TD N°1 Cor [PDF]

Zitiervorschau

IUC.TD.MP2RT Question de cours 1- Définissez le concept de sécurité périmétrique Sécurité périmétrique ou zone démilitarisée : La DMZ peut aussi faire office de « zone tampon » entre le réseau à protéger et le réseau hostile.

2- Définir protocole de sécurité Ensemble des règles de sécurité d'un domaine donné.

3- Dans un réseau, qu’est ce qu’on entend par zone de confiance. ? Le réseau interne (où sont hébergés les postes des utilisateurs et les serveurs) ;

4- Dans le monde numérique toujours en mouvement, qu’est ce que la règle des cinq

neufs ? 5- Définissez le concept de politique de sécurité des Systèmes d’information La Politique de Sécurité du Système d’Information définie l’intégralité de la stratégie de sécurité informatique de l’entreprise. Elle se traduit par la réalisation d’un document qui regroupe l’ensemble des règles de sécurité à adopter ainsi que le plan d’actions ayant pour objectif de maintenir le niveau de sécurité de l’information dans l’organisme. 6- Qu’est ce qu’un portail captif Un portail captif est une application qui permet de gérer l'authentification des utilisateurs d'un réseau local qui souhaitent accéder à un réseau externe (généralement Internet) Un portail captif est une page Web que les utilisateurs voient avant de pouvoir accéder au réseau Wi-Fi. Certains l’appellent également « page de connexion » ou « portail d’authentification de l’utilisateur ». L’objectif principal d’un portail captif est de permettre d’authentifier un utilisateur afin de lui donner accès à un réseau Wi-Fi.

ALCASAR ? ZeroShell 7- Qu’est ce qu’un IDS/IPS, Donnez un exemple de NIDS

Les systèmes de détection des intrusions (IDS) analysent le trafic réseau pour détecter des signatures correspondant à des cyberattaques connues. Les systèmes de prévention des intrusions (IPS) analysent également les paquets, mais ils peuvent aussi les bloquer en fonction du type d’attaques qu’ils détectent, ce qui contribue à stopper ces attaques Les IDS et les IPS font tous deux partie de l’infrastructure réseau. Les IDS/IPS comparent les paquets de réseau à une base de données de cybermenaces contenant des signatures connues de cyberattaques et repèrent tous les paquets qui concordent avec ces signatures.

1

La principale différence entre les deux tient au fait que l’IDS est un système de surveillance, alors que l’IPS est un système de contrôle. L’IDS ne modifie en aucune façon les paquets réseau, alors que l’IPS empêche la transmission du paquet en fonction de son contenu, tout comme un pare-feu bloque le trafic en se basant sur l’adresse IP. 8- Définir vulnérabilité, Comment est-il possible de gérer une vulnérabilité? une vulnérabilité ou faille est une faiblesse dans un système informatique permettant à un attaquant de porter atteinte à l'intégrité de ce système, c'est-à-dire à son fonctionnement normal, à la confidentialité ou à l'intégrité des données qu'il contient.

1. la veille des vulnérabilités;( L’activité de veille consiste à s’informer de façon

systématique sur les technologies utilisées au sein de l’organisation.)

2. les scans de vulnérabilités; 3. les campagnes de mises à jour.

Donnez le nom de deux scanners de vulnérabilités 9- Expliquez la différence entre : Le chiffrement de flux (en anglais stream cipher) et le chiffrement par bloc (en anglais block cipher) 10- Qu’est ce qu’une infrastructure à clé publique 11- Dressez un tableau comparatif entre la cryptographie Symétrique et Asymétrique 12- Pour sécuriser les échanges ayant lieu sur le réseau Internet, il existe plusieurs approches (protocoles de sécurité). Lesquelles ? 13- Définir et donnez le rôle du protocole SSL dans un réseau Le protocole SSL (Secure Sockets Layer) était le protocole cryptographique le plus largement utilisé pour assurer la sécurité des communications sur Internet avant d'être précédé par le TLS (Transport Layer Security)  SSL signifie couche des sockets sécurisés (secure sockets layer). Protocole pour navigateurs Web et serveurs qui permet l'authentification, le chiffrement et le déchiffrement des données envoyées sur l'Internet.

