Avec le développement des réseaux et de l’Internet, le partage de l’information a gagné de plus en plus de popularité et d’importance. Dans ce contexte assurer la sécurité des systèmes informatiques constitue un enjeu crucial. En effet, au cours de ces dernières années la sécurité des systèmes informatiques a pris de plus en plus d’ampleur. Chaque jour nous découvrons de nouvelles attaques, toujours plus sophistiquées, et de virus potentiellement dangereux pour les systèmes et réseaux informatiques. Ceci montre qu’il est d’actualité de trouver sans cesse de nouvelles parades à ces attaques pour assurer la sécurité des ressources informatiques.
Les Systèmes de Détection des Intrusions (IDS: Intrusion Detection System) constituent une des moyens les plus utilisés pour contrer les attaques. La fonction principale des IDS consiste à repérer les tentatives de nuire à un système informatique de par le matériel et/ou le logiciel. La détection d’intrusion consiste à scruter le trafic réseau, collecter tous les événements sur un hôte, ou sur un ensemble d’hôtes, les analyser et générer des alarmes en cas d’identification de tentatives d’action malveillante. Il existe toutefois plusieurs techniques permettant de les prendre à défaut.
La sécurité dans les réseaux et systèmes informatiques
Les Réseaux et Systèmes Informatiques
L’apparition des micro-ordinateurs dans les années 80, et du modèle OSI (Open Systems Interconnection) en 1977 ont favorisé l’utilisation de l’informatique dans plusieurs domaines d’activité (militaires, commerciaux, médicaux, éducations …). Ce qui va susciter le besoin de partage de données par plusieurs utilisateurs et entraînant ainsi la naissance de nouveaux réseaux en utilisant les lignes téléphoniques donnant ainsi l’Internet. Cette merveilleuse avancée technologique a permis de faciliter la communication et surtout le partage de l’information par plusieurs utilisateurs quelle que soit leur position géographique. Mais cette avancée a malheureusement engendré des risques majeurs dans la sécurité des données.
Gestion des réseaux informatiques
Un réseau informatique est une entité très complexe. Il propose des services très diversifiés, multiformes et renferme un grand nombre d’équipements variés (ordinateurs, routeurs, commutateurs …etc). Dans ces conditions, la gestion de son fonctionnement s’avère une lourde tâche, d’autant plus qu’un réseau est souvent étendu et rassemble des technologies hétérogènes. Un réseau peut être encore défini comme un ensemble de nœuds reliés entre eux par des liens.
✦ Un nœud peut être : une station de travail, un micro-ordinateur, un routeur, un modem, une imprimante …etc ;
✦ Un lien peut être : un câble métallique (paire torsadée ou câble coaxial), une fibre optique, des faisceaux hertziens …
Pour assurer son bon fonctionnement ou ses interconnexions, le réseau a besoin d’équipements tels que les passerelles, les routeurs, les commutateurs et les concentrateurs (hubs). Il existe deux architectures de base pour les réseaux : le modèle OSI et le modèle TCP/IP.
Le modèle OSI
OSI (Open Systems Interconnection) ou Interconnexion de Systèmes Ouverts, est un modèle à 7 couches [1.5]. Il constitue aujourd’hui le socle de référence pour tous les systèmes de traitement de l’information.
Un paquet envoyé parcourt, du sommet à la base de cette pile de couches. Chaque couche ajoute ses propres en−têtes au paquet, ce que nous appelons le processus d’encapsulation. Lorsque le paquet rejoint sa destination il parcourt en sens inverse la pile de couche et les en−têtes sont supprimés du paquet, un à un. Chaque en−tête donne à l’hôte de destination toute l’information nécessaire, jusqu’à ce que le paquet joigne l’application ou le programme auquel il était destiné. Parmi ces couches on distingue : la couche physique, la couche liaison de données, la couche réseau, la couche transport, la couche session, la couche présentation et la couche présentation. La couche physique : Cette couche s’occupe de la transmission des données sous un format (binaire, analogique) selon la nature du support de transmission; La couche liaison de données : Elle joue le rôle de « liant ». Elle fractionne les données d’entrée de l’émetteur en trames, transmet ces trames en séquence, gère les trames d’acquittement renvoyées par le récepteur et gère la fiabilité du transfert des bits d’un noeud à l’autre du réseau ;
➤La couche réseau : La couche réseau, détermine les routes de transport et s’occupe du traitement et du transfert de messages. L’unité de donnée est le paquet ;
➤La couche transport : La couche transport regroupe les règles de fonctionnement de bout en bout, assurant ainsi la transparence du réseau vis-à-vis des couches supérieures. Elle traite notamment, l’établissement des connexions et la fiabilité du transport ;
➤La couche session : Cette couche, s’occupe de l’établissement, de la gestion et coordination des communications. Elle réunit les procédures de dialogue entre les applications : établissement et interruption de la communication, cohérence et synchronisation des opérations ;
➤La couche présentation : Cette couche s’occupe de la mise en forme des données, éventuellement de l’en cryptage et de la compression des données;
➤La couche application : Cette couche fournis les services aux applicationx qui ont besoin de communiquer par le biais du réseau. C’est donc le point de contact entre l’utilisateur et le réseau.
Le modèle TCP/IP
L’architecture TCP/IP est presque similaire à celle du modèle OSI, mais le modèle TCP/IP repose sur 4 couches. On distingue la couche accès réseau, la couche Internet, la couche transport, et la coucheapplication.
Dans le modèle TCP/IP, 4 couches sont suffisantes pour décrire l’architecture de ce protocole. C’est donc une architecture compactée du modèle OSI, c’est-à-dire certaines couches du modèle TCP/IP correspondent à plusieurs couches du modèle OSI.
