots de passe des applications, et ceux des appareils autonomes qui peut être utilisée telle que les mots de passe de pare- feu, Hub, modems, imprimantes réseau, etc.… Sur chaque serveur et chaque poste utilisateur, vous devez savoir quels répertoires sont partagés. Quels sont les systèmes de sécurité déjà en place. Recensez les moyens d’introduction de virus potentiel : y-t- il des lecteurs de disquette, un lecteur de CD-ROM ou un port USB sur les postes utilisateur. ІІІ.4 Les guide de sécurité réseau des équipe ments : Les nombreux problèmes ou faiblesses de sécurité des équipements réseau ont forcé les équipementiers à considérer la sécurité comme une composante du développement des produits. CISCO, qui est le principal fournisseur mondial d'équipement réseau, met à la disposition sur son site Internet de nombreux guides sur les mécanismes de sécurité proposés dans ces équipements. Page | 40
Chapitre IIІ : La politique de sécurité
Applications [CIS] Les applications de sécurité proposées par Cisco couvrent le contrôle des accès et la détection des intrusions. Autant de facettes à ne pas négliger et qui viennent parfaitement compléter la partie hardware, pour garantir un réseau parfaitement sécurisé. -
Le serveur de contrôle d’accès Cisco Secure ACS
-
La gamme de produits Cisco Secure IDS se compose de capteurs (serveurs dédiés capables de réaliser à grande vitesse des analyses de sécurité) et des modules de carte.
VPN et Firewalls Les firewalls développés par Cisco, ainsi que tous les équipements de sécurité (VPN, concentrateurs) Cisco, sont conçu pour ne pas ralentir le trafic de réseau. Leurs capacités leur permettent de traiter les paquets de données le plus rapidement possible. Exemple de ses produits : [CIS] -
Les pare-feux de la gamme Cisco PIX et la gamme ASA 5000
-
Le pare- feu embarqué dans l’IOS
-
La gamme de concentrateurs Cisco VPN 3000
Administration de la solution de sécurité Cisco Security Management Solution, solution d’administration conçue pour répondre à l’ensemble des problématiques posées par le déploiement de politiques de sécurité sur des réseaux de moyennes et grandes tailles. Ces produit a été conçu dans l’objectif de maximiser la robustesse et d’évolutivité du réseau en matière de sécurité en fournissant aux équipes sécurité un puissant outil d’administration de bout en bout, capable de démultiplier chaque action au sein des équipes. ІІІ.5 La politique de sécurité d’un réseau La politique de sécurité est conçue pour appliquer des mesures de sécurité destinées à réduire les risques et les dommages. La politique de sécurité est créée pour protéger le personnel, préserver la confidentialité, la disponibilité et l'intégrité des biens. Il existe trois (03) types de sécurité :
Page | 41
Chapitre IIІ : La politique de sécurité
a. Une politique de sécurité physique : Elle détaille par exemple les objectifs et règles de sécurité des équipements réseau afin de faire face aux menaces comme le feu, les catastrophes naturelles, etc., b. Une politique de sécurité logique : Elle détaille par exemple les objectifs et règles de sécurité de configuration des accès des équipements réseau afin de faire face aux accès non autorisés, attaques, etc. c. Une politique de sécurité administrative : Elle détaille par exemple les objectifs et règles de sécurité des procédures de gestion du réseau afin de faire face aux événements de congestion du réseau, etc., Nous détaillons brièvement ces trois politiques de sécurité dans les paragraphes suivants. ІІІ.5.1 Une politique de sécurité physique : Elle consiste essentiellement à se protéger contre les vols, fuites d’eau, incendies, coupures d’électricité, etc. Les règles génériques à considérer sont les suivantes : -
Une salle contenant des équipements réseau ne doit pas être vue de l’extérieur afin de ne pas attirer ou susciter des idées de vol ou de vandalisme.
-
Une salle d'équipements réseau ne doit jamais être installée au rez-de-chaussée ou au dernier étage d'un bâtiment afin de ne pas être vulnérable à une inondation.
-
Limitez la circulation d'eau dans la salle informatique (placez le groupe de conditionnement d'air en dehors de la salle informatique...).
-
Choisissez les chemins de tuyauterie, en évitant de traverser ou de surplomber la salle informatique.
-
Mettez en place des systèmes de détection de fuites.
-
Évitez le stockage de produits inflammables dans, ou à proximité des salles informatiques.
-
Évitez les chapelets de blocs «multiprises».
-
Étudiez les chemins de propagation du feu et mettez en place des équipements de compartimentage (sas, parois anti- feu...).
-
Choisissez judicieusement les sorties de secours.
-
Faites respecter l'interdiction de fumer.
-
Établissez et mettez à l'épreuve un plan catastrophe, incluant un repli de l'informatique vers un centre spécifique.
-
Installez un système de ventilation redondant, dimensionné correctement à pouvoir suffire aux besoins actuels et futurs.
Page | 42
Chapitre IIІ : La politique de sécurité
-
Mettez en place une solution de contrôle de la température équipée d'un module d'alerte.
-
Protégez les équipements de communication (antennes...) contre la foudre.
-
Mettez en place un contrôle d'accès (badge, biométrie...) permettant de contrôler et de tracer les accès aux locaux critiques.
-
Mettez en place une politique d'identification des visiteurs.
-
Utilisez des mécanismes antivol pour les périphériques et les ordinateurs personnels ou portables.
-
Des périmètres de sécurité physique à accès restreint doivent être définis, et équipés de caméras de surveillance.
-
Les ressources critiques doivent être placées dans le périmètre le plus sécurisé.
-
Toute modification physique d’infrastructure doit être identifiée, reportée et validée.
-
Des procédures doivent autoriser et révoquer l’accès aux périmètres de sécurité.
-
Le site ne doit pas se trouver pas sur un lieu connu pour des catastrophes naturelles comme la foudre, tremblement de terre, inondation, etc.
-
Des équipements de protection contre le feu, l’eau, l’humidité, les pannes de courant, le survoltage, etc., doivent être installés.
-
Des procédures de supervision des éléments de protection doivent être mises en place.
ІІІ.5.2 La politique de sécurité logique : La politique de sécurité réseau logique porte sur les configurations des équipements réseau. Les configurations détiennent toute l'information permettant de construire le réseau et ses services. La politique de sécurité réseau logique peut se décliner en un ensemble de règles de sécurité génériques suivantes garantissant la disponibilité et l’intégrité du réseau et de ses services. ІІІ.5.2.1 Règles de sécurité génériques : [TH2] Consistance du plan d’adressage : Il s’agit des règles qui garantissent la consistance du plan d’adressage des équipements réseau. De manière générique, il ne doit exister de doublons dans le plan d’adressage global du réseau. Consistance des Configurations : Il s’agit des règles qui garantissent la consistance des configurations des équipements réseau. De manière générique, tout élément de configuration défini doit être appliqué, et tout élément de configuration appliqué doit être Page | 43
Chapitre IIІ : La politique de sécurité
défini. Ces règles peuvent être complexes comme la vérification de la grammaire associée au langage de configuration. Consistance des filtrages : Il s’agit des règles qui garantissent la consistance des filtrages utilisés pour contrôler par exemple les flux de données ou de routage. De manière générique, les éléments constituant un filtrage ne doivent être ni redondants, ni contradictoires entre eux. Ces règles peuvent être complexes comme la vérification des règles inutiles. Routage : Il s’agit des règles de configuration relatives à la protection du routage réseau. Ces règles s’appliquent à la fois au routage interne du réseau ainsi qu’aux interconnexions de routage du réseau avec l’extérieur. Ces règles peuvent être complexes comme la vérification de la topologie du routage interne et externe du réseau, la consistance de la politique de routage, etc. Service : Il s’agit des règles de configuration relatives à la protection des services du réseau. Ces règles peuvent être complexes comme la vérification des périmètres de sécurité d’un VPN. Partenaires : Il s’agit des règles de configuration relatives à la protection des interconnexions avec les services réseau d’un partenaire. Administration : Il s’agit des règles de configuration relatives à la protection des équipements réseau. ІІІ.5.3 Une politique de sécurité administrative : L’exploitation du réseau et de ses services associés doit suivre un ensemble de procédures dites opérationnelles afin d’en assurer l’intégrité et la sécurité à moyen terme. Les règles génériques à considérer sont les suivantes : -
Les procédures opérationnelles doivent être définies et mises à jour.
-
Des procédures opérationnelles doivent exister pour la supervision des éléments critiques.
-
Des procédures de maintenance préventive doivent exister pour les éléments critiques de telle sorte que toute anomalie soit vérifiée et corrigée.
-
Des sauvegardes des informations critiques doivent être effectuées dans un lieu physique distinct de la source. Cela couvre en premier lieu les configurations des équipements.
-
Tout problème détecté doit être identifié et résolu.
Page | 44
Chapitre IIІ : La politique de sécurité
-
Des contre- mesures doivent permettre de vérifier que des problèmes ne restent pas sans solution.
-
Tout problème ou incident de sécurité doit être remonté par les procédures opérationnelles aux responsables des domaines visés.
-
Les procédures d’incident de sécurité doivent être connues de tout le personnel.
-
Analyser l’origine des pannes, décider des interventions, suivre les opérations de dépannage et informer l’utilisateur
-
Faire évoluer l’architecture en tenant compte des besoins des clients internes ou externes.
-
Préparer les cahiers des charges pour l’évolution d’une application.
-
Réceptionner, tester et adapter les matériels informatiques et de télécommunications dans le réseau en fonctionnement et effectuer le suivi du parc de matériels.
-
Analyser les baisses de performance et des dysfonctionnements rencontrés et proposer des améliorations souhaitables.
-
Informer, assister et former les utilisateurs à l’utilisation des performances des matériels et logiciels en leur servant de guide en cas de difficultés.
-
Veiller à une gestion économique des moyens de communication : alléger la facture télécoms en optimisant la structure des réseaux.
ІІІ.6 La sécurité de réseau : Les réseaux sont de plus en plus difficiles à contrôler. Les dangers, menaces d'intrusion et actes de malveillance croissent de manière proportionnelle avec celle de ces nouveaux moyens de communication. De ce fait, les besoins en sécurité, se développent de la même manière. Les mesures de sécurité de réseau représentent toute la partie technique et matérielle de la sécurité. Telle que : l’utilisation des mots de passe. l’installation de l’antivirus. la mise en place d’un firewall. DMZ VPN Les systèmes de détection d’intrusion L’Audit de système.