14- Définir ce que s’est qu’un client VPN, quel est son intérêt pour une entreprise 15- Décrire deux variantes de l’attaque de déni de service

2

16- Comment peut-on réaliser l’attaque de déni de service (DoS Denial of Service)

dans : a-Un réseau local ethernet b-Un réseau sans fil c-Un serveur web

17-Que signifie (Smurf) ou attaque par réflexion , attaque par flooding , attaque par rejeu 18-Quelles sont les propriétés principales fournies par les systèmes cryptographiques

19-Citez les différentes composantes d’IPSec

3

20-La sécurité ne doit pas rester statique car toute défense peut être contournée. Quels sont les deux volets faisant partir d’une bonne politique de sécurité ?

21-Donnez deux types d’attaques qui peuvent être faites contre la sécurité des couches 1,2 et 3 du modèle OSI ? 21-En quoi consiste le principe de la segmentation dans la sécurité des SI ? Ce principe est-il applicable des mesures de protection de type cryptographiques ?

4

20-Un administrateur examine une session réseau à un serveur de BDD compromis avec un navigateur de paquet. Il a remarqué qu’il y’a une série répétée du caractère hexadécimal(0x90). Il s’agit d’une attaque a. SQL Injection b. Xml Injection c. Débordement de tampon d. Xss

Exercice1 Le mécanisme AH dans IPSec authentifie un datagramme dans son ensemble et intercale un champ supplémentaire d’authentification entre l’entête IP et le contenu du datagramme a)Quel sont les champs de l’entête du datagramme IP qui doivent être exclus de ce mécanisme ? b) Quelle sécurité a-t-on quant aux adresses IP utilisées ? c)On utilise IPSec avec AH en mode transport pour un utilisateur mobile qui se trouve derrière un pare-feu avec mécanisme NAT. Quelle est la conséquence ? Exercice 2 L’un des dangers des communications est l’écoute par un attaquant qui peut intercepter les messages entre deux correspondants, ce que les Anglo-Saxons désignent par l’expression « man in the middle » (littéralement, l’homme au milieu). Considérez le scénario ci-après. 5

A et B  qui ne se connaissent pas veulent partager un secret afin de chiffrer leurs communications futures. Ils utilisent un dispositif créé par Diffie et Hellman. On suppose que deux grands nombres, n et  g  sont connus et publics.   A choisit un nombre  x  et calcule  gx mod n  qu’il envoie à B , lequel, de son côté, choisit un nombre  y  et calcule  gy  mod n  qu’il envoie à  A. La théorie des nombres permet démontrer que [gx mod n]y  mod n = [gymod n ]x  mod n = gxy mod n. a)Quel est l’intérêt du système de Diffie-Hellman ? b) Imaginez que vous êtes the man in the middle , c’est-à-dire un attaquant C capable d’intercepter la communication entre A et B . Que pouvez-vous faire ?

Exercice 3

6

Ensuite, on a un analyseur de messages échangés sur un réseau local Ethernet/IP donne le résultat suivant. Il est constitué d’une suite de lignes correspondant à un message observé sur le réseau local. On   trouve un numéro d’ordre du message observé, la date de l’observation en seconde, les   adresses IP source et 7

destination, le nom du protocole circulé et le   type du message 

pour

lequel

le

message

a

Pour le message numéro 1 de la trace expliquez la signification des adresses IP source et destination (pourquoi selon vous utilise t’on ces adresses dans cet échange) ? Est-ce que les messages DHCP utilisent UDP ou TCP ? Afin d’améliorer la tolérance aux pannes, l’administrateur réseau décide de mettre en place deux serveurs DHCP sur deux machines différentes en utilisant exactement la même étendue D’adresses IP. Quels sont les conséquences de cette stratégie ? Avez-vous une meilleure proposition et en quoi elle consiste? On a aussi considéré un réseau constitué de trois sous réseaux reliés par le même routeur. Un serveur DHCP est installé dans le 1er sous réseau et un autre dans le 2ième sous réseau. 1-Une machine du 3ième sous réseau peut-elle obtenir une adresse IP en utilisant DHCP ?

2-Pourquoi avoir installé plusieurs serveurs DHCP ? Soient les messages suivants :

8

Exercice 4 On rappelle qu’une trame Ethernet est composée d’un en-tête de 14 octets, d’au moins 46 octets de données et de 4 octets pour le code CRC. Vous trouverez ci-dessous des détails sur le contenu d’un en-tête Ethernet. On considère une capture tcpdump de trames visualisée grâce à l’outil Wireshark. La partie supérieure de la fenêtre représente toutes les trames de la capture et la partie inférieure représente le détail de la trame 6 en surbrillance.

