Sécurité Réseaux - M2SIR - Bey Fella - PDF
Document Details
Uploaded by StrongHouston
USTHB
Bey Fella
Tags
Summary
Ce document présente un cours sur la Sécurité Réseaux. Il aborde les principes de base en matière de sécurité, les différentes ressources à protéger et les objectifs de base de la sécurité, notamment la confidentialité, l'intégrité, la disponibilité, l'authenticité, la traçabilité et la non-répudiation. Des menaces et types d'attaques sont aussi mentionnés, ainsi que des concepts comme les botnets et les attaques ARP.
Full Transcript
M2SIR ´ Enseignante Bey Fella ´ Email : [email protected] 1 2 Cour1 : principes de base de sécurité 3 Introduction ´ A l’heure actuelle, les besoins en matière de sécurité sont grandissants. ´ La sécurité est présente à plus...
M2SIR ´ Enseignante Bey Fella ´ Email : [email protected] 1 2 Cour1 : principes de base de sécurité 3 Introduction ´ A l’heure actuelle, les besoins en matière de sécurité sont grandissants. ´ La sécurité est présente à plusieurs niveaux Définition 4 ´ la sécurité informatique (wikipedia) : est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires à la mise en place des moyens visant à empêcher l'utilisation non autorisée, le mauvais usage, la modification ou le détournement du système d'information. ´ La sécurité du réseau comprend les politiques et les pratiques de sécurité informatique pour protégé un réseau informatique ´ La sécurité de transmission comprend les politiques et les pratiques de sécurité informatique pour protégé les données transmises dans un réseau informatique Ressources à protéger ´ Les données informatiques ´ Les systèmes ´ Les infrastructures réseaux ´ Protéger : Les logiciels, les ´ Protéger : Les serveurs, Systèmes d’exploitation, PC,, Matériels réseaux, les outils de Alimentation Électrique, développement,... 5 ´ Traçabilité ´ Authenticité ´ Non-répudiation ´ Intégrité ´ Disponibilité ´ Confidentialité Les objectifs de base de la sécurité : 7 Les objectifs la sécurité source destination Flux normal 8 Les objectifs la sécurité 1. La Confidentialité Information Information source destination Interception assurer que seuls les sujets autorisés aient accès aux ressources et aux informations aux quelles ils ont droit. 9 Les objectifs la sécurité 2. l’intégrité Information Information source destination Modification l’intégrité vise à assurer que les données ne soient pas corrompues, altérées ou détruites par des sujets non autorisés. 10 Les objectifs la sécurité 3. L’authenticité Information Information source destination Fabrication est l’assurance qu’une information provient bien de la source dont il prétend venir. 11 Les objectifs la sécurité 4. La disponibilité Information Information source destination Interruption La disponibilité vise à assurer que les services soient accessibles 12 Les objectifs la sécurité 5. La non-répudiation Impossibilité de nier avoir requis une action par un sujet ou exécuté une action par un objet. 13 Les objectifs la sécurité 6. La Traçabilité consiste à repérer l’histoire des entités et leur mouvement. Utilisant les fichiers LOG 14 Définition Ø vulnérabilité (faille) est une faiblesse dans un système informatique permettant à un attaquant d’atteindre l'intégrité de ce système. Ex : compte utilisateur sans mot de passe. Ø Menace informatique :est un danger qui existe dans l’environnement d’un system informatique indépendant de celui-ci. Exemple : Pirate , employé mécontent, concurrent …etc Ø Risque : est une probabilité qu’une menace particulière puisse exploiter une vulnérabilité donnée du système. Ø Contremesures : les méthodes de contrôle implémentées dans le SI pour diminuer ou éliminer le risque ex : configuré un mot de passe fort pour le compte utilisateur. Charte informatique. 