Page | 45
Chapitre IIІ : La politique de sécurité
ІІІ.6.1 Les mots de passe : Ce sont des clés qui gèrent les accès, qui vous les autorisent alors qu’elles les refusent à d’autres, qui permettent de contrôler les accès aux informations (documents protégés par des mots de passe) ou les autres accès (des pages web protégées par mots de passe), ou encore qui gèrent les authentifications ІІІ.6.1.1 Les différents types de mots de passe : Il y 03 types principaux de mots de passe:
a. Chaînes de caractères Les mots de passe les plus simples sont constitués de chaînes de caractères alphanumériques et de symboles qui sont fournis à partir d’un clavier. Ils vont du simple code à 3 chiffres utilisé pour ouvrir les portes de certains garages aux combinaisons complexe de caractères alphanumériques et de symboles recommandés pour protéger des applications hautement sensibles.
b. Chaînes de caractères avec un jeton En passant à la vitesse supérieure, nous avons des mots de passe composés de notre chaîne de caractères précédente à laquelle on rajoute un jeton. Un bon exemple est l’ATM, qui nécessite à la fois une carte (notre jeton).
c. Mots de passe biométriques Plus complexe encore, nous avons les mots de passe biométriques. Ils utilisent des empreintes biologiques de certaines parties de notre corps, comme nos empreintes digitales afin de nous authentifier. Un autre exemple est l’empreinte rétinienne où c’est la rétine (c’est la partie qui est à l’arrière de l’œil, coté interne) qui est photographiée. Cette rétine est constituée d’un réseau unique de vaisseaux sanguins et c’est ce réseau qui va être utilisé. Cette catégorie de mots de passe est considérée comme la plus sure, mais en réalité un mot de passe que vous portez sur vous n’est pas plus sécurisé qu’un mot de passe complexe que vous avez en tête, en assumant que le logiciel utilisé pour vérifier ce mot de passe est sécurisé
Page | 46
Chapitre IIІ : La politique de sécurité
ІІІ.6.1.2 Construction d’un mot de passe solide : [BAS] Les meilleurs mots de passe: ne figurent pas dans les dictionnaires. contiennent des nombres, des lettres et de symboles. contiennent des majuscules et minuscules. plus ils sont longs, plus ils sont sécurisés (en général). ІІІ.6.2 Les antivirus : Est un logiciel ayant pour objectif principal de protéger une machine contre différents types d’infections informatiques telles que des virus. Cependant, des différences peuvent exister entre ces types de logiciels. Elles se situent principalement dans le nombre de fonctionnalités, leur mise en place ainsi que les méthodes utilisées pour la détection d'anomalies. ІІІ.6.2.1 Principe de ces fonctionnements : Afin de protéger une machine, les logiciels anti- virus utilisent plusieurs techniques à savoir : -
Analyse en temps réel du contenu des opérations sur la machine tel que des ouvertures/fermetures de fichiers, des lancements de logiciels et tout type de téléchargements effectués sur la machine depuis Internet ou un autre réseau.
-
Balayage des disques et autres périphériques de stockage et de la configuration système de la machine à des intervalles définis préalablement.
-
Analyse du contenu ainsi que des volumes de courriers électroniques entrants et sortants afin de protéger contre des virus qui possèdent un processus opérationnel de propagation par messagerie.
En cas de détection d'anomalie ou de tentative d'infection informatique, dans la majorité des cas et selon la configuration choisie par l'utilisateur, l'anti-virus affichera une alerte à l'utilisateur permettant de : -
Bloquer la tentative d'infection informatique.
-
Réparer le contenu infecté ou malicieux en effaçant toute trace du virus.
-
Supprimer définitivement le contenu infecté.
-
Mise sous quarantaine du contenu infecté ou malicieux.
Page | 47
Chapitre IIІ : La politique de sécurité
ІІІ.6.2.2 Composants d'un antivirus
a. Scanner Il examine (scan) l’ordinateur à la demande : un fichier, un dossier ou tous les fichiers de votre disque. Un scan complet consomme beaucoup de ressources matérielles et de temps, mais il est conseillé de le faire de temps en temps.
b. Moniteur Il analyse en temps réel les fichiers auxquels vous accédez au cours de votre utilisation normale et stoppe immédiatement une exécution virale. Il est composé de plusieurs modules dont le nom change suivant les logiciels. Par exemple McAfee VirusScan en a quatre, chacun dédié à une tâche : email, Web, téléchargement, système. En fonction de sa configuration et de la puissance de votre ordinateur, il ralentit plus ou moins vos applications.
c. Base de signatures de virus Une signature est un bout de code permettant d'identifier un virus, un peu comme une empreinte digitale humaine. La base de signatures référence des dizaines de milliers de virus, troyens et variantes. Elle doit être mise à jour fréquemment pour reconnaître les nouveaux spécimens. ІІІ.6.3 Les firewalls : Un firewall ou pare-feu est un dispositif physique (matériel) ou logique (logiciel) servant de système de protection pour les ordinateurs domestiques. Il peut également servir d'interface entre un ou plusieurs réseaux d’entreprise afin de contrôler et éventuellement bloquer la circulation des données en analysant les informations contenues dans les flux de données (cloisonnement réseau). C’est –à-dire il interdit ou il autorise divers flux rentrants et sortants.
Page | 48
Chapitre IIІ : La politique de sécurité
Accès autorisée depuis l’extérieur DMZ
Internet
Pare-feu LAN Accès refusée depuis l’extérieur
Figure ІІІ-1 : le pare-feu dans un réseau
ІІІ.6.3.1 Catégories de fire walls : Il existe principalement 2 catégories de firewalls :
1- Les firewalls personnels protégeant uniquement les stations de travail ou ordinateurs personnels. Ils sont installés directement sur l’ordinateur de l’utilisateur. 2- Les firewalls d’entreprise installés sur des machines dédiées. Ce type de firewall est souvent placé entre Internet et un réseau d’entreprise afin de protéger ce dernier des différentes menaces d’Internet. ІІІ.6.3.2 Principe de fonctionne ment
Un firewall agit sur un ensemble de règles définies correctement par un utilisateur se basant généralement sur le principe suivant : “Tout ce qui n'est pas explicitement autorisé est interdit”. [LIV5]
Cela signifie que les règles constituant une partie de la configuration du firewall doivent explicitement autoriser une action ou un flux de données pour que la connexion puisse s’établir.
Page | 49
Chapitre IIІ : La politique de sécurité
a. Filtrage de paquets Internet et les réseaux fonctionnent par envoi/réception de blocs de données appelées « paquets ». Un firewall analyse chacun de ces paquets sur base d’un certain nombre de caractéristiques définies dans les règles. Un firewall fonctionnant sur le principe du filtrage de paquets analyse les en-têtes des paquets échangés entre deux ordinateurs en considérant les éléments suivants : L'adresse IP de la machine émettrice L'adresse IP de la machine réceptrice Le type de paquet TCP, UDP, ICMP ou IP Le service ou port demandé.
b. Filtrage de contenu Certains firewalls permettent en plus du filtrage de paquets d’analyser et de filtrer les données contenues dans les paquets. Cela permet dans certains cas de : Empêcher la consultation de sites web Internet interdits Empêcher le téléchargement de fichiers ou logiciels malicieux Empêcher l’envoi et la réception par e-mail de fichiers potentiellement dangereux
En plus, certains firewalls vérifient même que le contenu applicatif du trafic traversant le firewall (protocole applicatif utilisé,
instructions,
codification, …) correspond
effectivement au protocole applicatif attendu. ІІІ.6.4 La mise en place d’une DMZ :
DMZ (De-Militarized Zone, ou en français Zone Démilitarisée) est une partie du réseau local dont l'objectif est d'être accessible depuis l'extérieur du réseau local, avec ou sans authentification préalable. En effet, pour des raisons à la fois techniques et stratégiques, les réseaux locaux (LAN) sont devenus des zones inaccessibles depuis internet. ІІІ.6.4.1 L’Objectif de DMZ : Les éléments suspects (les flux transitant vers le réseau interne et depuis le réseau interne), découverts par les équipements filtrants (firewalls, outils de détection et de filtrage de contenu), seront redirigés dans la DMZ « quarantaine » pour analyse. Page | 50
Chapitre IIІ : La politique de sécurité
ІІІ.6.4.2 Architecture de DMZ : Les serveurs installés sur la DMZ permettent de fournir des services au réseau externe, tout en protégeant le réseau interne contre des intrusions possibles sur ces serveurs : -
Serveurs Web (HTTP)
-
Serveurs de fichiers (FTP)
-
Serveurs d’e- mails (SMTP)
-
Serveurs de noms (DNS) services offerts par l’entreprise au monde Internet.
Les serveurs relais permettant d’assurer une communication indirecte entre le réseau local et le monde Internet (proxies, relais SMTP, anti virus,…)
Internet
LAN
Pare-feu Switch
HTTP
SMTP
DMZ
FTP
DNS
Figure ІІІ-2 : l’architecture DMZ
ІІІ.6.4.3 Mise en œuvre d’une DMZ : La DMZ est généralement créée par l’emploi d’un pare- feu, composé de trois interfaces réseau (Internet, réseau interne, DMZ).Trois solutions :
a. Pas de DMZ Les serveurs sont placés entre le routeur et le pare- feu. Chaque serveur doit être parfaitement sécurisé ; tous les services et ports inutiles doivent être fermés ; la mise à jour des trous de sécurité détectés sur les logiciels et systèmes d’exploitation doit être très fréquente.
Page | 51
Chapitre IIІ : La politique de sécurité
b. DMZ pour flux entrants uniquement. Pour une protection du système d’information des services, aucun flux ne doit aller d’Internet au réseau interne sans passer par la DMZ. Les serveurs sont sur la DMZ. Ils sont protégés par le pare feu et l’exploitation se révèle moins lourde. Les flux dans le sens Internet vers le réseau interne passent par la DMZ. Les flux dans le sens réseau interne vers Internet ne passent pas par la DMZ. Cette configuration est très répandue, et concilie l’investissement et un bon niveau de sécurité. En employant un relais de messagerie ou un service anti- virus de messagerie, ce dernier sur la DMZ permet au serveur de messagerie d’être dans le réseau local. Les mails des utilisateurs stockés sur le serveur sont protégés.
c. DMZ pour flux entrants et sortants Les serveurs sont sur la DMZ. Ils sont protégés par le pare-feu. Des serveurs relais (mail ou anti- virus mail, Proxy FTP, HTTP, …) sont placés sur la DMZ, et permettent aux flux du réseau interne vers Internet de passer par la DMZ. Les flux dans le sens Internet vers le réseau interne passent par la DMZ. Cette configuration est très sécurisée. ІІІ.6.5 Les réseaux privés :
VPN (Virtual Private Network ou en français Réseau Privé Virtuel) est un moyen de communication assurant la sécurité des transferts de données sur des réseaux publics ou partagés. C’est le concept d’un tunnel (route) sécurisé entre deux points, les données qui rentre d’un bout ressortant d’un autre.
Internet
LAN 1
VPN
LAN 2
Figure ІІІ-3 : VPN dans un réseau
Page | 52
Chapitre IIІ : La politique de sécurité
ІІІ.6.5.1 Principe de fonctionne ment: Un VPN utilise la cryptographie pour assurer la confidentialité, l’intégrité et l’authentification des données, même si celles-ci sont envoyées sur l’Internet.
a. Confidentialité des données Le chiffrement assure que le contenu des données transmises n’est connu que des parties qui échangent l’information. De ce fait, un tiers interceptant le trafic du VPN n’aura pas la possibilité d’en déterminer la teneur. b. Intégrité des données Le chiffrement et le hachage assurent, que les données reçues au travers du VPN par le destinataire sont identiques à celles envoyées par l’expéditeur : il n’y aura ainsi aucune possibilité, pour une tierce partie, de changer les données en transit dans le VPN. c. Authentification des utilisateurs du VPN Pour certains VPN, (dans le cas du télétravail par exemple), il est important de savoir quels sont ceux qui participent au processus afin d’éviter les problèmes de sécurité liés à l’usurpation d’identité et par la même à l’accès illicite aux réseaux privés.
ІІІ.6.5.2 Topologies de VPN : Il existe 3 grandes catégories de VPN 1. VPN pour l’accès à distance : Ce type de VPN peut être utilisé pour accéder à certaines ressources Prédéfinies d’une entreprise sans y être physiquement présent. Cette opportunité peut ainsi être très utile au commercial ou au cadre qui souhaite se connecter au réseau de son entreprise lors d’un déplacement. En général, l’utilisateur de ce type de VPN possède un accès Internet chez un fournisseur d’accès standard.
