Transcript
  • ADDA Mohamed

    DJEBARI Merouane

    LARBIGASMIKOUNINEFMAMARNIAR

    HACHEMANI Rabah

    JUIN 2007

  • Remerciements

    Nous remercions Monsieur R. HACHEMANI, notrepromoteur, de sa disponibilit, sa gnrosit professionnelle et sesprcieux conseils.

    Merci tous ceux qui, un moment ou un autre, nousont apport leur savoir faire, en particulier :

    DAOUD Djilali, K. Abd essamed, BOUZERRITAMohamed, OULDE RAMOUL djamel, Kevin.

    Nous remercions nos amis dIGE 27Nous remercions galement les membres du jury davoir

    accept de juger notre travail.Nos remerciements vont galement tous les enseignants

    de lITO.

    Mohamed ADDA &

    Marouane DJEBBARI

  • DdicacesAu nom dAllah le Misricordieux le trs misricordieux.

    Jai limmense honneur de ddier ce mmoire :A mes trs chers parents qui taient prsents pour moi durant toute ma vie.

    A mes frres Mehdi, Yacine et Mohamed que jaime tant.A toute ma grande famille

    A mon cousin Lyes et son soutien durant mon cursus des tudes suprieurs.A ma cousine Meriem et ses conseils de sagesse.

    A tous mes amis de lITOA mes couins de Mostaganem, Chrif et sa petite famille, Latifa et sa famille,

    Khalida et sa fameille, Khier Eddine, Radia, Abd el Kader et Hicham.A leur papa Kouider

    A ma dfunte tante, leur maman, qui ma soutenu pendant ces trois derniresannes, et qui tait si gnreuse avec moi

    Mon Dieu bnie ma tante.

    Merouane DJEBARI

  • DdicacesA ma grande et chre famille,

    A ma Mre et mon Pre, Mes chers Parents qui je dois tout,A mes Surs Akila, Abbassia et Amina,

    A mes Frres, Abd El Aziz, Brahim et Abd El Madjid,Aux Maris de mes Surs, Nour Eddine et Mohamed,

    A leurs enfants Mohamed Abd El Hadi, Yacine Ahmed et Aya, quAllah lesgarde et les prserve,

    -

    A ma Femme qui ma soutenu tout au long de mon parcours et la familleRouibah qui mest trs chre,

    -A tous les membres de la famille Djebbari que jaime beaucoup et qui jadresse

    tous mes respects,A tous ceux qui me sont chers.

    Mohamed ADDA

  • IGE : 27 Scurit des rseaux dentreprise

    4

    SommaireIntroduction gnrale ...................................................................................................................................................6Chapitre1 : ....................................................................................................................................................................8Etude gnrale de la scurit des rseaux ...................................................................................................................8

    1- INTRODUCTION ...........................................................................................................................................82- La scurit, cest quoi ?...................................................................................................................................83- Les composantes de la scurit informatiques :............................................................................................8

    Lidentification (identity) ....................................................................................................................................8Lauthentification (authentication)......................................................................................................................8La confidentialit (privacy) .................................................................................................................................8Lintgrit des donnes (MAC, Message AuthentiCation) .................................................................................9La non-rpudiation............................................................................................................................................9

    4- Scurit des Applications Distribues............................................................................................................9Scurit et Rseau....................................................................................................................................................95- Qui sont nos ennemies ? ..................................................................................................................................9

    Profils des attaquants ..........................................................................................................................................9Les principaux objectifs d'un attaquant sont de cinq ordres :...................................................................... 10

    6- Comment se manifeste une attaque ............................................................................................................. 107- La politique de scurit ................................................................................................................................. 128- Scurit des donnes...................................................................................................................................... 12

    1 La technologie RAID ...................................................................................................................................... 132 Les SAN .......................................................................................................................................................... 14

    9- CONCLUSION...............................................................................................................................................15Chapitre2 : ................................................................................................................................................................. 16

    Diffrents types dattaques et solutions ................................................................................................................. 16Introduction :......................................................................................................................................................... 16LES SCANNEURS DE PORTS ........................................................................................................................... 16

    1 Dfinition :.................................................................................................................................................... 162 - Les scans des ports TCP:............................................................................................................................. 163 - Scan de ports UDP ....................................................................................................................................... 194 - Comment se protger contre les diffrents types de scan......................................................................... 19

    LES ANALYSEURS .............................................................................................................................................201 Dfinition :....................................................................................................................................................202 - Types danalyseurs : ....................................................................................................................................203 - Winpcap : .......................................................................................................................................................20

    LES PRINCIPALES ATTAQUES ...................................................................................................................... 211 - Les attaques sur rseau : ............................................................................................................................. 212 - Le dni de service :.......................................................................................................................................233 - Les attaques applicatives :...........................................................................................................................234 - Man in the middle ........................................................................................................................................24

  • IGE : 27 Scurit des rseaux dentreprise

    5

    5 - RSEAU SANS FIL.....................................................................................................................................246 - Virus et Trojan:............................................................................................................................................25

    LES FIREWALLS ou PAREFEUX ....................................................................................................................261 - Pourquoi un firewall :..................................................................................................................................262 - Les diffrents types de filtrages : ................................................................................................................263 - Les diffrents types de firewall : .................................................................................................................28

    LES SYSTEMES DE DETECTION DINTRUSION: IDS...............................................................................291 - Dfinition : ....................................................................................................................................................292 - Types dIDS : ................................................................................................................................................293 Les systmes de prvention dintrusions (IPS) : ......................................................................................304 Les mthodes de dtection .......................................................................................................................... 31

    Conclusion :............................................................................................................................................................33Chapitre3 : .................................................................................................................................................................34

    Exprimentations....................................................................................................................................................34Introduction :.........................................................................................................................................................34Exprimentation 1 :...............................................................................................................................................34

    A la recherche du mot de passe dune boite e-mail : ......................................................................................34Exprimentation 2:................................................................................................................................................38

    Hack complet dun serveur : ............................................................................................................................38Conclusion : .......................................................................................................................................................... 44

    Chapitre4 : .................................................................................................................................................................45Applications ............................................................................................................................................................45Application 1 : social engineering ........................................................................................................................45

    Dfinition : .........................................................................................................................................................45Mise en uvre :..................................................................................................................................................45

    Application 2 : Scanner de ports..........................................................................................................................46Dfinition dune Socket : ...............................................................................................................................46

    Application 3 : ralisation dun analyseur sous DELFI : ........................................................................................48Conclusion gnrale....................................................................................................................................................50GLOSSAIRE : ..............................................................................................................................................................51

  • IGE : 27 Scurit des rseaux dentreprise

    6

    Introduction gnraleInternet offre des possibilits la fois riches et nouvelles pour la croissance et le dveloppement

    commercial. Grce la diversit des services et des solutions dsormais disponibles sur le rseau, lessocits sont mieux mme de prendre soin de leur clientle, de gnrer des synergies entre des employsgographiquement loigns et de se crer des opportunits de nouveaux revenus par laccs une base declients plus large et plus diversifie.Mais si Internet a transform et nettement amlior les transactions commerciales, ce vaste rseau et lestechnologies qui lui correspondent ont ouvert la porte un nombre croissant de menaces relatives lascurit contre lesquelles les entreprises doivent se prmunir. Bien que les attaques des rseaux soientgnralement plus graves lorsquelles visent des socits qui stockent des donnes critiques, comme desdossiers confidentiels mdicaux ou financiers, les consquences de ces attaques sur une entreprise peuventaller dun lger dsagrment une paralysie complte de lactivit, des donnes importantes peuvent treperdues, la confidentialit peut tre transgresse et plusieurs heures ou jours dinterruption du rseaupeuvent sen suivre.Maintenant, plus que jamais, il est impratif que les entreprises intgrent la scurit au sein delarchitecture de leur rseau afin de limiter ces risques et de concrtiser le potentiel de croissance inhrent lenvironnement de rseau.Les menaces sur la confidentialit et lintgrit des donnes proviennent dun trs petit nombre devandales. Cependant, alors quun voleur de voiture ne peut voler quun seul vhicule la fois, un seulpirate peut, partir dun simple ordinateur, engendrer des dgts sur un grand nombre de rseauxinformatiques, faisant des ravages dans le monde entier. Le fait le plus inquitant est peut-tre que ledanger peut provenir de personnes que nous connaissons. En effet, la plupart des experts en scurit desrseaux dclarent que la majorit des attaques des rseaux sont effectues par des employs travaillantdans des socits comportant des failles dans leur scurit. Les employs peuvent sans difficultendommager les rseaux de leur socit et dtruire des donnes, que ce soit par malveillance ou par erreur.De plus, grce lvolution rcente des technologies de connexion distance, les socits dveloppent deplus en plus le tltravail, ouvrent plus facilement de nouvelles succursales et augmentent leur rseau departenaires commerciaux. Ces employs et partenaires distants reprsentent les mmes dangers que lesemploys internes, les risques seront dautant plus levs si leur accs distance au rseau nest niscuris ni contrl.Les pirates attaquent ce quils connaissent. Dans un premier temps, ils se sont intresss linterceptiondes mots de passe et des login, puis aux serveurs. On entre aujourdhui dans une 3me phase : ils se fontpasser pour une application ou un utilisateur pour saboter le systme dinformation. Demain, ils prendrontpossession du poste client et procderont de mme pour se glisser partout et attaquer le rseau en tant quetel. En dautres termes, autrefois, on scurisait la priphrie des systmes dinformation et on tait labri.Aujourdhui ce nest plus suffisant, le poste client et les serveurs sont au cur des problmatiquesactuelles de scurit : ils doivent tre protgs. Il faut anticiper les comportements des pirates et laborerdes schmas directeurs et des architectures capables de sadapter en permanence aux nouvelles formesdattaques. Il faut penser en termes de prvention et non plus de raction. Cest dautant plus primordialque les attaques ont gagn en rapidit : l o on raisonnait en semaines auparavant, tout se joue dsormaisen quelques heures.

