Sécurité des réseaux: Types d'attaques et techniques

Questions and Answers

Quelle est la principale fonction d'un pare-feu dans la sécurisation d'un réseau ?

• Accélérer la vitesse de transmission des données sur le réseau.
• Crypter les données transmises sur le réseau.
• Empêcher physiquement l'accès non autorisé au réseau.
• Inspecter et filtrer les paquets réseau entrants et sortants. (correct)

Quel type d'attaque réseau consiste à envoyer un grand nombre de requêtes pour rendre un service indisponible ?

• Injection SQL.
• Déni de service (DoS). (correct)
• Usurpation d'adresse MAC.
• Attaque par force brute.

Quelle est la particularité d'un scan TCP SYN par rapport à une connexion TCP complète ?

• Il est utilisé uniquement pour les connexions chiffrées.
• Il ne crée jamais une connexion TCP complète, diminuant ainsi les chances d'être enregistré. (correct)
• Il est plus lent et plus précis qu'une connexion TCP complète.
• Il établit une connexion TCP complète, ce qui le rend plus fiable.

Quel est le rôle principal d'un système de détection d'intrusion (IDS) ?

Analyser le trafic réseau et alerter en cas d'activité suspecte. (A)

Quelle est la fonction principale d'un VPN (Virtual Private Network) ?

Créer un tunnel sécurisé pour transmettre des données sur un réseau non sécurisé. (A)

Dans le contexte de la sécurité réseau, qu'est-ce que la segmentation ?

La division du réseau en zones distinctes avec des règles d'accès filtrées. (C)

Quel est l'avantage principal de l'utilisation d'un répartiteur de charge (Load Balancer) en termes de sécurité ?

Il protège contre les attaques par déni de service distribué (DDoS). (A)

Quelle est la différence fondamentale entre un IDS (Intrusion Detection System) et un IPS (Intrusion Prevention System) ?

Un IDS alerte sur les intrusions, tandis qu'un IPS bloque activement les intrusions. (A)

Pourquoi est-il important de maintenir à jour un logiciel antivirus ?

Pour se protéger contre les nouvelles menaces et les malware. (B)

Dans un réseau VPN de site à site, quel protocole est typiquement utilisé pour gérer le tunnel sécurisé au niveau de la couche Internet ?

IPsec (Internet Protocol Security). (C)

Flashcards

Segmentation du réseau

Processus de séparation d'un réseau en plusieurs zones pour limiter l'accès.

Anti-virus

Logiciel qui détecte et bloque les logiciels malveillants connus en utilisant une base de données de signatures de malware.

Répartiteur de charge

Dispositif qui distribue la charge réseau entre plusieurs serveurs.

IDS/IPS

Analyser le trafic réseau pour détecter des tentatives d'intrusion.

VPN

Réseau virtuel qui permet à deux réseaux distants de communiquer de manière sécurisée via des réseaux non fiables.

Pare-feu

Mécanisme de filtrage basé sur un ensemble de règles pour inspecter les paquets réseau entrants et sortants.

Attaques réseaux actives

Attaques qui interrompent, interceptent, modifient ou fabriquent des données.

Principe de moindre privilège

Le plus petit privilège possible.

Attaques réseaux passives

Attaques consistant à écouter le trafic sans le modifier.

Scan TCP SYN

Type de scan où vous envoyez un paquet SYN.

Study Notes

Sécurité des réseaux : Attaques réseaux

• Les attaques réseau se classifient en passives et actives.
• Les attaques passives incluent la capture et l'analyse du trafic.
• Le masquarade, le rejeu, le déni de service, et la modification de message sont des attaques actives.
• Les attaques affectent la disponibilité, l'intégrité, la confidentialité et l'authenticité.
• Interruption : affecte la disponibilité.
• Modification et fabrication compromettent l'intégrité.
• Interception mine à la confidentialité.

Techniques de Scan

• Une technique de scan implique d'envoyer un paquet SYN et d'attendre une réponse.
• SYN+ACK indique que le port est ouvert.
• RST indique que le port est fermé.
• Un avantage de cette technique est qu'elle ne crée pas de connexion TCP.
• Un inconvénient est qu'elle requiert un privilège root (Raw socket).
• TCP connect(), TCP SYN, TCP FIN, TCP Xmas, TCP Null, TCP ACK, Fragmentation Scan, FTP bounce scan, Idle Scan et UDP scan sont des techniques de scan d'attaques réseaux.

Exemples d'attaques réseaux

• Les attaques qui permettent d'écouter le trafic réseau:
• L'usurpation d'adresse MAC pour tromper le commutateur
• Ou changement frauduleuse de la configuration du commutateur
• Attaque sur le protocole STP (Spanning Tree Protocol)
• Attaque sur le routage
• Les attaques qui permettent d'interférer avec une session réseau.
• ARP spoofing, IP spoofing, Man-In-The-Middle.
• Les attaques qui permettent de mettre le réseau en déni de service.
• Attaque par inondation (ping, SYN).
• Attaque sur DNS.
• Distributed Denial of Service (DDoS).
• La traversée des équipements filtrants se fait par :
• La modification du port source.
• La fragmentation des paquets IP.