15 menace Risque vulnérabilité 16 menace Contremesures Risque résiduel accepté vulnérabilité 17 Les menaces ´ 2 types de menaces : 1. accidentelles : ne supposent aucune préméditation exemple : bugs logiciels, les pannes matérielles, catastrophe naturelle. 2. Intentionnelles : reposent sur l’action d’un tiers désirant s’introduire et relever des informations Elle peut être : 1. attaque passive :l’intrus va tenter de dérober les informations. ne modifie pas les fichiers. 2. attaque active : l’intrus aura volontairement modifié les fichiers ou le système ´ Menace intentionnelles = l’attaque 1. ex : obtenir l’accés a un SI. 2. Trouble le bon fonctionnement d’un service 3. Voler les information confidentiel 18 Les attaques ´ Une attaque informatique est l’exploitation d’une faille informatique. ´ est un acte malveillant envers un dispositif informatique via un réseau. 19 pirate informatique ´ Black Hat : méchant ´ des hackers mal intentionnés sur le web. ´ utilisent leurs compétences en informatique pour pirater et nuire à des particuliers, des entreprises ou des gouvernements. ´ White hat : gentil : réaliser kali linux ´ est un hacker éthique ou un expert en sécurité informatique ´ qui réalise des tests d'intrusion et d'autres méthodes de test afin d'assurer la sécurité des systèmes ´ Grey hat : ni gentil ni méchant ´ qui agit parfois avec éthique, et parfois non. ´ désigner ceux qui se situent entre hacker white hat et hacker black hat. 20 pirate informatique ´ cybercriminel: ´ Homme qui commet un crime à l'aide d'outils informatiques ´ afin d'obtenir illégalement de l'argent ou un quelconque profit. ´ hacktiviste: ´ consiste à s'introduire frauduleusement dans un système ou un réseau informatique pour le détourner, dans le cadre idiologique (politique, religieuse ou sociale). ´ Exemple : anonymous « la liberté d’experession » ´ Script kiddie (lamer ): ´ Aucune compétences en sécurité informatique ´ essaient d'infiltrer des systèmes en se servant de programmes– souvent des scripts , simples d'utilisation, mais qu'ils ne comprennent pas. Ex : nmap , arpspoof, shelfish pirate informatique 21 Carders : attaquer les cartes a puces. Crackers: craquer la licence des logicielles pour les rendre gratuit. Phreakers : attaque les réseaux téléphonique passer un appel sans avoir à payer 22 Typologie des attaques ´ Les attaques sur les systèmes ´ Le vol des mots de passe ´ L’accès aux fichiers et répertoires sans autorisation ´ Les attaques sur l’information ´ L’écoute de données communiquées sur le réseau ´ La modification des données communiquées sur le réseau ´ Les attaques sur les applications ´ Attaquer les applications réseaux (émail, DNS, Web, FTP, …) ´ Les attaques sur les protocoles de communications ´ Exploiter les failles des protocoles et de leur implémentations ´ (IP, UDP, TCP,DHCP …) Classification des attaques 23 ´ Attaque de modification ´ Attaque d’accès ´ Attaque par saturation DOS ´ Attaque par répudiation 24 Attaque physique Borne de recharge USB publique 25 USB SYNCSTOP 26 est un appareil qui peut être inséré entre un port USB et un appareil en chargement (tablette, téléphone) pour prévenir des attaques 27 USB Rubber Ducky Clée USB qui fait des injections de touche. Se comporte comme un clavier une fois brancher Est un clavier programmable (scriptes) Contrôle totale et récupérer des données sensibles. 