    Lobjectif recherch travers la rdaction de ce projet est de permettre au lecteur, familiaris avec lessystmes dinformation et les rseaux, dacqurir un ensemble de connaissances sur la scurit qui luipermettront de mieux comprendre les divers mcanismes permettant de protger les systmesdinformation et les rseaux contre les principaux risques de piratage et dintrusion.

  • IGE : 27 Scurit des rseaux dentreprise

    7

    Ce document contient deux grandes parties:

    1er partie : Ltude thorique qui englobe deux chapitres :

    Chapitre1 : Etude gnrale de la scurit des rseaux : on a parl dans ce chapitre de la scurit desrseaux dune faon gnral, en quoi consiste la scurit ? Les composant de la scurit des rseaux,comment ce manifeste une attaque ? Quelle devrait tre la stratgie scuritaire, la scurit des donnesdans une entreprise.

    Chapitre2 : Diffrents types dattaques et solutions : on a prcis les risques qui engendrent un rseauinformatique et les outils utiliss soit par un attaquant ou par un administrateur rseau (scanner, sniffer,IDS, firewalls )

    2emepartie : cest ltude pratique qui contient aussi deux chapitres :

    Chapitre3 : Ralisation de quelques exprimentations : cest une partie indispensable dans ce mmoire,car le lecteur remarque bien les dgts que peut faire un attaquant lorsquil pntre dans un rseau (avoirdes mots de passes de boites email, des pc, des serveurs, avoir un privilge administrateur)

    Chapitre4 : Applications : cest des petits logiciels (programmes) qui peuvent tre utiles dans un titredidacticiel.

  • Chapitre : 1 Etude gnrale de la scurit des rseaux

    8

    Chapitre1 :Etude gnrale de la scurit des rseaux

    1- INTRODUCTIONLinformatique est devenue aujourdhui un outil indispensable contribuant la communication, la

    gestion, la production et lorganisation de lentreprise. Les systmes dinformation mettent en jeu desdonnes importantes propres lentreprise, dont les plus importantes constituent des donnes critiques.De plus louverture sur Internet tant quasi-indispensable pour la plupart des entreprises il est primordialde protger ses donnes en mettant en place une stratgie efficace de scurisation du systmedinformation afin dviter toute intrusion malveillante et les consquences qui en dcoulent.Mais les systmes informatiques ne sont pas vulnrables quaux attaques extrieures.Lincendie, lexplosion ou le dgt des eaux, linsouciance, la maladresse ou la malveillance duncollgue, peuvent perturber gravement le fonctionnement de cet incomparable outil de travail et decommunication. Il faut donc, sauvegarder en un lieu sr et distant les informations et les donnes quelunit ne peut se permettre de perdre.

    2- La scurit, cest quoi ?Dune faon gnrale la scurit est lensemble des mesures permettant dassurer la protection des biens/valeurs.Dans le monde informatique, on distingue deux types de biens savoir :- Linformation, les donnes (comme : les offres, les commandes, les contrats, les donnes clientles,

    les donnes stratgiques)- Les systmes permettant de traiter, vhiculer et stocker linformation (les applications, les

    serveurs, les stations de travail, les bases de donnes, les rseaux internes et externes)

    3- Les composantes de la scurit informatiques :Classiquement la scurit sappuie sur cinq concepts de base :

    Lidentification (identity)Lutilisateur dun systme ou de ressources diverses possde une identit (une sorte de cl primaire

    dune base de donnes) qui dtermine ses lettres de crdits (credential) et ses autorisations dusage. Cettedernire peut tre dcline de multiples manires, compte utilisateur (login) dun systme dexploitationou techniques biomtriques empreinte digitale, empreinte vocale, schma rtinien

    Lauthentification (authentication)Cette opration consiste faire la preuve de son identit. Par exemple on peut utiliser un mot de

    passe, ou une mthode de dfi base sur une fonction cryptographique et un secret partag.Lauthentification est simple ou mutuelle selon les contraintes de lenvironnement.

    La confidentialit (privacy)Cest la garantie que les donnes changes ne sont comprhensibles que pour les deux entits qui

    partagent un mme secret souvent appel association de scurit (SA). Cette proprit implique la mise enuvre dalgorithmes de chiffrements (rfrence [RL1]) soit en mode flux (octet par octet, comme parexemple dans RC4) soit en mode bloc (par exemple par srie de 8 octets dans le cas du DES).

  • Chapitre : 1 Etude gnrale de la scurit des rseaux

    9

    Lintgrit des donnes (MAC, Message AuthentiCation) Le chiffrement vite les coutes indiscrtes, mais il ne protge pas contre la modification des

    informations par un intervenant mal intentionn. Des fonctions sens unique (encore dnommesempreintes) telles que MD5 (16 octets) ou SHA1 (20 octets) ralisent ce service. Le MAC peut treassoci une cl secrte (HMAC(Message,cl), Keyed-Hashing for Message AuthentiCation)1.

    La non-rpudiationElle consiste prouver lorigine des donnes. Gnralement cette opration utilise une signature

    asymtrique en chiffrant lempreinte du message avec la cl RSA prive de son auteur(RSA(Empreinte(Message))) (rfrence [RL2]).On cite parfois un sixime attribut relatif la sret de fonctionnement (disponibilit, rsilience) dusystme. Remarquons galement que la scurit implique le partage de confiance entre les diffrentsacteurs de la chane.

    4- Scurit des Applications DistribuesLa scurit globale sappuie sur le triptyque :

    1) la scurit des applications clientes, 2) la scurit des plateformes informatiques qui excutent cesapplications (Operating System, Hardware), 3) la scurit des protocoles de communication et du rseauqui transporte ces lments.

    Scurit et RseauUn rseau assure le transport des messages changs entre deux applications distantes. Dans le modleOSI les services dploys par le rseau sont classs en sept couches, physique, donnes, rseau, transport,session, prsentation et application.Le modle classique des rseaux TCP/IP ne comporte que 5 couches, physique (PMD+PHY), donnes(MAC+LLC), rseau (IP), transport (UDP+TCP) et applications.

    5- Qui sont nos ennemies ?En rgle gnrale, les dangers proviennent de lextrieur et de lintrieur.

    Profils des attaquantsSans dtailler tous les profils, on retiendra le plus connu ; les hackers qui interviennent

    individuellement ou via des organisations. Diffrentes catgories de hackers existent en fonction de leurchamp d'implication (lgal ou illgal) ou de leur impact sur les rseaux informatiques : les chapeauxblancs, certains consultants en scurit, administrateurs rseaux ou cyber-policiers, ont un sens del'thique et de la dontologie.Les chapeaux gris pntrent les systmes sans y tre autoriss, pour faire la preuve de leur habilet maisne connaissant pas la consquence de leurs actes. Les chapeaux noirs, diffuseurs volontaires de virus,cyber-espions, cyber-terroristes et cyber-escrocs, correspondent la dfinition du pirate. Ces catgoriespeuvent tre subdivises en fonction des spcialits. Ainsi, le craker, soccupe de casser la protectiondes logiciels, le carder, les systmes de protection des cartes puces, le phreaker, les protections dessystmes tlphoniques. ct de ces profils offensifs, un autre groupe de personnes doit tre pris en considration par lesentreprises, savoir les innocents utilisateurs de loutil informatique. Eux, vous, moi, nous tous par nos

    1 Dtail dans rfrence [RL1]

  • Chapitre : 1 Etude gnrale de la scurit des rseaux

    10

    innocentes maladresses, par notre inconscience et notre dsinvolture mettons chaque jour en danger laconfidentialit, lintgrit et la disponibilit des donnes et des systmes informatiques.

    Les principaux objectifs d'un attaquant sont de cinq ordres : dsinformer ; empcher l'accs une ressource sur le systme dinformation ; prendre le contrle du systme par exemple pour l'utiliser ultrieurement ; rcuprer de l'information prsente sur le systme ; utiliser le systme compromis pour rebondir vers un systme voisin.

    Il est toujours difficile de connatre les motivations dun acte, mme si ces dernires telles que le besoinde reconnaissance, ladmiration, la curiosit, le pouvoir, largent et la vengeance sont le plus souventmoteur dans des actes dlictueux.Il est cependant utile de chercher les comprendre pour mettre en place des stratgies et des tactiques derponses adaptes.On distingue traditionnellement 4 types dattaques quils nous semblent utile ici de rappeler un publicnon averti : Ludique : les attaquants sont motivs par la recherche d'une prouesse technique valorisante,

    cherchent dmontrer la fragilit d'un systme et se recrutent souvent parmi de jeunesinformaticiens.

    Cupide : des groupes ou des individus cherchent obtenir un gain financier important et rapide.Les victimes dtiennent de l'argent ou ont accs des flux financiers importants (banques, paris enligne...). Le chantage est devenu une pratique courante, comme lillustre lexemple des virusSmitfraud.C et PGP Coder qui demandent explicitement lutilisateur de payer pour rtablir le bonfonctionnement du systme.

    Terroriste : des groupes organiss, voire un Etat, veulent frapper l'opinion par un chantage ou parune action spectaculaire, amplifie par limpact des mdias, telle que le sabotage dinfrastructuresvitales, mais il fait souligner que cela na encore jamais t rapport.

    Stratgique : un tat, des groupes organiss ou des entreprises, peuvent utiliser avec efficacit lesfaiblesses ventuelles des systmes d'information afin de prendre connaissance d'informationssensibles ou confidentielles, notamment en accdant frauduleusement des banques de donnes.L'attaque massive de systmes vitaux d'un pays ou dune entreprise afin de les neutraliser ou de lesparalyser constitue une autre hypothse. La dsinformation et la dstabilisation sont des moyenstrs puissants et faciles mettre en oeuvre avec un effet multiplicatif d notre dpendance vis--vis de linformation.

    Cette typologie prend en compte la fois les niveaux de comptence et les niveaux de dtermination desauteurs. Il est noter que les motivations peuvent tre croises et ou combines ; par exemple un intrtcupide et stratgique.