1. Décrire précisément le rôle des trames n° 1 et 2 ? 2. Quel est le rôle des trames n° 3à5? 2. De même, quel est le rôle des trames n° 9 à 12 ? 3. A quoi correspond selon vous l’échange des trames n° 6 et 8 ? On se concentre maintenant sur le détail de la trame n° 6. 9

4. Quelle est l’adresse MAC source et destination ? Quelle est la valeur correspondant au protocole réseau (en hexa) ? Il s’agit du protocole IPv4. 5. Dans le paquet IP, quelle est la valeur du champs hdrl (HeaDeR Length) ? Ce nombre représente la longueur de l’en-tête du paquet IP, comptée en mots de 32 bits. En déduire la taille en octets de cet en-tête ? 6. Donner l’écriture en hexadécimal des adresses IP de la source et du destinataire sans faire de calculs. 7. Que trouve-t-on immédiatement après l’en-tête IP ? Que représentent les 4 premiers octets ? Décodez ces valeurs.

Exercice 5 On étudie l'architecture de protection réseau suivante :

10

a)Qu’est ce qu’une zone démilitarisée(DMZ) ?, Donnez une conception et une architecture b) Compte   tenu   du   mode   de   fonctionnement   suggéré   par   le   schéma, présentez les différentes zones de sécurité associées à l'architecture de protection réseau  et leurs niveaux de sécurité respectifs. c) On suppose que les deux firewall sont de technologie identique et que le serveur d'administration et de gestion des traces est unique pour les deux. Commentez cet aspect vis à vis de l'administration et du positionnement de la DMZ d'administration. d) Ecrire une règle (iptables) qui accepte le routage entre les réseaux (192.168.10.0, LAN) et (192.168.20.0, DMZ) vers le port 80 pour le protocole TCP daspect vis à vis de l'administration et du positionnement de la DMZ d'administration.

AH ne peut pas être utilisé dans un environnement nécessitant ces modifications d'entête(NAT) IPSec pose également des problèmes lors de la traversée d'un NAT dans la mesure où l'en-tête authentifié par AH est altéré par le NAT. Avec AH, le contrôle d'intégrité échouerait

11

///// Pour mieux comprendre les différences entre AH et ESP, nous allons voir le schéma suivant : 

On peut donc voir tout en haut un paquet IP tout à fait normal, constitué d'une en-tête et des données que ce protocole transporte. En dessous, un paquet IPSec utilisant AH, la couche AH s'intercale entre l'en-tête IP et les données, mais assure l'authenticité de l'ensemble des données, en-tête comprise.  Ceci dit les valeurs variables de l'en-tête ne sont pas authentifiés, tel que le TTL. Ou[Le champ TTL et le CRC ]Évidemment, comme il est amené à changer lors de la transmission (puisqu'au travers d'internet on passe par des routeurs), si ces données étaient authentifiées, les données seraient systématiquement refusées.

12

13

//// Différence entre le chiffrement par bloc et le chiffrement par flot juillet 28, 2018 Aucun commentaire chiffrement par bloc, chiffrement par flot, définition, Différence entre, vs Chiffrement par bloc et chiffrement par flot sont les méthodes utilisées pour convertir directement le texte brut en texte chiffré et appartiennent à la famille des chiffrements de clés symétriques. La différence majeure entre un chiffrement de bloc et un chiffrement par flot est que le chiffrement par bloc chiffre et déchiffre un bloc du texte à la fois. De l’autre côté, le chiffrement par flot crypte et décrypte le texte en prenant un octet du texte à la fois. ///////

Le SSL créé un canal sécurisé entre deux machines ou appareils communiquant sur Internet ou un réseau interne. ... Lorsque des données sont envoyées via un navigateur qui utilise le protocole « https », le SSL garantit que celles-ci seront chiffrées et protégées contre toute interception. //////////////////

14

en cryptographie l 'RC5 est un algorithme de chiffrement par bloc conçu par Ronald Rivest en 1994. Il est remarquable par sa simplicité et parce que sa propre évolution (l 'RC6) Il a été parmi les candidats au 'Advanced Encryption Standard. ///

15

16

17

Le protocole IKE est en charge de négocier la connexion. Ce protocole permet deux types d'authentifications, PSK (Pre-Shared Key ou secret partagé) pour la génération de clefs de sessions ou à l'aide de certificats/signatures RSA Les deux protocoles de sécurisation IPsec : AH & ESP