2. VPN Intranet : Ce type de VPN lie plusieurs réseaux internes d’une même entreprise (par exemple les réseaux de plusieurs filiales). Sans VPN, les entreprises seraient forcées d’utiliser des lignes dédiées « lignes louées » entre leurs filiales ; procédé très onéreux, surtout lo rsqu’il s’agit de lignes internationales. Avec les VPN, ces mêmes communications peuvent passer
Page | 53
Chapitre IIІ : La politique de sécurité
par l’Internet sans souci de confidentialité ou d’intégrité des transferts, et ce, pour un coût bien moindre.
3. VPN Extranet : Cette catégorie de VPN est utilisée pour permettre aux clients, fournisseurs, partenaires ou autres interlocuteurs d’accéder à certaines données d’une entreprise. Presque tous les sites « e-commerce » ainsi que les banques offrent ce type de connexion sécurisée à leurs clients. ІІІ.6.6 Système de détection d’intrusion : IDS (Intrusion Detection System, ou en français Système de détection d’intrusion) est un ensemble de composants logiciels et/ou matériels, permettant de détecter et analyser tout comportement qui n'est pas normal au sein d’un réseau, qu'il soit volontaire ou non. ІІІ.6.6.1 Principe de fonctionne ment : Un IDS est placé en général derrière le firewall, il fournit des informations sur les données circulant à l’intérieur du réseau après avoir été filtrées. Une alerte sera déclenchée si ces données présentent un danger, notamment une tentative d’intrusion. De manière générale, un système de détection des intrusions assure les tâches suivantes: Détection des techniques de scan des ports, prise d'empreintes des OS, etc. Détection de paquets non-conformes aux RFCs (Paquets de taille anormale, etc.) Détection des manipulations suspectes internes à un réseau (par exemple, les actions jugées dangereuses d'un salarié connecté au réseau interne d'une entreprise) Détection de la présence de virus dans le réseau interne. Analyse des fichiers de journaux (les fichiers Logs) générés par les firewalls, les routeurs, etc.
Corrélation de multiples sources d'évènements de sécurité.
Page | 54
Chapitre IIІ : La politique de sécurité
ІІІ.6.6.2 Types d’IDS Un IDS peut exister sous deux formes différentes, chacune est dédiée à une tâche particulière et les deux sont complémentaires :
HIDS Un HIDS (Host based Intrusion Detection System) se comporte comme un logiciel standard sur un système, sa tâche se limite à surveiller la machine sur laquelle il s’exécute. Il examine les nouvelles entrées dans les journaux d’évènements, si une entrée correspond à une des règles préconfigurées, une alerte est générée.
NIDS Un NIDS (Network based Intrusion Detection System) se comporte comme un processus logiciel sur un matériel dédié. Il capture le trafic réseau et l’analyse suivant des règles et des signatures qu’il possède. Si ce trafic est digne d’intérêt, le NIDS génère une alerte pour attirer l’attention de l’administrateur du réseau. ІІІ.6.6.3 Les Méthodes de détection Les IDS actuels détectent les intrusions en se fondant sur deux approches principales : ІІІ.6.6.3.1 Approche par scénario: Cette technique s’appuie sur la connaissance des techniques utilisées par les attaquants pour déduire des scénarios typiques. Elle ne tient pas compte des actions passées de l’utilisateur et utilise des signatures d’attaques (ensemble de caractéristiques permettant d’identifier une activité intrusive : une chaîne alphanumérique, une taille de paquet inhabituelle, une trame formatée de manière suspecte, …). ІІІ.6.6.3.1.1 Les techniques de détection : L'approche par scénario est basée sur plusieurs techniques, telle-que :
1. Recherche de motif (Pattern Matching) La méthode la plus connue et la plus à facile à comprendre. Elle se base sur la recherche de motifs (chaînes de caractères ou suite d’octets) au sein du flux de données. L’IDS comporte une base de signatures où chaque signature contient les protocoles et port utilisés par l’attaque ainsi que le motif qui permettra de reconnaître les paquets suspects. Page | 55
Chapitre IIІ : La politique de sécurité
Le principal inconvénient de cette méthode est que seules les attaques reconnues par les signatures seront détectées. Il est donc nécessaire de mettre à jour régulièrement la base de signatures.
2. Recherche de motifs dynamiques Le principe de cette méthode est le même que précédemment mais les signatures des attaques évoluent dynamiquement. L’IDS est de ce fait doté de fonctionnalités d’adaptation et d’apprentissage.
3. Analyse de protocoles Cette technique analyse des données et vérifie leur conformité avec les RFC des protocoles utilisées. L’avantage de cette technique est qu’elle permet de détecter des attaques inconnues, simplement parce que le trafic n’est pas conforme aux RFC. Le principal inconvénient est la génération de faux positifs (fausses alertes) due au non respect des RFC par de nombreux constructeurs et éditeurs (Cisco et Microsoft en tête). En effets, ces derniers ont souvent tendance à modifier les fonctionnalités des RFC afin de mieux les adapter à leur offre. ІІІ.6.6.3.2 Approche Comportementale: Cette technique consiste à détecter une intrusion en fonction du comportement anormal passe de l’utilisateur. Pour cela, il faut préalablement dresser un profil utilisateur à partir de ses habitudes et déclencher une alerte lorsque des événements hors profil se produisent. Cette technique peut être appliquée non seulement à des utilisateurs mais aussi à des applications et services. Plusieurs métriques sont possibles : –
le volume de données échangées.
–
le temps de connexion sur des ressources.
–
la répartition statistique des protocoles et applications utilisés.
–
les heures de connexion, …
Cependant elle possède quelques inconvénients : peu fiable : tout changement dans les habitudes de l’utilisateur provoque une alerte. nécessite une période de non fonctionnement pour mettre en œuvre les mécanismes d’auto-apprentissage : si un pirate attaque pendant ce moment, ses actions seront
Page | 56
Chapitre IIІ : La politique de sécurité
assimilées à un profil utilisateur, et donc passeront inaperçues lorsque le système de détection sera complètement mis en place. L’établissement du profil doit être souple afin qu’il n’y ait pas trop de fausses alertes : le pirate peut discrètement intervenir pour modifier le profil de l’utilisateur afin d’obtenir ІІІ.6.6.3.2.1 Les techniques de détection L'approche comportementale est basée sur plusieurs techniques, on citera dans ce qui suit quelques-unes : [TH3]
1. Observation de seuils : Il s'agit de l'utilisation de la méthode de classification de BAYE (observation du seuil). Cette méthode permet de fixer le comportement normal d'un utilisateur par la donnée de seuils à certaines mesures (par exemple le nombre maximum de mots de passe erronés). Si le comportement d'un utilisateur dévie sur la valeur du seuil, le model de détection génère une alarme.
2. Profilage des utilisateurs : L'idée est d'établir des profils individuels de chacun des usagers du système. Au fur et à mesure que l'utilisateur change ses activités, son profil de travail attendu se met à jour. Il reste cependant difficile de déterminer un profil pour un utilisateur irrégulier ou très dynamique.
3. Profilage des groupes : Pour réduire le nombre de profil à gérer, on classe les utilisateurs par groupes. Le profil d'un groupe est par la suite calcule en fonction de l'historique de ses activités. On vérifie que les individus du groupe travaillent d'une manière uniforme et ne devient pas par rapport a ce qu'a été défini comme profil du groupe. Cependant, il n'est pas évident de trouver le groupe le plus approprie a une personne. D'ailleurs, il est parfois nécessaire de créer un groupe à un seul individu.
4. Profilage d'utilisation de ressources : Il s'agit d'observer l'utilisation de certaines ressources (comme les CPU, les ports de communication, les comptes, les applications, la mémoire) sur de longues périodes et de comparer les activités courantes par rapport a ce qui a été observe dans le passe. On peut aussi observer les changements dans l'utilisation des protocoles réseau et rechercher les ports qui Page | 57
Chapitre IIІ : La politique de sécurité
voient leur trafic augmenter anormalement. Les expériences ont montre, cependant, qu'il est difficile d'interpréter les écarts par rapport au profil normal.
5. Profilage de programmes exécutables : Certains virus, chevaux de Troie et d'autres programmes malveillants peuvent être détectes en profilant la façon dont les objets du système comme les fichiers ou les imprimantes sont utilisées par les programmes de confiance. En d'autres termes, le profilage de programmes exécutables consiste à observer l'utilisation des ressources du système par certains programmes exécutables dans le but de détecter des déviations par rapport a ces comportements. On peut par exemple détecter le fait qu'un serveur se met à écouter sur des ports autres que ceux qu'il utilise d'habitude.
ІІІ.6.7 L’audit de sécurit Un audit de sécurité a pour seul but de mettre en évidence les points forts et les points faibles d’une politique de sécurité. L’audit vérifiera la cohérence de celle-ci. Des audits sont nécessaires suite à la mise en place initiale d'une politique de séc urité, puis régulièrement pour s'assurer que les mesures de sécurité sont mises à niveau et que les usages restent conformes aux procédures. ІІІ.6.7.1 Méthodologies d'audit de la sécurité La mission d'audit de la sécurité est une opération qui englobe divers volets ayant des relations directes avec
le système d'information touchant les
facteurs
humains,
organisationnel, technique, physique, environnemental et voir même des facteurs de qualité, ce qui rend l'opération d'audit assez complexe et assez vaste. Cet aspect a obligé les auditeurs à développer des démarches claires et exhaustives pour couvrir toute l'opération d'audit. Ces démarches sont traduites sous forme de méthodologies définissant des méthodes claires et efficaces pour la mission. ІІІ.6.7.2 Type des Méthodologies utilisée : Les méthodologies se sont généralisées pour offrir une sorte de standard pouvant être un support aux auditeurs. Les méthodes d'audit de la sécurité informatique sont à la base d'une politique efficace et, bien souvent, des choix actionnels de gestion des risques. Page | 58
Chapitre IIІ : La politique de sécurité
Il existe en ce moment plusieurs méthodologies d'audit privées et publiques dont : Méthodologies issues d'institutions gouvernementales -
EBIOS ( Expression des Besoins et Identification des Objectifs de Sécurité)
-
ITIL (IT Infrastructure Library)
-
CRAMM
Méthodologies issues d'associations de sécurité -
MARION (Méthodologie d’Analyse de Risque Informatique Orientée par Niveaux)
-
MEHARI ( Méthode Harmonisée d’Analyse de Risque)
-
COBIT ( Control Objectives for Information and Technology)
Méthodologies issues de boites privées -
CALLIO
-
SCORE
-
COBRA ( Consultative, Objective and Bi- functional Risk Analysis)
ІІІ.6.7.3 Démarche d'audit de sécurité Un audit de sécurité consiste à valider les moyens de protection mis en œuvre sur les plans organisationnels, procéduraux et techniques, au regard de la politique de sécurité en faisant appel à un tiers de confiance experte en audit sécurité informatique. ІІІ.6.7.3.1 Audit organisationnel de sécurité L'objectif d'un audit organisationnel de sécurité est d'établir un état des lieux complet et objectif du niveau de sécurité de l'ensemble du système d'information sur les plans organisationnels, procéduraux et technologiques. Cette phase peut couvrir l'organisation générale de la sécurité : -
Réglementation, procédures, personnel
-
la sécurité physique des locaux (lutte anti- incendie, contrôle des accès, sauvegarde et archivage des documents),
-
l'exploitation et administration (sauvegarde et archivage des données, continuité du service, journalisation)
-
les réseaux et télécoms (matériel (routeurs, modems, autocommutateur..),
-
contrôle des accès logiques (lignes et transmission)
Page | 59
Chapitre IIІ : La politique de sécurité
-
les systèmes (poste de travail, serveur, logiciels de base, solution antivirale) et les applications (méthodes de développement, procédures de tests et de maintenance,..)