    6- Comment se manifeste une attaqueDu temps o linformatique tait centralise, les menaces physiques (pntration dans des locaux

    informatiques sans autorisation, vol, vandalisme) reprsentaient les menaces majeures. En ces tempsbnis, la protection pouvait se rsumer en quelques mesures de contrle daccs : grosses serrures, sas etgardiens taient la panoplie usuelle. La situation est aujourdhui bien diffrente. Certes, il y a toujours les

  • Chapitre : 1 Etude gnrale de la scurit des rseaux

    11

    vols de matriel, lutilisation de la console matresse pour pntrer un systme ou le pigeage dun rseauEthernet ou public pour le mettre sur coute ; mais globalement, la dangerosit de ce type de menaces,dont les remdes sont connus et prouvs, est sans commune mesure avec les attaques menes par lerseau, qui se ralisent sans la prsence physique de lattaqueur. Ces attaques par le rseau ont maintenanttrs largement atteint un seuil critique et ont ne sait pas toujours quelle parade leur opposer. Dans lepalmars de cette nouvelle dlinquance, on retrouve ple-mle:Tout ce qui porte atteinte lintgrit du systme

    Le pigeage de systmes (bombes logiques, cheval de Troie, sniffer)2 afin de nuire lentreprise ou de se donner les moyens de revenir plus tard.

    La modification des informations afin de porter atteinte limage de lentreprise (exemple :modification des pages web de lentreprise).

    Lutilisation des ressources du site vis. Une intrusion en vue dattaques par rebond, cest--dire quune autre cible est vise, votre

    systme servant seulement de point de passage . Lentreprise est alors complice involontairedu piratage.

    Tout ce qui porte atteinte la confidentialit des informations La rcupration dinformations sensibles (mot de passe, articles avant publications, donnes

    personnelles, etc.). La fouille des messages, des donnes, des rpertoires, des ressources rseaux Lusurpation didentit3.

    Tout ce qui porte atteinte la disponibilit des services La paralysie du systme (considr ensuite comme un exploit par les pirates qui lont ralise). La saturation dune ressource (serveur, imprimante). Les virus et vers informatiques4.

    Que voyons-nous, quand on tudie les causes des vulnrabilits dans les rseaux dentreprises? Citonsple-mle, parmi les plus importantes :

    Labsence de mthodologie de scurit ; Labsence de structure de scurit ; Labsence de plan de secours (ou sil y en a, il na jamais t test) ; Labsence de formation : Les utilisateurs savent ; La mconnaissance de la rglementation. Sattaquer ces causes de vulnrabilit permettrait dviter au moins 80 % des problmes.

    Cela signifie : Mieux organiser, mieux prvoir et mieux sensibiliser. Appliquer des procdures de gestion des ressources informatiques. Mettre en place des moyens de protection active. Avoir une approche mthodologique. Concevoir une architecture structure et cohrente.

    2 Seront dtaills dans le chapitre 23 IP spoofing, ARP spoofing seront dtaills dans le chapitre 24 Le dtail est dans le chapitre 2

  • Chapitre : 1 Etude gnrale de la scurit des rseaux

    12

    7- La politique de scuritDterminer une politique de scurit, cest dfinir des objectifs (ce quil faut protger), des

    procdures, une organisation en fonction de moyens. La dmarche est rcursive : aprs un problme descurit, la politique est ajuste. Les procdures, les moyens et parfois lorganisation sont adapts. Parfois,il faut rviser la baisse les objectifs.

    Il est important de dfinir correctement les rgles du modle : ce qui est autoris et ce qui ne lest pas (ilest interdit de lire le courrier de son voisin sans y tre invit, mme si celui-ci na pas su le protgercorrectement). Il est absurde mais on le voit souvent de vouloir verrouiller les entres, dfinir desinterdictions alors quon na pas su dfinir les rgles auxquelles devraient se rfrer ces actions.La politique de scurit est labore partir de ce modle :

    analyse des menaces potentielles ou relles ; identification et lanalyse des vulnrabilits (audit, contrle qualit) ; valuation des risques et la dtermination du niveau de risque admissible.

    Elle se ralise par : lintgration doutils et de services de scurit systme ou rseau (audit, contrle daccs,

    identification, logiciel antivirus, systmes experts, noyau de scurit) ; la validation logiciel/systme (techniques formelles, tests statiques et dynamiques, etc.) ; lvaluation et la certification des systmes et des produits.

    La scurit ne doit pas rester statique car toute dfense peut tre contourne ; cest pourquoi une bonnepolitique de scurit comprend toujours deux volets :1. La scurit a priori (politique dite passive ) : cest le blindage du systme. Elle se caractrise par

    llaboration dune politique de scurit explicite, une organisation adapte cette politique, desprocdures des mthodes de travail, des techniques et des outils

    2. La scurit a posteriori (politique dite active ) : cest la dfense en profondeur Elle consistepar exemple :

    surveiller les moyens de protection pour contrler leur efficacit (mais aussi lefficacit de lapolitique de scurit) ;

    dtecter les attaques et les mauvaises configurations en enregistrant les accs aux servicessensibles, en mettant en place des automatismes de dtection dintrusion, etc. ;

    rpondre par des actions correctives : arrt de session, reconfiguration dynamique des systmesde contrle daccs, enregistrement des sessions ;

    mettre en place des leurres.

    Ici, il est convenu dappeler attaquant toute personne physique ou morale (Etat, organisation, service,groupe de pense, etc.) portant atteinte ou cherchant porter atteinte un systme dinformation, de faondlibre et quelles que soient ses motivations.

    8- Scurit des donnesLa sauvegarde en entreprise est un lment essentiel et mme vital a celle-ci et pourtant ne fait pas

    l'objet d'assez d'attention dans beaucoup de cas. Nul n'est l'abri d'une mauvaise manipulation, ou plusgravement d'un crash informatique provocant la perte intgrale des donnes accumules par l'entreprise.Ceci affecte srieusement le fonctionnement mme de l'entreprise qui prend du temps se relever d'un telincident ou qui dans le pire des cas doit fermer ses portes. Il est donc primordial d'tablir une solution desauvegarde afin de garantir la prennit de l'information et d'assurer la continuit des activits d'uneentreprise.

  • Chapitre : 1 Etude gnrale de la scurit des rseaux

    13

    Certaines questions doivent se poser afin de choisir un plan de sauvegarde : volume des donnes sauvegarder type des donnes sauvegarder frquence laquelle les donnes doivent tre sauvegarder priode de temps admis pour la sauvegarde dure admise pour la restauration dune sauvegarde qualit de la sauvegarde dure pendant laquelle les donnes doivent tre sauvegardes dure de vie des sauvegardes environnement ( quel endroit seront effectues les sauvegardes) budget de l'entreprise

    Deux principales mthodes de sauvegarde sont utilises en entreprise : les systmes RAID et les SAN.

    1 La technologie RAIDLe systme RAID (Redundant Array Independant Disk) est une mthode professionnelle et fiable

    de sauvegarde de donnes. Le principe est de crer un espace de stockage partir de plusieurs units dedisques. Lutilisation dun tel systme offre une tolrance de panne selon les niveaux de RAID utiliss,une plus grande rapidit de lecture/criture, et une totale transparence pour lutilisateur finale.Il existe plusieurs niveaux de RAID utilisant des techniques diffrentes de sauvegarde dont les principaux

    sont :Niveau 0: striping, Niveau 1: mirroring, Niveau 3: stripping avec parit, Niveau 5: stripping avec paritrpartie

    RAID 0 StrippingLes donnes sont rparties de faon quitable sur plusieurs disques. Il ny a pas de systme de

    parit et donc cette mthode ne constitue pas une tolrance de panne. Si un disque meurt toutes lesdonnes seront perdues. Cependant comme la totalit de linformation est rpartie proportionnellement surlensemble des disques chaque disque naura quune partie de linformation crire ce qui acclre lestraitements lecture/criture.

    RAID 1 - MirroringIci lintgralit des informations dun disque est recopie lidentique sur un deuxime disque. Si

    un disque a une dfaillance on peut le remplacer par lautre.

    RAID 3 Stripping avec paritCest le mme principe que le RAID 0 mai avec un disque de parit (donc 3 disques minimum). La

    diffrence est qu linverse du RAID 0 si un disque meurt on ne perd pas les informations. En effet grceau disque de parit il sera possible de reconstruire linformation. Le disque de parit doit tre de bonnequalit et il faut vrifier son tat car si il tombe en panne il ne sera plus possible de reconstruire lesdonnes.

    RAID 5 Stripping avec parit rpartieCest le mme principe que le RAID 3 mais avec une parit rpartie circulairement sur lensemble

    des disques. Cest lun des plus utilis en entreprise car plus fiable.

  • Chapitre : 1 Etude gnrale de la scurit des rseaux

    14

    La mise en place dun RAID peut se faire soit de faon logicielle (logiciel permettant de crer un seulvolume avec plusieurs disques), soit matrielle (unit externe fonctionnant indpendamment delordinateur et gre lui seul le RAID).

    2 Les SANLe SAN (Storage Area Network) est une solution de sauvegarde s'adressant plutt au grosses

    socits car trop coteux pour une PME. Le SAN comme son nom l'indique est un rseau de stockageindpendant du rseau de l'entreprise proprement dit. Ici la notion de rseau ne dsigne pas un rseau IPmais un rseau physique tel que des connexions fibre optique par exemple. Concrtement il est constitupar un ensemble de priphriques de stockages (disque durs) regroups dans une baie (armoire destockage) et relis entres eux par des connexions SCSI (Small Computer System Interface), SSA (Serial StorageArchitecture), Fiber Channel (fibre optique) ou ESCON (Enterprise System Connection) garantissant ainsi un accsrapide aux donnes et de faire face de grosses demandes d'informations simultanes. Ce sont dessystmes de haute disponibilit avec des redondances matrielles (alimentation, contrleur, ventilateur) etun systme Hot-Plug permettant l'ajout ou l'change de matriel chaud. Le rseau SAN possde sespropres quipements d'interconnexion tels que les ponts, switches fiber channel. Du fait de sonindpendance il allge le trafic sur le rseau principal de l'entreprise. Le SAN peut tre tendu souhait enrajoutant des priphriques de stockages (disques durs) en rseau augmentant ainsi la capacit destockage. Il peut ainsi contenir des centaines de disques durs et atteindre des traoctets de stockage.Cependant il existe des SAN fonctionnant avec des bandes magntiques, on parle alors de librairies desauvegarde (au lieu de baie de disques). L'accs au SAN par les ordinateurs se fait via une interfacespcifique FC (Fiber Channel) en plus de l'interface rseau habituelle. (figure 1)

    Figure 1

  • Chapitre : 1 Etude gnrale de la scurit des rseaux

    15

    9- CONCLUSIONLa scurit dpend de tous, et tous les facteurs interagissent entre eux. La qualit des hommes

    comptence, motivation, formation est importante ; il faut y porter un effort constant. Les techniques etles moyens financiers sont vitaux et ne doivent pas tre ngligs. Mais de tous les facteurs et acteurs quiinterviennent dans les rseaux et contribuent la force ou la faiblesse de lensemble, les directeursdunit jouent le rle essentiel.