28 USB Killer détruit les composants physiques de n'importe quel appareil auquel il est connecté 29 Keylogger « enregistreur de frappe » est un périphérique qui fait l'enregistrement des événements du clavier 30 Les attaques possibles 31 Attaque de reconnaissance Trouver ´ des informations personnelles. ´ @ip ´ Numéro de port ouvert ´ SE ´ Application installer ´ Les vulnérabilité Outils Collecte d’information: les scanners 32 ´ Les pirates utilisant des scanners pour obtenir des informations sur les systèmes cibles ´ Le plus célèbre : SATAN (Security Administrator’s Tool for Analysing Networks) et ses dérivés (SARA : www-arc.com/sara/) ´ Le plus récent et performant : NESSUS sous Linux (www.nessus.org) ´ WebTrends Security Analyzer (www.webtrends.com) ´ founit le nom et la nature ainsi que le niveau de risque et la manière de remédier au problème ´ Rien n’empêche un administrateur de tester tous ses systèmes à l’aide de ces outils 33 Attaque de reconnaissance 2 types : ´ Reconnaissance active : le pirate interagit avec la victime ´ Reconnaissance passive: le pirate peut obtenir des information de la victime sans la solliciter. Reste a l’écoute. 34 Outils de reconnaissance Leaks : fuite de données 35 36 37 38 39 40 Intrusion par Porte dérobée (backdoor) ´ Modifier les règles du par feux ´ Créer un autre compte administrateur ´ Laisser des ports ouvert 41 Programmes malveillants Programmes malveillants : Destruction par 42 virus ´ Un virus est un programme caché dans une autre programme. ´ il est capable de se reproduire et d’infecter d’autre programme et d’autre ordinateur. ´ Chaque virus a une signature virale pour éviter d’infecter un fichier plus que une seuls fois afin de ne pas infecter le virus. 43 Solution au virus ´ Installer un antivirus: ´ Un antivirus est un programme capable de détecter la présence d’un virus et dans la mesure du possible le désinfecter Signature virale Contrôleur d’integrité Mettre en supprimer Réparer quarantaine 44 Programmes malveillants : Destruction par Macro virus ´ Les macrovirus utilisent le langage de programmation d'un logiciel pour en altérer le fonctionnement. Ils s'attaquent principalement aux logiciel qui comporte des macro. 45 Programmes malveillants : Destruction par vers ´ Un ver informatique (worm) est un programme qui s’auto-reproduir sur plusieurs ordinateurs en utilisant un réseau. Ex : mail. Messengers …. 46 Programmes malveillants : Destruction par bombes logique ´ Programme malveillant qui se déclenche a une date ou un moment donné ou bien au lancement d’une commande. ´ Permet de cracher la machine 47 Programmes malveillants : Intrusion par Cheval de Troie (Trojan ) ´ C'est un programme p de petite taille caché dans un autre programme P. ´ Lorsque P est lancé, p se lance également et ouvre les ports. ´ Créer des portes dérobées (BackDoor) afin d’y pénétrer: ´ Solution : firewall Les canulars (Hoax) 48 ´ Un canular est une information erronée poussant le destinataire a la diffuser a tous les gents qui connais. ´ Désavantages: ´ L engorgement du réseau a cause des information diffusé. ´ Perte de temps ´ Dégradation de l’image d’une personne d’une marque ou produit ´ l’incrudilité Attaque ransomware 49 ´ = rançon + malware. Ex Wanna cry , petya ´ Infecter un ordinateur , et chiffrer les données sensible (avec la clé privé du pirate) puis demander un rançon pour récupérer les fichiers. Programmes malveillants : les logiciels 50 espions (Spywars) ´ un logiciel espion recueille des informations sur la victime : ´ L’historique de navigation ´ Numéro de carte de crédit ´ Les mots de passe Programmes malveillants : logiciel 51 publicitaire (adware) Est un logiciel qui affiche une publicité lors de son utilisation. Attaque: Email bombing/spamming 52 ´ Bombing : envoi d’un message répété à une même adresse ´ Spamming: le message est envoyé à des milliers d’adresses emails ´ Falsification de l’adresse d’origine ´ Effet : Saturation des