ІІІ.6.7.3.2 Audit technique de sécurité : L'audit technique s'effectue en trois phases : a. Phase d’approche Pour évaluer le niveau de sécurité d'un réseau, il faut d'abord le connaître. Au cours de cette phase, l’auditeur effectue : Des tests de sondage réseau et système pour déterminer les services réseau, les types d’applications associées et de leur mises à jour, les partage réseau et les mesures de sécurité mises en œuvre. Les outils de scan les plus utilisés : Nmap, Nsat, Knocker Des tests de sondage des flux réseau pour analyser le trafic, identifier les protocoles et les services prédominant au niveau du réseau audité, le taux d’utilisation ainsi que les flux inter-station. Les outils utilisés sont : Ntop, Iptraf et Network Probe. b. Phase d’analyse des vulnérabilités Au cours de cette phase, l’auditeur détermine, à l’aide des résultats obtenus à l’étape précédente, les vulnérabilités potentielle et des outils nécessaire a leur exploitation. En pratique, l’auditeur teste la résistance du système face aux failles connues, via une analyse automatisée des vulnérabilités, ainsi il établit pour chacune le type des applications et des services concernés. Les outils de test automatique : Nessus, Sara, Whisker,Webserver,…. c. Phase de tests intrusifs L’objectif des tests intrusifs est d’expertiser l’architecteur technique déployée et de mesurer la conformité des configurations réseaux (firewall, commutateurs, sondes, etc.) avec la politique de sécurité définie et les règles de l’art en la matière. Les tests d’intrusion commencent par une phase de collecte des informations disponibles publiquement, sans interagir avec l’environnement cible puis il s’agit de localiser et caractériser les composants cibles ( systèmes d’exploitation et services applicatifs, positionnement des équipements les uns par rapport aux autres, types de dispositifs de sécurité mis en œuvre, etc.), c’est la phase de cartographie de l’environnement cible et enfin
Page | 60
Chapitre IIІ : La politique de sécurité
il s’agit d’exploiter les vulnérabilités mises en évidence pendant les phases précédentes de façon à obtenir un accès non autorisé aux ressources. . ІІІ.7 Conclusion : L’établissement d’une politique de sécurité par les entreprises qui offre des services de système d’information, elle leur oblige d’être à l’épanouir des nouvelles mécanismes et mesures de sécurité qui nécessite une amélioration et un renouvellement a sa politique de sécurité, et aussi elle leur oblige de respecté certains normes mondiales dans le domaine de sécurité de système d’information comme la norme ISO 27001 [Annexe], et ca pour quelle obtenir une certification par la quelle l’entreprise est identifier comme entreprise de confiance.
Page | 61
Chapitre IV : Conception
IV.1 Introduction : De nos jours, toutes les entreprises possédant un réseau local qui ont aussi un accès à Internet, afin d'accéder à la manne d'information disponible sur le réseau des réseaux, et de pouvoir communiquer avec l'extérieur. Cette ouverture vers l'extérieur est indispensable, et dangereuse en même temps. Ouvrir l'entreprise vers le monde signifie aussi laisser place ouverte aux étrangers pour essayer de pénétrer le réseau local de l'entreprise. Et pour parer à ces attaques, une architecture sécurisée est nécessaire. Pour cela, le cœur d'une telle architecture est basé sur un firewall et de mieux un firewall matériel qui propose un véritable contrôle sur le trafic réseau de l'entreprise. Il permet d'analyser, de sécuriser et de gérer le trafic réseau, et ainsi d'utiliser le réseau de la façon pour laquelle il a été prévu et sans l'encombrer avec des activités inutiles, et d'empêcher une personne sans autorisation d'accéder à ce réseau de données. Dans ce chapitre on va définir la conception de notre projet q ui va étudier la configuration de base d’un firewall dans un réseau d’entreprise, et pour cela notre première étape elle va présenter le firewall et ces principaux caractéristiques, après en va étudier un cas présenter par l’organisme d’accueille où on va élaborer une solution de sécurité.
IV.2 Définition de fire wall : Le Firewall est un système physique (matériel) ou logique (logiciel) qui permet à une organisation de mettre en place un périmètre de sécurité entre Internet et son réseau informatique interne, afin de contrôler et éventuellement bloquer la circulation des paquets de données, en analysant les informations contenues dans les couches 3, 4 et 7 du modèle OSI. Il détermine : -
Les services internes pouvant accéder à l’extérieur (Internet).
-
Les services externes pouvant accéder au réseau Interne. Internet
DMZ
Réseau Externe
Réseau Interne Pare-feu
LAN
Figure IV-1: la mise en place de firewall
Page | 62
Chapitre IV : Conception
Le firewall doit donc contrôler tout le trafic Internet qu’il soit entrant ou sortant. Une fois le trafic autorisé à entrer, il n’est plus possible de revenir en arrière. Toute action est donc irréversible. Le firewall contient un ensemble des règles prédéfinies permettant : D’autoriser la connexion De bloquer la connexion De rejeter la demande de connexion sans avertir l’émetteur
IV.3 Types de pare-feu : On va distinguer par la suite trois différents types de firewall : les firewalls bridge les firewalls logiciels les firewalls matériels
IV.3.1 Les pare-feux bridge Ces derniers sont assez répandus. Ils agissent comme de vrais câbles réseau avec la fonction de filtrage en plus, d'où leur appellation de firewall. Ils ne disposent pas d'adresse IP sur leurs interfaces, et ne font que transférer les paquets d'une interface a une autre en leur appliquant les règles prédéfinies. Cette absence d’adresse IP est particulièrement utile, car cela signifie que le firewall est indétectable sur le réseau. Ces firewalls se trouvent typiquement sur les Switch.
IV.3.2 Les pare-feux logiciels Présents à la fois dans les serveurs et les machines, on peut les classer en plusieurs catégories : Les fire walls personnels Ils sont pour la plupart commerciaux et ont pour but de sécuriser un ordinateur particulier, souvent payants, ils peuvent être contraignants et quelque fois très peu sécurisés. En effet, pour rester accessible à l'utilisateur final, ils s'orientent plus vers la simplicité d'utilisation, et donc mettent de côté l’aspect technique. Les fire walls plus « sûre » Ils se trouvent généralement sous Linux, car ce système d’exploitation offre une sécurité réseau plus élevée et aussi un contrôle plus précis.
Page | 63
Chapitre IV : Conception
IV.3.3 Les pare-feux matériels Ils se trouvent souvent sur des routeurs achetés dans le commerce par de grands constructeurs comme Cisco ou Nortel. Intégrés directement dans la machine, ils font office de « boite noire », et ont une intégration parfaite avec le matériel. Leur configuration est souvent relativement difficile, mais leur avantage est que leur interaction avec les autres fonctionnalités du routeur est simplifiée de par leur présence sur le même équipement réseau. Souvent relativement peu flexibles en terme de configuration, ils sont aussi peu vulnérables aux attaques, car présent dans la « boite noire » qu'est le routeur. IV.4 Fonction principale d’un fire wall : Un firewall implémente trois fonctions basiques : Le filtrage Translation d’adresse Contrôle d’accès
IV.4.1 Filtrage : Les types de filtrage les plus courants sont :
IV.4.1.1 Le filtrage simple de paquets Il analyse les en-têtes de chaque paquet de données (datagramme) échangé entre une machine du réseau interne et une machine extérieure. Ainsi, les paquets de donnée échangée transitent par le pare- feu et possèdent les en-têtes suivants, systématiquement analysés par le firewall : adresse IP de la machine émettrice adresse IP de la machine réceptrice type de paquet (TCP, UDP, etc.) numéro de port. Les adresses IP contenues dans les paquets permettent d’identifier la machine émettrice et la machine cible, tandis que le type de paquet et le numéro de port donnent une indication sur le type de service utilisé.
Page | 64
Chapitre IV : Conception
IV.4.1.2 Le filtrage dynamique (stateful inspection) Le système de filtrage dynamique de paquets (stateful inspection ou stateful packet filtering, en français filtrage de paquets avec état) est basé sur l'inspection des couches 3 et 4 du modèle OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur. Il est ainsi capable d'assurer un suivi des échanges, c'est-à-dire : de tenir compte de l'état des anciens paquets pour appliquer les règles de filtrage. De cette manière, à partir du moment où une machine autorisée initie une connexion à une machine située de l'autre côté du pare- feu; l'ensemble des paquets transitant dans le cadre de cette connexion seront implicitement acceptés par le pare-feu.
IV.4.1.3 Le filtrage applicatif Le filtrage applicatif permet de filtrer les communications application par application. Le filtrage applicatif opère donc au niveau 7 (couche application) du modèle OSI, contrairement au filtrage de paquets simple (niveau 4). Le filtrage applicatif suppose donc une connaissance des protocoles utilisés par chaque application. Et des applications présentes sur le réseau, et notamment de la manière dont elle structure les données échangées (ports, etc.). IV.4.2 Translation d’adresse : Le firewall est souvent l'endroit où l'on implémente un NAT (Network Address Translation, ou en français, Translation d’adresse réseau). Ceci permet d'éviter l'obligation de fournir une adresse IP officielle à chaque machine du réseau interne. A partir de ce point on en vient au concept de sécurité périphérique. La traduction d'adresse qui consiste à réécrire les champs adresse IP source et/ou destination pour permettre le routage d'adresses privées, répondre à la pénurie d'adresses IPv4, tenter de dissimuler le plan d'adressage interne. Et cette technique et définis par la solution NAT.
Page | 65
Chapitre IV : Conception
IV.4.3 Contrôle d’accès : Le firewall défini un contrôle d’accès par une liste qui contiens des adresses IP ou des numéros de ports autorisés ou interdits par le dispositif de filtrage. Les ACL (Access Control List, ou en français, liste de contrôle d'accès) sont divisés en deux grandes catégories : [WIKI]
ACL standard : Ne peut contrôler que deux ensembles, l'adresse IP source et une partie de l'adresse IP source, au moyen de masque générique.
ACL étendue : Peut contrôler l'adresse IP de destination, la partie de l'adresse de destination (masque générique), le type de protocole (TCP, UDP, ICMP, etc.), le port source et de destination.
IV.5 Etude d’un cas : Notre projet a été élaboré au sein de la société Algérie Télécom, cette dernière est née de la restructuration de secteur de télécommunication sous l’ancrage juridique de la loi 2000-03 du 05 août 2000 fixant les règles générales relatives à la poste et aux télécommunications. Les activités d’Algérie Télécom s’articulent principalement autour de la fourniture des services de télécommunication permettant le transport de la voix, de messages écrits, de donnée numérique, d’information audiovisuelle, et du développement de l’exploitation et de la gestion des réseaux publique et privées de la télécommunication, et elle établir de l’exploitation et de gestion des interconnexions avec tous les opérateurs de réseau de télécommunications. Dans notre projet, on va mettre en place un firewall matériel dans une partie d’architecture de réseau interne proposé parmi l’architecture globale d’ Algérie Télécom, et la figure suivante l’indique :
Page | 66
Chapitre IV : Conception
Internet DMZ
Ethernet
Routeur Cisco ASA
Ethernet
Figure ІV-2 : Réseau d’Algérie Télécom
Dans cette architecture la solution de sécurité proposée est de faire cacher le réseau interne (d’Algérie Télécom) depuis l’extérieur (Internet).
Et pour cela on va utiliser : Des adresses privées pour permettre aux hôtes de réseau interne (Algérie Télécom) de communiquer entre eux. La solution de NAT (Translation d’adresse IP) pour permet au machines de réseau interne de communiquer a l’Internet. L’équipement Cisco ASA 5550 pour développé notre démarche.