    Les systmes informatiques et les rseaux, qui taient nagure loutil dune certaine lite, sont maintenantau coeur de tous les systmes. Ce dveloppement technique a permis daccrotre considrablement noscapacits de traitement, de stockage et de transmission de linformation ; mais il a rendu en mme tempsles systmes dinformation beaucoup plus fragiles. La gravit des accidents, des maladresses, des erreursou des malveillances est bien plus grande quauparavant : cest souvent la perte de plusieurs jours, parfoisde plusieurs semaines de travail. Ces pertes peuvent tre mme irrparables. Paralllement, les techniqueset les savoir-faire se sont gnraliss.

    Il y a vingt ans, attaquer un systme informatique centralis demandait une certaine technicit quilnest plus ncessaire de possder aujourdhui. On trouve sur Internet les botes outils toutes prtespermettant dattaquer nimporte quel site, surtout sil est mal administr.

  • Chapitre : 2 Diffrents types dattaques et solutions

    16

    Chapitre2 :Diffrents types dattaques et solutions

    Introduction :

    Attaques et menaces, pour toute entreprise un certain degr de risque existe, et selon les besoinsladministrateur met en place une stratgie, ce quil faut comprendre est que toute attaque obitgnralement la rgle des cinq P :

    Probe : consiste en la collecte dinformations par le biais doutils comme whois, Arin, DNSlookup, ou par lutilisation de scanner de ports.

    Penetrate : utilisation des informations rcoltes pour pntrer un rseau. Persist : cration dun compte avec des droits de super utilisateur pour pouvoir se r infiltrer

    ultrieurement. Propagate : cette tape consiste observer ce qui est accessible et disponible sur le rseau local. Paralyze : cette tape peut consister en plusieurs actions. Le pirate peut utiliser le serveur pour

    mener une attaque sur une autre machine, dtruire des donnes ou encore endommager le systmedexploitation dans le but de planter le serveur.

    Dans ce chapitre on va essayer de voir la premire tape pour un hacker ou bien pour un administrateurqui fait laudit, il sagit de la collecte dinformation, on va parler des scanners, et des analyseurs. Ensuiteon entamera quelques techniques dattaque et leur consquence, et en fin comme dernire partie on parlerade deux technologies dfensives parmi plusieurs autres, on parlera des pare-feux, et des systmesdtecteurs dintrusions.

    LES SCANNEURS DE PORTS

    1 Dfinition :Un scanneur est un programme qui balaye une plage de ports TCP ou UDP (rfrence[RL3]) sur

    un ensemble de machines, afin d'tablir la liste des couples machine/services ouverts. Le scan horizontalconsiste scanner un port sur un ensemble de machines, alors que le scan vertical consiste scanner uneplage de ports sur une mme machine.

    2 - Les scans des ports TCP:2.1 - Les scans ouverts:

    Ce type de mthode de scan implique l'ouverture d'une connexion complte sur l'ordinateurdistant en utilisant un accord TCP/IP en trois tapes classiques. Voici une technique illustrant un scanouvert.

    Vanilla connect() :TCP connect() est la mthode de connexion la plus basique et la plus fiable. L'appel systme connect()essai d'ouvrir une connexion entre ports sur un host distant. Si le port est ouvert, connect() russira s'yconnecter, sinon le port est dit ferm ou sans rponse.

  • Chapitre : 2 Diffrents types dattaques et solutions

    17

    On considre qu'un port est ouvert sur la cible, lorsqu'on obtient ce schma:

    1- SYN2- SYN-ACK3- ACK Cible APirate Z

    On considre qu'un port est ferm sur la cible, lorsqu'on obtient ce schma :

    1- SYN2- RST-ACK

    Cible APirate Z

    On peut aussi ne rien recevoir si la cible l'a dcid o si un Firewall plac en avant l'interdit. Un portferm peut alors aussi se reprsenter par une non rponse. Voici des outils fonctionnant sur la mthodeVanilla connect() :

    1. Nmap utilise cette mthode si on lui indique l'option -sT.2. Sous Windows, le SuperScan de Foundstone est un trs bon outil de scanning.

    2.2 - Les scans demi-ouverts :Le scan demi-ouvert est rassemblant au scan ouvert, sauf que dans ce cas lattaquant ferme la

    connexion avant la fin des accords en trois tapes. Lexemple suivant explique le principe de ce scan.

    Half-open SYN flagEn tant normal, comme vu juste au dessus, la connexion TCP s'effectue en 3 datagrammes. Ici,

    nous allons envoyer un SYN, recevoir un SYN/ACK, mais au lieu de renvoyer un ACK, avec la mthodedemi connexion SYN, nous allons envoyer un RST, ce qui va brutalement fermer la connexion. Si lamachine cible n'a pas d'IDS (Systme de Dtection d'Intrusions) ou de firewall, cette demi-connexionne sera pas enregistre (dans les logs) par la machine cible. Dans le cas contraire il y aura une tracecomme quoi la connexion a t ferme brutalement et ce n'est donc pas normal.

    1- SYN2- SYN-ACK3- RST Cible APirate Z

    Si, aprs avoir envoy un SYN, on reoit un SYN/ACK, cela veut dire que le port est ouvert. On renvoiedonc un RST pour couper la connexion, dans l'espoir de ne pas tre logu. Si le port est ferm, on recevraun RST/ACK et on s'arrte l.Voici un outil fonctionnant sur la mthode Half-open SYN flag :

    Nmap utilise cette mthode si on lui indique l'option -sS.Comme cette mthode est dsormais dtectable par les IDS et les Firewalls, le scan suivant peut rsoudrele problme.

  • Chapitre : 2 Diffrents types dattaques et solutions

    18

    Inverse TCP flag :L'attaquant envoie donc des paquets TCP forgs avec des flags divers de type FIN, URG, PSH etc,

    mais pas de SYN bien videment pour ne pas tre logu par le firewall. Le principe de cette mthode estde ne pas envoyer de SYN, mais un autre paquet comme FIN, URG, PSH et d'attendre comme toujours larponse.Conformment la RFC, le schma suivant montre que le port de la cible est ferm :

    1- FIN-URG-PSH-NULL2- RST-ACK

    Cible APirate Z

    Le schma suivant montre que le port de la cible est ouvert :

    Voici un outil fonctionnant sur la mthode inverse TCP flag : Nmap utilise cette mthode si on lui indique les options -sF (FIN flag) ou -sN (NULL = pas de flag

    TCP)

    2.3 - Le scan furtif :La dfinition d'un scan "furtif" a vari travers les dernires annes. A l'origine, ce terme tait utilis

    pour dcrire une technique qui vitait les IDS et les enregistrements (logs), maintenant connucomme un scan "semi-ouvert". Cependant, actuellement, le scan furtif est considr comme tant toutscan tant concern par quelques uns des points suivants:

    paramtrant des drapeaux individuels (ACK, FIN, RST, ..) faisant intervenir des drapeaux NULL. faisant intervenir tous les drapeaux. passant travers les filtres, pare-feux, routeurs. apparat comme du traffic rseau fortuit. taux de paquets parpills vari.

    Le scan dcrit dans le paragraphe suivant est un exemple de scan furtif:

    TCP fragmentationLa fragmentation TCP n'est pas une mthode de scan en tant que tel, c'est une technique qui rend

    trs discret le scan. En effet, le but est de fragmenter l'en-tte TCP en petits fragments. Le rassemblage IPdu ct serveur provoque souvent des rsultats non prvisibles et anormaux.Beaucoup d'htes sont incapables d'analyser et de rassembler les minis paquets et ainsi peut causer descrashs, des redmarrages. Ces minis paquets peuvent tre potentiellement bloqus par la fragmentation IP,mis en attente dans le noyau ou pouvant tre pris en compte par une rgle de pare-feu.

  • Chapitre : 2 Diffrents types dattaques et solutions

    19

    Depuis que la plupart des systmes de dtection d'intrusion (IDS) utilisent des mcanismes bass sur dessignatures pour identifier les scans, la fragmentation est trs souvent capable de gagner sur ce type defiltrage, et le scan ne sera donc pas dcouvert.

    3 - Scan de ports UDP

    Le protocole UDP ne requiert pas de connexions.Il consiste envoyer des paquets UDP sur les 65535 ports et attendre un "ICMP destination portunreachable" qui signifie que le port est ferm, inaccessible ou que la machine est hors service. La plupartdes rseaux filtrent les messages ICMP, il est donc souvent difficile d'valuer quel service UDP estaccessible par un simple scan de port. Le schma ci-dessous montre que le port est ouvert.

    Et le schma ci-dessous montre que le port est ferm :

    Voici un outil fonctionnant sur le scan de port UDP : Nmap utilise cette mthode si on lui indique l'option -sU. Sous Windows, SuperScan le permet aussi.

    4 - Comment se protger contre les diffrents types de scanVoici quelques conseils pour filtrer voire contr les scans.

    Filtrer les messages ICMP auprs du rseau externe, par l'intermdiaire des routeurs et firewalls.Cela forcera le pirate employer de vritables balayages de port de TCP pour tracer votre rseaucorrectement, ce qui a pour avantage d'tre logu par les IDS.

    Filtrer les messages ICMP de type 3 (destination port unreachable) auprs des routeurs et firewallspour empcher le balayage UDP et le firewalking d'tre efficace.

