El Hachlafi Securite

ISTA AL MASSIRA
Introduction
Avec le dveloppement de l'utilisation d'Internet, de plus en plus d'entreprises ouvrent Leur systme d'information leurs partenaires ou leurs fournisseurs, il est donc essentiel de Connatre les ressources de l'entreprise protger et de matriser le contrle d'accs et les droits des utilisateurs du systme d'information. Il en va de mme lors de l'ouverture de l'accs de l'entreprise sur internet. Par ailleurs, avec le nomadisme, consistant permettre aux personnels de se connecter au systme d'information partir de n'importe quel endroit, les personnels sont amens transporter une partie du systme d'information hors de l'infrastructure scuris de l'entreprise. Tout a est juste pour faire changer les informations paisiblement entre les gens partout dans le monde Alors do proviennent les attaques, quels sont les attaquant et comment ils sengagent ???
I. Les pirates
1-white hat hackers papeuvent tre consultants en scurit, administrateurs rseaux, ou travailler au sein de la communaut open source. Certains dentre eux sont dailleurs lorigine de lopen source et de la philosophie qui en dcoule.
Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA Devenir un hacker white hats cest assimiler des connaissances et de lexprience en participant aux projets de la communaut, afin dtre accept par ses membres. Cela ncessite de linvestissement dans des projets open source, et dadopter une certaine culture. 2-black hat hackers Les blacks hats utilisent leurs connaissances pour dfaire ou contourner, but malveillant, les systmes et les rseaux dinformations. Ils ont galement leur propre communaut. On peut les qualifier de pirates informatiques dans le sens o leurs actions sont nuisibles. Leurs cibles peuvent tre nimporte quel rseau dentreprise, des serveurs nvralgiques dInternet ou d'organisation comme la NASA, des sites de gouvernement... Ils sont aussi lorigine dun certain nombre de menaces tels que les virus, vers de terre... Leurs cibles sont alors nimporte quel ordinateur branch sur le web . 3-script kiddies (Traduisez gamins du script, parfois galement surnomms, lamers ou encore packet monkeys, soit les singes des paquets rseau) sont de jeunes utilisateurs du rseau utilisant des programmes trouvs sur Internet, gnralement de faon maladroite, pour vandaliser des systmes informatiques afin de s'amuser. 4-phreakers Sont des pirates s'intressant au rseau tlphonique commut (RTC) afin de tlphoner gratuitement grce des circuits lectroniques (qualifies de box, comme la blue box, la violet box, ...) connects la ligne tlphonique dans le but d'en falsifier le fonctionnement. On appelle ainsi phreaking le piratage de ligne tlphonique. 5-carders Sattaquent principalement aux systmes de cartes puces (en particulier les cartes bancaires) pour en comprendre le fonctionnement et en exploiter les failles. Le terme carding dsigne le piratage de cartes puce. 6-crackers Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA Ne sont pas des biscuits apritifs au fromage mais des personnes dont le but est de crer des outils logiciels permettant d'attaquer des systmes informatiques ou de casser les protections contre la copie des logiciels payants. Un crack est ainsi un programme cr excutable charg de modifier (patcher) le logiciel original afin d'en supprimer les protections.
Une attaques = quoi ?

Tout ordinateur connect un rseau informatique est potentiellement vulnrable une attaque. Une attaque est l'exploitation d'une faille d'un systme informatique (systme d'exploitation, logiciel ou bien mme de l'utilisateur) des fins non connues par l'exploitant du systmes et gnralement prjudiciables. Sur internet des attaques ont lieu en permanence, raison de plusieurs attaques par minute sur chaque machine connecte. Ces attaques sont pour la plupart lances automatiquement partir de machines infectes (par des virus, chevaux de Troie, vers, etc.), l'insu de leur propritaire. Plus rarement il s'agit de l'action de pirates informatiques. Afin de contrer ces attaques il est indispensable de connatre les principaux types d'attaques afin de mettre en oeuvre des dispositions prventives. Les motivations des attaques peuvent tre de diffrentes sortes : obtenir un accs au systme ; voler des informations, tels que des secrets industriels ou des proprits intellectuelles ; Collecter des informations personnelles sur un utilisateur ; rcuprer des donnes bancaires ; s'informer sur l'organisation (entreprise de l'utilisateur, etc.) ; troubler le bon fonctionnement d'un service ; utiliser le systme de l'utilisateur comme rebond pour une attaque ; utiliser les ressources du systme de l'utilisateur, notamment lorsque le rseau sur lequel il est situ possde une bande passante leve.
II. Les types dattaques

ISTA AL MASSIRA Les hackers utilisent plusieurs techniques d'attaques. Ces attaques peuvent tre regroupes en trois familles diffrentes : Les attaques directes. Les attaques indirectes par rebond. Les attaques indirectes par rponses. Nous allons voir en dtail ces trois familles : 1-Les attaques directes C'est la plus simple des attaques. Le hacker attaque directement sa victime partir de son ordinateur. La plupart des "script kiddies" utilisent cette technique. En effet, les programmes de hack qu'ils utilisent ne sont que faiblement paramtrable, et un grand nombre de ces logiciels envoient directement les packets la victime.
Si vous vous faites attaqus de la sorte, il y a de grandes chances pour que vous puissiez remonter l'origine de l'attaque, identifiant par la mme occasion l'identit de l'attaquant 2-Les attaques indirectes par rebond Cette attaque est trs prise des hackers. En effet, le rebond a deux avantages : Masquer l'identit (l'adresse IP) du hacker. Eventuellement, utiliser les ressources de l'ordinateur intermdiaire car il est plus puissant (CPU, bande passante...) pour attaquer. Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA Le principe en lui mme, est simple : Les paquets d'attaque sont envoys l'ordinateur intermdiaire, qui rpercute l'attaque vers la victime. D'o le terme de rebond.
L'attaque FTP Bounce fait partie de cette famille d'attaque. Si vous tes victime de ce genre d'attaque, il n'est pas facile de remonter la source. Au plus simple, vous remontrez l'ordinateur intermdiaire. 3-Les attaques indirectes par rponse Cette attaque est un driv de l'attaque par rebond. Elle offre les mme avantages, du point de vue du hacker. Mais au lieu d'envoyer une attaque l'ordinateur intermdiaire pour qu'il la rpercute, l'attaquant va lui envoyer une requte. Et c'est cette rponse la requte qui va tre envoye l'ordinateur victime.
ISTA AL MASSIRA
III. Les techniques dattaques

1-Obtenir les mots de passes
Lors de la connexion un systme informatique, celui-ci demande la plupart du temps un identifiant (en anglais login ou username) et un mot de passe (en anglais password) pour y accder. Ce couple identifiant/mot de passe forme ainsi la cl permettant d'obtenir un accs au systme. Si l'identifiant est gnralement automatiquement attribu par le systme ou son administrateur, le choix du mot de passe est souvent laiss libre l'utilisateur. Ainsi, la plupart des utilisateurs, estimant qu'ils n'ont rien de vraiment secret protger, se contentent d'utiliser un mot de passe facile retenir (par exemple leur identifiant, le prnom de leur conjoint ou leur date de naissance). Or, si les donnes sur le compte de l'utilisateur n'ont pas un caractre stratgique, l'accs au compte de l'utilisateur peut constituer une porte ouverte vers le systme tout entier. En effet, ds Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA qu'un pirate obtient un accs un compte d'une machine, il lui est possible d'largir son champ d'action en obtenant la liste des utilisateurs autoriss se connecter la machine. A l'aide d'outils de gnration de mots de passe, le pirate peut essayer un grand nombre de mots de passe gnrs alatoirement ou l'aide d'un dictionnaire (ventuellement une combinaison des deux). S'il trouve par hasard le mot de passe de l'administrateur, il obtient alors toutes les permissions sur la machine ! De plus, partir d'une machine du rseau, le pirate peut ventuellement obtenir un accs sur le rseau local, ce qui signifie qu'il peut dresser une cartographie des autres serveurs ctoyant celui auquel il a obtenu un accs. Les mots de passe des utilisateurs reprsentent donc la premire dfense contre les attaques envers un systme, c'est la raison pour laquelle il est ncessaire de dfinir une politique en matire de mots de passe afin d'imposer aux utilisateurs le choix d'un mot de passe suffisamment scuris. La plupart des systmes sont configurs de manire bloquer temporairement le compte d'un utilisateur aprs un certain nombre de tentatives de connexion infructueuses. Ainsi, un pirate peut difficilement s'infiltrer sur un systme de cette faon a- Attaque par force brute On appelle ainsi attaque par force brute (en anglais brute force cracking , parfois galement attaque exhaustive) le cassage d'un mot de passe en testant tous les mots de passe possibles. Il existe un grand nombre d'outils, pour chaque systme d'exploitation, permettant de raliser ce genre d'opration. Ces outils servent aux administrateurs systme prouver la solidit des mots de passe de leurs utilisateurs mais leur usage est dtourn par les pirates informatiques pour s'introduire dans les systmes informatiques b- Attaque par dictionnaire Les outils d'attaque par force brute peuvent demander des heures, voire des jours, de calcul mme avec des machines quipes de processeurs puissants. Ainsi, une alternative consiste effectuer une attaque par dictionnaire . En effet, la plupart du temps les utilisateurs choisissent des mots de passe ayant une signification relle. Avec ce type d'attaques, un tel mot de passe peut tre craqu en quelques minutes c- Attaque hybride Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA Le dernier type d'attaques de ce type, appeles attaques hybrides , vise particulirement les mots de passe constitu d'un mot traditionnel et suivi d'une lettre ou d'un chiffre (tel que marechal6 ). Il s'agit d'une combinaison d'attaque par force brute et d'attaque par dictionnaire.
2-Attaque man in the middle

Man in the Middle signifie l'homme du milieu. est un scnario d'attaque dans lequel un pirate coute une communication entre deux interlocuteurs , et falsifie les changes afin de se faire passer pour l'une des parties. Cette attaque a pour but de s'insrer entre deux ordinateurs qui communiquent. Soient deux ordinateurs A et B voulant dialoguer. Maintenant, si un pirate dcide de se faire passer pour l'ordinateur A auprs de B et de B auprs de A, ainsi, toute communication vers A ou B passera par le pirate, l'homme du milieu.
ISTA AL MASSIRA Quels sont les risques ? Le pirate peut donc intercepter tout le trafic, savoir les informations sensibles comme les mots de passe. Mais, pire encore, le pirate peut modifier le trafic avant de le renvoyer vers l'autre ordinateur. La plupart des attaques de type man in the middle consistent couter le rseau l'aide d'un outil appel sniffer. Ainsi, si vous voulez commander un livre sur internet 10 euros, et que le pirate change votre commande, vous pouvez trs vite vous retrouver dpenser des milliers d'euros. Comment s'en protger ? Sur Internet, n'achetez que sur des sites scuriss. Les sites scuriss commencent par "https" au lieu de "http". Il y a galement un cadenas en bas de votre navigateur. Sur un rseau, utilisez des protocoles scuriss
3-Attaque par rejeu

Les attaques par rejeu (en anglais replay attaque ) sont des attaques de type Man in the middle consistant intercepter des paquets de donnes et les rejouer, c'est--dire les retransmettre tels quel (sans aucun dchiffrement) au serveur destinataire. Ainsi, selon le contexte, le pirate peut bnficier des droits de l'utilisateur. Imaginons un scnario dans lequel un client transmet un nom d'utilisateur et un mot de passe chiffrs un serveur afin de s'authentifier. Si un pirate intercepte la communication (grce un logiciel d'coute) et rejoue la squence, il obtiendra alors les mmes droits que l'utilisateur. Si le systme permet de modifier le mot de passe, il pourra mme en mettre un autre, privant ainsi l'utilisateur de son accs.
4-Le vol de session TCP (Hijacking)
ISTA AL MASSIRA Un pirate peut craquer (cible) le mot de passe de la session. Mais si vous choisissez un mot de passe robuste, cela lui prendra beaucoup de temps. Alors pourquoi ne pas attendre que la victime se connecte sur la session et prendre sa place ? Ainsi, le pirate contourne le processus d'authentification. Et justement, il le fait, c'est le principe du dtournement de session (en anglais hijacking). Ensuite, s'il veut pouvoir dialoguer avec le serveur, il doit mettre hors-jeu la victime. Pour cela, il peut lui lancer une attaque par dni de service (cible). Mais, il peut aussi se mettre en coute et enregistrer tout le trafic en esprant recueillir des informations sensibles comme des mots de passe.
Quels sont les risques ? Si le pirate possde des informations sensibles comme un nom d'utilisateur et son mot de passe, il pourra alors revenir sur le systme lorsqu'il le souhaitera a l'aide d'une backdoor. Pire encore, si la machine possde des liens d'approbation, l'attaquant en bnficiera. Et il sera dur d'identifier que le systme est compromis puisqu'il utilise le compte d'une personne autorise. D'o l'importance de dtecter cette attaque.
ISTA AL MASSIRA Comment s'en protger ? S'assurer que la communication est scurise
5-Le Flood
Le flood consiste envoyer trs rapidement de gros paquets d'information a une personne ( condition d'avoir un PING (temps que met l'information pour faire un aller retour entre 2 machines) trs court). La personne vise ne pourra plus rpondre aux requtes et le modem va donc dconnecter. C'est cette mthode qui a t employ grande chelle dans l'attaque des grands sites commerciaux (Yahoo, Etrade, Ebay, Amazon...) en fvrier 2000. Pour l'viter une solution consiste ne pas divulguer son adresse IP (ce qui est possible pour un particulier, mais pas pour une entreprise possdant un nom de domaine).
6-Lanalyse de rseau
ISTA AL MASSIRA Le reniflage (en anglais Sniffing) est une technique qui consiste analyser le trafic rseau. Lorsque deux ordinateurs communiquent entre eux, il y a un change d'informations (trafic). Mais, il est toujours possible qu'une personne malveillante rcupre ce trafic. Elle peut alors l'analyser et y trouver des informations sensibles. Exemple : Soit une entreprise possdant 100 ordinateurs relis entre eux grce un hub. Maintenant, si un pirate coute le trafic rseau entre 8h et 10h (heure de connection du personnel), il pourra lire tous les noms d'utilisateurs ainsi que leur mot de passe.
Comment s'en protger ? Utiliser de prfrence un switch (commutateur) plutt qu'un hub. Utiliser des protocoles chiffrs pour les informations sensibles comme les mots de passe. Utiliser un dtecteur de sniffer. Utilisation du sniffer Un sniffer est un formidable outil permettant d'tudier le trafic d'un rseau. Il sert gnralement aux administrateurs pour diagnostiquer les problmes sur leur rseau ainsi que pour connatre le trafic Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA qui y circule. Ainsi les dtecteurs d'intrusion (IDS, pour intrusion detection system) sont bass sur un sniffeur pour la capture des trames, et utilisent une base de donnes de rgles ( rules) pour dtecter des trames suspectes. Malheureusement, comme tous les outils d'administration, le sniffer peut galement servir une personne malveillante ayant un accs physique au rseau pour collecter des informations. Ce risque est encore plus important sur les rseaux sans fils car il est difficile de confiner les ondes hertziennes dans un primtre dlimit, si bien que des personnes malveillantes peuvent couter le trafic en tant simplement dans le voisinage. La grande majorit des protocoles Internet font transiter les informations en clair, c'est--dire de manire non chiffre. Ainsi, lorsqu'un utilisateur du rseau consulte sa messagerie via le protocole POP ou IMAP, ou bien surfe sur internet sur des sites dont l'adresse ne commence pas par HTTPS, toutes les informations envoyes ou reues peuvent tre interceptes. C'est comme cela que des sniffers spcifiques ont t mis au point par des pirates afin de rcuprer les mots de passe circulant dans le flux rseau.
7-Le balayage de ports
Le scanning consiste balayer tous les ports sur une machine en utilisant un outil appel scanner. Le scanner envoie des paquets sur plusieurs ports de la machine. En fonction de leurs ractions, le scanner va en dduire si les ports sont ouverts. C'est un outil trs utile pour les hackers. Cela leur permet de connaitre les points faibles d'une machine et ainsi de savoir par o ils peuvent attaquer. D'autant plus que les scanners ont volu. Aujourd'hui, ils peuvent dterminer le systme d'exploitation et les applications associes aux ports.
ISTA AL MASSIRA
Comment s'en protger ? Scanner sa machine pour connaitre les ports ouverts Surveiller les ports ouverts avec un firewall et fermer ceux qui ne sont pas utiles Utiliser un IDS (dtecteur d'intrusion) ou mieux un IPS (prvention d'intrusion)
8-Spam
On appelle spam ou pollupostage (les termes pourriel, courrier indsirable ou junk mail sont parfois galement utiliss) l'envoi massif de courrier lectronique des destinataires ne l'ayant pas sollicit. Pourquoi le spam ? Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA Le but premier du spam est de faire de la publicit moindre prix par envoi massif de courrier lectronique non sollicit (en anglais junk mail) ou par multi-postage abusif (EMP). Les spammeurs prtendent parfois, en toute mauvaise foi, que leurs destinataires se sont inscrits spontanment leur base de donnes et que le courrier ainsi reu est facile supprimer, ce qui constitue au final un moyen cologique de faire de la publicit. Mode de fonctionnement des spammeurs
Les spammeurs collectent des adresses lectroniques sur internet (dans les forums, sur les sites internet, dans les groupes de discussion, etc.) grce des logiciels, appels robots , parcourant les diffrentes pages et stockant au passage dans une base de donnes toutes les adresses lectroniques y figurant. Il ne reste ensuite au spammeur qu' lancer une application envoyant successivement chaque adresse le message publicitaire. Eviter le Spam Afin d'viter le spam, il est ncessaire de divulguer son adresse lectronique le moins possible et ce titre : Ne pas relayer les messages (blagues, etc.) invitant l'utilisateur transmettre le courrier au maximum de contacts possible. De telles listes sont effectivement des aubaines pour les collecteurs d'adresses. Il est ventuellement possible de faire suivre le message en s'assurant de masquer les adresses des destinataires prcdents. Eviter au maximum de publier son adresse lectronique sur des forums ou des sites internet. Dans la mesure du possible remplacer son adresse lectronique par une image (non dtectable par les aspirateurs d'adresses) ou bien en la dcomposant (par exemple jean tiret francois point pillou arobase commentcamarche point net . Crer une ou plusieurs adresses-jetables servant uniquement s'inscrire ou s'identifier sur les sites jugs non dignes de confiance. Le comble du raffinement, lorsque Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA vous en avez la possibilit, consiste crer autant d'alias d'adresses que d'inscriptions en veillant y inscrire le nom de l'entreprise ou du site. Ainsi, en cas de rception d'un courrier non sollicit il sera ais d'identifier d'o provient la fuite d'information .
9-Le Mail Bombing