ressources systèmes et des ressources réseaux (Congestion du réseau) ´ Crash du serveur de messagerie, Indisponibilité du serveur ´ Il existe des programmes (UpYours) qui permettent de lancer depuis n'importe quelle machine sur Internet, une multitude (certains génèrent 1000 e-mails/min) de mails vers une personne sans qu'elle sache l'expéditeur ´ Action : Filtrage , anti spam 53 Attaque DOS (DENI of service) ´ Est conçus pour arrêter ou rendre un ordinateur ,une ressources réseau ou un service indisponible pour l’utilisation légitime. ´ est lancée par une seule connexion 54 Attaque DOS (DENI of service) DOS par exploitation de vulnérabilité DOS par saturation Etablissement de connexion TCP 55 L’initiateur Le récepteur SYN N SYN M ACK N+1 ACK M+1 Le processus d’établissement de le connexion proprement dit TCP est connu sous l’appellation Three-Way-Handshake « Poignée de main en trois temps » Attaque DOS (Syn flooding) 56 SYN Seq 500 Seq 300 Ack 501 SYN ACK ACK Seq 501 Ack 301 Établissement d’une connexion TCP 57 Attaque DOS (Syn flooding) Machine A SYN : @source inexistante ex : 10.15.0.20/24 Syn Ack ACK 192.168.0.10/24 192.168.0.20/24 RST Connexion semi ouverte 58 Attaque DOS (Syn flooding) Machine A SYN : @source inexistante ex : 10.15.0.20/24 192.168.0.10/24 192.168.0.20/24 SYN Attaque TCP Hijacking : Détournement d’une 59 session TCP Machine A Je suis la machine B Connexion TCP 192.168.0.10/24 192.168.0.20/24 Machine B 192.168.0.30/24 Attaque TCP Hijacking : Détournement d’une 60 session TCP Machine A Syn @IP source.30 Syn Ack 192.168.0.10/24 192.168.0.20/24 Machine B 1 er problème : Rst Connexion annuler par le paquet Rst 192.168.0.30/24 Attaque TCP Hijacking : Détournement d’une 61 session TCP Machine A Syn @IP source.30 Sy Syn Ack 192.168.0.10/24 192.168.0.20/24 n Machine B 192.168.0.30/24 Attaque TCP Hijacking : Détournement d’une 62 session TCP Machine A Syn @IP source.30 Ack Ack num Seq +1 ck Sy n A 192.168.0.10/24 50 1 192.168.0.20/24 A ck 3 00 Se q Machine B 2 eme problème : comment savoir le numéro de séquence 192.168.0.30/24 prédiction du numéro de séquence 63 Machine A Syn Syn Ack Seq 300 Syn Seq 305 Seq 310 Syn Syn Ack 192.168.0.10/24 192.168.0.20/24 Attaque a l’aveugle Attaque TCP Hijacking : Détournement d’une 64 session TCP Machine A Syn @IP source.30 ACK Ack 316 Sy Ack Sy n 192.168.0.10/24 192.168.0.20/24 n A ck 501 15 Se q 3 Machine B 192.168.0.30/24 Attaque (DDoS) Distributed Deni of Service" 65 ´ réalisée par un envoi massif de requêtes. ´ est lancée par plusieurs connexion ´ qui ciblent toutes la même victime. ´ Il inonde le réseau de paquets de données. 66 Exemple d’outils d'attaque DoS ´ Nemesy 67 Attaque (DDoS) ex : Smurf ICMP attaque par réflexion victime Paquet ICMP spoofé: @source : @IP victime @destination : @ difussion 68 Attaque : Smurf ICMP Attaque : Smurf ICMP 69 70 Intrusion par sniffing ´ Les sniffers ou renifleurs de paquets sont des outils qui servent à récupérer l’ensemble des données transmises par le biais d’un réseau de la couche 2 à la couche 7 du modèle OSI. Attaque sur le mot de passe 71´ Attaque par force brute : essayant toutes les combinaisons possible ´ Attaque par dictionnaire : faire une comparaison avec le dictionnaire. ´ Phishing, pharming, sniifing ,Cheval de Troie, keyloggers 72 Attaque hybride ´ Attaque par force brute + Attaque par dictionnaire 73 Attaque MITM (man in the middle) ´ 1 ere étape : scanne du réseau pour trouver l’@ ip de la cible ex : nmap ´ 2 eme étape : spoofing = l’usurpation d’identité PC2 PC1 ´ 3 eme étape : routage 74 Attaque d‘ingénierie social ´ une pratique de manipulation psychologique à des fins d'escroquerie. ´ Les pirates utilisent des pratiques