Post on 15-Nov-2015
description
Elabor par J.Alaoui page 1/210 Scurit des rseaux
SUPPORT DE COURS :
SECURITE DES RESEAUX
Anne 2003/2004 EMSI
Elabor par J.Alaoui page 2/2 Scurit des rseaux
La Scurit des Rseaux
Table des matires
1. Introduction ..........................................................................7 1.1. Quelques chiffres: .................................................... 7 1.2. Quelques exemples d'illustration:...................... 8 1.2.1. Kevin Mitnick case: .................................................. 8 1.2.2. Mafiaboy ...................................................................... 8 1.2.3. Melissa.......................................................................... 8 1.2.4. "I love you" et "Kournikova"................................ 9 1.3. Dfinitions................................................................... 9 1.4. Mthodologie.............................................................. 9
2. Les menaces ....................................................................12 2.1. Commandes SMTP .................................................. 12 2.1.1. Descriptif des commandes SMTP ...................... 12 2.2. Commandes POP3 .................................................. 14 2.3. Les attaques distantes et les intrusions ........ 16 2.3.1. Le Nuke ...................................................................... 16 2.3.2. Le Flood...................................................................... 17 2.3.3. Le TCP/SYN flooding ............................................. 17 2.3.4. Le Mail Bombing...................................................... 18 2.3.5. Le spoofing ............................................................... 19 2.3.6. Modification de l'en-tte TCP ............................. 20 2.3.7. Les sniffers ............................................................... 21 2.3.7.1. Utilisation du sniffer.............................................. 22 2.3.7.2. Protection.................................................................. 22 2.3.8. Les scanners............................................................. 23 2.3.9. Les exploits............................................................... 23 2.3.10. Denial Of Service (DoS) ....................................... 24 2.3.10.1. La technique du Denial Of Service.................... 25 2.3.10.2. La technique dite du "smurf" ............................. 25
3. Les virus............................................................................27 3.1. Introduction aux antivirus .................................. 28 3.1.1. La dtection des virus........................................... 28 3.1.2. Les virus mutants ................................................... 29 3.1.3. Les virus polymorphes.......................................... 29 3.1.4. Les rtrovirus........................................................... 30 3.1.5. Les virus de boot .................................................... 30 3.1.6. Les chevaux de Troie............................................. 30 3.1.7. Les virus trans-applicatifs (virus macros) .... 30 3.2. Les hoax..................................................................... 31 3.2.1. Comment lutter contre la dsinformation?.... 32 3.2.2. Comment vrifier qu'il s'agit d'un canular ?. 32
4. Les chevaux de Troie....................................................33 4.1. Les symptmes d'une infection......................... 34 4.2. Principe du cheval de Troie................................. 35
Elabor par J.Alaoui page 3/3 Scurit des rseaux
4.3. Se protger contre les troyens .......................... 35 4.4. En cas d'infection .................................................... 36
5. Les bombes logiques ....................................................36 6. Exemples de virus .........................................................37
6.1. Le Sircam ................................................................... 37 6.1.1. Les actions du virus ............................................... 37 6.1.2. Symptmes de l'infection .................................... 38 6.2. Le virus Magistr....................................................... 38 6.2.1. Les actions du virus ............................................... 39 6.2.2. Symptmes de l'infection .................................... 39 6.3. Le ver Nimba ............................................................ 39 6.3.1. Symptmes de l'infection .................................... 40 6.4. Le virus BadTrans................................................... 41 6.4.1. Les actions du virus ............................................... 41 6.4.2. Symptmes de l'infection .................................... 43 6.5. Le virus LovSan ....................................................... 43 6.5.1. Les actions du virus ............................................... 43 6.5.2. Symptmes de l'infection .................................... 44 6.6. L'espionnage du rseau ....................................... 45 6.6.1. Vulnrabilits des rseaux diffusion............ 45 6.6.2. Exploitation .............................................................. 45 6.6.3. Prise de contrle d'un poste utilisateur ......... 45 6.6.4. Connexion physique sur le rseau ................... 46 6.6.5. Outils d'analyse du trafic..................................... 46 6.6.6. Dtection ................................................................... 47 6.6.7. Solutions et recommandations.......................... 48