Page | 67
Chapitre IV : Conception
IV.5.1 Adresse IP privées :
Espace d'adressage public : (Voire le Chapitre I) L'espace des adresses gérées par l'IANA. Ces adresses sont globalement uniques, elles sont routées sur l'Internet.
Espace d'adressage privé : (Voire le Chapitre I) L'espace des adresses utilisées en interne par un site NAT. Ces adresses sont généralement celles définies par le RFC 1918, ils ne sont pas routables.
IV.5.1.1 Pourquoi avoir des adresses privées ? -
Gérer la pénurie d’adresses au sein d’un réseau
-
Masquer l’intérieur du réseau par rapport à l’extérieur (le réseau peut être vu comme une seule et même machine)
-
Améliorer la sécurité pour le réseau interne
-
Assouplir la gestion des adresses du réseau interne
-
Faciliter la modification de l’architecture du réseau interne
IV.5.2 Translation d’adresses réseau (NAT) NAT (Network Address Translation, ou en français Translation d’adresse réseau) est un mécanisme permettant de conserver les adresses IP enregistrées dans des réseaux de grande taille et de simplifier la gestion de l’adressage IP. Lorsqu’un paquet est routé par un équipement de réseau, généralement un pare-feu ou routeur, l’adresse IP privée (réseau interne), est traduite en une adresse IP publique routable. Cela permet de transporter le paquet sur des réseaux externes publics, tels qu’Internet. L’adresse IP publique de la réponse est ensuite retraduite en une adresse IP privée pour être livrée sur le réseau interne.
Donc le NAT permet de masquer les adresses privées des réseaux locaux derrière une adresse publique.
Page | 68
Chapitre IV : Conception
IV.5.2.1 Les différents concepts de NAT :
1. NAT statique (SNAT) SNAT (Static Network Address Translation), est l'association d'une adresse IP interne. Cette association est effectuée par le pare- feu en remplaçant dans les paquets l'adresse IP interne par l'adresse externe. Ainsi, le pare- feu va faire cette modification dans l'entête IP du paquet. Le NAT statique, en associant une adresse IP publique à une adresse IP privé, permet seulement à un ordinateur dans le réseau privé d'accéder Internet. Par contre, avec cette stratégie il faut posséder une adresse publique par ordinateur qui nécessite l'accès à Internet.
2. NAT dynamique (DNAT) Le NAT dynamique est l'association d'une adresse publique à plusieurs adresses IP privé. Cette stratégie, souvent appelée en anglais "IP masquerading", permet à plusieurs ordinateurs d'un réseau local d'accéder à Internet via une seule adresse IP publique. Le fonctionnement du NAT dynamique est différent de celui du NAT statique. En effet, le firewall qui gère cette stratégie doit à la fois faire une association d'adresse IP et un changement de ports TCP/UDP.
IV.5.2.2 Te rminologie du NAT : On fera la distinction entre interne et externe. Les adresses internes : sont celles qui sont maîtrisées par l'administrateur du réseau d'extrémité. Les adresses externes : sont celles dont on n’a pas la maîtrise et qui font partie d'un réseau public tel que l'Internet.
On fera aussi la distinction entre adresses locales et globales. Les adresses locales : sont celles qui ne sont pas nécessairement des adresses légitimes Les adresses globales : sont celles qui sont routables, qui ont une signification à portée globale.
Page | 69
Chapitre IV : Conception
Concrètement, Cisco définit les termes suivant pour la configuration du NAT Tableau IV-1 : Terminologie du NAT
Terminologie
Traduction
Description
Inside local address
Adresse locale interne
Inside global address
Adresse globale interne
Outside local address
Adresse locale externe
Outside global address
Adresse globale externe
L’adresse IP attribuée à un hôte du réseau interne. Cette adresse est probablement une adresse privée RFC 1918. Une adresse IP légitime attribuée par le fournisseur d’accès, et qui représente une ou plusieurs adresses IP locales internes pour le monde extérieur. L’adresse IP d’un hôte externe telle que la connaissent les hôtes du réseau interne. L’adresse IP attribuée à un hôte du réseau externe. C’est le propriétaire de l’hôte qui attribue cette adresse.
Le schéma suivant explique cette Terminologie
202.6.3.2 Internet
126.23.0.1
179.9.8.80
Externe
10.0.0.3
10.0.0.2 Interne
Inside local address
Inside global address
Outside local address
Outside global address
10.0.0.2 10.0.0.3
179.9.8.80 179.9.8.80
202.6.3.2 126.23.0.1
202.6.3.2 126.23.0.1
Figure ІV-3 : Terminologie du NAT
Page | 70
Chapitre IV : Conception
IV.5.2.3 Portée du NAT : On peut utiliser le NAT dans différents cas :
On dispose d'une multitude d'hôtes adressés de manière privée et on a une seule ou quelques adresses IP globales (publiques).
On doit changer des adresses internes. Au lieu de les changer, on les traduit par du NAT.
Il contribue à améliorer la sécurité des réseaux internes puisqu'il les cache.
IV.5.3 Présentation du Cisco ASA 5550 : Une entreprise qui dépend de son réseau a besoin d'une sécurité sans faille. Les Appareils de Sécurité Adaptative de la Gamme Cisco ASA 5500 garantissent une sécurité optimale suffisamment souple pour s'adapter à la croissance et à l'évolution de l’entreprise. Le Cisco ASA 5550 (Adaptive Security Appliance ou en français Appareils de Sécurité Adaptative) est un Serveur de sécurité multifonctions de nouvelle génération fais parti de la Gamme Cisco ASA 5500, il protège les réseaux de grand tailles contre les attaques de réseau, les menaces applicatives, et sécurise les échanges inter-sites et nomade-à-site. La très haute performance de l’ASA est particulièrement indiquée pour les réseaux qui transportent de la voix et de la vidéo. [CIS]
Figure ІV-4 : Cisco AS A 5550
IV.5.3.1 Les caracté ristiques Matérielle de Cisco ASA 5550 : Le Serveur Cisco ASA 5550 permet la normalisation sur une unique plate-forme afin de réduire les frais opérationnels associés à la sécurité. L’environnement commun de configuration simplifie la gestion et réduit les coûts de formation du personnel tandis q ue la
Page | 71
Chapitre IV : Conception
plate- forme matérielle commune de l’ASA permet de réaliser des économies sur les pièces de rechange. Il répond aux besoins spécifiques d’un environnement du réseau de l’entreprise :
Tableau IV-2 : Caractéristi ques Matérielle de Cisco ASA 5550
Caractéristiques Utilisateur type
Description Entreprise de grande taille
Résumé des performances Débit maximal du firewall
1200 Mbits/s
Débit maximal du VPN
425 Mbits/s
Nombre maximal du VPN site à site et à distance
5 000
Nombre maximal de connexions VPN SSL 1
5 000
Nombre maximal de Connexions
650 000
Nombre maximal de connexion par second
28 000
Paquets par seconde (64 octets)
600 000
Récapitulatif technique Mémoire (Mo)
4096
Mémoire Flash système (Mo)
64
Interfaces virtuelles (VLAN)
250
Fonctionnalité Protection de la couche applicative
Oui
Pare-feu de couche 2 transparent
Oui
Contextes de sécurité (intégrés / maximum) 2
2/50
équilibrage de charge et mise en grappe des VPN
Oui
Haute disponibilité
Actif/actif, actif/veille
IV.5.3.2 Les caracté ristiques fonctionnelles de Cisco ASA 5550 : L’ASA 5550 est un pare-feu a inspection d’état, pour assurer le suivi des échanges et utilisée l’ASA Adaptive Security Algorithme pour ce filtrage dynamique. Il peut contrôler l’accès de différent application, services, et protocoles et protège le réseau contre les attaques connues et courantes.
Page | 72
Chapitre IV : Conception
IV.5.3.3 Avantages de Cisco ASA : [CIS] L’appareil de sécurité adaptative Cisco ASA 5550 offre de nombreux avantages : Personnalisation : personnaliser le système de sécurité en fonction des besoins d'accès et de la politique de l'entreprise. Flexibilité : on peut facilement ajouter des fonctionnalités ou mettre à jour un appareil au fur et à mesure que l’entreprise se développe et que les besoins évoluent. Sécurité avancée : l’entreprise peut profiter des dernières technologies en matière de sécurité de contenu, de chiffrement, d'authentification, d'autorisation et de prévention des intrusions. Simplicité : l’utilisation d’un seul périphérique facile à installer, à gérer et à contrôler. Mise en réseau avancée : l’entreprise peut configurer des réseaux privés virtuels (VPN) offrant aux utilisateurs nomades et distants un accès parfaitement sécurisé aux ressources de l'entreprise. Elle peut également créer des réseaux VPN avec d'autres bureaux ou entre ces partenaires ou employés selon leur fonction. IV.5.3.4 As pects du Cisco ASA 5550 : La plate- forme Cisco ASA 5550 comporte des composants physiques externes et d’autre interne répondre a des besoins spéciaux pour la gestion de réseau : IV.5.3.4.1 As pects Externe : Dans la suite on va voir les principaux composants externes de la plate- forme Cisco ASA 5550 1. Panneau arrière : Interface réseau : L'adaptation de sécurité interne de l'appareil dispose de deux bus fournissant cuivre et fibre Gigabit Ethernet, Gigabit Ethernet:
Page | 73
Chapitre IV : Conception
Figure ІV-5 : interfaces réseau au panneau arrière
Slot 0 (correspondant à Bus 0) a embarqué quatre ports Gigabit Ethernet en cuivre
Slot 1 (correspondant à Bus 1) a embarqué quatre ports cuivre Gigabit Ethernet et quatre à l'appui intégré SFP fibre Gigabit Ethernet
Dans le Slot 0 On trouve dans le Slot 0 les LED et les ports et d’autre composant la figure suivante l’indique : LED (Light-Emitting Diode): est un composant électronique capable d’émettre de la lumière lorsqu’il est parcouru par un courant électrique
Ports : sont des éléments matériels permettant au système de communiquer avec des éléments extérieurs, c'est-à-dire d'échanger des données, ou on peut l’appelé port d'entréesortie (notée parfois interface d'E/S).
Figure ІV-6 : les composants d’AS A dans le Slot 0
Page | 74
Chapitre IV : Conception
Tableau IV-3 les composants dans le Slot 0
N° Description
N° Description
N° Description
1
Gestion de Port 1
6
USB 2.0 3
11
VPN LED
2
Slot Compact Flash
7
Interfaces de réseau 4
12
Flash LED
8
Indicateur de puissance
13
AUX port 5
14
Connecteur
extérieures 3
Serial Port console 2
LED 4
Power Switch
9
LED indicateur de l'état
5
1
Indicateur de puissance LED
10
d'alimentation
Active LED
La gestion de 0 / 0 est une interface Fast Ethernet interface conçue pour la gestion du trafic
seulement. 2
Est une interface en ligne de commande qui est une interface homme- machine sert à
configurer l’ASA via un câble console 3
Réservé pour utilisation future.
4
Gigabit Ethernet interfaces (de droite à gauche) :
Gigabit Ethernet 0 / 0, Gigabit Ethernet 0 / 1, Gigabit Ethernet 0 / 2, et Gigabit Ethernet 0 / 3. 5
Port AUX sert à administrer l’ASA à distance.