trompeuses pour obtenir les mots de passe, coordonnées bancaires et autres informations personnelles de leurs cibles. ´ Ex : phishing 75 Attaque d‘ingénierie social 76 1. phishing : 2. pharming : le détournement vers des sites frauduleux ´les pirates modifient les adresses IP stockées sur le serveur DNS. La victime est dirigé vers un faux site Web contrôlé par l'attaquant. Ce site Web demandera à l'utilisateur de fournir ses informations d'identification personnelles. Fichier host 77 Fichier host 78 Fichier host 79 Fichier host 80 81 Methodes du Pharming ´ 1. Attaque sur le fichier hosts local : ´ Modifier le cache DNS. ´ manipuler les adresses IP stockées afin que chaque demande soit redirigée vers un site frauduleux. ´ 2. Attaque sur le serveur DNS « DNS flooding » ´ infecter directement le serveur DNS 82 83 Spoofing ´ Se faire passer pour l’interlocuteur légitime aux niveaux : ´ Liaison des données (ARP spoofing) : Introduction de fausse réponses ´ Réseau (IP spoofing) ´ Application (email/DNS/web spoofing) ´ Physique: Usurpation d’adresse MAC (MAC spoofing) 84 Attaque: ARP Spoofing : contamination du cache ARP ´ Pour rappel, le protocole ARP utilise l’adresse IP d’un hôte connu pour lui demander quelle est son adresse MAC. Ainsi ARP utilise une série de requêtes en broadcast puis écrit le résultat obtenu dans son cache ARP ´ l’attaque consiste à empoisonner le cache des victimes avec son adresse MAC en correspondance des adresses IPv4 à usurper et à activer le routage IPv4. De manière crédule, les victimes vont livrer le trafic au pirate. Attaque: ARP Spoofing 85 86 Attaque: ARP Spoofing IP Spoofing : usurpation d'adresse IP 87 88 Attaques Ethernet: MAC spoofing ´ Vulnérabilité: lorsqu’une adresse MAC (source) apparaît sur un port, le commutateur met à jour sa table. ´ Attaque: inonder le commutateur avec de fausses trames ayant l’adresse MAC source ciblée ´ Le commutateur ajoute cette nouvelle paire (MAC, Port) dans sa table (Content Adressable Memory : CAM) et enlève celle qui était déjà là. ´ Les switches utilisent leurs tables de commutation pour diriger une trame vers un port spécifique. ´ Lorsqu’une adresse MAC ne se retrouve pas dans la table CAM, le commutateur diffuse la trame sur tous les ports. ´ Attaque: L’attaquant inonde le commutateur avec de fausses trames ==> le commutateur se transforme en HUB (diffusion) 89 Attaques Ethernet: inondation de la table CAM : MAC spoofing 90 DHCP starvation attacks inonder le serveur DHCP autorisé de messages de demandes DHCP REQUEST en utilisant des adresses MAC source spoofées. l'épuisement du stock DHCP L'usurpation d'identité DHCP spoofing 91 1. DHCP starvation attacks : 1. Etouffer le serveur DHCP 2. Le pirate envoi un DHCPOFFER a la victime se faire passer (spoof) pour la passerelle (Gateway) ou le serveur DHCP par défaut => MITM DHCP Snooping 92 93 Exploitation des fichiers de logs ´ L'analyse des fichiers de données révèle souvent de précieux renseignements. Certains de ces fichiers gardent des traces de l'activité réseau. 94 Les botnets ´ Un dispositif infecté est appelé bot (ou robot). Un ensemble de ces robots constitue un botnet (ou réseau de robots) ´ machines « zombies ». Ces machines sont exploitées par des pirates qui les forcent à se connecter à des réseaux, appelés botnets, afin de mieux les contrôler à distance ´ réseau de machines compromises Phase de création d’un bootnet 95 Usages des botnets 96 ´ La fraude publicitaire : les clics sur des publicités pour gagner de l’argent ´ Le vol de vos données privées : les coordonnées de votre carte de crédit ´ Une attaque DDoS de botnet ´ L’envoi de courriers indésirables ´ La fraude au vote ´ L’attaque par force brute