Le mail bombing consiste envoyer plusieurs milliers de messages identiques une bote aux lettres lectronique afin de la saturer. En effet les mails sont stocks sur un serveur de messagerie, jusqu' ce qu'ils soient relevs par le propritaire du compte de messagerie. Ainsi lorsque celui-ci relvera le courrier, ce dernier mettra beaucoup trop de temps et la bote aux lettres deviendra alors inutilisable... Qu'est-ce que je risque ? En tant victime de mailbombing, vous risquez de perdre votre bote. Pire encore serait que les mails soient infects par des virus. Ainsi, la victime ne peut plus se servir de sa bote. Comment s'en protger ? Le mieux est d'avoir une deuxime adresse mail. Ainsi vous ne communiquez votre adresse personnelle qu'aux personnes de confiance. Ainsi, vous limitez les risques de mailbombing sur l'adresse laquelle vous tenez. Il existe des utilitaires permettant d'viter les mailbombers comme eremove. Installer un logiciel antispam qui interdira la rception de plusieurs messages identiques un intervalle de temps trop court.
ISTA AL MASSIRA
10-Ingnierie sociale
Il s'agit d'une mthode, de plus en plus rpandue, pour obtenir des informations confidentielles relatives la scurit du rseau par des moyens non techniques. Par exemple, un fraudeur peut se prsenter comme un membre du support technique et appeler les employs pour obtenir leurs mots de passe. Obliger un collgue accder un serveur ou fouiller le bureau d'un collgue la recherche d'un document contenant son mot de passe sont d'autres exemples de social engineering.
ISTA AL MASSIRA
11-Phishing
Le phishing (contraction des mots anglais fishing , en franais pche, et phreaking , dsignant le piratage de lignes tlphoniques), traduit parfois en hameonnage , est une technique frauduleuse utilise par les pirates informatiques pour rcuprer des informations (gnralement bancaires) auprs d'internautes. La technique du phishing est une technique d' ingnierie sociale c'est--dire consistant exploiter non pas une faille informatique mais la faille humaine en dupant les internautes par le biais d'un courrier lectronique semblant provenir d'une entreprise de confiance, typiquement une banque ou un site de commerce. Le mail envoy par ces pirates usurpe l'identit d'une entreprise (banque, site de commerce lectronique, etc.) et les invite se connecter en ligne par le biais d'un lien hypertexte et de metre jour des informations les concernant dans un formulaire d'une page web factice, copie conforme du site original, en prtextant par exemple une mise jour du service, une intervention du support technique, etc. Dans la mesure o les adresses lectroniques sont collectes au hasard sur Internet, le message a gnralement peu de sens puisque l'internaute n'est pas client de la banque de laquelle le courrier semble provenir. Mais sur la quantit des messages envoys il arrive que le destinataire soit effectivement client de la banque.
ISTA AL MASSIRA Ainsi, par le biais du formulaire, les pirates russissent obtenir les identifiants et mots de passe des internautes ou bien des donnes personnelles ou bancaires (numro de client, numro de compte en banque, etc.). Grce ces donnes les pirates sont capables de transfrer directement l'argent sur un autre compte ou bien d'obtenir ultrieurement les donnes ncessaires en utilisant intelligemment les donnes personnelles ainsi collectes.
Comment s'en protger ? Il est conseill de suivre les conseils suivants : Ne cliquez pas directement sur le lien contenu dans le mail, mais ouvrez votre navigateur et saisissez vous-mme l'URL d'accs au service. Mfiez-vous des formulaires demandant des informations bancaires. Il est en effet rare (voire impossible) qu'une banque vous demande des renseignements aussi importants par un Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA simple courrier lectronique. Dans le doute contactez directement votre agence par tlphone ! Assurez-vous, lorsque vous saisissez des informations sensibles, que le navigateur est en mode scuris, c'est--dire que l'adresse dans la barre du navigateur commence par https et qu'un petit cadenas est affich dans la barre d'tat au bas de votre navigateur, et que le domaine du site dans l'adresse correspond bien celui annonc (gare l'orthographe du domaine) !
12-Loterie internationale
Vous recevez un courrier lectronique indiquant que vous tes l'heureux gagnant du premier prix d'une grande loterie d'une valeur de plusieurs (centaines de) milliers d'euros. Pour empocher le pactole il suffit de rpondre ce courrier. Aprs une mise en confiance et quelques changes de courriers, ventuellement avec des pices jointes reprsentant des papiers attestant que vous tes bien le vainqueur (victorieux), votre interlocuteur vous expliquera que pour pouvoir toucher ladite somme, il faut s'affranchir de frais administratifs, puis viennent des frais de douane, des taxes diverses et varies, etc. C'est de cette faon que ces cybertruands arrivent extorquer des milliers d'euros des internautes dupes de cette supercherie. Comment se protger ? Toute loterie et tout jeu concours possde un rglement auquel on est en droit d'accder. Qui plus est l'adresse lectronique est gnralement hberge dans un service gratuit de messagerie. Enfin comment expliquer qu'il faille engager des frais pour toucher une somme si importante ? Bref, le mieux est de glisser directement ce type de message la corbeille !
13-Les Virus
ISTA AL MASSIRA
Les virus reprsentent la menace sur la scurit la plus largement connue car bnficiant gnralement d'une importante couverture mdiatique. Les virus sont des programmes informatiques crits par des programmeurs mal intentionns et conus pour se multiplier et infecter les ordinateurs lorsqu'ils sont activs par un vnement spcifique. Par exemple, les virus appels macro virus se lient des fichiers contenant des macro commandes (routines qui peuvent tre rptes automatiquement comme le publipostage) et s'activent chaque fois que la macro est excute. Les effets de certains virus sont relativement bnins et entranent des interruptions perturbatrices comme l'affichage d'un message humoristique lorsqu'une lettre dfinie est enclenche sur le clavier. D'autres virus sont plus destructifs et peuvent supprimer des fichiers d'un disque dur ou ralentir un systme. Un rseau ne peut tre infect par un virus que si celui-ci y arrive par une source extrieure : une disquette infecte ou un fichier tlcharg sur Internet, par exemple. Lorsqu'un ordinateur du rseau est infect, les autres ordinateurs risquent fortement de l'tre aussi.
Les virus rsidents (appels TSR en anglais pour Terminate and stay resident) se chargent dans la mmoire vive de l'ordinateur afin d'infecter les fichiers excutables lancs par l'utilisateur. Les virus non rsidants infectent les programmes prsents sur le disque dur ds leur excution. Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA
14-Les vers
Un ver informatique (en anglais worm) est un programme qui peut s'auto-reproduire et se dplacer travers un rseau en utilisant les mcanismes rseau, sans avoir rellement besoin d'un support physique ou logique (disque dur, programme hte, fichier, etc.) pour se propager; un ver est donc un virus rseau.
Les vers actuels Les vers actuels se propagent principalement grce la messagerie (et notamment par le client de messagerie Outlook) grce des fichiers attachs contenant des instructions permettant de rcuprer l'ensemble des adresses de courrier contenues dans le carnet d'adresse et en envoyant des copies d'eux-mme tous ces destinataires. Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA Ces vers sont la plupart du temps des scripts (gnralement VBScript) ou des fichiers excutables envoys en pice jointe et se dclenchant lorsque l'utilisateur destinataire clique sur le fichier attach. Comment se protger des vers ? Il est simple de se protger d'une infection par ver. La meilleure mthode consiste ne pas ouvrir " l'aveugle" les fichiers qui vous sont envoys en fichier attachs. Ainsi, tous les fichiers excutables ou interprtables par le systme d'exploitation peuvent potentiellement infecter votre ordinateur. Les fichiers comportant notamment les extensions suivantes sont potentiellement susceptible d'tre infects : exe, com, bat, pif, vbs, scr, doc, xls, msi, eml
ISTA AL MASSIRA
15-Les chevaux de troie
ISTA AL MASSIRA Un cheval de Troie (informatique) est un programme cach dans un autre qui excute des commandes sournoises, et qui gnralement donne un accs l'ordinateur sur lequel il est excut en ouvrant une porte drobe (en anglais backdoor), par extension il est parfois nomm troyen par analogie avec les habitants de la ville de Troie. A la faon du virus, le cheval de Troie est un code (programme) nuisible plac dans un programme sain (imaginez une fausse commande de listage des fichiers, qui dtruit les fichiers au-lieu d'en afficher la liste). Pire, un tel programme peut crer, de l'intrieur de votre rseau, une brche volontaire dans la scurit pour autoriser des accs des parties protges du rseau des personnes se connectant de l'extrieur. Les principaux chevaux de Troie sont des programmes ouvrant des ports de la machine, c'est-dire permettant son concepteur de s'introduire sur votre machine par le rseau en ouvrant une porte drobe. C'est la raison pour laquelle on parle gnralement de backdoor (littralement porte de derrire) ou de backorifice (terme imag vulgaire signifiant " orifice de derrire" [...]). Principe du cheval de Troie
ISTA AL MASSIRA
Le principe des chevaux de Troie tant gnralement (et de plus en plus) d'ouvrir un port de votre machine pour permettre un pirate d'en prendre le contrle (par exemple voler des donnes personnelles stockes sur le disque), le but du pirate est dans un premier temps d'infecter votre machine en vous faisant ouvrir un fichier infect contenant le troyen et dans un second temps d'accder votre machine par le port qu'il a ouvert. Toutefois pour pouvoir s'infiltrer sur votre machine, le pirate doit gnralement en connatre l'adresse IP. Ainsi : soit vous avez une adresse IP fixe (cas d'une entreprise ou bien parfois de particuliers connect par cble, etc.) auquel cas l'adresse IP peut tre facilement rcupre Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA soit votre adresse IP est dynamique (affecte chaque connexion), c'est le cas pour les connexions par modem ; auquel cas le pirate doit scanner des adresses IP au hasard afin de dceler les adresses IP correspondant des machines infectes. Voici les fonctionnalits d'un des chevaux de Troie les plus rpandus : Accs Telnet Permet de lancer une application en mode texte type "Ms-Dos" ou "Invite de commande" de faon invisible et de rediriger l'entre/sortie standard vers un port particulier. L'attaquant n'a plus qu' s'y connecter (via telnet) pour communiquer directement avec l'application. Accs HTTP avec un navigateur, supporte le tlchargement et l'envoi de fichiers Permet de crer un serveur web basique dont la racine est celle du disque dur (dfaut). Ainsi, un simple navigateur web permet de naviguer dans l'arborescence des fichiers, d'en tlcharger et mme d'en rajouter. Information sur le systme distant Rcupre tous les mots de passe Permet d'accder aux fichiers mots de passe Windows (pwl et autres) et d'en afficher le contenu. A noter que les mots de passe utiliss pour des connections distantes, partages de documents, etc., sont galement rcuprs. Envoi de boite de dialogue (version Windows) avec rponse de l'utilisateur Permet de communiquer avec l'utilisateur. Tlcharger/Envoyer/Supprimer/Crer des fichiers Permet d'accder au systme de fichiers dans sa totalit. Ouverture/Fermeture des fentres actives Permet d'interagir avec le systme cible. Accs a la base de registre Augmenter/Diminuer le volume sonore Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA Ajouter des plugins Dmarrage d'application Jouer des fichiers .wav Afficher des images Ouvrir des documents Imprimer Fonction keylogger Permet d'enregistrer toute frappe au clavier pour rcupration et traitement ultrieur (mots de passe sur le web, mails, etc..). Cette fonctionnalit existe galement en version temps-rel : affichage des frappes clavier en direct chez l'attaquant. Capture d'cran Permet de visualiser le poste de travail et les actions de l'utilisateur tout en conomisant la bande passante (par rapport au streaming video) Capture d'image si l'ordinateur est quip d'une Webcam Opration base sur l'utilisation dtourne des librairies systme (COM) qui supportent les webcams. Le rsultat est compltement indtectable pour l'utilisateur. Capture du son si l'ordinateur/Serveur est quip d'un microphone Eteindre l'ordinateur Redmarrer l'ordinateur Dconnecter l'ordinateur du rseau Dialogue avec l'utilisateur Ouverture/Fermeture du CD-ROM Inversion des boutons de la souris Envoyer l'utilisateur a une URL choisie Blocage du clavier
Se protger contre les troyens Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA Pour se protger de ce genre d'intrusion, il suffit d'installer un firewall, c'est--dire un programme filtrant les communications entrant et sortant de votre machine. Un firewall (littralement pare-feu) permet ainsi d'une part de voir les communications sortant de votre machines (donc normalement inities par des programmes que vous utilisez) ou bien les communications entrant. Toutefois, il n'est pas exclu que le firewall dtecte des connexions provenant de l'extrieur sans pour autant que vous ne soyez la victime choisie d'un hacker. En effet, il peut s'agir de tests effectus par votre fournisseur d'accs ou bien un hacker scannant au hasard une plage d'adresses IP.
16-Hoax
On appelle Hoax (en franais canular) un courrier lectronique propageant une fausse information et poussant le destinataire diffuser la fausse nouvelle tous ses proches ou collgues. Ainsi, de plus en plus de personnes font suivre (anglicis en forwardent) des informations reues par courriel sans vrifier la vracit des propos qui y sont contenus. Le but des hoax est simple : provoquer la satisfaction de son concepteur d'avoir bern un grand nombre de personnes Comment vrifier s'il s'agit d'un canular ? Lorsque vous recevez un courriel insistant sur le fait qu'il est essentiel de propager l'information (et ne contenant pas de lien prouvant son intgrit), vous pouvez vrifier sur le site hoaxbuster (site en franais) s'il s'agit effectivement d'un hoax (canular). Si l'information que vous avez reue ne s'y trouve pas, recherchez l'information sur les principaux sites d'actualits ou bien par l'intermdiaire d'un moteur de recherche
17-Les bombes logiques
ISTA AL MASSIRA
Sont appels bombes logiques les dispositifs programms dont le dclenchement s'effectue un moment dtermin en exploitant la date du systme, le lancement d'une commande, ou n'importe quel appel au systme. Ainsi ce type de virus est capable de s'activer un moment prcis sur un grand nombre de machines (on parle alors de bombe retardement ou de bombe temporelle), par exemple le jour de la Saint Valentin, ou la date anniversaire d'un vnement majeur : la bombe logique Tchernobyl s'est active le 26 avril 1999, jour du 13me anniversaire de la catastrophe nuclaire ... Les bombes logiques sont gnralement utilises dans le but de crer un dni de service en saturant les connexions rseau d'un site, d'un service en ligne ou d'une entreprise !
18-Les espiogiels
Un spyware, ou logiciel espion, est un logiciel nuisible qui transmet des tiers des informations contenues dans votre ordinateur. Les spywares sont souvent prsents dans des gratuiciels (diffrents des logiciels libres), ou des partagiciels. En gnral les logiciels code source libre comme Mozilla FireFox n'en contiennent aucun. Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA Qu'est ce que je risque? Je suis La diffusion de donnes personnelles, qui sont ensuite utilises par des entreprises de publicits. Par exemple, le spyware peut envoyer la liste des sites consults ainsi que vos adresses mail, ce qui permet ensuite de cibler vos centres d'intrts. La prsence d'un grand nombre de spyware sur un ordinateur provoque une diminution des performances. En effet ces logiciels tant lanc ds le dmarrage, ils ncessitent des ressources systmes (en mmoire et processeur).
19-Les keyloggers
Un keylogger (littralement enregistreur de touches) est un dispositif charg d'enregistrer les frappes de touches du clavier et de les enregistrer, l'insu de l'utilisateur. Il s'agit donc d'un dispositif d'espionnage. Certains keyloggers sont capables d'enregistrer les URL visites, les courriers lectroniques consults ou envoys, les fichiers ouverts, voire de crer une vido retraant toute l'activit de l'ordinateur ! Keyloggers : logiciel ou matriel ? Les keyloggers peuvent tre soit logiciels soient matriels. Dans le premier cas il s'agit d'un processus furtif (ou bien portant un nom ressemblant fortement au nom d'un processus systme), crivant les informations captes dans un fichier cach ! Les keyloggers peuvent galement tre matriel : il s'agit alors d'un dispositif (cble ou dongle) intercal entre la prise clavier de l'ordinateur et le clavier.
ISTA AL MASSIRA
ISTA AL MASSIRA
Se protger des keyloggers La meilleure faon de se protger est la vigilance : N'installez pas de logiciels dont la provenance est douteuse, Soyez prudent lorsque vous vous connectez sur un ordinateur qui ne vous appartient pas ! S'il s'agit d'un ordinateur en accs libre, examinez rapidement la configuration, avant de vous connecter des sites demandant votre mot de passe, pour voir si des utilisateurs sont passs avant vous et s'il est possible ou non pour un utilisateur lambda d'installer un logiciel. En cas de doute ne vous connectez pas des sites scuriss pour lesquels un enjeu existe (banque en ligne, ...)
20- Spoofing IP