    Configurer correctement vos firewalls de sorte qu'ils puissent identifier les balayages. Il y abeaucoup d'outils tels que Portsentry qui peut identifier les scans et peut ignorer les paquetsprovenant d'un IP donne pendant une priode donne.

    Evaluer comment votre firewall gre les paquets fragments IP. S'assurer que vos routeurs et firewalls ne peuvent pas tre outrepasss en utilisant des ports

    spcifiques ou des techniques de modifications d'adresse (spoofing). Dans tous les cas, le firewall doit avoir le dernier patch install, et avoir des rgles d'anti-spoofing

    bien dfinis (pour empcher les IP spoofs). Utiliser dans la mesure du possible des serveurs proxy. Mais a ne change pas que l'on peut

    scanner les Proxy.

  • Chapitre : 2 Diffrents types dattaques et solutions

    20

    LES ANALYSEURS

    1 Dfinition :Un analyseur est un programme qui capte tout le trafic qui circule dans le rseau, il intercepte

    toutes les trames Ethernet qui transitent dans le rseau et spcialement celle qui ne nous sont pasdestines.

    2 - Types danalyseurs :Il y a deux types danalyseurs :

    2 1 Analyseur passif :Il suffit de configurer l'interface ou carte rseau en mode promiscuous (si celle-ci le supporte) pour

    que la carte rseau laisse voir toutes les trames Ethernet, y compris celles dont le destinataire est diffrentde l'adresse MAC de l'interface.On observe ainsi le trafic rseau de son segment mais l'utilisation de switch rend inefficace cette mthode.D'autres moyens, actifs, sont alors ncessaires pour contourner cette difficult.

    2 2 Analyseur actif :De faon recevoir les trames qui ne nous sont pas adresses, il faut dtourner le trafic vers notre

    machine. Diffrentes techniques fonctionnant autour du protocole ARP ont pour tche de dtourner letrafic.

    3 - Winpcap : winpcap est une architecture dveloppe pour la capture de paquets et lanalyse de rseau pour les

    plateformes Win32. On parle darchitecture et non pas de librairie parce que la capture de paquets est unmcanisme de bas niveau qui require une stricte interaction avec ladaptateur rseau et le systmedexploitation, en particulier son implmentation rseau.

    Le schma ci-contre reprsente les composants de winpcap.

    Premirement : la systme de capture besoin doutrepasser la pile du protocole afin daccder aux donnesbrutes qui transitent dans le rseau, ceci ncessite unepartie qui sexcute dans le noyau du systmedexploitation, interagissant directement avec linterfacerseau. Cette partie est trs dpendante du systme, dans lasolution winpcap, elle a tait ralise comme un driverdinterface nomm : Netgroup Packet Filter NPF,actuellement il existe plusieurs versions de ce driver pourWindows 95, Windows NT, Windows ME, Windows NT4, Windows 2000, et Windows XP.Ces drivers offre des fonctionnalits de base comme lacapture de paquets et linjection.

    Et dautres plus avances comme la programmation des systmes de filtrage, et les moniteurs desurveillances :

    La premire peut tre employe pour limiter une session de capture un sous-ensemble du trafic de rseau(par exemple il est possible de capturer seulement le trafic ftp gnr par un client particulier), et la

    Application

    Wpcap.dll

    NPFDevice driver

    Packet.dllNiveau utilisateur

    Niveau noyau

    RseauPaquets

  • Chapitre : 2 Diffrents types dattaques et solutions

    21

    seconde fournit un puissant et simple mcanisme pour obtenir des statistiques sur le trafic (par exemple ilest possible d'obtenir la charge de rseau ou la quantit de donnes changes entre deux clients).

    Deuximement : Le systme de capture doit exporter une interface que les applications niveau utilisateuremploieront pour tirer profit des dispositifs fournis par le driver noyau. WinPcap fournit deuxbibliothques diffrentes : packet.dll et wpcap.dll.

    Le premier offre une API de bas niveau qui peut tre employ pour accder directement aux fonctions dudriver, avec une interface de programmation indpendante de l'OS de Microsoft.

    Le second exporte un ensemble plus puissant de primitives niveau lev de capture qui sont compatiblesavec libpcap, la bibliothque bien connue de capture d'Unix. Ces fonctions laissent capturer des paquetsd'une manire indpendante du matriel fondamental de rseau et du logiciel d'exploitation.

    LES PRINCIPALES ATTAQUESPour protger un rseau, il faut connatre les principales attaques qui peuvent laffecter.

    1 - Les attaques sur rseau :Ce type dattaque se base principalement sur des failles lies aux protocoles ou leur

    implmentation.

    1.1 - IP Spoofing :But : usurper ladresse IP dune autre machine.

    Finalit : se faire passer pour une autre machine en truquant les paquets IP. Cette technique peut tre utiledans le cas dauthentifications bases sur une adresse IP (services tels que rlogin ou ssh par exemple).Droulement : il existe des utilitaires qui permettent de modifier les paquets IP ou de crer ses proprespaquets (ex : hping2). Grce ces utilitaires, il est possible de spcifier une adresse IP diffrente de celleque lon possde, et ainsi se faire passer pour une autre machine .Cependant, ceci pose un problme : en spcifiant une adresse IP diffrente de notre machine, nous nerecevrons pas les rponses de la machine distante, puisque celle-ci rpondra ladresse spoofe. Il existetoutefois deux mthodes permettant de rcuprer les rponses :

    Source routing : technique consistant placer le chemin de routage directement dans le paquet IP.Cette technique ne fonctionne plus de nos jours, les routeurs rejetent cette option.

    Reroutage : cette technique consiste envoyer des paquets RIP aux routeurs afin de modifier lestables de routage. Les paquets avec ladresse spoofe seront ainsi envoys aux routeurs contrls par lepirate et les rponses pourront tre galement reues par celui-ci.

    1.2 - ARP Spoofing (ou ARP Redirect):But : rediriger le trafic dune machine vers une autre.

    Finalit : grce cette redirection, une personne mal intentionne peut se faire passer pour une autre. Deplus, le pirate peut rerouter les paquets quil reoit vers le vritable destinataire, ainsi lutilisateur usurpne se rendra compte de rien. La finalit est la mme que lIP spoofing mais on travaille ici au niveau de lacouche liaison de donnes.Droulement : pour effectuer cette usurpation, il faut corrompre le cache ARP de la victime. Ce quisignifie quil faut lui envoyer des trames ARP en lui indiquant que ladresse IP dune autre machine est lasienne. Les caches ARP tant rgulirement vids, il faudra veiller maintenir lusurpation.

  • Chapitre : 2 Diffrents types dattaques et solutions

    22

    1.3 - DNS Spoofing :But : fournir de fausses rponses aux requtes DNS, c'est--dire indiquer une fausse adresse IP

    pour un nom de domaine.Finalit : rediriger, leur insu, des Internautes vers des sites pirates. Grce cette fausse redirection,lutilisateur peut envoyer ses identifiants en toute confiance par exemple.Droulement : il existe deux techniques pour effectuer cette attaque. DNS Cache Poisoning : les serveurs DNS possdent un cache permettant de garder pendant un

    certain temps la correspondance entre un nom de machine et son adresse IP. Le DNS CachePoisoning consiste corrompre ce cache avec de fausses informations. Ces fausses informationssont envoyes lors dune rponse dun serveur DNS contrl par le pirate un autre serveur DNS,lors de la demande de ladresse IP dun domaine (ex : www.ledomaine.com). Le cache du serveurayant demand les informations est alors corrompu.

    DNS ID Spoofing : pour communiquer avec une machine, il faut son adresse IP. On peut toutefoisavoir son nom, et grce au protocole DNS, nous pouvons obtenir son adresse IP. Lors dunerequte pour obtenir ladresse IP partir dun nom, un numro didentification est plac dans latrame afin que le client et le serveur puissent identifier la requte. Lattaque consiste ici rcuprer ce numro didentification (en sniffant le rseau) lors de la communication entre unclient et un serveur DNS, puis, envoyer des rponses falsifies au client avant que le serveur DNSlui rponde.

    1.4 - Fragments attacks :But : le but de cette attaque est de passer outre les protections des quipements de filtrage IP.

    Finalit : en passant outre les protections, un pirate peut par exemple sinfiltrer dans un rseau poureffectuer des attaques ou rcuprer des informations confidentielles.Droulement : deux types dattaque sur les fragments IP peuvent tre distingus.Fragments overlapping : quand un message est mis sur un rseau, il est fragment en plusieurs paquetsIP. Afin de pouvoir reconstruire le message, chaque paquet possde un offset. Le but de lattaque est deraliser une demande de connexion et de faire chevaucher des paquets en spcifiant des offsets incorrects.La plupart des filtres analysant les paquets indpendamment, ils ne dtectent pas lattaque. Cependant,lors de la dfragmentation, la demande de connexion est bien valide et lattaque a lieu.Tiny fragments : le but de lattaque est de fragmenter une demande de connexion sur deux paquets IP : lepremier paquet de taille minimum (68 octets selon la RFC du protocole IP) ne contient que ladresse et leport de destination. Le deuxime paquet contient la demande effective de connexion TCP. Le premierpaquet est accept par les filtres puisquil ne contient rien de suspect. Quand le deuxime paquet arrive,certains filtres ne le vrifient pas pensant que si le premier paquet est inoffensif, le deuxime lest aussi.Mais lors de la dfragmentation sur le systme dexploitation, la connexion stablitDe nos jours, une grande majorit des firewalls sont capables de dtecter et stopper ce type dattaques.

    1.5 - TCP Session Hijacking :But : le but de cette attaque est de rediriger un flux TCP afin de pouvoir outrepasser une protection

    par mot de passe.Finalit : le contrle d'authentification s'effectuant uniquement l'ouverture de la session, un piraterussissant cette attaque parvient prendre possession de la connexion pendant toute la dure de lasession.Droulement : dans un premier temps, le pirate doit couter le rseau, puis lorsquil estime quelauthentification a pu se produire (dlai de n secondes par exemple), il dsynchronise la session entrelutilisateur et le serveur. Pour ce faire, il construit un paquet avec, comme adresse IP source, celle de lamachine de lutilisateur et le numro d'acquittement TCP attendu par le serveur. En plus de

  • Chapitre : 2 Diffrents types dattaques et solutions

    23

    dsynchroniser la connexion TCP, ce paquet permet au pirate d'injecter une commande via la sessionpralablement tablie.