7. Mesures techniques ......................................................49 7.1. Le concentrateur scuris ................................... 49 7.1.1. La dsactivation des ports non utiliss .......... 49 7.1.2. Le brouillage de trame.......................................... 49 7.1.3. Le contrle d'adresse ............................................ 50 7.1.4. Rappel sur les adresses MAC.............................. 50 7.1.4.1. Dfinition................................................................... 50 7.1.4.2. Pourquoi une adresse lie la carte d'interface ? 51 7.1.4.3. Caractristiques ...................................................... 52 7.1.4.4. Bit de diffusion gnrale...................................... 54 7.1.4.5. Ecoute normale ....................................................... 55 7.1.4.6. Ecoute en mode dit "promiscuous".................. 55 7.1.5. Le contrle de dconnexion................................ 55 7.1.6. Les tables d'adresses ............................................ 55 7.1.6.1. L'apprentissage manuel ....................................... 56 7.1.6.2. L'apprentissage initial .......................................... 56 7.1.6.3. L'apprentissage continu....................................... 56 7.2. Scurit des routeurs............................................ 56 7.2.1. Les ACL (Access Control Lists) .......................... 57 7.2.2. Activation de l'access-list.................................... 58 7.2.3. Contrle des ACL..................................................... 59 7.2.4. Recommandations pour la configuration des routeurs 60 7.2.4.1. Dsactivation des requtes TFTP...................... 60
Elabor par J.Alaoui page 4/4 Scurit des rseaux
7.2.4.2. Dsactivation des services inutiliss............... 61 7.2.4.3. Chiffrement des mots de passe ......................... 61 7.2.4.4. Rejet des broadcasts dirigs .............................. 62 7.2.4.5. Dsactivation du routage des redirections ICMP 62 7.2.4.6. Dsactivation du routage par la source ......... 62 7.2.4.7. Limitations de l'accs Telnet sur le routeur . 63 7.2.4.8. Limitation de l'accs SNMP ................................. 63 7.3. Firewall ...................................................................... 64 7.4. Mthodes pare-feu ................................................. 66 7.4.1. Pare-feu IP ............................................................... 67 7.4.2. Proxy dapplication (ou Relais Applicatifs) ... 67 7.5. Microsoft Proxy 2.0..................................................... 69 7.6. Filtrage IP de MSProxy2.0................................... 69
8. Les VLANS ........................................................................73 8.1. Le principe ................................................................ 73 8.2. Les types de VLAN.................................................. 74 8.3. VLAN par port .......................................................... 74 8.4. VLAN par adresse IEEE......................................... 75 8.5. VLAN par protocole ................................................ 76 8.6. VLAN par sous-rseau .......................................... 77 8.7. VLAN par rgles ...................................................... 78 8.8. Le marquage ............................................................ 79 8.9. Les avantages .......................................................... 80
9. Techniques logicielles..................................................80 9.1. La translation d'adresses .................................... 80 9.1.1. NAT dynamique ........................................................ 82 9.1.2. NAT statique. ........................................................... 82 9.2. Protocole IPSec....................................................... 83 9.2.1. Prsentation gnrale .......................................... 83 9.2.2. Les implmentations d'IPSec............................. 84 9.2.3. Les services proposs par IPSec....................... 84
10. La cryptographie............................................................85 10.1. Etymologie:............................................................... 85 10.2. Qu'est-ce que la cryptographie? .......................................... 87 10.3. Les fonctions de la cryptographie .................... 89 10.3.1. La confidentialit .................................................... 89 10.3.2. L'intgrit.................................................................. 89 10.3.3. L'authentification ................................................... 89 10.3.4. La non-rpudiation ................................................ 89 10.4. Le chiffrement par substitution......................... 90 10.4.1. Le chiffrement de Csar ....................................... 90 10.4.1.1. Frquences d'apparition des lettres ................ 92 10.4.1.1.1. Le Franais................................................................ 92 10.4.1.1.2. Langlais..................................................................... 93 10.4.1.1.3. LAllemand ................................................................ 94 10.4.1.1.4. LEspagnol ................................................................. 96 10.4.1.1.5. Comparaison ............................................................ 98 10.4.2. Le chiffrage ROT13 ................................................ 98 10.4.3. La technique assyrienne ...................................... 99 10.5. Le chiffrement symtrique .................................. 99
Elabor par J.Alaoui page 5/5 Scurit des rseaux