Le but de cette attaque est l'usurpation de l'adresse IP d'une machine. Ceci permet au pirate de cacher la source de son attaque (utilise dans les dnis de services dont nous discuterons plus tard) ou de profiter d'une relation de confiance entre deux machines. Nous expliquerons donc ici cette deuxime utilisation de l'IP Spoofing. Le principe de base de cette attaque consiste forger ses propres paquets IP (avec des programmes comme hping2 ou nemesis) dans lesquels le pirate modifiera, entre autres, l'adresse IP source. L'IP Spoofing est souvent qualifi d'attaque aveugle (ou Blind Spoofing). Effectivement, les rponses ventuelles des paquets envoys ne peuvent pas arriver sur la machine du pirate puisque la source est falsifie. Ils se dirigent donc vers la machine spoofe. Il existe nanmoins deux mthodes pour rcuprer des rponses : 1. le Source Routing : le protocole IP possde une option appele Source Routing autorisant la spcification du chemin que doivent suivre les paquets IP. Ce chemin est constitu d'une suite d'adresses IP des routeurs que les paquets vont devoir emprunter. Il suffit au pirate Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA d'indiquer un chemin, pour le retour des paquets, jusqu' un routeur qu'il contrle. De nos jours, la plupart des implmentations des piles TCP/IP rejettent les paquets avec cette option; 2. le Reroutage : les tables des routeurs utilisant le protocole de routage RIP peuvent tre modifies en leur envoyant des paquets RIP avec de nouvelles indications de routage . Ceci dans le but de rerouter les paquets vers un routeur que le pirate matrise. Ces techniques ne sont plus (ou difficilement) utilisables : l'attaque est donc mene sans avoir connaissance des paquets mis par le serveur cible. Le Blind Spoofing s'utilise contre des services de type rlogin ou rsh. En effet, leur mcanisme d'authentification se base uniquement sur l'adresse IP source de la machine cliente. Cette attaque relativement bien connue (surtout grce Kevin Mitnick qui l'avait utilise contre la machine de Tsutomu Shimomura en 1994) se droule en plusieurs tapes :
De gauche droite : Adrian Lamo, Kevin Mitnick, Kevin Poulsen dtermination de l'adresse IP de la machine de confiance en utilisant par exemple showmount
-e
qui montre o sont exports les systmes de fichiers ou rpcinfo qui apporte des
informations supplmentaires; Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA mise hors service de l'hte de confiance via un SYN Flooding par exemple. Cela est ncessaire pour que la machine ne puisse pas rpondre aux paquets envoys par le serveur cible. Dans le cas contraire elle enverrait des paquets TCP RST qui mettraient fin l'tablissement de la connexion; prdiction des numros de squence TCP : chaque paquet TCP est associ un numro de squence initiale. La pile TCP/IP du systme d'exploitation le gnre de manire linaire, dpendante du temps, pseudo-alatoire ou alatoire selon les systmes. Le pirate peut uniquement appliquer cette attaque des systmes gnrant des numros de squence prvisibles (gnration linaire ou dpendante du temps); l'attaque consiste ouvrir une connexion TCP sur le port souhait (rsh par exemple). Lors de l'attaque le pirate ne reoit pas le SYN-ACK envoy par la cible. Pour que la connexion puisse s'tablir, il prdit le numro de squence y afin d'envoyer un paquet avec le bon numro de ACK (y+1). La connexion s'tablit alors grce l'authentification par l'adresse IP. Le pirate peut donc envoyer une commande au service rsh pour obtenir des droits supplmentaires, comme echo +
+ >> /.rhosts.
Pour cela il forge un paquet avec le flag TCP PSH (Push) : les donnes reues sont
immdiatement transmises la couche suprieure, ici le service rsh, pour que celle-ci les traitent. Il lui est alors possible de se connecter sur la machine directement via un service de type rlogin ou rsh sans IP Spoofing.
Le pirate utilise la machine A tandis que la C reprsente la machine de confiance. La notion A(C) signifie que le paquet est envoy par A avec l'adresse IP Spoofe de C.
ISTA AL MASSIRA Dans le cadre d'une attaque par usurpation d'adresse IP, l'attaquant n'a aucune information en retour car les rponses de la machine cible vont vers une autre machine du rseau (on parle alors d'attaque l'aveugle, en anglais blind attack)
21-ARP Spoofing
ISTA AL MASSIRA
Cette attaque, appele aussi ARP Redirect, redirige le trafic rseau d'une ou plusieurs machine vers la machine du pirate. Elle s'effectue sur le rseau physique des victimes. Au pralable nous ferons un rappel sur l'utilit et le fonctionnement du protocole ARP. Le protocole ARP (Address Resolution Protocol) implmente le mcanisme de rsolution d'une adresse IP en une adresse MAC Ethernet. Les quipements rseaux communiquent en changeant des trames Ethernet (dans le cas d'un rseau Ethernet bien sr) au niveau de la couche liaison de donnes. Pour pouvoir changer ces informations il est ncessaire que les cartes rseau possdent une adresse unique au niveau Ethernet, il s'agit de l'adresse MAC (Media Access Control).
ISTA AL MASSIRA Quand un paquet IP doit tre envoy la machine expditrice a besoin de l'adresse MAC du destinataire. Pour cela une requte ARP en broadcast est envoye chacune des machines du rseau physique local. Cette requte pose la question : "Quelle est l'adresse MAC associe cette adresse IP ?". La machine ayant cette adresse IP rpond via un paquet ARP, cette rponse indiquant la machine mettrice l'adresse MAC recherche. Ds lors, la machine source possde l'adresse MAC correspondant l'adresse IP destination des paquets qu'elle doit envoyer. Cette correspondance sera garde pendant un certain temps au niveau d'un cache (pour viter de faire une nouvelle requte chaque paquet IP envoy). Cette attaque corrompt le cache de la machine victime. Le pirate envoie des paquets ARP rponse la machine cible indiquant que la nouvelle adresse MAC correspondant l'adresse IP d'une passerelle (par exemple) est la sienne. La machine du pirate recevra donc tout le trafic destination de la passerelle, il lui suffira alors d'couter passivement le trafic (et/ou le modifier). Il routera ensuite les paquets vers la vritable destination. L'ARP Spoofing sert dans le cas o le rseau local utilise des switchs. Ceux-ci redirigent les trames Ethernet sur des ports diffrents selon l'adresse MAC. Il est ds lors impossible un sniffer de capturer des trames au-del de son brin physique. L'ARP Spoofing permet ainsi d'couter le trafic entre des machines situes sur des brins diffrents au niveau du switch. Pour mettre en oeuvre une attaque par ARP Spoofing, le pirate va utiliser un gnrateur de paquet ARP comme ARPSpoof ou nemesis. Soit la machine victime 10.0.0.171, sa passerelle par dfaut
10.0.0.1
et la machine du pirate 10.0.0.227. Avant l'attaque un traceroute donne comme rsultat :
[root@cible -> ~]$ traceroute 10.0.0.1 traceroute to 10.0.0.1 (10.0.0.1), 30 hops max, 40 byte packets 1 10.0.0.1 (10.0.0.1) 1.218 ms 1.061 ms 0.849 ms Et le cache ARP de la machine cible est : [root@cible -> ~]$ arp Address 10.0.0.1 10.0.0.227 HWtype ether ether HWAddress 00-b0-c2-88-de-65 00-00-86-35-c9-3f Flags Mask C C Iface eth0 eth0
Le pirate lance alors ARPSpoof : Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA [root@pirate -> ~]$ arpspoof -t 10.0.0.171 10.0.0.1 0-0-86-35-c9-3f 0-60-8-de-64-f0 0806 42: arp reply 10.0.0.1 is-at 0-0-86-35-c9-3f
Les paquets envoys sont des paquets ARP empoisonnant le cache ARP de la machine
10.0.0.171
avec des ARP Reply indiquant que l'adresse MAC associe 10.0.0.1 est maintenant
00:00:86:35:c9:3f.
Dsormais, le cache ARP de la machine 10.0.0.171 est : [root@cible -> ~]$ arp Address 10.0.0.1 10.0.0.227 HWtype HWAddress ether ether 00-00-86-35-c9-3f 00-00-86-35-c9-3f Flags Mask C C Iface eth0 eth0
Pour vrifier que le trafic passe maintenant par la machine 10.0.0.227 il suffit de faire un nouveau traceroute vers la passerelle 10.0.0.1 : [root@cible -> ~]$ traceroute 10.0.0.1 traceroute to 10.0.0.1 (10.0.0.1), 30 hops max, 40 byte packets 1 10.0.0.227 (10.0.0.227) 1.712 ms 1.465 ms 1.501 ms 2 10.0.0.1 (10.0.0.1) 2.238 ms 2.121 ms 2.169 ms Le pirate est dsormais capable de sniffer le trafic de la machine 10.0.0.171 vers 10.0.0.1. Il ne faut pas que le pirate oublie d'activer le routage IP sur sa machine 10.0.0.227 (avec l'IP Forwarding activer la cl net.ipv4.ip_forward dans /etc/sysctl.conf ou fragrouter).
ISTA AL MASSIRA
22-DNS POISONING
DNS Spoofing Le protocole DNS (Domain Name System) a pour rle de convertir un nom de domaine (par exemple www.test.com) en son adresse IP (par exemple 192.168.0.1) et rciproquement, savoir convertir une adresse IP en un nom de domaine. Cette attaque consiste faire parvenir de fausses rponses aux requtes DNS misent par une victime. Il existe deux mthodes principales pour effectuer cette attaque. Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA
DNS ID Spoofing
L'en-tte du protocole DNS comporte un champ identification qui permet de faire correspondre les rponses aux demandes. L'objectif du DNS ID Spoofing est de renvoyer une fausse rponse une requte DNS avant le serveur DNS. Pour cela il faut prdire l'ID de la demande. En local, il est simple de le prdire en sniffant le rseau. Nanmoins, cela s'avre plus compliqu distance. Cependant il existe plusieurs mthodes : essayer toutes les possibilits du champ ID. Cette mthode n'est pas trs raliste puisqu'il y a 65535 possibilits pour le champ ID (car ce champ est cod sur 16 bits); envoyer quelques centaines de requtes DNS dans l'ordre. Cette mthode est bien videmment peu fiable; trouver un serveur qui gnre des ID prvisibles (incrmentation de 1 de l'ID par exemple), ce genre de faille existe sur certaines version de Bind ou des machines Windows 9x. Dans tous les cas, il est ncessaire de rpondre avant le serveur DNS, en le faisant tomber via un dni de service par exemple.
ISTA AL MASSIRA Pour parvenir ses fins, l'attaquant doit contrler un serveur DNS ( ns.attaquant.com) ayant autorit sur le domaine attaquant.com. Le serveur DNS cible (ns.cible.com) est suppos avoir des numros de squence prvisibles (s'incrmentant de 1 chaque nouvelle requte). L'attaque se dcompose en quatre tapes : 1. l'attaquant envoie une requte DNS pour le nom www.attaquant.com au serveur DNS du domaine cible.com comme le montre la figure cette figure :
2. le serveur DNS cible a donc relay la demande au DNS du domaine attaquant.com; 3. l'attaquant est capable de sniffer la requte pour rcuprer son ID (dans notre exemple l'ID a une valeur de 100); 4. l'attaque falsifie l'adresse IP associe un nom de machine, ici la machine victime est
www.spoofed.com
qui a normalement l'adresse IP 192.168.0.1. Le pirate met une requte DNS
de rsolution du nom www.spoofed.com vers ns.cible.com. Immdiatement aprs, il envoie une multitude de rponses DNS falsifies (donnant comme adresse IP celle du site de l'attaquant
10.0.0.1)
cette mme requte en ayant spoof l'adresse IP source avec celle du serveur
DNS du domaine spoofed.com. L'ID de chaque rponse sera incrment de 1 partir de celui rcupr lors de la deuxime tape (ID = 100) pour augmenter la chance de tomber sur le bon numro d'ID rponse, dans le cas o ns.cible.com aurait du rpondre d'autres requtes et donc incrment son ID DNS. La figure dtaille cette tape.
ISTA AL MASSIRA
Le cache du serveur DNS cible est donc corrompu, et la prochaine machine demandant une rsolution du nom www.spoofed.com rcuprera l'adresse IP de la machine de l'attaquant et sera redirige vers son site qui pourra tre une copie du vrai site pour tromper les internautes et leur voler des informations confidentielles. DNS Cache Poisoning Les serveurs DNS possdent un cache gardant en local, pendant un certain temps, les rponses de requtes passes. Ceci pour viter de perdre du temps interroger chaque fois le serveur de nom ayant autorit sur le domaine demand. Ce deuxime type de DNS Spoofing va consister corrompre ce cache avec de fausses informations. Voici un exemple de cache Poisoning : Les conditions de l'exemple prcdent sont toujours valables. Voici les diffrentes tapes de l'attaque : envoyer une requte DNS de rsolution du nom www.attaquant.com au serveur DNS du domaine cible.com; Le serveur DNS cible envoie donc une requte portant sur une rsolution du nom
www.attaquant.com
au serveur DNS de l'attaquant;
Le serveur DNS de l'attaquant enverra une rponse avec des enregistrements falsifis qui permettront d'assigner un nom de machine avec une adresse IP appartenant l'attaquant. Par Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA exemple, le site www.cible.com pourra avoir un enregistrement DNS falsifi renvoyant l'adresse IP de www.attaquant.com au lieu de la bonne adresse IP.
IV. DENI DE SERVICE
Est un type d'attaque visant rendre indisponible pendant un temps indtermin les services ou ressources d'une organisation. Il s'agit la plupart du temps d'attaques l'encontre des serveurs d'une entreprise, afin qu'ils ne puissent tre utiliss et consults. Les attaques par dni de service sont un flau pouvant toucher tout serveur d'entreprise ou tout particulier reli internet. Le but d'une telle attaque n'est pas de rcuprer ou d'altrer des donnes, mais de nuire la rputation de socits ayant une prsence sur internet et ventuellement de nuire leur fonctionnement si leur activit repose sur un systme d'information.
1-Lattaque LAND
L' attaque LAND est une attaque rseau datant de 1997, utilisant l'usurpation d'adresse IP afin d'exploiter une faille de certaines implmentations du protocole TCP/IP dans les systmes. Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA L'attaque LAND consiste ainsi envoyer un paquet possdant la mme adresse IP et le mme numro de port dans les champs source et destination des paquets IP. Dirige contre des systmes vulnrables, cette attaque avait pour consquence de faire planter les systmes ou de les conduire des tats instables.
ISTA AL MASSIRA Un exemple de packet LAND
Consquences
En fonction du systme d'exploitation, et de la gestion de la couche TCP/IP, les consquences sont diffrentes : Blocage systme Consommation 100% CPU
2-Lattaque Syn
Sachant qu'une connexion TCP s'tablie en trois phases (SYN, SYN-ACk, ACK). Le SYN Flooding exploite ce mcanisme d'tablissement en trois phases. Les trois tapes sont l'envoi d'un SYN, la rception d'un SYN-ACK et l'envoi d'un ACK. Le principe est de laisser sur la machine cible un nombre important de connexions TCP en attentes. Pour cela, le pirate envoie un trs grand nombre de demandes de connexion (flag SYN 1), la machine cible renvoie les SYN-ACK en rponse au SYN reus Le pirate ne rpondra jamais avec un ACK, et donc pour chaque SYN reu la cible aura une connexion TCP en attente. Etant donn que ces connexions semi-ouvertes consomment des ressources mmoires au bout d'un certain temps la machine est sature et ne peut plus accepter de connexion Ce type de dni de service n'affecte que la machine cible Le pirate utilise un SYN Flooder comme synk4, en indiquant le port TCP cible et l'utilisation d'adresses IP source alatoires pour viter toute identification de la machine du pirate
ISTA AL MASSIRA
Schma d'une connexion normale entre un client (Alice) et le serveur
ISTA AL MASSIRA
Schma du SYN flood. L'attaquant envoie une srie de paquets mais laisse les connexions semiouvertes. La file d'attente du serveur se remplit et le nouveau client ne peut plus se connecte Lorsqu'un client tablit une connexion un serveur, le client envoie une requte SYN, le serveur rpond alors par un paquet SYN/ACK et enfin le client valide la connexion par un paquet ACK Une connexion TCP ne peut s'tablir que lorsque ces 3 tapes ont t franchies. L'attaque SYN consiste envoyer un grand nombre de requtes SYN un hte avec une adresse IP source inexistante ou invalide. Ainsi, il est impossible que la machine cible reoive un paquet ACK Les machines vulnrables aux attaques SYN mettent en file d'attente, dans une structure de donnes en mmoire, les connexions ainsi ouvertes, et attendent de recevoir un paquet ACK. Il existe un mcanisme d'expiration permettant de rejeter les paquets au bout d'un certain dlai. Nanmoins, avec un nombre de paquets SYN trs important, si les ressources utilises par la machine cible pour stocker les requtes en attente sont puises, elle risque d'entrer dans un tat instable pouvant conduire un plantage ou un redmarrage.
3-Smurf
ISTA AL MASSIRA Le concept Le concept est d'mettre une trame de type ICMP une adresse IP de Broadcast rseau. Cela permettant de s'adresser plusieurs host simultanment. Le rsultat vous multiplie l'attaque par n fois. Le fonctionnement Schmas :
ISTA AL MASSIRA
Envoi L'metteur envoi une trame Ip du type Icmp l'adresse de broacast du rseau cible A. Voici le schma de l'entte IP avec le champ Type protocol bas sur 1 octet ainsi que le positionnement du broadcast dans le champs Ip Destination bas sur 4 octets :
ISTA AL MASSIRA
Rception sur le rseau cible A Lorsque la trame arrive sur le Lan du rseau cible A, tous les priphriques la rceptionnent et la considrent. Cela est d au fait quelle est destine l'adresse IP de broadcast. Ils l'interprtent tous individuellement comme ci elle leur tait directement adress. Rponse du rseau cible A Les priphriques du rseau cible A vont rpondre l'Ip source de la trame reu correspondant la cible B vis. La rponse sera bien sur envoye n fois correspondant au nombre d'hte sur le LAN rpondant au broadcast. Voici une capture de trame ralise l'aide de Sniffer Pro 4.70.04 montrant un Ping sur l'adresse broadcast du rseau 210.169.164.0/24. Vous pourrez remarquer les 73 rponses.
ISTA AL MASSIRA
La technique dite attaque par rflexion (en anglais smurf ) est base sur l'utilisation de serveurs de diffusion (broadcast) pour paralyser un rseau. Un serveur broadcast est un serveur capable de dupliquer un message et de l'envoyer toutes les machines prsentes sur le mme rseau Le scnario d'une telle attaque est le suivant : la machine attaquante envoie une requte ping un ou plusieurs serveurs de diffusion en falsifiant l'adresse IP source et en fournissant l'adresse IP d'une machine cible. Le serveur de diffusion rpercute la requte sur l'ensemble du rseau ; Toutes les machines du rseau envoient une rponse au server de diffusion, Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA Le serveur broadcast redirige les rponses vers la machine cible. Ainsi, lorsque la machine attaquante adresse une requte plusieurs serveurs de diffusion situs sur des rseaux diffrents, l'ensemble des rponses des ordinateurs des diffrents rseaux vont tre routes sur la machine cible
4-Fragmentation