➤Couche accès réseau: Elle spécifie la forme sous laquelle les données doivent être acheminées quel que soit le type de réseau utilisé ;
➤Couche Internet : Elle est chargée de fournir les paquets de données (datagramme) ;
➤Couche transport : Elle assure l’acheminement des données, ainsi que les mécanismes permettant de connaître l’état de la transmission ;
➤Couche Application : Elle joue le rôle d’intermédiaire entre les processus utilisateurs et le réseau.
Ces deux architectures de base (OSI, et TCP/IP) des réseaux informatiques sont multicouches et chacune des couches offre des fonctionnalités équivalentes. Les plus grands avantages de ces couches sont qu’elles offrent une architecture globale et très extensible, d’autres nouvelles fonctionnalités peuvent se greffer facilement aux couches sans avoir à ré-implémenter l’ensemble du code TCP/IP [1.6]. Comme ces protocoles sont relativement faciles à mettre en place, ils permettent d’interconnecter plusieurs types de réseaux, ce qui a favorisé leur développement rapide donnant ainsi le grand réseau actuel de l’Internet, qui désigne un ensemble très vaste et couvrant toute la planète, un réseau dans lequel des machines reliées entre elles selon ces protocoles, et chacune pouvant communiquer avec toutes les autres.
La sécurité dans les réseaux et systèmes informatiques
Avec le développement de l’Internet et l’ouverture des entreprises, qui ne cesse de croître, à leurs partenaires et/ou à leurs fournisseurs, la baisse du prix de l’ordinateur et la baisse de la tarification pour la connexion sur Internet, le monde est devenu de nos jours un village planétaire où l’accès à l’information est devenu plus facile et plus aisé. Cette merveilleuse avancée technologique a malheureusement engendré beaucoup de trous de sécurité dans les réseaux et systèmes informatiques. Il est donc nécessaire pour le responsable informatique (administrateur système et réseau) de bien connaître les enjeux liés à la sécurité, et relatifs aux ressources de l’entreprise. Il lui appartient d’identifier les risques et d’analyser les dangers potentiels courus par le système d’information et leurs probabilités d’occurrence. Il se doit d’évaluer leurs répercussions sur les fonctions critiques de l’entreprise et de soumettre les analyses effectuées à sa direction, qui décide, avec son conseil, de leur classement en niveaux majeurs ou mineurs. Enfin, une importante part de son travail doit être consacrée à la sensibilisation des utilisateurs et à leur encadrement. C’est pourquoi l’approche de la sécurité informatique doit être globale, c’est à dire qu’il faut tenir en compte de tous les composants de notre système d’informatique : les éléments matériels, les personnes physiques et la logique informatique.
|
Table des matières
INTRODUCTION
PROBLEMATIQUE
Chapitre I : La sécurité dans les réseaux et système informatiques
I.1 Les Réseaux et Systèmes Informatiques
I.2 Gestion des réseaux informatiques
I.2.1 Le modèle OSI
I.2.2 Le modèle TCP/IP
I.3 La sécurité dans les réseaux et systèmes informatiques
I.3.1 Les éléments physiques ou matériels
I.3.2 Les personnes physiques
I.3.3 Les éléments logiques
I.4 Les menaces de sécurité dans les réseaux informatiques
I.4.1 Le déni de service (Denial of Service: DoS)
I.4.2 Autres types de menaces
I.5 La cryptographie
I.5.1 Les clés symétriques
I.5.2 Les clés asymétriques
I.5.3 Sécurisation des échanges
I.5.3.1 IPSec
I.5.3.2 Les fonctions de Hachage
Conclusion
II.1. Définition et historique des IDS
II.2. Approche Comportementale
II.3. Approche par Scénario
II.3.1 Le Système expert
II.3.2 Pattern Matching (recherche de motifs)
II.4. La détection d’Intrusion basée sur l’hôte
II.5. Détection d’intrusion basée sur le réseau (NIDS)
II.6. Les IDS basés sur une application (ABIDS)
II.7. Architecture de base d’un IDS
II.8 Etude de quelques IDS Réseau
II.8.1 Snort
II.8.2 RealSecure de ISS
II.8.3 Bro
II.8.4 Prélude
II.8.5 NetRanger
II.8. La Corrélation d’alerte
II.12. Positionnement des IDS dans une architecture réseau
II.12.1 Positionnement d’un IDS avant le pare-feu
II.12.2 Positionnement d’un IDS après un pare-feu
II.13. Méthode utilisée pour contourner les IDS
II.14. Les IPS (Intrusion Prevention System)
II.15. Les Honeypots
Conclusion
Partie III : Mise en place de notre plateforme de test et présentation de notre solution
III.1 Etude du protocole ARP et algorithme proposé
III.1.1 Introduction
III.1.2 Le principe du protocole ARP
III.1.3 Les attaques possibles avec le protocole ARP
III.1.4 Quelques outils pour les attaques relatives au ARP
III.2 Mise en place d’une plate-forme de test
III.2.1 Introduction
III.2.2. Architecture et mise en place de la plate-forme
III.3 Installation et configuration des composants logiciels
III.3.1 Installation et configuration des paquetages
III.3.2 Installation de SNORT et Configuration de SNORT
III.3.4 Création de la base de données de Snort
III.3.5 Installation de BASE et d’ADODB
III.3.5.1 Installation de BASE
III.3.5.2 Configuration de Base
III.4. Tests sur les scans de port
III.4.1 TCP connect () scan
III.4.3 Détail d’une alerte au niveau de l’interface web de base
Conclusion partielle
III.5 Architecture et fonctionnement de Snort
Conclusion Générale