10.5.1. Les limites du chiffrement symtrique ......... 100 10.5.1.1.1. Les schmas de Feistel....................................... 100 10.6. Le chiffrement Asymtrique ............................. 102 10.6.1. Algorithme de Diffie-Hellman .......................... 105 10.6.2. Attaque Man-in-the-middle............................... 105 10.7. Introduction la notion de signature lectronique 106 10.8. Qu'est-ce qu'une fonction de hachage ? ...... 106 10.9. Public Key Infrastructure (PKI) ...................... 109 10.9.1. Introduction la notion de certificat ............ 109 10.10. Les Cryptosystmes............................................. 112 10.10.1. Le chiffrement de Vigenre............................... 112 10.11. Crypto systmes par analyse des frquences des lettres : Al KINDI ............................................................................... 115 10.12. L'histoire de Enigma ............................................ 118 10.12.1. Le fonctionnement de Enigma ......................... 122 10.12.2. Le cassage du code d'Enigma .......................... 124 10.13. DES, le chiffrement cl secrte .................... 124 10.13.1. L'algorithme du DES ............................................ 126 10.14. IDEA = PES = IPS :Algorithme cl secrte ................... 130 10.14.1. Prsentation de l'algorithme............................ 131 10.14.2. Calcul des sous-cls............................................. 132 10.14.3. Dchiffrement......................................................... 132 10.15. L'AES ......................................................................... 133 10.16. Le systme RSA ..................................................... 136 10.17. Introduction PGP - Pretty Good Privacy ... 139
11. Commerce lectronique ............................................146 11.1. Introduction SSL ............................................... 146 11.1.1. Fonctionnement de SSL 2.0 .............................. 149 11.1.2. Problmatique ......................................................... 150 11.1.3. Le protocole SSH................................................... 151 11.1.3.1. Fonctionnement de SSH ..................................... 151 11.1.4. Mise en place du canal scuris ...................... 152 11.2. Le KERBEROS ......................................................... 154 11.2.1. Les avantages de Kerberos ............................... 154 11.2.2. Dsavantages de Kerberos ............................... 155 11.3. Le S-HTTP ................................................................ 156 11.4. La complmentarit de S-HTTP et de SSL ... 157 11.5. SET ............................................................................. 158 11.5.1. Fonctionnement de SET...................................... 158
12. La cryptanalyse .......................................................159 12.1. Recherche exhaustive de la clef...................... 159 12.2. Analyse des frquences ..................................... 159 12.3. Technique du mot probable (Cribbing) ........ 159 12.4. Test de Friedman .................................................. 159 12.5. Mthode de Babbage/Kasiski .......................... 160
13. EXEMPLES D'ILLUSTRATIONS.................................160 13.1. Le tlgramme de Zimmermann ..................... 160 13.2. le tlphone rouge ............................................... 163 13.3. Le chiffrement du Che......................................... 165
Elabor par J.Alaoui page 6/6 Scurit des rseaux
14. INSTALLATION ET MISE EN PLACE DE MS Proxy 2.0 168
14.1. Nouvelles fonctionnalits de la version 2.0 de Proxy Server 169 Mise en cache rpartie ............................................................................. 170 14.1.1.1. Chane Proxy Server associe ...................... 173 14.1.1.1.1. Protocole CARP (Cache Array Routing Protocol) 173 14.1.1.1.2. Scurit de type pare-feu ......................... 173 14.1.1.1.3. Prise en charge amliore de la publication de pages Web 175 14.2. Fonctionnalits d'administration .................... 177 14.2.1. Administration par ligne de commande ....... 177 14.2.2. Administration de tableau................................. 178 14.2.3. Scripts de configuration client......................... 178 14.2.4. Sauvegarde et restauration de configuration 178 14.3. les 3 services Proxy Server 2.0 ....................... 179 14.3.1. Le service du proxy Web.................................... 180 14.3.2. Le service du proxy WinSock ........................... 183 14.3.3. Le service du proxy SOCKS ............................... 186 14.4. Prparation de l'installation ............................. 187 14.4.1. Utilisation de Proxy Server et de DNS .......... 188 14.4.2. Utilisation de Proxy Server et de WINS ....... 189 14.4.3. Utilisation de Proxy Server et de DHCP........ 190 14.4.4. Utilisation de plusieurs serveurs Proxy Server 190 14.4.5. Utilisation de plusieurs serveurs Proxy Server et de DNS 191 14.4.6. Utilisation de plusieurs serveurs Proxy Server et de WINS 192 14.4.7. Rappel sur les rseaux TCP/IP........................ 193 14.4.8. Description de DNS .............................................. 195 14.4.9. Description de WINS ........................................... 196 14.4.10. Description de DHCP ........................................... 198 14.4.11. Description des ports .......................................... 201 14.5. Rseaux typiques ................................................. 202 14.5.1. Rseau d'entreprise de petite taille............... 202 14.5.2. Rseau d'une entreprise de petite taille ...... 203 14.5.3. Rseau d'entreprise de taille moyenne ........ 204 14.5.4. Rseau d'entreprise de taille moyenne ........ 205 14.5.4.1. Rseau de la filiale ............................................... 205 14.5.4.2. Rseau d'entreprise de grande taille ............ 208 14.5.4.3. Filiales du rseau d'une entreprise de grande taille 209
Elabor par J.Alaoui page 7/7 Scurit des rseaux
1. Introduction
1.1. Quelques chiffres:
Les statistiques publies annuellement par le CSI (le
Computer Security Institute) San Francisco en collaboration avec
le FBI sur les incidents de scurit informatique dans les grandes
entreprises amricaines dmontrent que les problmes de scurit
informatique sont rels et qu'ils ont des consquences importantes.