En complément du protocole IKE qui établit un tunnel, IPsec s'appuie sur deux services qui peuvent être utilisés seuls ou associés. Authentication Header, AH, protocole n°51

Le protocole AH authentifie l'émetteur des données, contrôle l'intégrité du paquet IP (entête et charge utile) et assure le service anti rejeu. Il couvre donc les lettres I et A de la triade CIA. Les traitements associés utilisent des algorithmes de «hachage» tels que Message Digest 5 (MD5) ou Secure Hash Algorithm (SHA-1, SHA-256, etc.). Un algorithme de hachage est assocé à une clé issue de la méthode d'authentification choisie pour constituer un Hash base Message Authentication Code (HMAC). L'en-tête AH est inséré à la suite de l'en-tête IP pour garantir l'intégrité et l'authenticité des données. On se protège ainsi contre toute altération du paquet lors de son transit. Des représentations graphiques détaillées de l'encapsulation du protocole AH sont fournies dans le document An Illustrated Guide to IPsec pour les deux modes de fonctionnement transport et tunnel présentés ci-après. Encapsulating Security Payload, ESP, protocole n°50

18

Le protocole ESP se distingue du précédent par le chiffrement de la partie données avant encapsulation dans le paquet IP. On intègre ainsi la partie confidentialité aux fonctions de sécurisation. Ce protocole couvre donc les trois lettres de la triade CIA sur la partie charge utile du paquet. Les traitements associés, en plus des algorithmes de hachage cités précédemment, font intervenir des algorithmes de chiffrement tels que Triple Data Encryption Standard (3DES) ou Advanced Encryption Standard (AES). Comme dans le cas du protocole AH, des représentations graphiques détaillées de l'encapsulation sont fournies dans le document An Illustrated Guide to IPsec pour les deux modes de fonctionnement transport et tunnel présentés ci-après. Les deux modes de fonctionnement IPsec : Transport & Tunnel host-to-host transport mode, mode transport

Dans ce mode, les échanges de paquets IP sont sécurisés entre deux extrémités. Seule la charge utile ou payload est concernée par les traitements et l'en-tête du paquet IP est préservé pour permettre au routage de fonctionner de façon transparente. network-to-network tunnel mode, mode tunnel

Dans ce mode, les échanges de paquets IP sont sécurisés de réseau à réseau. La totalité du paquet IP (en-tête + charge utile) est encapsulée et un nouvel en-tête de paquet IP est créé. Le choix entre ces deux modes de fonctionnement est un point essentiel dans la mise en œuvre d'un VPN IPsec. L'argumentation tourne souvent autour de l'inclusion ou non de l'en-tête de paquet IP dans les fonctions de sécurité de la triade CIA et du nombre de réseaux à faire transiter via le VPN. ///////////////////

19

20

21

Attaque par rejeu Les attaques par « rejeu » (en anglais « replay attaque ») sont des attaques de type « Man in the middle » consistant à intercepter des paquets de données et à les rejouer, c'est-à-dire les retransmettre tels quel (sans aucun déchiffrement) au serveur destinataire. Ainsi, selon le contexte, le pirate peut bénéficier des droits de l'utilisateur. Imaginons un scénario dans lequel un client transmet un nom d'utilisateur et un mot de passe chiffrés à un serveur afin de s'authentifier. Si un pirate intercepte la communication (grâce à un logiciel d'écoute) et rejoue la séquence, il obtiendra alors les mêmes droits que l'utilisateur. Si le système permet de modifier le mot de passe, il pourra même en mettre un autre, privant ainsi l'utilisateur de son accès.

Attaques sur les réseaux locaux Écoute du réseau. Capturer le contenu des paquets qui ne nous sont pas destinés. F tcpdump F sniff F . . . Usurpation d’adresses (IP et MAC). Forger et envoyer des paquets avec une fausse adresse IP. . . F dsniff F . . . Vol de session. Forger des paquets permettant la prise de contrôle d’une connexion déjà établie. F juggernaut F hunt F . . .

Usurpation d’adresses (spoofing) Principe. F Forger et envoyer des paquets IP avec une fausse adresse source. Propriété. F Impossibilité de trouver la véritable source. Utilisation. F Technique souvent utilisée dans le cas d’attaque de type DoS. Rappel : Une attaque de type DoS vise l’interruption d’un service en saturant la cible de requêtes.

Vol de session (Connection Hijacking) Objectif. F Prendre la main sur une connexion déjà établie. Principe. 22

F Attendre l’établissement d’une connexion. F Désynchroniser la connexion entre le client et le serveur (en forgeant un paquet avec un numéro de séquence particulier).