    2 - Le dni de service :Les attaques de type dni de service ont pour but de consommer toutes les ressources dun rseau

    cible pour empcher son fonctionnement normal. Ces attaques sont opres par des groupes quiconjuguent leurs efforts pour le plaisir de nuire mais galement par des organisations mafieuses quidemandent des ranons. Parmi un trs grand nombre dattaques en dni de service on peut citer lessuivantes :

    2.1 - Les TCP SYN flood :Qui exploitent le mode connect de TCP, pour tablir une connexion, une machine source met un

    paquet SYN auquel la machine destination rpond par un paquet SYN-ACK. Dans une situation normale,la machine source met alors un paquet ACK et la connexion est tablie. Le schma dune attaque TCPSYN est de supprimer la dernire tape (envoi du paquet ACK), la machine cible lattend alors pendant uncertain temps. En rptant lopration grande chelle, on sature la machine cible en lui faisant atteindrele nombre maximum de connexion TCP quelle peut supporter : elle ne peut plus fonctionner.

    2.2 - UDP Flooding :Le trafic UDP est prioritaire sur TCP. Le but est donc denvoyer un grand nombre de paquets

    UDP, ce qui va occuper toute la bande passante et ainsi rendre indisponible toutes les connexions TCP.Exemple : faire une requte chargen (port 19 / service de gnration de caractres) une machine enspoofant l'adresse et le port source, pour rediriger vers echo (port 7 / service qui rpte la chane decaractres reue) d'une autre machine.

    2.3 - Le ping of death :Dont le principe est denvoyer des paquets ICMP dont la taille est suprieure la taille maximale

    dun paquet IP, certains quipements se bloquent alors (ils sont en voie de disparition).

    2.4 - Smurfling :Le pirate fait des requtes ICMP ECHO des adresses de broadcast en spoofant l'adresse source

    (en indiquant ladresse de la machine cible). Cette machine cible va recevoir un nombre norme derponses, car toutes les machines vont lui rpondre, et ainsi utiliser toute sa bande passante.

    2.5 - Dni de service distribu :Le but est ici de reproduire une attaque normale grande chelle. Pour ce faire, le pirate va tenter

    de se rendre matre dun nombre important de machines. Grce des failles (buffer overflows, faillesRPC) il va pouvoir prendre le contrle de machines distance et ainsi pouvoir les commander sa guise.Une fois ceci effectu, il ne reste plus qu donner lordre dattaquer toutes les machines en mmetemps, de manire ce que lattaque soit reproduite des milliers dexemplaires. Ainsi, une simpleattaque comme un SYN Flooding pourra rendre une machine ou un rseau totalement inaccessible.

    3 - Les attaques applicatives :Les attaques applicatives se basent sur des failles dans les programmes utiliss, ou encore des

    erreurs de configuration. Toutefois, comme prcdemment, il est possible de classifier ces attaques selonleur provenance.

  • Chapitre : 2 Diffrents types dattaques et solutions

    24

    3.1 - Les problmes de configurationIl est trs rare que les administrateurs rseaux configurent correctement un programme. En gnral,

    ils se contentent dutiliser les configurations par dfaut. Celles-ci sont souvent non scurises afin defaciliter lexploitation du logiciel (ex : login/mdp par dfaut dun serveur de base de donnes).De plus, des erreurs peuvent apparatre lors de la configuration dun logiciel. Une mauvaise configurationdun serveur peut entraner laccs des fichiers importants, ou mettant en jeu lintgrit du systmedexploitation. Cest pourquoi il est important de bien lire les documentations fournies par lesdveloppeurs afin de ne pas crer de failles.

    3.2 - Les bugsLis un problme dans le code source, ils peuvent amener lexploitation de failles. Il nest pas

    rare de voir lexploitation dune machine suite une simple erreur de programmation. On ne peuttoutefois rien faire contre ce type de problmes, si ce nest attendre un correctif de la part du dveloppeur.

    3.3 - Les buffer overflowsLes buffers overflows, ou dpassement de la pile, sont une catgorie de bug particulire. Issus

    dune erreur de programmation, ils permettent lexploitation dun shellcode3 distance. Ce shellcodepermettra une personne mal intentionne dexcuter des commandes sur le systme distant, pouvant allerjusqu sa destruction. Lerreur de programmation est souvent la mme : la taille dune entre nest pasvrifie et lente est directement copie dans un buffer dont la taille est infrieure la taille de lentre.On se retrouve donc en situation de dbordement, et lexploitant peut ainsi accder la mmoire.

    3.4 - Les scriptsPrincipalement web (ex : Perl, PHP, ASP), ils sexcutent sur un serveur et renvoie un rsultat au

    client. Cependant, lorsquils sont dynamiques (i.e. quils utilisent des entres saisies par un utilisateur),des failles peuvent apparatre si les entres ne sont pas correctement contrles. Lexemple classique estlexploitation de fichier distance, tel que laffichage du fichier mot de passe du systme en remontantlarborescence depuis le rpertoire web.

    3.5 - Les injections SQLTout comme les attaques de scripts, les injections SQL profitent de paramtres dentre non

    vrifis. Comme leur nom lindique, le but des injections SQL est dinjecter du code SQL dans unerequte de base de donnes. Ainsi, il est possible de rcuprer des informations se trouvant dans la base(exemple : des mots de passe) ou encore de dtruire des donnes.

    4 - Man in the middleMoins connue, mais tout aussi efficace, cette attaque permet de dtourner le trafic entre deux

    stations. Imaginons un client C communiquant avec un serveur S. Un pirate peut dtourner le trafic duclient en faisant passer les requtes de C vers S par sa machine P, puis transmettre les requtes de P versS. Et inversement pour les rponses de S vers C. Totalement transparente pour le client, la machine P jouele rle de proxy. Il accdera ainsi toutes les communications et pourra en obtenir les informations sansque lutilisateur.

    5 - RSEAU SANS FILMaintenant, pour relier les ordinateurs au rseau de lentreprise, il est possible dutiliser la

    technologie sans fil de Wireless Lan (802.11) qui est bien pratique pour les postes qui sont en dplacementconstant, mais linconvnient est que le rseau de lentreprise ne se limite plus physiquement au murextrieur de celle-ci mais est la porte des ondes mises par cette technologie, qui sont une frquence

  • Chapitre : 2 Diffrents types dattaques et solutions

    25

    de 2.4 GHz. Cette frquence est proche de celle utilise par la technologie GSM et on sait trs bien quelleest utilisable lintrieur comme lextrieur des habitations. Donc, en ayant des metteurs de rseau sansfil lintrieur, il est possible pour une personne possdant un ordinateur portable avec une carte Wirelessde se connecter au rseau de lentreprise. Cette personne se trouve physiquement lextrieur delentreprise mais malheureusement elle est dans le rseau de lentreprise. Il est possible par des logiciels,de dtecter les ondes Wireless, comme lillustre la Figure 2.2. Cette dtection a t effectue dans lelaboratoire dinformatique de linstitut, le signal tant trs faible mais suffisant pour se connecter. Parconsquent, il ne faut pas oublier dactiver lencryptions de donnes, ce qui tait fais par lquipe rseaude linstitut.

    Figure 2.2 dtection des ondes wireless

    Malheureusement le protocole dencryptions de donnes WEP nest pas fiable, celui-ci utilise la mme clsecrte (connue au pralable par lAP et les stations lors de la configuration) pour toutes les transmissions.Du fait que cest une cl statique fixe, des programmes comme airsnort peuvent la dcouvrir en analysantle trafic.

    6 - Virus et Trojan:6.1 - Le virus:Le virus est un programme dont le seul but est de consommer ou de paralyser des ressources

    systme. Le virus sauto duplique pour mieux infecter le systme, il se propage en infectant tour tour lesfichiers. Les effets dune contamination varient : fichiers effacs, disque dur format, saturation desdisques, et modification du MBR. La grande majorit dentre eux existent sur les plates-formes Microsoft,ils infectent en particulier les fichiers COM ou EXE. De plus, de nouvelles formes sont apparues commeles macrovirus qui attaquent les fichiers de donnes (Word ou Excel).Les systmes UNIX ne sont pas pargns, Les administrateurs UNIX doivent faire face des virus commeWinux. Nanmoins, la gestion des droits sous UNIX se rvle tre un facteur limitant pour la propagationde virus.

  • Chapitre : 2 Diffrents types dattaques et solutions

    26

    Les virus sont de plus en plus volus, ils peuvent sauto modifier pour chapper une ventuelledtection (virus polymorphes). Dautres types peuvent tenter de leurrer le systme en sinstallant dans dessecteurs dfectueux ou non utiliss (virus furtifs).

    6.2 - Les vers:Les vers sont du mme type que les virus, sauf quils nutilisent pas ncessairement un fichier pour

    se propager. Ils sont aussi capables de se dupliquer et de se dplacer au travers dun rseau informatique.Le plus clbre des vers date de 1988, cest le vers de Morris qui paralysa des milliers de micro-ordinateur travers le Web.Les vers actuels se propagent principalement grce la messagerie (et notamment par le client demessagerie Outlook) grce des fichiers attachs contenant des instructions permettant de rcuprerl'ensemble des adresses de courrier contenues dans le carnet d'adresse et en envoyant des copies d'eux-mmes tous ces destinataires.

    6.3 - Cheval de Troy:Un cheval de Troie ou troyen est un programme cach dans un autre qui excute des commandes

    sournoises, et qui gnralement donne un accs l'ordinateur sur lequel il est excut en ouvrant une portedrobe (en anglais backdoor).Une fois sur le systme, les troyens se lient des applications, modifient la base de registre de manire tre excuts ds le lancement du systme. Ils sont actifs en permanence et sont difficilement ou pasdtectable par le systme. En allant regarder dans le gestionnaire de tches, celui-ci naffichera pas ouaffichera un nom de programme banal, comme : note.exe, winamp34.exe.