Indicateur LED On remarque dans cette figure qu’il y a deux indicateur LED dans chaque interface un dans le côté gauche et l’autre dans le côté droit : Le côté gauche indique le lien physique
Figure ІV-7 : In dicateur LED
Le côté droit indique la vitesse de connexion
Page | 75
Chapitre IV : Conception
Tableau IV-4 : Indicateur LED
N° 1
Description MGMT indicateur LED
N° 2
Description Interface réseau LED
Tableau IV-5 : Le voyant de LED
Indicateur
Couleur Vert
Description Lien physique
Vert clignotant Pas allumé Vert Amber (orange)
L'activité du réseau 10 Mbps 100 Mbps 1000 Mbps
Côté gauche
Côté droit
Dans le Slot 1 : Dans le Slot 1 des Ports Ethernet et des Fibre de port Ethernet et d’autres composants la figure suivante l’indique
Figure ІV-8 : Les ports et les voyants dans le Slot 1
Tableau IV-6 : les composants dans le Slot 1
N°
Description
N°
Description
1
Ports Ethernet Cuivre
5
LED d'état
2
RJ-45 LED Lien
6
Fibre de ports Ethernet
3
RJ-45 LED de vitesse
7
SFP Link LED
4
Power LED
8
SFP Speed LED
Page | 76
Chapitre IV : Conception
Tableau IV-7 les voyants dans la fente 1
N°
LED
2, 7
LINK VITESSE
3, 8 4
POWER
5
STATU
Couleur
État
Description
Solide
Il existe un lien Ethernet.
Vert
Clignotant
Il ya activité Ethernet.
Hors tension
10 Mo
Il n'y a pas de réseau.
Vert
100 Mo
Il est l'activité du réseau à 100 Mbps.
Amber
1000 Mo
Il est l'activité de réseau à 1000 Mbps.
Vert
Solide
Le système a le pouvoir.
Vert
Clignotant
Le système démarre.
Vert
Solide
Le système démarre correctement.
Amber
Solide
Le système de diagnostic a échoué.
2. Panneau avant LED de panneau avant Dans cette partie, on montre les LED sur le panneau frontal de l'Appliance de sécurité adaptative.
Figure ІV-9 : LED de panneau avant
Tableau IV-8 : LED de panneau avant
N°
LED
Couleur
État
Description
1
Puissance
Vert
Solide Clignotant
2
État
Vert
Solide
Amber
Solide
Le système a le pouvoir. Le système de démarrage de diagnostic est en cours d'exécution Le système a réussi la mise sous tension de diagnostic. Le power-up de diagnostic a échoué.
Vert Vert Vert
Clignotant Solide Solide
l'activité de réseau est en cours. Tunnel VPN est établi. Le compact flash est accessible
3 4 5
Active VPN Flash
Page | 77
Chapitre IV : Conception
IV.5.3.4.2 As pects Interne : Dans la suite on va distinguer les principaux composants internes de la plate-forme Cisco ASA 5550 : UC : L’Unité Central, ou microprocesseur exécute les instructions du système d’exploitation d’un pare- feu. Ses principales fonctions sont, entre autres, l’initialisation du système, le contrôle de l’interface réseau…etc. RAM : Une mémoire vivre est utilisée pour stocker les informations de table de routage, la mémoire cache à commutation rapide, la configuration courante et les files d’attente de paquets. ROM : La mémoire morte sert à stocker de façon permanente le code de diagnostic de démarrage (ROM Monitor) Logiciel (SOFT) : Système d’exploitation appelé IOS (Internetworking Operating System) répondre au besoin d’utilité pour les équipements Cisco. Mémoire flash : Est représente une sorte de ROM effaçable et programmable. Sur beaucoup de pare-feu, le flash est utilisé pour stocké une image complète de système d’exploitation IOS.
NVRAM : La mémoire vive rémanente sert à stocker la configuration de démarrage. Dans certains équipements,
la mémoire NVRAM est constituée de
mémoires
mortes
reprogrammables. Inte rfaces : Les interfaces permettent l’ASA de se connecter avec l’extérieur. Il possède 04 types d’interfaces: Gigabit Ethernet, Fibre, Console et AUX. Alime ntation : L’alimentation fournit l’énergie nécessaire au fonctio nnement des composants internes
Page | 78
Chapitre IV : Conception
IV.5.3.5 Équilibrage de la circulation pour maximiser le débit : Afin de maximiser le débit de circulation il faut configurer l'appareil de sécurité d'adaptation pour que le trafic soit réparti également entre les deux autobus (Slot 0 et Slot 1) dans le dispositif.
Et pour atteindre cet objectif, la mise en réseau de l’équipement va
respecter l’identification d’un bus d’entrer et un autre de sortie, afin que tous les flux de trafic à la fois par bus 0 (Slot 0) et le bus 1 (Slot 1). Dans la Figure IV-10 et la Figure IV-11, le trafic sur le réseau est distribué entre les deux bus celle la permettant à l'appareil de sécurité d'adaptation d’offrir un débit maximal. C'est-à-dire : La configuration entre les interfaces de Slot 0 et les interfaces de Slot 1 fournie une circulation de flux, soit : 1- Entre les interfaces Gigabit Ethernet de Slot 0 et les interfaces Gigabit Ethernet de Slot1
Figure ІV-10 : Circulation par Gigabit Ethernet
2- Entre les interfaces Gigabit Ethernet de Slot 0 et les interfaces Fibre Gigabit Ethernet de Slot 1
Figure ІV-11 : Circulation par Gigabit Ethernet et Fibre
Page | 79
Chapitre IV : Conception
La Figure IV-12, illustre plusieurs configurations qui ne permettent pas à l'Appliance de sécurité adaptative de fournir un débit maximum, car les flux de trafic réseau par un seul taxi sur le périphérique. C'est-à-dire La configuration entre les interfaces de même bus (slot) il ne fournie pas une circulation de flux, soit : 1- Entre les interfaces Gigabit Ethernet de Slot 0 2- Entre les interfaces Fibre Gigabit Ethernet de Slot 1 3- Entre les interfaces Gigabit Ethernet de Slot 1 4- Entre les interfaces Gigabit Ethernet et les interfaces Fibre Gigabit Ethernet de Slot 1
Figure ІV-12 : Les config qui ne fournie pas la circulation
Page | 80
Chapitre IV : Conception
IV.5.4 Modes de base pour configurer Cisco ASA 5550 : Pour configurer les Appareils de Sécurité Adaptative, Cisco a défini deux modes de base, le premier c’est le mode graphique appelé ASDM (Adaptive Security Device Manager) et le deuxième par invite de commande CLI (Commande-Line Interface). Le mode ASDM (Adaptive Security Device Manager): Les Cisco ASA Firewall sont livrés avec un logiciel d’administration graphique ASDM, il est chargé de l'Appliance de sécurité, puis utilisé pour configurer, surveiller et gérer l'appareil. Il permet de récupérer, modifier et administrer les politiques de sécurité ainsi que de faire du monitoring.
Figure ІV-13 : La configuration par mode AS DM
Le mode CLI (Commande-Line Interface) : Un interpréteur de commande et c’est un programme généralement fait partie des composantes de base d’un système d’exploitation. Son rôle est de traiter les commandes tapées au clavier par l'utilisateur. Ces commandes, une fois interprétée auront pour effet de réaliser telle ou telle tâche d'administration, ou bien de lancer l'exécution d'un logiciel.
IV.6 Conclusion : Pou que notre firewall ASA soit bien configurer il faut suivre une méthode de configuration bien organisé qui va nous aider par la suite de savoir les failles de la configuration plus rapidement. Et bien sur le branchement des câbles dans l’équipement ASA soit bien fait et bien organisée avec le respect de bien identifier le Slot d’entrer et le Slot de sortie.
Page | 81
Chapitre V : Implémentation
V.1 Introduction : La solution de NAT permet d’élaboré un réseau d’entreprise a l’aide d’utilisation des adresse privé et de convertir ces adresses qui non pas routable a des adresses routable pour pouvoir connecté l’internet, et donc cette solution faire face contre les menaces liée a l’utilisation d’internet telle le Ping qui est une méthodes très utilisée par les attaquant ( l’utilisation de la commande Ping depuis plusieurs machine pour ralentir un serveur) Dans notre implémentation en va voire les différents contextes pour faire configurer Cisco ASA, et on va traiter notre solution par la présentation de touts les étapes nécessaires qui répondre aux besoins de la société.
V.2 Contextes de sécurité : Pour faire élaborer notre projet nous a vont besoin du : –
Un câble console
–
Terminal Securecrt
Un câble console Est câble généralement Blue à paires inversées RJ-45 (à droite du la figure) et un adaptateur RJ-45 à DB-9 (à gauche de la figure) il est utilisés pour connecter le port console à un PC. Un câble console est nécessaire pour établir une session en mode console (le mode CLI) afin de pouvoir vérifier ou modifier la configuration du firewall.
Figure V-1 : Un câble console
Pour réalisée le câblage de firewall au réseau : 1- Branchez le câble à paires inversées au port console du firewall- un connecteur RJ 45. 2- Branchez l’autre extrémité du câble (l’adaptateur RJ-45 à DB-9) à l'ordinateur, en le connectant sur un port série de type DB-9 ou DB-25, selon les cas.
Page | 82
Chapitre V : Implémentation
Le Terminal Securecrt v5.0 Un terminal de console est un terminal ASCII ou un PC exécutant un logiciel d’émulation de terminal tel que Securecret (où HyperTerminal qu’on peut le trouve sous Windows). SecureCRT combine les capacités de transferts de données avec l'enregistrement sécurisé de Secure Shell avec la fiabilité d'un émulateur de terminal Windows approuvé.
V.3 Problème à traité : Le réseau interne d’Algérie Télécom va connecter à l’internet par l’utilisation d’un ASA firewall. Les deux réseaux locale et la DMZ sont définit comme des réseaux interne prenant des adresses IP privées, dans se cas là on va brancher c’est deux réseau ou interfaces de même Slot (Bus) de l’ASA. Le routeur va défini le chemin de communication de réseau interne (qui va prendre des adresse IP publique) vers l’extérieur (l’Internet) ; alors on va faire brancher le routeur a une interface d’un autre Slot (Bus). (Voire le Chapitre).
Pour réaliser notre projet on va suivre les données suivantes :
Tableau V-1 : données de réseau
Nom
@IP interne
Masque interne
LAN 1
group_secu
192.168.1.2
255.255.255.240 196.16.20.113
255.255.255.0
LAN 2
group_admin
172.16.4.4
255.255.255.240 196.80.13.96
255.255.255.0
DMZ
dmz
10.3.0.0
255.255.255.0
200.2.126.12
255.255.255.0
172.16.16.0
255.255.255.0
Route par défaut
Masque par défaut
Routeur Outside
@IP externe
Masque externe
Le schéma suivant explique se tableau
Page | 83
Chapitre V : Implémentation
V.3.1 Sché ma explicatif de réseau
Internet
20 19 0.2 19 6.1 .12 6. 6. 6. 80 20 12 .1 .1 / 3. 13 24 96 / / 2 24 4
10.3.0.0 / 24
dmz
172.16.16.0 / 24 192.168.1.2 / 28
group_secu
Routeur Cisco ASA
172.16.4.4 / 28
group_admin
Figure V-2 : S chéma explicatif de réseau
Page | 84
Chapitre V : Implémentation
V.3.2 La configuration de Cisco ASA Après le branchement de câble console, on va maintenant configurer Cisco ASA on respectant les données précédentes et le faire on va suivre les étapes suivantes :
V.3.2.1 Pre miè re étape : Connexion des interfaces en mode console (mode CLI)
Le port console est un port de gestion qui fournit un accès hors bande ASA 5550. Il est utilisé pour la configuration initiale d’un pare- feu, pour la surveillance, et pour les procédures de reprise après sinistre. (Voire le Chapitre)
a) Ouvrir une session avec Terminal SecureCrt Pour configurer les pare-feux Cisco, il faut accéder à leur interface utilisateur à l’aide d’un terminal ou via un accès à distance. Dans notre projet on va configurer le pare-feu à l’aide d’un terminal, et pour ce la il faut installer le terminal Securecrt :
1- On clique sur Démarre r puis Securecrt.