Une attaque par fragmentation (en anglais fragment attack) est une attaque rseau par saturation (dni de service) exploitant le principe de fragmentation du protocole IP. En effet, le protocole IP est prvu pour fragmenter les paquets de taille importante en plusieurs paquets IP possdant chacun un numro de squence et un numro d'identification commun. A rception des donnes, le destinataire rassemble les paquets grce aux valeurs de dcalage (en anglais offset) qu'ils contiennent L'attaque par fragmentation la plus clbre est l'attaque Teardrop. Le principe de l'attaque Teardrop consiste insrer dans des paquets fragments des informations de dcalage errones. Ainsi, lors du rassemblage il existe des vides ou des recoupements (Overlapping), pouvant provoquer une instabilit du systme A ce jour, les systmes rcents ne sont plus vulnrables cette attaque Un exemple de fragmentation de paquet Si un paquet de 2.366 bytes crit un rseau Ethernet avec une taille de MTU de dfaut, il doit tre rduit en fragments dans deux paquets. Le premier paquet : tre de 1.500 bytes de longueur. 20 bytes seront l'en-tte d'IP, 24 bytes seront l'en-tte de TCP, et 1.456 bytes seront des donnes. Avoir le peu de DF gal 0 au fragment de mai moyen et le peu de MF gal 1 au moyen plus de fragments. Avoir une fragmentation excentre de 0. Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA Le deuxime paquet : tre de 910 bytes de longueur. 20 bytes seront l'en-tte d'IP, 24 bytes seront l'en-tte de TCP, et 866 bytes seront des donnes. Avoir le peu de DF gal 0 au fragment de mai moyen et le peu de MF gal 0 au dernier fragment moyen. Avoir une fragmentation excentre de 182 (note : 182 est 1456 diviss par 8).
L'attaque de fragmentation de paquet
La fragmentation de paquet peut tre utilise pour venir bout bloquer des rgles sur quelques firewalls. Ceci est fait par la fraude avec la valeur de l'offset. Le tour est de placer la valeur du offset sur le deuxime paquet si basse qu'au lieu d'apposer le deuxime paquet au premier paquet, il recouvre rellement les donnes et la partie de l'en-tte de TCP du premier paquet. Disons que vous voulez au `de telnet de `dans un rseau o le port 23 de TCP est bloqu par parfeu de filtrage de paquet. Cependant, on permet le port 25 de smtp dans ce rseau. Ce que vous feriez est d'envoyer deux paquets : Le premier paquet : Avoir une fragmentation excentre de 0. Avoir le peu de DF gal 0 au fragment de mai moyen et le peu de MF gal 1 au moyen plus de fragments. Avoir un port de destination dans l'en-tte de TCP de 25. Le port 25 de TCP est permis, ainsi le parfeu permettrait ce paquet d'crire le rseau. Le deuxime paquet : Avoir une fragmentation excentre de 1. Ceci signifie que le deuxime paquet recouvrirait rellement tout mais les 8 premiers bits du premier paquet. Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA Avoir le peu de DF gal 0 au fragment de mai moyen et le peu de MF gal 0 au dernier fragment moyen. Avoir un port de destination dans l'en-tte de TCP de 23. Ceci serait normalement bloqu, mais ne sera pas dans ce cas-ci ! Le parfeu de filtrage de paquet verra que loffset est zro plus grand que sur le deuxime paquet. De ces donnes, il dduira que le deuxime paquet est un fragment d'un autre paquet et il ne vrifiera pas le deuxime paquet contre l'ensemble de rgle. Quand les deux paquets arrivent au centre serveur de cible, ils seront rassembls. Le deuxime paquet recouvrira la majeure partie du premier paquet et le contenu du paquet combin ira mettre en communication 23. Cette attaque outrepasse la protection des quipements de filtrage IP. Pour sa mise en pratique, les pirates utilisent deux mthodes : les Tiny Fragments et le Fragment Overlapping. Ces attaques tant historiques, les pare-feux actuels les prennent en compte depuis longtemps dans leur implmentation. D'aprs la RFC (Request For Comment) 791 (IP), tous les noeuds Internet (routeurs) doivent pouvoir transmettre des paquets d'une taille de 68 octets sans les fragmenter d'avantage. En effet, la taille minimale de l'en-tte d'un paquet IP est de 20 octets sans options. Lorsqu'elles sont prsentes, la taille maximale de l'en-tte est de 60 octets. Le champ IHL (Internet Header Length) contient la longueur de l'en-tte en mots de 32 bits. Ce champ occupant 4 bits, le nombre de valeurs possibles vaut de 2^4 - 1 = 15 (il ne peut pas prendre la valeur 0000). La taille maximale de l'en-tte est donc bien 15*4 = 60 octets. Enfin, le champ Fragment Offset qui indique le dcalage du premier octet du fragment par rapport au datagramme complet est mesur en blocs de 8 octets. Un fragment de donnes occupe donc au moins 8 octets. Nous arrivons bien un total de 68 octets. L'attaque consiste fragmenter sur deux paquets IP une demande de connexion TCP. Le premier paquet IP de 68 octets ne contient comme donnes que les 8 premiers octets de l'en-tte TCP (ports source et destination ainsi que le numro de squence). Les donnes du second paquet IP renferment alors la demande de connexion TCP (flag SYN 1 et flag ACK 0). Or, les filtres IP appliquent la mme rgle de filtrage tous les fragments d'un paquet. Le filtrage du premier fragment (Fragment Offset gal 0) dterminant cette rgle elle s'applique donc aux autres Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA (Fragment Offset gal 1) sans aucune autre forme de vrification. Ainsi, lors de la dfragmentation au niveau IP de la machine cible, le paquet de demande de connexion est reconstitu et pass la couche TCP. La connexion s'tablit alors malgr le filtre IP. Les figures 1 et 2 montrent les deux fragments et la figure 3 le paquet dfragment au niveau de la machine cible : Fig.1: Fragment 1
Fig.2: Fragment 2
ISTA AL MASSIRA
Fig.3: Paquet dfragment
Toujours d'aprs la RFC 791 (IP), si deux fragments IP se superposent, le deuxime crase le premier. L'attaque consiste forger deux fragments d'un paquet IP. Le filtre IP accepte le premier de 68 octets (voir Tiny Fragments) car il ne contient aucune demande de connexion TCP (flag SYN = 0 et flag ACK = 0). Cette rgle d'acceptation s'applique, l encore, aux autres fragments du paquet. Le deuxime (avec un Fragment Offset gale 1) contenant les vritables donnes de Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA connexion est alors accept par le filtre IP. Ainsi, lors de la dfragmentation les donnes du deuxime fragment crasent celles du premier partir de la fin du 8me octet (car le fragment offset est gal 1). Le paquet rassembl constitue donc une demande de connexion valide pour la machine cible. La connexion s'tablit malgr le filtre IP.
5-Ping de la mort
L' attaque du ping de la mort (en anglais ping of death ) est une des plus anciennes attaque rseau Le principe du ping de la mort consiste tout simplement crer un datagramme IP dont la taille totale excde la taille maximum autorise (65536 octets).. Connu comme tant l'attaque la plus simple, elle consiste envoyer un paquet ICMP trop long une machine cible. Celle-ci reoit des fragments de paquet de ping et tente de les r assembler. Une fois le paquet reconstruit, sa taille devient trop importante pour les tampons de l'interface Ethernet qui se trouvent brutalement saturs. Les consquences d'un " Ping de la Mort " peuvent aller du simple gel des processus en cours jusqu' un redmarrage complet de la machine. Il existe de nombreuses sources concernant ce type d'attaques sur le web.
6-UDP Flooding
Ce dni de service exploite le mode non connect du protocole UDP. Il cre un "UDP Packet Storm" (gnration d'une grande quantit de paquets UDP) soit destination d'une machine soit entre deux machines. Une telle attaque entre deux machines entrane une congestion du rseau ainsi qu'une saturation des ressources des deux htes victimes. La congestion est plus importante du fait que le trafic UDP est prioritaire sur le trafic TCP. En effet, le protocole TCP possde un mcanisme de contrle de congestion, dans le cas o l'acquittement d'un paquet arrive aprs un long dlai, ce mcanisme adapte la frquence d'mission des paquets TCP, le dbit diminue. Le Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA protocole UDP ne possde pas ce mcanisme, au bout d'un certain temps le trafic UDP occupe donc toute la bande passant n'en laissant qu'une infime partie au trafic TCP.
V. Systmes de Protection
1-Firewall
Un firewall - littralement "mur de feu" - est un ordinateur (et un programme) qui filtre ce qui passe d'un rseau un autre.
On s'en sert pour scuriser les rseaux et les ordinateurs, c'est--dire contrller les accs et bloquer ce qui est interdit. Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA Souvent, on utilise un firewall pour protger un rseau local du rseau internet:
Typiquement, il va: Autoriser les ordinateurs du rseau local se connecter internet. Bloquer les tentatives de connexion d'internet vers les ordinateurs du rseau local.
Firewall matriel, firewall logiciel On entend parfois parler de firewalls matriels. Ils sont sous la forme de botiers compacts. En ralit, se sont de simples ordinateurs possdant leur propre systme d'exploitation et leur propre logiciel firewall. Mais ils n'ont rien de diffrent d'un simple firewall install sur un ordinateur. Le seul avantage des firewalls "matriels" est qu'ils sont moins encombrants qu'un ordinateur. Mais ils cotent gnralement cher.
Quelques firewalls "matriels"
ISTA AL MASSIRA Si vous avez un vieux PC qui trane, on peut trs bien le transformer en firewall avec quelques logiciels gratuit ! Par exemple, il existe des disquettes ou CD comme CoyoteLinux ou Smoothwall qui transforment n'importe quel vieux PC (mme un simple 386 sans disque dur !) en firewall digne de ce nom. C'est un moyen de se faire un firewall fiable au meilleur prix. Firewall et couches OSI La plupart des firewalls travaillent au niveau des couches 4 (TCP, UDP...), 3 (IP...) et 2 (Ethernet...). Ils ne comprennent rien aux protocoles au dessus (ils sont incapables de filtrer HTTP, SMTP, POP3...). Certains firewalls sont capables de travailler au niveau de la couche 7 (applicative). Ils sont gnralement plus lents, plus lourds et plus complexes configurer mais permettent de filtrer certains protocoles comme HTTP, SMTP, POP3, FTP... Par exemple, c'est utile pour bloquer le tlchargement de virus, interdire certains sites, filtrer les cookies...
Comment a marche un firewall ? Un firewall, c'est une liste ordonne de la forme: (Rgle 1, action 1) (Rgle 2, action 2) (Rgle 3, action 3) Etc.
ISTA AL MASSIRA
Chaque fois qu'un paquet de donnes arrive, le firewall compare ce paquet chaque rgle (dans l'ordre) jusqu' en trouver une qui corresponde au paquet. Il excute alors l'action correspondante la rgle. Les rgles peuvent tre: adresse destination du paquet, adresse source, port destination, port source, date, heure, etc. Les actions peuvent tre: refuser le paquet, ignorer le paquet, accepter le paquet, transmettre le paquet sur un autre rseau, modifier les enttes du paquet... Firewalls "personnels" Il y a quelques temps, un nouveau type de firewall est apparu: les firewalls dits "personnels". Ils sont destins aux particuliers qui n'ont pas les moyens d'acheter un ordinateur spar uniquement pour faire un firewall. Au lieu d'tre une machine spare, le firewall personnel est un logiciel qui fonctionne directement sur l'ordinateur protger.
Il a quelques inconvnients: Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA Si un hacker parvient s'introduire sur l'ordinateur, il pourra facilement dsactiver le firewall (C'est beacoup plus difficile quand le firewall est un ordinateur spar) Comme il fonctionne en mme que les autres logiciels, il ralentit lgrement l'ordinateur. Mais il a aussi un avantage: Le firewall personnel est capable de contrler quels logiciels vont se connecter sur Internet (ce que ne sait pas faire un firewall spar). Parmi les firewalls "personnels", citons: Kerio Personal Firewall, Sygate Personal Firewall, ZoneAlarm, Agnitum Outpost, Look'n Stop... (La plupart de ces firewalls sont gratuits pour une utilisation non-professionnelle: profitez-en !) On peut parfaitement imaginer d'avoir les 2 types de firewalls en mme temps: un firewall spar pour protger le rseau, et un firewall personnel pour protger chaque ordinateur.
Comment on ferme un port ouvert ? (Pour comprendre ce que sont les ports, je vous recommande de lire d'abord le chapitre sur TCP/IP: http://sebsauvage.net/comprendre/tcpip/ ) Un port ne s'ouvre jamais tout seul. C'est toujours un logiciel prcis qui ouvre un port. Fermer un port, c'est donc fermer le logiciel qui a ouvert ce port. (Si vous ne pouvez/voulez pas fermer ce logiciel, il vous reste alors installer un firewall personnel qui bloquera les tentatives de connexion ce port. Nous verrons cela plus loin.) Prenons un exemple:
ISTA AL MASSIRA
Comme vous le voyez, sur cet ordinateur il y a 3 logiciels en mmoire: Le navigateur utilise 4 ports, connects un serveur web externe, pour aller chercher des pages HTML et des images. Ces ports sont ouverts en mode client: ils ne reoivent pas de connexion, mais sont connects l'extrieur pour changer des donnes. Le traitement de texte n'a aucun besoin d'aller sur internet: il n'a ouvert aucun port. Le logiciel de chat a ouvert le port 2074 en mode serveur: Il attend des connexions venant de l'extrieur (par exemple quelqu'un sur internet qui voudrait discuter avec vous). Si quelqu'un sur internet essaie de se connecter sur votre ordinateur: Sur le port 2068: Sans effet. La connexion sera rejete, puisque ce port est dj utilis par le navigateur, et il n'est pas ouvert en coute. Sur le port 7777: Sans effet. La connexion sera rejete, puisque ce port n'est mme pas ouvert sur l'ordinateur. Sur le port 2074: La connexion est tablie. Le logiciel de chat pourra recevoir des commandes, auxquelles il pourra dcider de rpondre ou non. Donc pour fermer le port 2074, il suffit de fermer le logiciel de chat. Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA Dans 99% des cas, le danger sur internet vient des bugs ou de la mauvaise configuration des logiciels qui se mettent en coute sur un port.
(Ici: le logiciel de chat). Il est donc trs important: De ne pas lancer n'importe quel logiciel sur votre ordinateur, De bien choisir quel logiciel utiliser pour une tche donne, De bien configurer ce logiciel, De suivre l'actualit en matire de scurit et donc: De mettre rgulirement jour vos logiciels et votre systme d'exploitation, De fermer tous les logiciels dont vous n'avez pas besoin, Et de vrifier que les logiciels que vous avez choisis ne font pas de choses tranges (par exemple, un traitement de texte n'a aucune raison d'aller sur internet). Comment savoir quels ports sont ouverts sur mon ordinateur ? Ouvrez une fentre MS-Dos (ou un terminal Unix) et tapez la commande: netstat -a Vous verrez la liste des ports ouverts. Les ports ouverts en mode serveur (en coute) sont nots "LISTENING". Active Connections Proto Local Address TCP TCP TCP TCP TCP Foreign Address State ESTABLISHED ESTABLISHED ESTABLISHED ESTABLISHED LISTENING
voterordinateur: 2067 serveurweb:80 voterordinateur: 2068 serveurweb:80 votreordinateur: 3014 serveurweb:80 votreordinateur: 3117 serveurweb:80 votreordinateur: 2074 0.0.0.0:0
ISTA AL MASSIRA Et pour savoir quel logiciel a ouvert tel ou tel port: Sous Unix/Linux, tapez: sudo netstat -apet Sous Windows, il vous faut un programme supplmentaire: TCPView (freeware, pour NT/2000/XP uniquement): La plupart des firewalls personnels (comme Kerio Personal Firewall) sont galement capable d'afficher ces informations (galement sous 95/98/ME). Il vous suffira alors d'arrter le programme en question (avec le gestionnaire de tches), de l'empcher de dmarrer au dmarrage de Windows (avec un programme comme AutoStart Manager) et ventuellement supprimer le programme en question.
Il va se placer entre les logiciels et le rseau, et intercepter tout ce qui passe, aussi bien en entre qu'en sortie.
Ainsi le firewall personnel va intercepter la tentative de connexion au logiciel de chat (port 2074). Si le firewall possde une rgle qui interdit cela, la connexion sera rejete, et le logiciel de chat ne verra mme pas la tentative de connexion. En tablissant vos propres rgles, vous pourrez dcider quels logiciels pourront se connecter sur internet ou recevoir des connexions, et de qui. Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA Ainsi, mme si vous n'arrivez pas fermer certains ports, vous pourrez tablir des rgles pour interdire les connexions sur ces ports. Mais il vaut bien mieux fermer les logiciels qui ouvrent ces ports. C'est plus sr que de bloquer les connexions vers ces ports. (Il vaut mieux avoir une bassine en bon tat plutt qu'une passoire dont on essaie de boucher tous les trous ;-) Et pour tablir la liste de rgles de votre firewall, il y a une rgle suivre: Tout est interdit, sauf ce qui est strictement ncessaire. Donc, ne vous posez plus la question "Quels ports fermer ?". La rponse est vidente: tous ! La plupart des firewalls personnels ont un mode "apprentissage" o ils vous affichent des messages d'alerte et vous demandent quoi faire. Cela permet d'tablir progressivement un ensemble de rgles pour vos logiciels courants. (Vous donnez des autorisations vos logiciels au cas par cas, et le firewall s'en souvient.) Quelques exemples: Votre navigateur pourra se connecter o il veut sur les ports 80 (HTTP) et 443 (HTTPS). Votre logiciel d'email ne doit se connecter que sur le serveur de mail de votre fournisseur d'accs (par exemple: smtp.free.fr sur le port 25 et pop.free.fr sur le port 110). Tout le reste lui est interdit. Votre antivirus peut se connecter uniquement au site de l'diteur pour se mettre jour. Votre logiciel de FTP peut se connecter o il veut, mais uniquement sur le port 21. Il peut recevoir des connexions sur le port 20. Votre jeu en rseau recevoir des connexion sur le port qui lui est ddi, et aller se connecter sur le serveur central de jeu. Etc. (Ce ne sont que quelques exemples.) Par la suite, il suffit de dsactiver ce mode apprentissage pour ne plus voir les fentes d'alerte et travailler en srnit.