    6.4 - Les bombes logiques:Les bombes logiques sont aussi nfastes que les virus ou les vers et sont la cause de dgts

    similaires. La diffrence est que la bombe logique a besoin dun dtonateur pour sactiver, cest-`a-direquelle attend une date ou une action bien prcise de lutilisateur pour exploser.La bombe logique Tchernobyl s'est active le 26 avril 1999, jour du 13me anniversaire de la catastrophenuclaire

    LES FIREWALLS ou PAREFEUX1 - Pourquoi un firewall :

    De nos jours, toutes les entreprises possdant un rseau local possdent aussi un accs Internet,afin d'accder la masse d'information disponible sur le rseau des rseaux. Ouvrir l'entreprise vers lemonde signifie aussi laisser place ouverte aux trangers pour essayer de pntrer le rseau local del'entreprise, et y accomplir des actions douteuses.

    Le firewall propose donc un vritable contrle sur le trafic rseau de l'entreprise. Il permetd'analyser, de scuriser et de grer le trafic rseau, et ainsi d'utiliser le rseau de la faon pour laquelle il at prvu et sans l'encombrer avec des activits inutiles, et d'empcher une personne sans autorisationd'accder ce rseau de donnes.

    2 - Les diffrents types de filtrages :

    2.1 - Le filtrage simple de paquet (Stateless) :2.1.1 - Le principe

    C'est la mthode de filtrage la plus simple, elle opre au niveau de la couche rseau et transport du modleOSI. Cela consiste accorder ou refuser le passage de paquet d'un rseau un autre en se basant sur:

  • Chapitre : 2 Diffrents types dattaques et solutions

    27

    L'adresse IP Source/Destination. Le numro de port Source/Destination. Et bien sur les protocoles de niveau 3 ou 4.

    Cela ncessite de configurer le Firewall ou le routeur par des rgles de filtrages, gnralement appelesdes ACL (Access Control Lists).

    2.1.2 - Les limitesLe premier problme vient du fait que l'administrateur rseau est rapidement contraint autoriser

    un trop grand nombre d'accs, ce qui laisse beaucoup de choix un ventuel pirate.

    2.2 - Le filtrage de paquet avec tat (Statefull) :2.2.1 - Le PrincipeL'amlioration par rapport au filtrage simple, est la conservation de la trace des sessions et des

    connexions dans des tables d'tats internes au Firewall. Le Firewall prend alors ses dcisions en fonctiondes tats de connexions, et peut ragir dans le cas de situations protocolaires anormales. Ce filtrage permetaussi de se protger face certains types d'attaques DoS.

    2.2.2 - Les limitesUne fois que l'accs un service est autoris, il n'y a aucun contrle effectu sur les requtes et

    rponses des clients et serveurs. Il y a aussi les protocoles maisons utilisant plusieurs flux de donnes quine passeront pas, puisque le systme de filtrage dynamique n'aura pas connaissance du protocole.

    2.3 - Le filtrage applicatif (ou pare-feu de type proxy) :2.3.1 - Le principeLe filtrage applicatif est comme son nom l'indique ralis au niveau de la couche application. Pour

    cela, il faut bien sr pouvoir extraire les donnes du protocole de niveau 7 pour les tudier. Les requtessont traites par des processus ddis, par exemple une requte de type HTTP sera filtre par un processusproxy HTTP. Le pare-feu rejettera toutes les requtes qui ne sont pas conformes aux spcifications duprotocole. (Figure : 2.1)

    Figure 2.1 : Fonctionnement dun Pare feux applicatif

  • Chapitre : 2 Diffrents types dattaques et solutions

    28

    2.3.2 - Les limitesLe premier problme qui se pose est la finesse du filtrage ralis par le proxy. Il est extrmement

    difficile de pouvoir raliser un filtrage qui ne laisse rien passer, vu le nombre de protocoles de niveau 7.En outre le fait de devoir connatre les rgles protocolaires de chaque protocole filtr pose des problmesd'adaptabilit de nouveaux protocoles ou des protocoles maisons.Mais il est indniable que le filtrage applicatif apporte plus de scurit que le filtrage de paquet avec tat,mais cela se paie en performance. Ce qui exclut l'utilisation d'une technologie 100 % proxy pour lesrseaux gros trafic au jour d'aujourd'hui.

    3 - Les diffrents types de firewall :

    3.1 - Les firewall bridge :Comme son nom lindique, ce firewall est invisible sur le rseau, il a la fonction dun cble rseau

    avec un filtrage en plus, son principe et que ses interfaces ne possdent pas dadresses IP, il ne rpond pasaux requtes ARP, et il traite et fait transiter les paquets sans leur apporter des modifications, et cest cequi le rend invisible, et indtectable par un hacker lambda. Dans la plupart des cas, ces derniers ont uneinterface de configuration spare.Ces firewalls se trouvent typiquement sur les switchs.

    3.1.1 - Avantages Impossible de l'viter (les paquets passeront par ses interfaces). Peu coteux

    3.1.2 - InconvnientsPossibilit de le contourner (il suffit de passer outre ses rgles).Configuration souvent contraignante

    3.2 - Les firewalls matriels :Ils se trouvent souvent sur des routeurs achets dans le commerce par de grands constructeurs comme

    Cisco ou Nortel. Intgrs directement dans la machine. Leur configuration est souvent relativement ardue,mais leur avantage est que leur interaction avec les autres fonctionnalits du routeur est simplifie de parleur prsence sur le mme quipement rseau. Souvent relativement peu flexibles en terme deconfiguration, ils sont aussi peu vulnrables aux attaques, l'accs leur code est assez difficile, et leconstructeur a eu toute latitude pour produire des systme de codes signs afin d'authentifier le logiciel.Ce systme n'est implant que dans les firewalls haut de gamme. Son administration est souvent plus aiseque les firewall bridges. Leur niveau de scurit est de plus trs bon, sauf dcouverte de faille ventuellecomme tout firewall. Cela dit les mises jour dpendent du constructeur, et si une possibilit nousintresse sur une autre parque, elle nous serait inaccessible, donc il faut faire le bon choix selon nosbesoins.

    3.3 - Les firewalls logiciels :3.3.1 - Les firewalls personnelsIls sont assez souvent commerciaux et ont pour but de scuriser un ordinateur particulier, et non

    pas un groupe d'ordinateurs. Souvent payants, ils peuvent tre contraignants et quelque fois trs peuscuriss. En effet, ils s'orientent plus vers la simplicit d'utilisation plutt que vers l'exhaustivit, afin derester accessible l'utilisateur final.

    3.3.2 - Les firewalls plus srieux Tournant gnralement sous linux, car cet OS offre une scurit rseau plus leve et un contrle plusadquat, ils ont gnralement pour but d'avoir le mme comportement que les firewalls matriels desrouteurs.

  • Chapitre : 2 Diffrents types dattaques et solutions

    29

    3.3.2.1 - Avantages Personnalisables Niveau de scurit trs bon

    3.3.2.2 - InconvnientsNcessite une administration systme supplmentaire

    Ces firewalls logiciels ont nanmoins une grande faille : ils n'utilisent pas la couche bas rseau. Il suffitdonc de passer outre le noyau en ce qui concerne la rcupration de ces paquets, en utilisant une librairiespciale, pour rcuprer les paquets qui auraient t normalement dropps par le firewall. Nanmoins,cette faille induit de s'introduire sur l'ordinateur en question pour y faire des modifications... chose quiinduit dj une intrusion dans le rseau, ou une prise de contrle physique de l'ordinateur, ce qui est djsynonyme d'inefficacit de la part du firewall.

    LES SYSTEMES DE DETECTION DINTRUSION: IDS

    1 - Dfinition :Un systme de dtection dintrusion peut tre compar une alarme domestique contre les

    cambrioleurs, si une tentative dintrusion malveillante est dcouverte, il peut soit prendre lui-mme desmesures correctives, soit alerter un systme administratif pour que l'administrateur rgle le problme.

    2 - Types dIDS :On peut distingues quatre types dIDS :

    2.1 - IDS bas sur le rseau :LIDS bas sur le rseau utilise les paquets bruts du rseau comme sources de donnes. Il utilise

    typiquement une interface rseau en mode discret qui coute et analyse tout le trafic en temps rel lors deson parcours sur le rseau. Un premier filtre est normalement appliqu pour dterminer quel trafic doittre analys pour un module de reconnaissance dattaque de celui qui doit tre ignor. Ce premier niveauaide la performance de lIDS et sa prcision pour rejeter le trafic qui nest pas dangereux.

    2.2 IDS bas sur lhte :Ces IDS sont utiliss pour la dtection des intrusions au niveau de lhte, ils utilisent pour cela les

    fichiers journaux. Ds quil y a un changement dans ces fichiers, lIDS compare linformation avec ce quiest configur dans la politique de scurit en place et rpond alors en accord avec le changement. Unemthode de ce type dIDS est de surveiller lactivit des logs en temps rel, tandis que dautres solutionsconsistent faire tourner des processus qui vrifient priodiquement les logs pour les nouvellesinformations et les changements.

    2.3 IDS bas sur la pile :Ce type dIDS travaille avec la pile TCP/IP, permettant aux paquets dtre analyss tandis quils

    traversent les couches du modles OSI en montant. Cette analyse permet de rejeter les paquets hors de lapile avant quils ne soient traits par lOS ou la couche application. De plus, ces IDS peuvent analyser letrafic du rseau entrant et sortant sur le systme.

    2.4 Les systmes de dtection dintrusions hybrides :Gnralement utiliss dans un environnement dcentralis, ils permettent de runir les

    informations de diverses sondes places sur le rseau. Leur appellation hybride provient du fait quilssont capables de runir aussi bien des informations provenant dun systme HIDS quun NIDS.

  • Chapitre : 2 Diffrents types dattaques et solutions

    30

    Lexemple le plus connu dans le monde Open-Source est Prelude. Ce framework permet de stocker dansune base de donnes des alertes provenant de diffrents systmes relativement varis. Utilisant Snortcomme NIDS, et dautres logiciels tels que Samhain en tant que HIDS, il permet de combiner des outilspuissants tous ensemble pour permettre une visualisation centralise des attaques.