Qu’est-ce qu’un réseau DMZ ? Une zone démilitarisée (DMZ) est un réseau périphérique qui protège le réseau local (LAN) interne d'une organisation contre le trafic non sécurisé.  Une DMZ est communément définie comme un sous-réseau qui se situe entre l'internet public et les réseaux privés. Il expose les services externes à des réseaux non fiables et ajoute une couche de sécurité supplémentaire pour protéger les données sensibles stockées sur les réseaux internes, grâce à des pare-feux pour filtrer le trafic. L’objectif final d’une DMZ est de permettre à une entreprise d’accéder à des réseaux non sécurisés, tels qu’Internet, tout en garantissant la sécurité de son réseau privé ou LAN. Les entreprises stockent généralement dans la DMZ des services et des ressources externes, ainsi que des serveurs pour le système de noms de domaine (DNS), le protocole de transfert de fichiers (FTP), la messagerie, le proxy, la VoIP et les serveurs web.

Comment fonctionne un réseau DMZ ? Les entreprises disposant d’un site web public que leurs clients utilisent doivent rendre leur serveur web accessible sur Internet. Ce faisant, elles mettent en danger l'ensemble de leur réseau interne. Pour éviter cela, une entreprise pourrait payer une société d’hébergement pour héberger 23

son site web ou ses serveurs publics sur un pare-feu, mais cela affecterait leurs performances. Les serveurs publics seraient ainsi hébergés sur un réseau distinct et isolé. Un réseau DMZ sert de tampon entre Internet et le réseau privé d’une entreprise. La DMZ est isolée par une passerelle de sécurité, telle qu’un pare-feu, qui filtre le trafic entre la DMZ et un réseau LAN. La DMZ est protégée par une autre passerelle de sécurité qui filtre le trafic provenant de réseaux externes. Elle est idéalement située entre deux pare-feux, et la configuration du pare-feu de la DMZ garantit que les paquets réseau entrants sont contrôlés par un pare-feu, ou d’autres outils de sécurité, avant qu’ils ne soient transmis aux serveurs hébergés dans la DMZ. Cela implique que même si un assaillant complexe parvient à passer le premier pare-feu, il doit également accéder aux services renforcés de la DMZ avant de pouvoir causer des dommages à l'entreprise. Si un assaillant parvient à infiltrer le pare-feu externe et à compromettre un système dans la DMZ, il doit également franchir un pare-feu interne avant d’accéder aux données sensibles de l’entreprise. Un acteur malveillant complexe peut très bien être capable de s’infiltrer dans une DMZ sécurisée, mais les ressources qui s'y trouvent doivent déclencher des alarmes qui permettent d'avertir à temps qu'une violation est en cours. Les entreprises qui doivent se conformer à des réglementations, telles que la loi HIPAA (loi américaine sur la portabilité et la responsabilité des assurances maladie), installeront parfois un serveur proxy dans la DMZ. Cela leur permet de simplifier la surveillance et l’enregistrement de l’activité des utilisateurs, de centraliser le filtrage du contenu web et de s’assurer que les employés utilisent le système pour accéder à Internet.

Conception et architecture DMZ Une DMZ est un « réseau grand ouvert ». Toutefois, plusieurs approches de conception et d'architecture permettent de la protéger. Une DMZ peut être conçue de plusieurs façons, d’une approche à pare-feu unique à des pare-feux doubles et multiples. La majorité des architectures DMZ modernes utilisent des pare-feux doubles qui peuvent être étendus afin de développer des systèmes plus complexes. 1. Pare-feu unique : Une DMZ dotée d’une conception à pare-feu unique nécessite trois interfaces réseau ou plus. Le premier est le réseau externe, qui relie la connexion Internet publique au pare-feu. Le deuxième est le réseau interne, tandis que le troisième est connecté à la DMZ. Diverses règles permettent de surveiller et contrôler le trafic autorisé à accéder à la DMZ et limitent la connectivité au réseau interne. 2. Double pare-feu : le déploiement de deux pare-feux avec une DMZ entre eux reste généralement une option plus sécurisée. Le premier pare-feu n'autorise que le trafic externe vers la DMZ et le second n'autorise que le trafic qui relie la DMZ au réseau interne. Un assaillant devrait compromettre les deux pare-feux pour accéder au réseau LAN de l'entreprise.

24

25

26

27