ISTA AL MASSIRA Un firewall n'est pas une arme absolue ?!!! Ne pensez pas que votre ordinateur est protg 100% parce que vous avez un firewall fiable et bien configur. Certains chevaux de Troie sont capables de dsactiver les firewalls personnels, ou mme se faire passer pour votre navigateur pour aller sur Internet sans que le firewall ne s'en aperoive. Mme avec un firewall "matriel", il est possible de tunneller du traffic TCP/IP chiffr dans de simples requtes HTTP. Pour parler plus simplement, a permet de percer des trous gigantesques dans le plus blind des firewalls. (Pour les dtails techniques, voici ici: http://sebsauvage.net/punching/) Bref, vous le voyez, la scurit n'est jamais assure 100%. Alors le firewall est inutile ? Srement pas ! Il est absolument indispensable partir du moment vous allez sur internet. C'est un peu comme la ceinture de scurit: a n'empche pas d'avoir des accidents, mais dans la majorit des cas, a sauve des vies !
Internet est un repaire de pirate Non. Internet regorge de personnes sympatiques et pleines de bonne volont. Je suis sincre, croyez-moi, j'en rencontre tous les jours. Mais il y a des cons partout. Et internet n'chappe pas la rgle. Il est donc ncessaire de se protger contre cet infime pourcentage de connards et les firewalls les arrteront dans 99% des cas.
2-Antivirus
ISTA AL MASSIRA Un antivirus est un logiciel qui a pour but de dtecter et de supprimer les virus d'un systme informatique. Comment fonctionne-t-il? Afin de mener bien sa mission, l'antivirus utilise diffrentes mthodes : Recherche par la signature : Cette mthode consiste analyser le disque dur la recherche de la signature du virus. La signature est un morceau de code du virus qui permet de l'identifier. L'antivirus compare les donnes du disque dur avec sa base de donnes. Celle-ci doit donc tre rgulirement mise jour pour pouvoir dtecter les virus les plus rcents. Cette mthode est la plus utilise. L'analyse heuristique : Cette mthode consiste simuler le comportement de logiciels prsents sur votre ordinateur. Cela permet l'antivirus de reprer des logiciels susceptibles d'avoir un comportement agressif. Cette mthode ne ncessite pas de mise jour ( moins qu'une version plus rcente du logiciel soit disponible). Cette mthode peut provoquer des fausses alertes. L'analyse du comportement : Cette mthode consiste surveiller en permanence le comportement des logiciels actifs, ainsi que les fichiers cres ou modifis. Cette mthode ne doit jamais tre utilise seule car l'antivirus intervient aprs que le mal soit fait. Elle est cependant recommande pour tous les ordinateurs connects internet. Un antivirus bien configur utilise une combinaison de ces mthodes pour protger un ordinateur des virus. Lorsque l'antivirus a dtect un virus, il offre trois possibilits l'utilisateur: 1. Rparer le fichier :
ISTA AL MASSIRA Dans certain cas, l'antivirus peut rparer un fichier infect. Cela va dpendre du fichier infect, du comportement du virus ou encore de la faon dont le virus se duplique. Gnralement l'antivirus va tenter de rparer le fichier avant de faire quoi que ce soit d'autre. 2. Supprimer le fichier : Si l'antivirus n'est pas capable de rparer le fichier, il peut le supprimer. Choisissez cette option uniquement si le fichier n'est pas important, sinon (ou si vous ne savez pas) prfrez la mise en quarantaine. 3. La mise en quarantaine : L'antivirus place le fichier dans un dossier protg et isol par l'antivirus. Cela permet l'antivirus d'attendre qu'une mthode soit diffuse pour rparer des fichiers infects par tel ou tel virus. En gnral l'antivirus tente de rparer les fichiers mis en quarantaine aprs chaque mise jour.
3-Anti-spyware
Un Anti-spyware est un logiciel qui permet de rechercher et de supprimer les spywares prsents sur un ordinateur. Comment fonctionne t-il ? Un spyware tant toujours actif, l'anti-spyware va comparer l'ensemble des processus actifs du systme avec une base de donnes qu'il faut donc mettre jour rgulirement. Quelques anti-spyware : Il est conseill d'utiliser plusieurs logiciels anti-spyware, un seul ne dtectant pas la totalit des spywares. Voici quelques anti-spywares gratuits : spybot search & destroy Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA Ad-aware Spyware Blaster Hijackthis
4-IDS (Intrusion Detection System)
Un IDS (Intrusion Detection System) sert comme son nom lindique reprer les intrusions. Les IDS sont des dispositifs qui coutent en permanence et de faon furtive le trafic rseau. Ils analysent les paquets qui circulent sur le rseau et rvlent les anomalies ou les intrusions. On distingue deux types dIDS : N-IDS : agissant au niveau du rseau, ce sont des dispositifs matriels part entire qui contrle les paquets entrant et sortants. H-IDS : agissant au niveau de la machine, ce sont des logiciels Les IDS emploient deux mthodes de dtection dintrusion. Dune part la mthode de dtection par signature : elle consiste comparer lactivit dun lment repr une base de signature dattaques connues. Celle-ci renferme les caractristiques des menaces et leur mode daction ou routine. Seul les lments ayant une dfinition dans la base de signatures pourront tre reprs. Dautre part la mthode de dtection des anomalies : elle permet de dceler une intrusion en utilisant lanalyse de statistiques du systme. En cas de changement comportemental du systme contraire la normal (charge CPU trop lev, utilisation de la mmoire excessive) lIDS mettra une alerte. Les IDS sont capables de dceler des backdoor, spyware, hijacker, rootkit, dialer, vers
ISTA AL MASSIRA
5-Honeypot/Honeynet
Les Honeypot (pot de miel) sont des ordinateurs ou serveurs qui sont laiss volontairement vulnrable (sans antivirus, sans patch de scurit, sans firewall etc ) afin dattirer et de piger les pirates. Les honeypot constitue un leurre pour les pirates qui croient sattaquer une machine de production alors quil nen est rien. Lintrt des honeypot vient du fait quune fois quun pirate mordu lhameon en sattaquant un de ces leurres, il devient ais dobserver ses techniques de piratage, son comportement et ainsi aider combler les failles de scurit, amliorer les politiques de scurit, et llaboration de nouvelles solutions de scurit. Il est vident que les machines honeypot ne doivent pas hberger des donnes sensibles. On spare les honeypots en deux catgories : Les honeypot de production qui a pour but de rduire la vulnrabilit face aux attaques de pirates. Les honeypot de recherche qui vise tudier le comportement des pirates. Les honeypot doivent tre placs dans une zone dmilitarise (DMZ) auquel cas il servira observer le comportement des attaques externes, ou sur le rseau local auquel cas il servira observer les attaques internes. Lintrt de placer un honeypot dans une DMZ vient du fait que le pirate ne pourra se servir de celui-ci pour rebondir sur le rseau local ou sur Internet. Les honeypot sont trs utiles mais uniquement sils sont bien tudis et configurer de telle sorte quils ne compromettent pas la scurit de lentreprise. Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA Une technique rpandue consiste utiliser une machine virtuelle ou un rseau de machines virtuelles (sous VMware par exemple) en guise de honeypot. On parle de Honeynet dans le cas ou cest tout un rseau qui est laiss volontairement vulnrable. Les machines honeypot se verront installer un logiciel honeypot qui se chargera dobserver et denregistrer les activits des pirates. Les principaux honeypot du march sont : Back Officer Friendly (BDF), CybercopSting, Deception Toolkit (DTK), Honeyd, Mantrap, Specter, VMware.
VI.
Le Cryptage
ISTA AL MASSIRA En cryptographie, le chiffrement (parfois appel tort cryptage) est le procd grce auquel on peut rendre la comprhension d'un document impossible toute personne qui n'a pas la cl de (d) chiffrement
1-RSA
Rivest Shamir Adleman ou RSA est un algorithme asymtrique de cryptographie cl publique, trs utilis dans le commerce lectronique, et plus gnralement pour changer des donnes confidentielles sur Internet Cet algorithme est fond sur l'utilisation d'une paire de cls compose d'une cl publique pour chiffrer et d'une cl prive pour dchiffrer des donnes confidentielles. La cl publique correspond une cl qui est accessible par n'importe quelle personne souhaitant chiffrer des informations, la cl prive est quant elle rserve la personne ayant cr la paire de cls. Lorsque deux personnes, ou plus, souhaitent changer des donnes confidentielles, une personne, nomme par convention Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA Alice prend en charge la cration de la paire de cls, envoie sa cl publique aux autres personnes Bob, Carole qui peuvent alors chiffrer les donnes confidentielles l'aide de celle-ci puis envoyer les donnes chiffres la personne ayant cr la paire de cls, Alice. Cette dernire peut alors dchiffrer les donnes confidentielles l'aide de sa cl prive
2-DES
Le Data Encryption Standard (DES) est une mthode de chiffrement utilisant des cls de 56 bits. Son emploi n'est plus recommand aujourd'hui, du fait de sa lenteur l'excution et de son espace de cls trop petit permettant une attaque systmatique en un temps raisonnable. Quand il est encore utilis c'est gnralement en Triple DES, ce qui ne fait rien pour amliorer ses performances. DES a notamment t utilis dans le systme de mots de passe Unix. Il y en a dautre comme par exemple PGP, ENIGMA et chiffrement Vigenre
3-Algorithme de hachage
Un algorithme de hachage est une fonction mathmatique qui convertit une chane de caractres d'une longueur quelconque en une chane de caractres de taille fixe appele digest ou empreinte Cette fonction est dite sens unique pour les raisons suivantes : 2 messages diffrents (mme 1 bit) ne produiront "jamais" la mme empreinte Il est impossible de trouver le message lorsqu'on connat l'empreinte L'empreinte est le rsultat d'une fonction de hachage. Ce type de fonction cryptographique est conu de faon qu'une modification mme infime du message initial entrane une modification de l'empreinte. Exemples d'algorithmes de hachage : MD2, MD4, MD5, SHA1
ISTA AL MASSIRA Exemple de fonction MD5 Le monde informatique tant ouvert beaucoup de personnes ncessite quelles puissent sidentifier a tout moment pour tre sur de notre interlocuteur, cest cela que serve les signatures informatique. Ces signatures informatiques sont aussi utilises pour vrifier lintgralit des messages. Dans cet article sera abord les fonctions de hachage. Mais quest-ce donc ?
4-Exemple de MD5
Le MD5 est un algorithme dvelopp par Ron Rivest qui va crer une clef de 128 bits. Il nous permet de vrifier lintgrit dun document mais dune manire plus scurise quun banal contrle de parit. Le MD5 gnre sa clef lors de lenvoi dun message et la transmet avec le message afin que le rcepteur puisse recalculer la clef du message et la comparer celle envoy. Nous pouvons retrouver le MD5 dans divers langage de programmation tel le C, C++, Java, PHP,ce qui fait de lui un algorithme assez utilis pour crypter les donnes. Le MD5 a t dvelopp de sorte quil soit relativement rapide sur des machines fonctionnant en 32 bits ce qui fait quil ne ncessite pas de grande plage mmoire de cration ou analyse de lalgorithme. Le MD5 est capable de gnrer une clef quelque sois la taille en entr du message, nous obtiendrons une clef diffrente. Diffrence MD4, MD5, SHA-1 MD5 signifie Message Digest mais que reprsente le 5, c'est comme un numro de version.Le MD4 tait dja une version rapide mais n'tait plus assez scuris, c'est pour cela que le MD5 a t cre. Le MD5 est plus lent que son prdcesseur du a ce gain de scurit. Le MD5 et le SHA-1 sont tous les deux bass sont le MD4 mais le SHA-1 gnre quand a lui une clef plus importante, 160 bits LAlgorithme dUne fonction de hachage : le MD5
ISTA AL MASSIRA Rappelons qu'une fonction de hachage calcule le rsum d'un texte, et que ce rsum est trs sensible au texte initial (une petite modification du texte provoque une grande modification du rsum). Les 2 algorithmes de hachage les plus utiliss sont le SHA (Secure Hash Algorithm) qui calcule un rsum de 160 bits, et le MD5, qui calcule un rsum de 128 bits. Nous vous prsentons ce dernier algorithme, qui se droule en plusieurs tapes Etape 1 : Compltion Soit un message A qui va etre le message a crypter, il est compos de a bits soit A1,......,Aa. La premire tape va etre de completer ce message par un 1 et beaucoup de 0 afin d'obtenir une longueur congruente a 448 modulo 512. Cette tape est invitable meme si le message d'origine est congrue a 448 modulo 512. Ensuite pour passer a un multiple de 512 nous allons ajouter ce message la valeur de a code sur 64 bits. Nous allons par la suite pouvoir travailler les bloc de 512 bit l'un aprs l'autre. Le message devient de la forme suivante:
Etape 2 : Initialisation Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA Avant de commencer cela, dfinissons 4 buffers de 32 bits(avec les bits de poid faible en premier) : En binaire les buffers donnent ceci : A=00000001001000110100010101100111 B=10001001101010111100110111101111 C=11111110110111001011101010011000 D=01110110010101000011001000010000 Nous allons les dfinir en hexadcimale pour plus de comprhension : A=01234567 B=89abcdef C=fedcba98 D=76543210 Nous allons aussi dfinir 4 fonctions E, F, G, H qui travaillent sur des mots de 32 bits ce qui veut dire qu'elle recevra des mots de 32 bit et reverra des mots de 32 bits. Chaque opration quand a elle se fait bit par bit. Sois X, Y et Z des mots de 32 bits alors E, F, G, H sera dfinit de la faon suivante :
Nous avons notre message agrandi qui est un multiple de 512, ce qui fait que c'est un multiple de 16 mots avec un mot ayant 32 bits. Notre message A remani est alors construit de la sorte : A[0....N-1] avec N qui est un multiple de 16. Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA A ce moment, l'algorithme utilise une table de 64 lments qui est construite depuis la fonction sinus. Si vous souhaiter de plus ample information sur cette table, elle sont dans l'appendice de la RFC1321. Etape 3 : Calcul itratif
Ensuite arrive la boucle qui va lancer l'algorithme, Elle va repeter l'opration N/16 fois afin de traiter tous les bloc de 16 mots. Soit une boucle i de 0 a N/16-1, elle effectuera les manipulation suivantes : On copie le bloc i dans X. X comprend donc a ce moment 16 Mots,il faut donc rpter 16 fois l'opration pour travailler sur un mot de 32 bits. Donc au sein de la premire opration elle va effectuer une deuxime boucle j de 0 a 15 : on charge dans X[j] la valeur de A[i*16+j] La deuxime boucle de j se termine Puis nous doublons A, B, C et D AA=A BB=B CC=C DD=D Ensuite il y a 4 ronde a effectuer comportant chacune 16 opration dcrite de la facon suivante [abcd k s i] dfinissant a= b + ((a + Fonction (b, c, d) +X[k] + T[i]) <<< s) avec la fonction changeant pour chaque ronde
ISTA AL MASSIRA
Ensuite il faut incrmenter chacun des 4 registres : A= A+AA B= B+BB C= C+CC D= D+DD La boucle i se termine ici. Etape 4 : Ecriture du rsum Le rsum sur 128 bits est obtenu en mettant bout bout les 4 buffers A, B, C, D de 32 bits.
ISTA AL MASSIRA
Pour obtenir la clef finale, on rcupre les bits qui ressorte du dernier tour au niveau de A,B,C,D. Le MD5 est un algorithme assez performant, assez souvent utilis pour crypter un mot de passe, des messages. Le coeur de l'algorithme n'est pas connu pour des raisons de scurit
5-Types de chiffrement
A- Symtrique : cl priv
ISTA AL MASSIRA Le chiffrement symtrique (aussi appel chiffrement cl prive ou chiffrement cl secrte) consiste utiliser la mme cl pour le chiffrement et le dchiffrement. Alors l'envoyeur et le destinataire du message doivent avoir convenu de la cl avant l'envoi du message. Ils doivent donc disposer d'un canal sr (scuris), ou ils doivent ainsi avoir un secret commun entre eux. Ce quest pas toujours vident. Cest lexemple de DES
B- Asymtrique : cl publique
Dans ce cas, les cls de chiffrement et de dchiffrement sont distinctes: la cl de chiffrement permet de dchiffrer ce qui a t chiffr avec la cl de dchiffrement, et vice versa. L'heureux possesseur d'une telle paire de cls, en rend une (au choix) publique, c'est--dire qu'il la donne Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA tout le monde. Tout correspondant qui veut envoyer un message, chiffre son message l'aide de la cl publique du destinataire. Seul le possesseur de la cl secrte correspondant cette cl publique pourra dchiffrer le message. Les algorithmes de chiffrement cl publique permettent aussi l'envoyeur de signer son message. En effet, il lui suffit de chiffrer, le message (ou une fonction de ce message) avec sa propre cl secrte. Le destinataire dchiffrera cette fonction avec la cl publique de l'envoyeur et sera ainsi certain de l'identit de l'envoyeur, puisqu'il est le seul possder la cl secrte qui permette de faire un tel chiffrement. Cest lexemple de RSA Ainsi, dans un systme de chiffrement cl publique, les utilisateurs choisissent une cl alatoire qu'ils sont seuls connatre (il s'agit de la cl prive). A partir de cette cl, ils dduisent chacun automatiquement un algorithme (il s'agit de la cl publique). Les utilisateurs s'changent cette cl publique au travers d'un canal non scuriser. 1er tape : Alice gnre deux cls. La cl publique (verte) qu'elle envoie Bob et la cl prive (rouge) qu'elle conserve prcieusement sans la divulguer quiconque
2e et 3e tapes : Bob chiffre le message avec la cl publique d'Alice et envoie le texte chiffr. Alice dchiffre le message grce sa cl prive
ISTA AL MASSIRA
3-La signature lectronique
Le paradigme de signature lectronique (appel aussi signature numrique) est un procd permettant de garantir l'authenticit de l'expditeur (fonction d'authentification) et de vrifier l'intgrit du message reu. La signature lectronique assure galement une fonction de non rpudiation, c'est--dire qu'elle permet d'assurer que l'expditeur a bien envoy le message. Il y a des utilitaire qui permet de calculer la signature dun objet tlcharger sur Internet, et ils ont pour but la vrification de lintgrit du message : par exemple md5, MST_md5
VII. VPN