    3 Les systmes de prvention dintrusions (IPS) :Dfinition : ensemble de composants logiciels et matriels dont la fonction principale est

    dempcher toute activit suspecte dtecte au sein dun systme.Contrairement aux IDS simples, les IPS sont des outils aux fonctions actives , qui en plus de dtecterune intrusion, tentent de la bloquer. Cependant, les IPS ne sont pas la solution parfaite comme on pourraitle penser.Plusieurs stratgies de prvention dintrusions existent : host-based memory and process protection : surveille l'excution des processus et les tue s'ils

    ont l'air dangereux (buffer overflow). Cette technologie est utilise dans les KIPS (Kernel IntrusionPrevention System) que nous dcrivons un peu plus loin.

    session interception / session sniping : termine une session TCP avec la commande TCP Reset : RST . Ceci est utilis dans les NIPS (Network Intrusion Prevention System).

    gateway intrusion detection : si un systme NIPS est plac en tant que routeur, il bloque le trafic; sinon il envoie des messages d'autres routeurs pour modifier leur liste d'accs.

    Un IPS possde de nombreux inconvnients :

    Le premier est quil bloque toute activit qui lui semble suspecte. Or, il est impossible dassurer unefiabilit 100% dans lidentification des attaques. Un IPS peut donc malencontreusement bloquer dutrafic inoffensif ! Par exemple, un IPS peut dtecter une tentative de dni de service alors quil sagitsimplement dune priode charge en trafic. Les faux positifs sont donc trs dangereux pour les IPS.

    Le deuxime inconvnient est quun pirate peut utiliser sa fonctionnalit de blocage pour mettre horsservice un systme. Prenons lexemple dun individu mal intentionn qui attaque un systme protg parun IPS, tout en spoofant son adresse IP. Si ladresse IP spoofe est celle dun noeud important du rseau(routeur, service Web, ...), les consquences seront catastrophiques. Pour palier ce problme, de nombreuxIPS disposent des white lists , cest--dire des listes dadresses rseaux quil ne faut en aucun casbloquer.

    Le troisime inconvnient et non le moindre : un IPS est peu discret. En effet, chaque blocagedattaque, il montre sa prsence. Cela peut paratre anodin, mais si un pirate remarque la prsence dunIPS, il tentera de trouver une faille dans celui-ci afin de rintgrer son attaque... mais cette fois en passantinaperu.Voil pourquoi les IDS passifs sont souvent prfrs aux IPS. Cependant, il est intressant de noter queplusieurs IDS (Ex : Snort, RealSecure, Dragon, ...) ont t dots dune fonctionnalit de ractionautomatique certains types dattaques.

    3.1 - Les systmes de prvention dintrusions kernel (KIDS/KIPS)Lutilisation dun dtecteur dintrusions au niveau noyau peut savrer parfois ncessaire pour

    scuriser une station.Prenons lexemple dun serveur web, sur lequel il serait dangereux quun accs en lecture/criture dansdautres rpertoires que celui consultable via http, soit autoris. En effet, cela pourrait nuire lintgritdu systme. Grce un KIPS, tout accs suspect peut tre bloqu directement par le noyau, empchantainsi toute modification dangereuse pour le systme.

  • Chapitre : 2 Diffrents types dattaques et solutions

    31

    Le KIPS peut reconnatre des motifs caractristiques du dbordement de mmoire, et peut ainsi interdirelexcution du code. Le KIPS peut galement interdire lOS dexcuter un appel systme qui ouvrirait unshell de commandes.Puisquun KIPS analyse les appels systmes, il ralentit lexcution. Cest pourquoi ce sont des solutionsrarement utilises sur des serveurs souvent sollicits.Exemple de KIPS : SecureIIS, qui est une surcouche du serveur IIS de Microsoft.

    4 Les mthodes de dtection

    Pour bien grer un systme de dtection dintrusions, il est important de comprendre comment celui-cifonctionne. Une question simple se pose alors : comment une intrusion est elle dtecte par un tel systme? Quel critre diffrencie un flux contenant une attaque dun flux normal ?Deux techniques sont mises en place dans la dtection dattaques. La premire consiste dtecter dessignatures dattaques connues dans les paquets circulant sur le rseau. La seconde, consiste quant elle, dtecter une activit suspecte dans le comportement de lutilisateur.Ces deux techniques, aussi diffrentes soient-elles, peuvent tre combines au sein dun mme systmeafin daccrotre la scurit.

    4.1 - Lapproche par scnario (misuse detection)Cette technique sappuie sur la connaissance des techniques utilises par les attaquants pour dduire

    des scnarios typiques. Elle ne tient pas compte des actions passes de lutilisateur et utilise des signaturesdattaques (ensemble de caractristiques permettant didentifier une activit intrusive : une chanealphanumrique, une taille de paquet inhabituelle, une trame formate de manire suspecte, ).

    Recherche de motifs (pattern matching) :La mthode la plus connue et la plus facile comprendre. Elle se base sur la recherche de motifs(chanes de caractres ou suite doctets) au sein du flux de donnes. LIDS comporte une base designatures o chaque signature contient le protocole et port utiliss par lattaque ainsi que le motif quipermettra de reconnatre les paquets suspects.Le principal inconvnient de cette mthode est que seules les attaques reconnues par les signatures serontdtectes. Il est donc ncessaire de mettre jour rgulirement la base de signatures.Un autre inconvnient est que les motifs sont en gnral fixes. Or une attaque nest pas toujours identique 100%. Le moindre octet diffrent par rapport la signature provoquera la non dtection de lattaque.Pour les IDS utilisant cette mthode, il est ncessaire dadapter la base de signatures en fonction dusystme protger. Cela permet non seulement de diminuer les ressources ncessaires et donc augmenterles performances ; mais galement rduire considrablement le nombre de fausses alertes et donc faciliterle travail des administrateurs rseaux qui analyseront les fichiers dalertes.Cette technique est galement utilise dans les anti-virus.

    Recherche de motifs dynamiques :Le principe de cette mthode est le mme que prcdemment mais les signatures des attaques voluentdynamiquement. LIDS est de ce fait dot de fonctionnalits dadaptation et dapprentissage.

    Analyse de protocoles :Cette mthode se base sur une vrification de la conformit (par rapport aux RFC) des flux, ainsi que surlobservation des champs et paramtres suspects dans les paquets. Cependant, les diteurs de logiciels etles constructeurs respectent rarement la lettre les RFC et cette mthode nest pas toujours trsperformante.

  • Chapitre : 2 Diffrents types dattaques et solutions

    32

    Lanalyse protocolaire est souvent implmente par un ensemble de prprocesseurs, o chaqueprprocesseur est charg danalyser un protocole particulier (FTP, HTTP, ICMP, ...). Du fait de laprsence de tous ces prprocesseurs, les performances dans un tel systme sen voient fortementdgrades.Lintrt fort de lanalyse protocolaire est quelle permet de dtecter des attaques inconnues,contrairement au pattern matching qui doit connatre lattaque pour pouvoir la dtecter.

    Analyse heuristique et dtection danomalies :Le but de cette mthode est, par une analyse intelligente, de dtecter une activit suspecte ou toute autreanomalie.Par exemple : une analyse heuristique permet de gnrer une alarme quand le nombre de sessions destination dun port donn dpasse un seuil dans un intervalle de temps prdfini.

    4.2 - Lapproche comportementale (Anomaly Detection) :Cette technique consiste dtecter une intrusion en fonction du comportement pass de

    lutilisateur. Pour cela, il faut pralablement dresser un profil utilisateur partir de ses habitudes etdclencher une alerte lorsque des vnements hors profil se produisent.Cette technique peut tre applique non seulement des utilisateurs mais aussi des applications etservices. Plusieurs mtriques sont possibles : la charge CPU, le volume de donnes changes, le temps deconnexion sur des ressources, la rpartition statistique des protocoles et applications utiliss, les heures deconnexion, Cependant elle possde quelques inconvnients :

    Peu fiable : tout changement dans les habitudes de lutilisateur provoque une alerte. Ncessite une priode de non fonctionnement pour mettre en uvre les mcanismes dauto-

    apprentissage : si un pirate attaque pendant ce moment, ses actions seront assimiles un profilutilisateur, et donc passeront inaperues lorsque le systme de dtection sera compltement mis enplace.

    Ltablissement du profil doit tre souple afin quil ny ait pas trop de fausses alertes : le piratepeut discrtement intervenir pour modifier le profil de lutilisateur afin dobtenir aprs plusieursjours ou semaines, un profil qui lui permettra de mettre en place son attaque sans quelle ne soitdtecte.

    Plusieurs approches peuvent tre utilises pour la mthode de dtection comportementale :

    Approche probabiliste :Des probabilits sont tablies permettant de reprsenter une utilisation courante dune application ou dunprotocole. Toute activit ne respectant pas le modle probabiliste provoquera la gnration dune alerte.Exemple : Avec le protocole HTTP, il y a une probabilit de 0.9 quune commande GET soit faite aprsune connexion sur le port 80. Il y a ensuite une probabilit de 0.8 que la rponse cette commande GETsoit HTTP/1.1 200 OK .

    Approche statistique :Le but est de quantifier les paramtres lis lutilisateur : taux doccupation de la mmoire, utilisation desprocesseurs, valeur de la charge rseau, nombre daccs lIntranet par jour, vitesse de frappe au clavier,sites les plus visits, Cette mthode est trs difficile mettre en place. Elle nest actuellement prsente que dans le domaine dela recherche, o les chercheurs utilisent des rseaux neuronaux et le data mining pour tenter davoir desrsultats convaincants.

  • Chapitre : 2 Diffrents types dattaques et solutions

    33

    Conclusion :Depuis certains nombre dannes, les menaces et les vulnrabilits se sont diversifies ne sarrtant

    plus aux grandes organisations. Les petites et les moyennes entreprises et lutilisateur domicile sontdsormais au milieu du critique. Il est donc important pour chacun dapprendre un minimum pour sapropre scurit pour la scurit de son entrep