Page | 85
Chapitre V : Implémentation
2- Une fois le Terminal fenêtre ouverte, on clique sur Connect
3- Sur la fenêtre Connect, on clique sur l’icône New session pour établir une nouvelle session
Page | 86
Chapitre V : Implémentation
4- Elle nous affiche la fenêtre d’une nouvelle session, dans cette dernière on va choisi quelle type de connexion on vu la faire élaborer
Elle nous offre plusieurs possibilités mais dans notre étude on va faire une connexion serial, c'est-à-dire l’équipement est proche aux l’administrateur réseau
Page | 87
Chapitre V : Implémentation
Puis on clique sur Suivant
5- Dans cette fenêtre on va entre les paramètres nécessaires pour faire élaborer la connexion en mode serial. Les paramètres par défaut du port console définit par Cisco sont : –
9600 bauds
–
8 bits de données
–
Aucune parité
–
1 bit d’arrêt
Sous la rubrique Port on va sélectionner Com2 (Il définit le type de port utilisé).
Après, on va cliquer sur suivant
Page | 88
Chapitre V : Implémentation
6- Dan cette fenêtre on va spécifier un nom pour la session élaborer.
Notre session élaborée elle va prendre le nom ASA
Puis on clique sur Terminer
Page | 89
Chapitre V : Implémentation
7- La session élaborée (ASA) elle va s’afficher
Après l’installation de Securecrt et l’ouverture d’une connexion on peut configurer notre firewall par l’utilisation des commandes nécessaire pour le faire activé.
Page | 90
Chapitre V : Implémentation
V.3.2.1 Deuxième étape : Démarrage d’un pare feu
1. Connexion au pare-feu Lors de l’accès, l’utilisateur doit se connecter au pare- feu avant de pouvoir entrer d’autres commandes. Pour des raisons de sécurité, le pare-feu offre trois niveaux d’accès aux commandes : mode utilisateur
ciscoasa > mode privilégié
ciscoasa # mode de configuration globale ciscoasa (config)# Figure V-3 : démarrage d’un pare-feu
Mode utilisateur : Mode par défaut, on peut consulter certaines informations sur le pare- feu mais sans pouvoir effectuer de modification. C’est-à-dire que ce mode ne permet pas de modifier la configuration du pare-feu.
En mode utilisateur, on aura
ciscoasa>
Mode privilégié : L’invite du mode utilisateur s’affiche lors de la connexion au pare- feu. Les commandes disponibles à ce niveau sont un sous-ensemble des commandes disponibles en mode privilégié. La plupart de ces commandes permettent d’afficher des données sans changer les paramètres de configuration du pare-feu.
En mode privilégié, on aura
ciscoasa #
Page | 91
Chapitre V : Implémentation
Mode de configuration globale Il n’est possible d’accéder au mode de configuration globale qu’à partir du mode privilégié. Ce mode permette de configurer le pare- feu c'est-à-dire qu’on peut inviter les commande et on peut changer les paramètres de pare-feu. Il est possible, à partir du mode de configuration globale, d’accéder aux modes spécifiques suivants: –
Interface
–
Ligne
–
Pare-feu
–
Routeur
En mode de configuration globale, on aura
ciscoasa (config) #
2. Configuration de base du Cisco ASA Firewall :
Pour pouvoir accéder à l'ensemble des commandes, il faut activer le mode privilégié. À l’invite ciscoasa>
Tapez enable (pour activer le mode privilégié)
ciscoasa> enable À L’invite de password entrez le mot de passe qui a été défini
password:********** Une fois les étapes de connexion terminées, l’invite devient ciscoasa #
Ce qui indique que le mode privilégié est actif.
Page | 92
Chapitre V : Implémentation
Pour retourner au mode utilisateur à partir du mode privilégié, il faut entrer la commande ciscoasa # disable.
Pour accéder au mode de configuration globale à partir de mode privilégié
ciscoasa# configure terminal
Elle devient ciscoasa (config) #
Pour retourner au mode privilégié à partir du mode de configuration globale, tapez : ciscoasa (config) # exit
Pour configurer le mot de passe du firewall ciscoasa (config) # enable passeword {mot de passe} encrypted –
Mot de passe du mode privilégié.
–
Sans le paramètre [encrypted], le mot de passe est écrit en clair dans le fichier de configuration.
Exemple: Firewall (config) # enable password supersecurepwd encrypted
Pour spécifie le nom d'hôte du pare- feu
ciscoasa (config) # hostname {nom} Exemple : le nom d’hôte est : Firewall
ciscoasa (config) # hostname Firewall
Page | 93
Chapitre V : Implémentation
Elle devient Fire wall (config) # Pour spécifie le nom de domaine auquel appartient le pare- feu. Fire wall (config) # domain-name {nom de domaine} Exemple : le nom de domaine est : securemanager.dz Firewall (config) # domain-name securemanager.dz
Pour Configure l'horloge et la date du pare-feu Fire wall (config) # clock set hh:mm:ss {mois jour | jour mois} année
hh = heur,
mm = minute
ss = seconde
Exemple : L’horloge est 20:54:00 et la date est 1 janvier 2009 Firewall (config) # clock set 20:54:00 janvier 1 2009 Ou : Firewall (config) # clock set 20:54:00 1 janvier 2009
Pour configurer une interface En première étape on spécifier l’interface concerné de la connexion pour la configuration Fire wall (config) # interface Gigabitethernet N° Slot / N° interface Elle devienne Fire wall (config-if) #
Page | 94
Chapitre V : Implémentation
–
N° Slot = numéro de slot (bus) concerné par la connexion soit 0 ou 1
–
N° interface= numéro de l’interface concerné par la connexion soit 0 ou 1 ou 2 ou 3
Exemple : on prend l’interface 1 de slot 0
Firewall (config) # interface Gigabitethernet 0/1
En deuxième étape on donne un nom pour l’interface spécifie
Firewall (config-if) # nameif {nom}
Exemple : on prend l’interface 1 de slot 0 par le nom Inside Firewall (config) # interface Gigabitethernet 0/1 Firewall (config- if) # nameif Inside
En troisième étape on spécifie le niveau de sécurité de l’interface Fire wall (config-if) # security-level {0…100} Le niveau de sécurité est varie entre 0 et 100, (0 désigne le bas niveau et 100 désigne le haut niveau de sécurité, généralement le 0 définit le réseau externe mais le 100 exprime le réseau interne) Exemple : on prend l’interface Inside avec haut niveau de sécurité Firewall (config) # interface Gigabitethernet 0/1 Firewall (config- if) # nameif Inside Firewall (config- if) # security-level 100
Page | 95
Chapitre V : Implémentation
En quatrième étape on configure l'adresse IP et le masque pour l'interface. Fire wall (config-if) # IP address {l’adresse IP} {masque} Exemple : on donne l’adresse IP 10.2.1.1 par le masque 255.255.255.0 à l’interface Inside Firewall (config) # interface Gigabitethernet 0/1 Firewall (config- if) # nameif Inside Firewall (config- if) # security-level 100 Firewall (config- if) # IP address 10.2.1.1 255.255.255.0
En cinquième étape on va activer l’interface.
Fire wall (config-if) # no s hutdown Et pour désactivé l’interface, on doit utiliser la commande suivante
Fire wall (config-if) # s hutdown
3. Configuration avancée du Cisco ASA Firewall: NAT : La translation d'adresse réseau Est un mécanisme permettant, entre autre, de connecter plusieurs équipements réseau à Internet via une seule adresse IP publique, leurs adresses internes restant ainsi inconnues de l'extérieur. Pour le configurer sur l’ASA, il faut utiliser les commandes suivantes. Ceci est nécessaire afin de faire communiquer les hôtes avec un haut niveau de sécurité vers ceux ayant un niveau plus bas.
Page | 96
Chapitre V : Implémentation
Activation de translation d’adresse IP : et pour cela on va utiliser la commande suivante : Firewall (config) # nat {nom_interface} {nat_id} {IP} {masque}
Tableau V-2 : description pour la commande nat
Fire wall (config) #
NAT est configuré dans le mode de configuration globale.
nat {nom_inte rface}
Active le NAT sur l'interface nommée, pour le réseau ou l'hôte spécifié
nat_id
Est un chiffre unique, supérieur à zéro. Un id égale à zéro désactive le NAT
IP
Adresse IP de réseau ou de l’hôte interne
masque
Le masque de réseau ou de l’hôte interne
Remarque : Une IP et un masque à 0 autorise tous les hôtes à démarrer des connexions. Exemple :
nat (inside) 1 0
0
La commande NAT est liée à la commande globale qui spécifie les adresses à utiliser pour la translation. Firewall (config) # global {nom_interface} {nat_id} {IP} {masque}
Tableau V-3 : description pour l a commande global
Fire wall (config) #
Mode de configuration globale.
{nom_interface}
Le nom d’interface spécifiée à la sortie
nat_id
Spécifie l'adresse IP à utiliser sur l'interface spécifiée à la sortie pour les hôtes démarrant une connexion depuis l'interface liée à la nat_id.
{IP} {masque}
L’adresse IP de sortie et son masque réseau
Page | 97
Chapitre V : Implémentation
La route Pour définir le chemin de communication entre les réseaux soit une route statique ou par défaut, Cisco ASA a définit la commande suivant : Firewall (config) # route {nom_interface} {IP} {masque} {IP_gateway} {metric}
Tableau V-4 : description pour la commande route
{nom_interface}
Le nom d’interface spécifiée à la route
{IP}{masque}
spécifiée l’adresse IP de chemin soit interne ou externe et son masque réseau
{IP_gateway}
Spécifier l’adresse IP de routeur
{metric}
Spécifier le nombre de hops (saute) allé au routeur spécifié. Si vous n’été pas sur de nombre entrez 1 qu’est un nombre par défaut
4. D’autre commande de la configuration de base : Tableau V-5 : D’autre commande
Mode de config
Commande
Utilité Copie la configuration courante dans la mémoire Flash. (Cette configuration sera utilisée au prochain
Firewall #
write memory
Firewall #
reload
Redémarre l’ASA
Firewall (config) #
show running config
Affiche le fichier de configuration actif.
Firewall (config) #
show inte rface
Affiche les informations détaillées de l'interface
Firewall (config) #
show IP
Affiche la configuration IP des interfaces
démarrage).
Affiche la configuration NAT : les interfaces Firewall (config) #
show Nat
autorisées à initier des connexions vers des interfaces moins sécurisées.
Firewall (config) #
show global
Affiche les adresses à utiliser pour les translations.
Firewall (config) #
show route
Affiche les routes configurées.
Page | 98
Chapitre V : Implémentation
5. Commandes d’édition avancée L'interface utilisateur offre un mode d'édition avancée nous permettant de modifier une ligne de commande au cours de la frappe. Utilisez les séquences de touches illustrées à la figure pour placer le curseur sur la ligne de commande afin d'apporter des corrections ou des modifications. Le mode d'édition avancée est automatiquement activé dans la version actuelle du logiciel.