Les applications et les systmes distribus font de plus en plus partie intgrante du paysage d'un grand nombre d'entreprises. Ces technologies ont pu se dvelopper grce aux performances Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA toujours plus importantes des rseaux locaux. Mais le succs de ces applications a fait aussi apparatre un de leur cueil. En effet si les applications distribues deviennent le principal outil du systme d'information de l'entreprise, comment assurer leur accs scuris au sein de structures parfois rparties sur de grandes distances gographiques ? Concrtement comment une succursale d'une entreprise peut-elle accder aux donnes situes sur un serveur de la maison mre distant de plusieurs milliers de kilomtres ? Les Vpn ont commenc tre mis en place pour rpondre Ce type de problmatique. Mais d'autres problmatiques sont apparues et les Vpn ont aujourd'hui pris une place importante dans les rseaux informatique et l'informatique distribues. Nous verrons ici quelles sont les principales caractristiques des Vpn travers un certain nombre d'utilisation type. Nous nous intresserons ensuite aux protocoles permettant leur mise en place. Principe gnral Un rseau Vpn repose sur un protocole appel "protocole de tunneling". Ce protocole permet de faire circuler les informations de l'entreprise de faon crypte d'un bout l'autre du tunnel. Ainsi, les utilisateurs ont l'impression de se connecter directement sur le rseau de leur entreprise. Le principe de tunneling consiste construire un chemin virtuel aprs avoir identifi l'metteur et le destinataire. Par la suite, la source chiffre les donnes et les achemine en empruntant Ce chemin virtuel. Afin d'assurer un accs ais et peu coteux aux intranets ou aux extranets d'entreprise, les rseaux privs virtuels d'accs simulent un rseau priv, alors qu'ils utilisent en ralit une infrastructure d'accs partage, comme Internet. Les donnes transmettre peuvent tre prises en charge par un protocole diffrent d'Ip. Dans Ce cas, le protocole de tunneling encapsule les donnes en ajoutant une en-tte. Le tunneling est l'ensemble des processus d'encapsulation, de transmission et de dsencapsulation.
Le Vpn d'accs
ISTA AL MASSIRA
Le Vpn d'accs est utilis pour permettre des utilisateurs itinrants d'accder au rseau priv. L'utilisateur se sert d'une connexion Internet pour tablir la connexion Vpn. Il existe deux cas: L'utilisateur demande au fournisseur d'accs de lui tablir une connexion crypte vers le serveur distant : il communique avec le Nas (Network Access Server) du fournisseur d'accs et c'est le Nas qui tablit la connexion crypte. L'utilisateur possde son propre logiciel client pour le Vpn auquel cas il tablit directement la communication de manire crypte vers le rseau de l'entreprise. Les deux mthodes possdent chacune leurs avantages et leurs inconvnients : La premire permet l'utilisateur de communiquer sur plusieurs rseaux en crant plusieurs tunnels, mais ncessite un fournisseur d'accs proposant un Nas compatible avec la solution Vpn choisie par l'entreprise. De plus, la demande de connexion par le Nas n'est pas crypte Ce qui peut poser des problmes de scurit. Sur la deuxime mthode Ce problme disparat puisque l'intgralit des informations sera crypte ds l'tablissement de la connexion. Par contre, cette solution ncessite que chaque client transporte avec lui le logiciel, lui permettant d'tablir une communication crypte. Nous verrons que pour pallier Ce problme certaines entreprises mettent en place des Vpn base de Ssl, technologie implmente dans la majorit des navigateurs Internet du march.
L'intranet Vpn
ISTA AL MASSIRA
L'intranet Vpn est utilis pour relier au moins deux intranets entre eux. Ce type de rseau est particulirement utile au sein d'une entreprise possdant plusieurs sites distants. Le plus important dans Ce type de rseau est de garantir la scurit et l'intgrit des donnes. Certaines donnes trs sensibles peuvent tre amenes transiter sur le Vpn (base de donnes clients, informations financires...). Des techniques de cryptographie sont mises en oeuvre pour vrifier que les donnes n'ont pas t altres. Il s'agit d'une authentification au niveau paquet pour assurer la validit des donnes, de l'identification de leur source ainsi que leur non-rpudiation. La plupart des algorithmes utiliss font appel des signatures numriques qui sont ajoutes aux paquets. La confidentialit des donnes est, elle aussi, base sur des algorithmes de cryptographie. La technologie en la matire est suffisamment avance pour permettre une scurit quasi parfaite. Le cot matriel des quipements de cryptage et dcryptage ainsi que les limites lgales interdisent l'utilisation d'un codage " infaillible ". Gnralement pour la confidentialit, le codage en lui-mme pourra tre moyen faible, mais sera combin avec d'autres techniques comme l'encapsulation Ip dans Ip pour assurer une scurit raisonnable. L'extranet Vpn
ISTA AL MASSIRA Une entreprise peut utiliser le Vpn pour communiquer avec ses clients et ses partenaires. Elle ouvre alors son rseau local ces derniers. Dans Ce cadre, il est fondamental que l'administrateur du Vpn puisse tracer les clients sur le rseau et grer les droits de chacun sur celui-ci. conclusion Un systme de Vpn doit pouvoir mettre en oeuvre les fonctionnalits suivantes : Authentification d'utilisateur. Seuls les utilisateurs autoriss doivent pouvoir s'identifier sur le rseau virtuel. De plus, un historique des connexions et des actions effectues sur le rseau doit tre conserv. Gestion d'adresses. Chaque client sur le rseau doit avoir une adresse prive. Cette adresse prive doit rester confidentielle. Un nouveau client doit pourvoir se connecter facilement au rseau et recevoir une adresse. Cryptage des donnes. Lors de leurs transports sur le rseau public les donnes doivent tre protges par un cryptage efficace. Gestion de cls. Les cls de cryptage pour le client et le serveur doivent pouvoir tre gnres et rgnres. Prise en charge multiprotocole. La solution Vpn doit supporter les protocoles les plus utiliss sur les rseaux publics en particulier Ip. Le Vpn est un principe : il ne dcrit pas l'implmentation effective de ces caractristiques. C'est pourquoi il existe plusieurs produits diffrents sur le march dont certains sont devenus standard, et mme considrs comme des normes
VIII.
Les protocole scuris
Internet permet de raliser un grand nombre d'oprations distance, notamment l'administration de serveurs ou bien le transfert de fichiers. Le protocole Telnet et les r-commandes de linux rsh, rlogin Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA et rexec) permettant d'effectuer ces tches distantes possdent l'inconvnient majeur de faire circuler en clair sur le rseau les informations changes, notamment l'identifiant (login) et le mot de passe pour l'accs la machine distante. Ainsi, un pirate situ sur un rseau entre l'utilisateur et la machine distante a la possibilit d'couter le trafic, c'est--dire d'utiliser un outil appel sniffer capable de capturer les trames circulant sur le rseau et ainsi d'obtenir l'identifiant et le mot de passe d'accs la machine distante. Mme si les informations changes ne possdent pas un grand niveau de scurit, le pirate obtient un accs un compte sur la machine distante et peut ventuellement tendre ses privilges sur la machine afin d'obtenir un accs administrateur (root). Etant donn qu'il est impossible de matriser l'ensemble des infrastructures physiques situes entre l'utilisateur et la machine distante (internet tant par dfinition un rseau ouvert), la seule solution est de recourir une scurit au niveau logique (au niveau des donnes).
1-Protocole SSH
Le protocole SSH (Secure Shell) rpond cette problmatique en permettant des utilisateurs (ou bien des services TCP/IP) d'accder une machine travers une communication chiffre (appele tunnel). Secure Shell (SSH) est la fois un programme informatique et un protocole de communication scuris. Le protocole de connexion impose un change de cls de chiffrement en dbut de connexion. Par la suite toutes les trames sont chiffres. Il devient donc impossible d'utiliser un sniffer pour voir ce que fait l'utilisateur. Le protocole SSH a t conu avec l'objectif de remplacer les diffrents programmes rlogin, telnet et rsh. Le protocole SSH existe en deux versions majeures : la version 1.0 et la version 2.0. La premire version permet de se connecter distance un ordinateur afin d'obtenir un shell ou ligne de commande. Cette version souffrait nanmoins de problmes de scurit dans la vrification de l'intgrit des donnes envoyes ou reues, la rendant vulnrable des attaques actives. En outre, cette version implmentait un systme de transmission de fichiers sommaires, et du port tunneling.
ISTA AL MASSIRA La version 2 qui tait l'tat de draft jusqu'en janvier 2006 est dj largement utilise travers le monde. Cette version est beaucoup plus sre cryptographiquement, et possde en plus un protocole de transfert de fichiers complet. Habituellement le protocole SSH utilise le port 22. Il est particulirement utilis pour ouvrir un shell (console) sur un ordinateur distant. Peu utilis sur les stations Windows (avec PuTTY ou cygwin avec OpenSSH), SSH fait rfrence pour l'accs distant sur les stations Linux et Unix. SSH peut galement tre utilis pour forwarder des ports TCP d'une machine vers une autre, crant ainsi un tunnel. Cette mthode est couramment utilise afin de scuriser une connexion qui ne l'est pas (par exemple le protocole email POP3) en la faisant transfrer par le biais du tunnel chiffr SSH. Note : rien n'empche de faire plusieurs sauts entre consoles SSH, c'est--dire ouvrir une console sur un serveur, puis, de l, en ouvrir une autre sur un autre serveur
ISTA AL MASSIRA
2-Protocole Ssl
SSL (Secure Sockets Layers, que l'on pourrait traduire par couche de sockets scurise) est un procd de scurisation des transactions effectues via Internet. Le standard SSL a t mis au point par Netscape, en collaboration avec Mastercard, Bank of America, MCI et Silicon Graphics. Il repose sur un procd de cryptographie par clef publique afin de garantir la scurit de la transmission de donnes sur internet. Son principe consiste tablir un canal de communication scuris (chiffr) entre deux machines (un client et un serveur) aprs une tape d'authentification. Le systme SSL est indpendant du protocole utilis, ce qui signifie qu'il peut aussi bien scuriser des transactions faites sur le Web par le protocole HTTP que des connexions via le protocole FTP, POP ou IMAP. En effet, SSL agit telle une couche supplmentaire, permettant d'assurer la scurit des donnes, situe entre la couche application et la couche transport (protocole TCP par exemple) De cette manire, SSL est transparent pour l'utilisateur (entendez par l qu'il peut ignorer qu'il utilise SSL). Par exemple un utilisateur utilisant un navigateur internet pour se connecter un site de commerce lectronique scuris par SSL enverra des donnes chiffres sans aucune manipulation ncessaire de sa part. La quasi intgralit des navigateurs supporte dsormais le protocole SSL. Netscape Navigator Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA affiche par exemple un cadenas verrouill pour indiquer la connexion un site scuris par SSL et un cadenas ouvert dans le cas contraire, tandis que Microsoft Internet Explorer affiche un cadenas uniquement lors de la connexion un site scuriser par SSL
Un serveur web scuris par SSL possde une URL commenant par https://, o le "s" signifie bien videmment secured (scuris). Au milieu de l'anne 2001, le brevet de SSL appartenant jusqu'alors Netscape a t rachet par l'IETF (Internet Engineering Task Force) et a t rebaptis pour l'occasion TLS (Transport Layer Security).
3-Processus dachat
Trois processus d'achat vous sont proposs. Le choix dpendra du mode de traitement bancaire qui vous arrange le mieux : EUROWEBPAYMENTMENT Dbiter le client l'aide de votre propre Terminal de Paiement Electronique (voir avec votre banque si vous n'en disposez pas actuellement). Notre logiciel contrle immdiatement que le numro de carte bancaire saisi est conforme aux algorythmes bancaires autoriss. Opter pour le Paiement du client par carte bancaire via un tiers bancaire de confiance ralisant la transaction bancaire (ex : avec la solution Paybox, ou encore EuroWebPayment). Avec ces solutions vous gardez votre banque actuelle et n'avez pas besoin d'un Terminal de Paiement Electronique, ni mme dun contrat de vente distance (cas de EuroWebPayment). MyShop2Win est de base prvu pour fonctionner avec Paybox ou EuroWebPayment. Lutilisation dautres prestataires reste possible
ISTA AL MASSIRA Ssl et la scurisation des transactions
Cette solution est la solution de base permettant le chiffrement de la transaction au moment de la saisie du numro de carte bancaire du client, afin que celui-ci transite sur le rseau de manire code. Le paiement par SSL est aujourd'hui devenu un standard, de fait, puisque plus de 95% des transactions de vente en ligne sur Internet pour le grand public sont assures par ce mode de scurit. Avec SSL, c'est vous qui dbitez le client l'aide d'un Terminal de Paiement Electronique (voir avec votre banque si vous n'en disposez pas actuellement) et vrifiez si la carte est valide. Tout se passe comme pour une transaction carte bancaire dans un commerce classique.
ISTA AL MASSIRA
Le processus d'achat est donc le suivant : Etape 1 : Votre client slectionne les articles dsirs et les ajoutes au panier virtuel. Lorsqu'il a termin, il valide ses achats. Etape 2 : Votre boutique lectronique MyShop2Win demande alors au client ses coordonnes. Etape 3 : S'il a dj command dans une boutique MyShop2Win, la seule saisie de son code client rappellera ses coordonnes postales sans qu'il ait besoin de les ressaisir. Sinon il devra saisir ses coordonnes postales et se verra attribu un code client (utilisable pour de futurs commandes). Il valide ses coordonnes postales. Etape 4 : Votre boutique lectronique MyShop2Win calcule le montant total de la commande Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA (avec les frais de port). Etape 5 : Le client valide l'ensemble de la commande avec les frais de port. Etape 6 : Votre boutique lectronique MyShop2Win se connecte alors au serveur scuris SSL de myshop2win.com Etape 7: Celui-ci demande au client ses coordonnes bancaires. Etape 8: Le client saisit ses coordonnes bancaires sur le serveur scuris SSL de MyShop2Win lequel stocke les informations dans sa base de donnes. Etape 9 : Le client recevra une confirmation de la commande par e-mail et vous-mme serez averti par e-mail de l'arrive d'une commande. Etape 10: Vous consultez la commande sur le site MyShop2Win en mode scuris. Etape 11 : Vous dbitez le client l'aide de votre Terminal de Paiement Electronique (T.P.E.).
ISTA AL MASSIRA
4- Point-to-Point Tunneling Protocol (PPTP)
Dvelopp partir du protocole PPP (Point-to-Point Protocol), le protocole PPTP atteint un niveau suprieur en terme de scurit et de communications multiprotocoles sur internet. Le principe du protocole PPTP repose sur lencapsulation des trames PPP dans des datagrammes IP. Associ dautres protocoles, il permet lencryptage des donnes (protocole Microsoft Point-to-Point Encryption) ainsi que leur compression (protocole Microsoft Point-to-Point Compression). Lauthentification se fait avec le protocole Ms-Chap v2. Lors dune connexion PPTP, le client se connecte dabord son fournisseur daccs internet (FAI) avec une connexion de type PPP permettant la circulation des donnes sur internet. Viens ensuite une deuxime connexion de type dial-up , celle-ci permet dencapsuler les trames PPP dans des datagrammes IP. Cette deuxime connexion forme le tunnel PPTP. La premire connexion est utilise pour internet, alors que la deuxime est utilise pour communiquer avec le VPN. Caractristiques : Le rseau dinterconnexion doit tre IP Il ny a pas de compression den-tte Il ny a pas dauthentification de tunnel Utilise le cryptage PPP intgr Gnralement il y a 3 ordinateurs impliqus dans tout dploiement de PPTP : un client PPTP un serveur d'accs rseau un serveur PPTP
ISTA AL MASSIRA
Figure1 :le tunnel PPTP
Le tunneling est le processus qui consiste envoyer des paquets vers un ordinateur sur un rseau priv en les routant par le biais d'autres rseaux, tels que l'Internet. Les autres routeurs rseaux ne peuvent accder l'ordinateur qui est sur le rseau priv. Cependant, le tunneling permet au rseau de routage de transmettre le paquet vers un ordinateur intermdiaire tel que le serveur PPTP, qui est connect la fois au rseau de routage et au rseau priv. Le client PPTP et le serveur PPTP utilisent le tunneling pour router de faon scurise des paquets vers un ordinateur sur le rseau priv en utilisant des routeurs qui connaissent seulement l'adresse du serveur intermdiaire du rseau priv. Lorsque le serveur PPTP reoit le paquet du rseau de routage, il l'envoie sur le rseau priv vers l'ordinateur de destination. Le serveur PPTP ralise ceci en traitant le paquet PPTP pour obtenir les informations de nom et d'adresses de l'ordinateur du rseau priv dans le paquet encapsul PPP. Notez que le paquet PPP encapsul peut contenir des donnes multi-protocoles telles que TCP/IP, IPX ou NetBEUI. Parce que le serveur PPTP est configur pour communiquer sur le rseau priv en utilisant des protocoles de rseau priv, il est capable de lire des paquets multi-protocoles.
Les serveurs d'accs rseau chez un ISP Les ISP utilisent les serveurs d'accs rseau pour supporter les clients qui se connectent en utilisant un protocole tel que SLIP ou PPP pour pouvoir accder l'Internet. Cependant, pour supporter des clients PPTP, un serveur d'accs rseau doit fournir un service PPP. Les serveurs d'accs rseau de l'ISP sont conus et construits pour accommoder un grand nombre de clients se connectant distance. Les serveurs d'accs rseau sont construits par des entreprises tels que 3Com, Ascend, ECI Telematics et U.S. Robotics, qui sont membres du forum PPTP.
ISTA AL MASSIRA Les serveurs PPTP sur les LAN privs Les serveurs PPTP sont des serveurs ayant des capacits de routage qui sont connects un rseau priv et l'Internet .un serveur PPTP reprsente un ordinateur faisant tourner Windows NT Server version 4.0 et RAS. PPTP est install en tant que protocole rseau. Lors de l'installation, PPTP est configur en ajoutant des matriels virtuels, Virtual Private Network (VPN) au RAS et au dial-up Networking.
5-Le protocole L2tp