Sécurisation d'un réseau

• Pare-feu : C'est un equipement qui inspecte les paquets réseaux entrants et sortants d'un réseau à l'autre.
• Il implémente un mécanisme de filtrage basé sur des règles.
• Historiquement, les règles de filtrage étaient basées sur les couches basses de la pile protocolaire (réseau, transport).
• Les pare-feux filtrent selon les données de la couche applicative (protocole et contenu).
• Les proxy et reverse-proxy sont considérés comme des pare-feux applicatifs dédiés.
• Un anti-virus/mécanisme de détection d'intrusion peut être implémenté sur le pare-feu.
• L'exploitant du réseau peut restreindre le trafic entrant et sortant aux connexions légitimes.
• Les types de pare-feux incluent pare-feu sans état et avec état.
• Solutions Parefeu : Palo Alto, Fortinet, Check Point, Sense.
• Load-Balancer (Répartiteur de charge) est un équipement utilisé sur les grosses infrastructures pour gérer le trafic élevé.
• Il répartit la charge réseau selon les caractéristiques et la disponibilité des serveurs.
• Les avantages de sécurité incluent une meilleure protection contre les dénis de service distribués.
• Autres solutions: Agrégation de liens, GLBP/HSRP/VRRP, Cluster
• Anti-virus: logiciel de détecter et stopper les malware connus
• Les anti-virus fonctionnent avec une base de données de signatures de malware.
• Ils analysent en permanence les fichiers et les exécutables.
• Une limite est qu'ils ne détectent que les malware déjà répertoriés.
• L'utilisation de l'intelligence artificielle (IA) est une solution.
• Un anti-virus peut être déployé localement ou en coupure des flux réseaux sur un pare-feu.

IDS et IPS

• IDS (Intrusion Detection System) et IPS (Intrusion Prevention System) analysent le trafic réseau.
• Ils détectent les tentatives d'intrusion en analysant le comportement des flux réseaux (IA).
• Ils détectent les intrusions en se basant sur une base de signatures.
• En cas de détection, les IDS alertent les administrateurs. Les IPS bloquent les flux réseau.
• Les IDS/IPS requièrent une configuration fine et maintenue.
• Les IDS sont positionné en écoute où un IPS est en coupure du flux réseaux.

SIEM

• Security Information and Event Management
• La corrélation des logs

VPN

• Virtual Private Network
• Un VPN permet à deux réseaux distants de communiquer en toute sécurité.
• Il applique un chiffrement et un motif d'intégrité, créant un tunnel virtuel avec des données chiffrées.
• Les données qui passent sur Internet sont chiffrées et non compréhensibles.
• Le mécanisme d'intégrité permet de détecter les modifications malveillantes.
• VPN de site à site géré par les routeurs IPsect au niveau de la couche Internet.
• VPN entre systèmes au niveau TLS - au niveau de la couche Transport (OpenVPN).

Architecture IPsec

• Comprend des éléments tels que IKEv2 pour l'échange de clés, SPD (Security Policy Database), et SAD (Security Association Database).
• SPD et SAD sont utilisés par IPsecv3 et la protection des données ESP.

SAD

• Sécurité Index Paramètre
• Comprend des index tels que et des champs comme SN (Sequence Number) et MTU (Path MTU).

SPD

• Index de politique
• Inclut des éléments tels que SA (Source Address), DA (Destination Address), et les ports source et destination.

Trafic sortant et entrant

• Le trafic sortant transite par l'Outbound SPD et le trafic entrant par l'Inbound SPD.
• Les décisions d'appliquer ou d'écarter la politique sont prises à chaque étape du processus.

Sécurisation d'un réseau: IPSec

• Mode Transport : Protection du trafic IP point à point, implémentable sur les équipements.
• Mode Tunnel : Encapsulation du paquet IP initial dans un nouveau paquet protégé.
• Permet de protéger les communications entre deux réseaux.

IPSec en mode transport

• Transport layer | Transport layer payload : IPSec-H avec Transport layer IPSec-T
• Network layer IP-HH: header T: trailer | IP payloadIPSec

IPSec en mode tunnel

• IPSec-H (IPSEC-H)
• Network layer New header (IP-H) : New IP payload (IP payload): tunnel
• Route A vers Route B avec Network layer packet virtual

Sécurisation d'un réseau

• Protocoles de sécurité et Modèle OSI

Segmentation

• Un principe majeur de la Sécurité est celui du moindre privilège
• On doit accorder l'accès à une ressource aux seuls individus qui en ont besoin
• Appliqué au réseau , il faut séparer le réseau en zones distinctes
• Limitez ensuite l'accès pour n'autoriser que les flux nécessaires entre les zones
• Il existe plusieurs méthodes pour procéder à la segmentation.
• La méthode la plus élémentaire consiste à mettre en œuvre deux réseaux séparés, non connectés.
• Avantage: étanchéité réseau parfaite
• Inconvénient: convient uniquement aux réseaux sensibles et n'est pas parfait pour les réseaux d'entreprises
• Les VLAN (Virtual LAN) sont une autre technique.

VLAN (Virtual LAN).

• Les VLAN sont des réseaux virtuels mis en œuvre par les commutateurs. Ceux-ci limitent dans une certaine mesure les conversations entre appareils en fonction des règles définies sur l'appareil réseau:
• La segmentation peut être effectuée à l'aide des ports Ethernet de chaque commutateur
• La segmentation peut également être basée sur les adresses MAC des systèmes.