Tableau V-6 : Commandes avancée
Commande
Description
Ctrl-A
Permet de revenir au début de la ligne de commande
Esc-B
Permet de reculer d’un mot
Ctrl-B (ou flèche gauche) Permet de reculer d’un caractère Ctrl-E
Permet d’atteindre la fin de la ligne de commande
Ctrl-F (ou flèche droit)
Permet d’avancer d’un caractère
Esc-F
Permet d’avancer d’un mot
Tab
Complète l’entrée
Pour gagner du temps lorsque on vous tapez des commandes, on peut entrer les caractères uniques de la commande. Appuyez sur la touche Tab, et l’interface complètera l’entrée. Lorsque les lettres tapées identifient la commande de façon unique, la touche de tabulation ne fait que confirmer visuellement que l’ASA a compris de quelle commande il s’agissait. Exemple :
Firewall # conf
Appuyez sur la touche Tab
Firewall # configure
Page | 99
Chapitre V : Implémentation
V.3.3 Traité le problè me :
1. Configuré les interfaces de réseau interne Firewall # configure terminal LAN 1 Firewall (config) # interface GigabitEthernet0/1 Firewall (config- if) # nameif group_secu Firewall (config- if) # security-level 100 Firewall (config- if) # ip address 192.168.1.2 255.255.255.240
LAN 2 Firewall (config) # interface GigabitEthernet0/2 Firewall (config- if) # nameif group_admin Firewall (config- if) # security-level 100 Firewall (config- if) # ip address 172.16.4.4 255.255.255.240
DMZ Firewall (config) # interface GigabitEthernet0/3 Firewall (config- if) # nameif dmz Firewall (config- if) # security-level 50 Firewall (config- if) # ip address 10.3.0.0 255.255.255.0
Page | 100
Chapitre V : Implémentation
2. Configuré les interfaces de réseau externe
Routeur Firewall (config) # interface GigabitEthernet1/0 Firewall (config- if) # nameif Outside Firewall (config- if) # security-level 0 Firewall (config- if) # ip address 172.16.16.0 255.255.255.0
3. Configuré le NAT
LAN 1
Firewall (config) # nat (group_secu) 4 192.168.1.2 255.255.255.240 Firewall (config) # global (Outside) 4 196.20.126.113 255.255.255.0
LAN 2
Firewall (config) # nat (group_admin) 3 172.16.4.4 255.255.255.240 Firewall (config) # global (Outside) 3 196.80.13.96 255.255.255.0
DMZ
Firewall (config) # nat (dmz) 6 10.3.0.0 255.255.255.0 Firewall (config) # global (Outside) 6 200.2.126.12 255.255.255.0
4. Configuré la route
Firewall (config) # route Outside 0.0.0.0 0.0.0.0 172.16.16.0 255.255.255.0 1
Page | 101
Chapitre V : Implémentation
V.3.4 Une image à partir de SecureCrt : Par l’utilisation de la commande show running config ASA Version 7.1(2) ! hostname Firewall domain-name securemanager.dz enable password supersecurepwd encrypted names ! interface GigabitEthernet0/0 no nameif no security-level no ip address ! interface GigabitEthernet0/1 nameif group_secu security-level 100 ip address 192.168.1.2 255.255.255.240 ! interface GigabitEthernet0/2 nameif group_admin security-level 100 ip address 172.16.4.4 255.255.255.240 ! interface GigabitEthernet0/3 nameif dmz security-level 50 ip address 10.3.0.0 255.255.255.0 ! interface GigabitEthernet1/0 nameif Outside security-level 0 ip address 172.16.16.0 255.255.255.0 ! nat (group_secu) 4 192.168.1.2 255.255.255.240 nat (group_admin) 3 172.16.4.4 255.255.255.240 nat (dmz) 6 10.3.0.0 255.255.255.0 global (Outside) 4 196.20.126.113 255.255.255.0 global (Outside) 3 196.80.13.96 255.255.255.0 global (Outside) 6 200.2.126.12 255.255.255.0 route Outside 0.0.0.0 0.0.0.0 172.16.16.0 255.255.255.0 1
Page | 102
Chapitre V : Implémentation
V.4 Conclusion: Cisco ASA est un équipement qui peut fournir plusieurs mécanismes de sécurité dans une seule plate-forme, le firewall un des ces mécanismes qui offre plusieurs fonctionnalité non seulement la translation des adresses réseau, le filtrage de trafic réseau d’après ou vers le réseau interne d’entreprise est la principale fonction pour
un firewall, car il offre une
inspection pour touts les paquets transite sur le réseau, mais la NAT elle ne fait que convertir les adresses privés par d’autre publique ou le contraire.
Page | 103
Conclusion générale : Dan cette mémoire on a étudié un mécanisme de sécurité pour élaborer une politique de sécurité au sein d’un réseau, il s’agit de Firewall qui offre plusieurs solution pour faire face au menace qui peut atteindre un réseau d’entreprise depuis l’extérieur, ou on a parler sur les principaux fonctionnement comme le filtrage des paquet et aussi sur la translation des adresses IP (NAT). Cette dernière elle peut cacher le réseau d’entreprise derrière un réseau publique cela il accompagnera de protéger son réseau de plusieurs attaque qui ont d’une source externe. Cependant ces menaces qui peut atteindre un réseau est aussi de so urce interne, un employer ou un utilisateur de réseau depuis l’intérieur de l’entreprise peut exploiter les faille de la politique de sécurité, par une simple connaissance de réseau il peut accéder a n’import quelle source d’information dans des domaines et des taches qu’elle ne concerne pas, il peut voler, détruire, et aussi modifier ces information. Et pour ces raisons la mise en place des mesures de sécurité qui peuvent réduire les risques internes est très nécessaire, une solution telle que les VLAN (Virtuel Local Area Network) est très répandu pour faire séparer les différent tache d’une entreprise.
Page | 104
Annexe A : ISO 27001
La sécurité selon la norme ISO 27001 1. Définition de la normalisation ISO : Au niveau mondial, l’ISO (International Organization for Standardization, ou en français Organisation Internationale de Normalisation) a pour missions d’élaboration de normes applicables, la promotion du développement de la standardisation et activités annexes, ainsi que le développement des coopérations dans les sphères d’activités intellectuelles, scientifiques, technologiques et économiques. La création de l’ISO remonte à 1947 et il se compose actuellement de 156 membres (organismes nationaux de normalisation). Les résultats principaux de ses travaux se formalisent à travers la publication des standards internationaux : les normes ISO. A ce jour, face à la mondialisation des échanges, à l’évolution des besoins métiers et à la diversification des menaces, l’ISO demeure un des organismes de normalisation les plus avancés dans le domaine de la sécurité de l’information au elle est présenté la famille de norme ISO 27000 cette norme qui définit la mise en œuvre d’un SMSI (Système de Management de la Sécurité d’Information) efficace. 2. La norme ISO 27001 : Cette norme qui a été publiée en Octobre 2005, est la première norme de la famille ISO 27000; elle port sur la définition d’une politique de sécurité de l’information et sa mise en œuvre. C’est une formalisation en matière d’approche de la sécurité, une prise de conscience des risques et une mise en place des procédures pour la gestion de la sécurité. 2.1 Mise en œuvre de l’ISO 27001 : Elle permet aux entreprises et aux administrations d'obtenir une certification qui atteste de la mise en place effective d'un système de management de la sécurité de l'information (SMSI). La certification de systèmes de sécurité de l’information engendre : -
la mise à exécution systématique de la politique de sécurité de l’information.
-
une gestion des risques en rapport avec la sécurité de l’information et les systèmes correspondants à l’échelle de l’entreprise.
-
la surveillance efficace et l’amélioration permanente de la sécurité de l’information.
Page | 105
Annexe A : ISO 27001
-
le développement de relations de confiance avec la clientèle, les organismes publics, partenaires…etc.
-
la garantie adéquate et permanente de la disponibilité, la confidentialité et l’intégrité.
-
la protection de l’ensemble des informations, indépendamment de la manière dont elles sont représentées et/ou sauvegardées.
2.2 Les exigences de la certification : Une entreprise qui souhaite atteindre la conformité à la norme ISO 27001 doit entre autres satisfaire aux exigences suivantes : -
établissement et maintien d’un SMSI documenté.
-
définition d’une politique en matière de sécurité de l’information.
-
réalisation d’une analyse des risques systématique et identification de même que surveillance des domaines exposés à des risques.
-
spécification et concrétisation d’objectifs en matière de sécurité adéquats et de mesures appropriées.
2.3 Les processus d’un SMSI selon ISO 275001 : La norme préconise en effet que toutes les activités liées au SMSI soient conçues et formalisées sous la forme de processus. Les porteurs et acteurs des différentes actions contribuant à la sécurité doivent donc être identifiés tout comme l’enchaînement des actions à mener pour chaque processus de sécurité.
Ce cycle vise une amélioration continue reposant
• Je fais ce que je dis
• Je dis ce que je fais
sur une logique simple : 1- Dire ce que l’on fait, et faire ce que
Plan
Do
Act
Check
l’on a dit 2- puis contrôler et corriger ce qui ne va pas.
• Je corrige et j'améliore
• Je contrôle
Figure A-1 : les processus d’un S MS I
Page | 106
Annexe A : ISO 27001
a. Planifier : (Plan = établissement du SMSI) Etablir la politique, les objectifs, les processus et les procédures du SMSI relatives à la gestion du risque et à l'amélioration de la sécurité de l'information de manière à fournir des résultats conformément aux politiques et aux objectifs globaux de l'organisme. b. Déployer : (Do = mise en œuvre et fonctionnement du SMSI) Mettre en œuvre et exploiter la politique, les mesures, les processus et les procédures du SMSI.
c. Contrôler : (Check = surveillance et réexamen du SMSI) Evaluer et, le cas échéant, mesurer les performances des processus par rapport à la politique, aux objectifs et à l'expérience pratique et rendre compte des résultats à la direction pour réexamen.
d. Agir : (Act = mise à jour et amélioration du SMSI) Entreprendre les actions correctives et préventives, sur la base des résultats de l'audit interne du SMSI et de la revue de direction, ou d'autres informations pertinentes, pour une amélioration continue dudit système.
Page | 107
Bibliographie [BAS] : www.bases-hacking.org [CIS] : www.cisco.com [COM] : www.commentcamarche.net [IAN] : www.iana.org [LIV1] : Livre Wi-Fi: Réseaux sans fil 802.11, Technologie, Déploiement, Sécurité réaliser par Philippe Atelin - 6002 [LIV2] : RESUME THEORIQUE & GUIDE DE TRAVAUX PRATIQUES Module : Dépannage de premier niveau d'un réseau local [LIV3] : Livre Communication audiovisuelle réaliser par Édouard Rivier 6002 [LIV4] : Livre Sécuriser l'informatique de l'entreprise: Enjeux, menaces, prévention et parades de Jean-Marc Royer - 6002 [LIV5] : Livre ISA Server 2004 réaliser par Philippe Mathon, Frédéric Esnouf 6002 [RFC] : RFC 1918 [TH1] : Thèse d’ingénieur d’état en informatique université Houari Boumediene : Conception et réalisation d’un système de détection d’intrusion réalisé par RARRBO Fatiha et ZERROUK Radia promotion 2005-2006 [TH 2] : Thèse de doctorat en informatique et réseau de l'Ecole Nationale Supérieure des Télécommunicationsen France : Mesure de la sécurité "logique" d’un réseau d'un opérateur de télécommunications réalisé par Cédric Llorens Soutenu le 7 novembre 2005 [TH3] : Mémoire de DEA en informatique appliquée a la gestion université de Tunis : Vers un IDS Intelligent à base d’Agents Mobiles réalisé par Farah Abdel Majid BARIKA Année Universitaire 2002/2003 [WIKI] : www.wikipedia.org
Page | 108
View more...
Comments