L2tp, dfinit par la Rfc 2661, est issu de la convergence des protocoles Pptp et L2F. Il est actuellement dvelopp et valu conjointement par Cisco Systems, Microsoft, Ascend, 3Com ainsi que d'autres acteurs cls du march des rseaux. Il permet l'encapsulation des trames PPP pour les envoyer sur des rseau IP, X.25, relais de trames ou ATM. Lorsqu'il est configur pour transporter les donnes sur IP, L2tp peut tre utilis pour faire du tunnelling sur Internet. L2tp repose sur deux concepts : les concentrateurs d'accs L2tp (Lac : L2tp Access Concentrator) et les serveurs rseau L2tp (Lns : L2tp Network Server). L2tp n'intgre pas directement de protocole pour le chiffrement des donnes. C'est pourquoi L'IETF prconise l'utilisation conjointe d'Ipsec et L2tp.
Concentrateurs d'accs L2tp (Lac : L2tp Access Concentrator) Les concentrateurs daccs L2TP (ou LAC, L2TP Access Concentrateur) peuvent tre intgrs la structure d'un rseau commut comme le rseau tlphonique commut (RTC) ou encore associs un systme d'extrmit PPP prenant en charge le protocole L2TP. Le rle du concentrateur d'accs LAC se limite fournir un support physique qui sera utilis par L2TP pour transfrer le trafic vers un ou plusieurs serveurs rseau L2TP (LNS). Il assure le fractionnement en canaux pour tout protocole bas sur PPP. Le concentrateur daccs LAC joue le rle de serveur daccs : il est lorigine du tunnel et est responsable de lidentification du VPN. Serveur rseau L2tp (Lns : L2tp Network Server) Les serveurs rseau L2tp ou Lns peuvent fonctionner sur toute plate-forme prenant en charge la terminaison Ppp. Le Lns gre le protocole L2tp ct serveur. Le protocole L2tp n'utilise qu'un seul Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA support, sur lequel arrivent les canaux L2tp. C'est pourquoi, les serveurs rseau Lns, ne peuvent avoir qu'une seule interface de rseau local (Lan) ou tendu (Wan). Ils sont cependant capables de terminer les appels en provenance de n'importe quelle interface Ppp du concentrateur d'accs Lac : async., Rnis, Ppp sur Atm ou Ppp sur relais de trame. Le Lns est l'metteur des appels sortants et le destinataire des appels entrants. C'est le Lns qui sera responsable de l'authentification du tunnel.
Mode de fonctionnement implmentation protocole L2TP
Caractristiques : Le rseau dinterconnexion peut tre IP, relais de trames, X.25 ou ATM Il y a compression den-tte Il y a Authentification de tunnel Il utilise le cryptage IPSec
6-Protocol IPSec
IPSec, pour Internet Protocol Security, est un ensemble de mcanismes qui ont pour but de garantir la confidentialit, l'intgrit et l'authentification des changes au niveau de la couche rseau. Il existe deux types d'IP, nous sommes en IPv4 mais en cours de migration vers l'IPv6, il devient alors ncessaire de dvelopper des techniques de protection de donnes compatibles avec ces deux types d'IP. Les deux modes de fonctionnement IPSec : Le mode transport : Le mode transport offre essentiellement une protection aux protocoles de niveau suprieur (TCP, UDP) mais ne modifie pas la partie IP (les adresses IP sources et destination restent inchanges); il peut tre utile dans le cas d'une communication scurise au sein d'un LAN, par exemple
Le mode tunnel : Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA Dans le mode tunnel, les donnes envoyes par l'application traversent la pile de protocole jusqu' la couche IP incluse, puis sont envoyes vers le module IPsec. L'encapsulation IPsec en mode tunnel permet le masquage d'adresses. Le mode tunnel est gnralement utilis entre deux passerelles de scurit (routeur, firewall, ...) alors que le mode transport se situe entre deux htes.
Les deux modes de fonctionnement peuvent tre rsums par le schma suivant :
Les deux modes de fonctionnement IPSec
Les protocoles dauthentification IPSec : Le protocole AH : AH est le premier et le plus simple des protocoles de protection des donnes qui font partie de la spcification IPsec. Il est dtaill dans la Rfc 2402. Il a pour vocation de garantir : Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA L'authentification : les datagrammes IP reus ont effectivement t mis par l'hte dont l'adresse IP est indique comme adresse source dans les en-ttes.
L'intgrit : les champs suivants du datagramme IP n'ont pas t modifis depuis leur mission : les donnes (en mode tunnel, ceci comprend la totalit des champs, y compris les en-ttes, du datagramme IP encapsul dans le datagramme protg par AH), version (4 en IPv4, 6 en IPv6), longueur de l'en-tte (en IPv4), longueur totale du datagramme (en IPv4), longueur des donnes (en IPv6), identification, protocole ou en-tte suivant (ce champ vaut 51 pour indiquer qu'il s'agit du protocole AH), adresse IP de l'metteur, adresse IP du destinataire (sans source routing). Son principe est d'adjoindre au datagramme IP classique un champ supplmentaire permettant la rception de vrifier l'authenticit des donnes incluses dans le datagramme. Ce bloc de donnes est appel valeur de vrification d'intgrit .
Le protocole ESP : Le protocole ESP peut assurer, au choix, un ou plusieurs des services suivants : confidentialit des donnes et protection partielle contre l'analyse du trafic si l'on utilise le mode tunnel ; intgrit des donnes en mode non connect et authentification de l'origine des donnes, protection partielle contre le rejeu. Contrairement au protocole AH, o l'on se contentait d'ajouter un en-tte supplmentaire au paquet IP, le protocole ESP fonctionne suivant le principe de l'encapsulation : les donnes originales sont chiffres puis encapsules. Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA
7-Multiprotocol / Multipurpose Label Switching (MPLS)
Le protocole MPLS ou "Multiprotocol Label Switching", est un protocole qui utilise un mcanisme de routage qui lui est propre, bas sur l'attribution d'un " label " chaque paquet. Cela lui permet de router les paquets en optimisant les passages de la couche 2 la couche 3 du modle OSI et d'tre indpendant du codage de celles-ci suivant les diffrentes technologies (ATM, Frame Relay, Ethernet etc...) Le but est d'associer la puissance de la commutation de la couche 2 avec la flexibilit du routage de la couche 3. Schmatiquement, on peut le reprsenter comme tant situ entre la couche 2 (liaison) et la couche 3 (rseau).
La commutation de labels Lorsqu'un paquet arrive dans un rseau MPLS (1). En fonction de la FEC auquelle appartient le paquet, l'ingress node consulte sa table de commutation (2) et affecte un label au paquet (3), et le transmet au LSR suivant (4). Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA
Lorsque le paquet MPLS arrive sur un LSR [1] interne du nuage MPLS, le protocole de routage fonctionnant sur cet quipement dtermine dans la base de donnes des labels LIB (Label Base Information), le prochain label appliquer ce paquet pour qu'il parvienne jusqu' sa destination [2]. L'quipement procde ensuite une mise jour de l'en-tte MPLS (swapping du label et mise jour du champ TTL, du bit S) [3], avant de l'envoyer au noeud suivant (LSR ou l'egress node) [4]. Il faut bien noter que sur un LSR interne, le protocole de routage de la couche rseau n'est jamais sollicit.
ISTA AL MASSIRA
Enfin, une fois que le paquet MPLS arrive l'egress node [1], l'quipement lui retire toute trace MPLS [2] et le transmet la couche rseau.
L'aspect fonctionnalit IP est un protocole de niveau rseau fonctionnant dans un mode non connect, cest--dire que lensemble des paquets (ou datagrammes) constituant le message sont indpendants les uns des autres : les paquets dun mme message peuvent donc emprunter des chemins diffrents. A la rception dun datagramme, les nuds intermdiaires (ou routeurs) dterminent le prochain relais (ou next-hop) le plus appropri pour que le paquet rallie sa destination. Ce calcul est effectu sur tous les datagrammes dun mme flux, et cela autant de fois quil y a de routeurs intermdiaires traverser. Il est donc gourmand en terme de ressource machine. Le mode non connect du protocole IP, qui tait initialement lun de ses atouts, est devenu aujourdhui un frein son volution. MPLS est une technologie toujours en cours de standardisation lIETF. Lun des objectifs initiaux tait daccrotre la vitesse du traitement des datagrammes dans lensemble des quipements intermdiaires. Cette volont, avec lintroduction des giga routeurs, est dsormais passe au second plan. Depuis, laspect fonctionnalit a largement pris le dessus sur laspect performance, avec notamment les motivations suivantes : cration de VPN, Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA Traffic Engineering permettant de dfinir des chemins de routage explicites dans les rseaux IP (avec RSVP ou CR-LDP), flexibilit : possibilit dutiliser plusieurs types de media (ATM, FR, Ethernet, PPP), met en oeuvre IP/MAS, routage multicast Dans une architecture MPLS, un paquet est cod par un label (entit de taille fixe) au niveau dun E-LSR source (Edge - Label Switching Router), plac en priphrie de domaine MPLS. Ce paquet lablis est ensuite transmis un LSR en cur de domaine, qui remplace lancien label par un nouveau label indiquant le LSR suivant. Une fois arriv en bout du rseau, le label est retir par le E-LSR destination et le paquet seul est retransmis. Le chemin tabli par MPLS est un LSP (Label Switched Path).
Label, Tag MPLS Un label, dans sa forme la plus simple, identifie le chemin que le paquet doit suivre. Un label est transport ou encapsul dans l'en-tte de niveau 2 du paquet. Le routeur qui le reoit examine le paquet pour dterminer le saut suivant selon son label. Une fois qu'un paquet est labellis, le reste de son voyage est bas sur la commutation de labels. Les valeurs du label ont simplement une signification locale. Ces valeurs peuvent d'ailleurs directement dterminer un chemin virtuel (DLCI en Frame Relay ou VCI et VPI en ATM). Un label a une signification locale entre 2 LSR adjacents et mappe le flux de trafic entre le LSR amont et la LSR aval. A chaque bond le long du LSP, un label est utilis pour chercher les informations de routage (next hop, lien de sortie, encapsulation, queueing et scheduling) et les actions raliser sur le label : insrer, changer ou retirer Le format gnrique d'un label est illustr par la figure ci-dessous. Le label peut aussi se situer dans l'entte de la couche 2, ou entre les couches 2 et 3. Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA
Selon le type de protocole de niveau 2 vhicul, le label MPLS est localis diffremment. Dans le cas de lATM, le label est stock dans les champs VPI/VCI du protocole ATM. Dans le cas du Frame Relay, le label est stock dans le champ DLCI du protocole Frame Relay. Enfin dans le cas des Protocole Ethernet, PPP (Point to Point Protocol) ou HDLC, le label est situ entre les couches 2 et 3. Si on examine en dtail les champs du label MPLS, on constate que les 20 premiers bits sont utiliss pour le label en lui-mme. Cest cette partie qui est trait par les routeurs LSR. Le champ COS est utilis pour dfinir diffrentes classes de services afin de traiter de manires diffrencies des flux du client en fonction de leur nature. Ce champ est aussi appel Experimental car il est aujourdhui encore trs peu utilis par les constructeurs. Le champ S est un bit qui vaut 1 lorsquil y a un empilement de labels (utilis pour les VPN) et 0 lorsquil ny a quun seul label. Enfin le champ TTL (pour Time To Live) est identique au TTL du datagramme IP encapsul. A chaque passage par un routeur la valeur du TTL est dcrment. Lorsque la valeur du TTL est nulle, le paquet MPLS est dtruit.
ISTA AL MASSIRA
IX.
Authentification
Lauthentification a pour but de vrifier lidentit dun utilisateur et de garantir tout correspondant que son interlocuteur est bien celui quil croit tre. Pour cela on utilise diffrentes technologies et mthodes dauthentification :
authentification par mot de passe authentification par diverses cartes puces, cls, ou certificats
Lauthentification peut se faire au niveau de la couche rseau, transport, ou transmission. Voici quelques protocoles dauthentification les plus utiliss :
1-Authentification PAP
Mode dauthentification pour le protocole PPP, le protocole PAP (Password Authentification Protocol) est un protocole dauthentification par mot de passe. Ses caractristiques sont les suivantes :
envoie des informations dauthentification (username/password) acceptation ou refus de la connexion Protocole non scuris Mr EL HACHLAFI SAID 1
ISTA AL MASSIRA Les informations dauthentification sont envoyes en clair sur le rseau.
2-Authentification CHAP
Le protocole CHAP (Challenge Handshake Authentcation Protocol) est une mthode dauthentification plus volue que PAP. Celui-ci scurise le processus dauthentification (envoie de username/password) grce un chiffrement MD5 qui crypte lauthentification lors de son transit sur le rseau. Le serveur dauthentification envoie un nombre alatoire de 16 bits au client, et un compteur qui sincrmente chaque envoi ; Grce lalgorithme MD5 la machine distante hache ce nombre, le compteur et le mot de passe et le renvoie sur le rseau ; Le serveur d'authentification compare ensuite le rsultat du hachage effectu par la machine distante avec le rsultat du calcul effectu localement avec le mot de passe de l'utilisateur ; Si il y a galit entre les deux rsultats alors lauthentification russit, sinon elle choue.
ISTA AL MASSIRA
Pour des raisons de clart on a reprsent un seul sens de lauthentification CHAP. En ralit CHAP est bidirectionnelle et donc il faut rpter une fois de plus ce processus mais dans lautre sens.
3-RADIUS
Le protocole RADIUS (Remote Authentication Dial-In Service) est un protocole dauthentification standard. Il est trs utilis par les FAI pour centraliser lauthentification des utilisateurs distants et pour tablir des facturations prcises de leurs clients. Le fonctionnement de RADIUS est un mcanisme client/serveur qui utilise une base de donnes utilisateurs ou un annuaire LDAP et un client RADIUS pour identifier les clients. Scnario dune connexion PPP : 1) 2) 3) 4) Le poste utilisateur fait sa demande de connexion PPP un serveur PPP (client RADIUS). Le client RADIUS demande les identifiants (login/mot de passe) de lutilisateur distant. Le client lui renvoie les informations didentification. Le client RADIUS utilise ensuite ces informations afin de gnrer une Access-Request.
ISTA AL MASSIRA 5) Le serveur RADIUS vrifie si ces informations correspondent un utilisateur prsent dans la
base de donnes utilisateur. 6) Le serveur RADIUS accepte ou refuse la connexion en mettant des paquets Access-Accept
ou Access-Reject.
ISTA AL MASSIRA

El Hachlafi Securite

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

El Hachlafi Securite

Загружено:

Авторское право:

Доступные форматы

ISTA AL MASSIRA

Une attaques = quoi ?

II. Les types dattaques

III. Les techniques dattaques

2-Attaque man in the middle

3-Attaque par rejeu

4-Le vol de session TCP (Hijacking)

7-Le balayage de ports

9-Le Mail Bombing

15-Les chevaux de troie

Se protger contre les troyens Mr EL HACHLAFI SAID 1

17-Les bombes logiques

informations supplmentaires; Mr EL HACHLAFI SAID 1

et la machine du pirate 10.0.0.227. Avant l'attaque un traceroute donne comme rsultat :

Le pirate lance alors ARPSpoof : Mr EL HACHLAFI SAID 1

qui a normalement l'adresse IP 192.168.0.1. Le pirate met une requte DNS

au serveur DNS de l'attaquant;

IV. DENI DE SERVICE

ISTA AL MASSIRA Un exemple de packet LAND

Schma d'une connexion normale entre un client (Alice) et le serveur

L'attaque de fragmentation de paquet

Fig.3: Paquet dfragment

Quelques firewalls "matriels"

Il a quelques inconvnients: Mr EL HACHLAFI SAID 1

ISTA AL MASSIRA Ad-aware Spyware Blaster Hijackthis

4-IDS (Intrusion Detection System)

Etape 2 : Initialisation Mr EL HACHLAFI SAID 1

3-La signature lectronique

Les protocole scuris

ISTA AL MASSIRA Ssl et la scurisation des transactions

4- Point-to-Point Tunneling Protocol (PPTP)

Figure1 :le tunnel PPTP

5-Le protocole L2tp

Mode de fonctionnement implmentation protocole L2TP

Le mode tunnel : Mr EL HACHLAFI SAID 1

Les deux modes de fonctionnement IPSec

7-Multiprotocol / Multipurpose Label Switching (MPLS)

Вам также может понравиться