Le rapport de 2002 qui a concern des centaines d'entreprises
dmontre que: (voir le site www.gocsi.com)
! 90% des sonds ont dclar avoir eu des incidents
de scurit informatique durant l'anne coule;
! Les attaques recenses sont partages : 50% de
l'intrieur et 50 % de l'extrieur;
! 80% ont avou avoir subi des pertes financires
considrables;
Elabor par J.Alaoui page 8/8 Scurit des rseaux
1.2. Quelques exemples d'illustration: 1.2.1. Kevin Mitnick case:
Il s'agit du pirate informatique le plus connu (un film s'en est
inspir).
La partie la plus classique de son histoire est l'attaque qu'il a
mene contre les ordinateurs de Tsutomu Shimomura, spcialiste
en scurit informatique au San Diego Supercomputing Center,
pour lui voler des logiciels qui devaient lui permettre de pirater des
rseaux de tlphonie cellulaire. Il fut arrt en Nol 1994.
La particularit de ce pirate tait son "social engineering",
qui lui permettait de s'introduire l'intrieur des socits et se fait
pass de technicien d'informatique ou de tlphone pour pirater des
informations confidentielles avant de passer l'action.
1.2.2. Mafiaboy
Le 07 fvrier 2000, les serveurs de Yahoo, buy.com , ebay,
cnn.com, amazon.com, ZDNet, Etrade et Microsoft sont inonds
d'un raz de mare de trafic les rendant inatteignables pendant
plusieurs heures. le 16 fvrier le FBI suspecte un dnomm
Mafiaboy(un pseudonyme). Le 15 avril, un jeune canadien de 15
ans est arrt au Canada et reconnat tre le fameux Mafiaboy et
qu'il a pu pntr 75 ordinateurs grce une faille dans le port FTP.
En 2001, Mafiaboy est condamn 8 mois dans centre de dtention
pour jeunes dlinquants.
1.2.3. Melissa
Le virus Melissa est le premier virus avoir profit du
courrier lectronique sur Internet pour se propager presque
instantanment travers le web. Il s'agissait en fait d'un document
Elabor par J.Alaoui page 9/9 Scurit des rseaux
Word contenant une macro qui envoyait une copie du message aux
50 premires adresses du carnet d'adresses de votre client de
messagerie (Netscape, Outlook, Mozaic).
1.2.4. "I love you" et "Kournikova"
Ces deux virus sont similaires Melissa.
1.3. Dfinitions
La scurit informatique, d'une manire gnrale, consiste
assurer que les ressources matrielles ou logicielles d'une
organisation sont uniquement utilises dans le cadre o il est prvu
qu'elles le soient.
La scurit informatique couvre gnralement trois
principaux objectifs :
L'intgrit, c'est--dire garantir que les donnes sont
bien celles qu'on croit tre
La confidentialit, consistant assurer que seules les
personnes autorises ont accs aux ressources
La disponibilit, permettant de maintenir le bon
fonctionnement du systme informatique
1.4. Mthodologie
La scurit des systmes informatiques se cantonne
gnralement garantir les droits d'accs aux donnes et
ressources d'un systme en mettant en place des mcanismes
d'authentification et de contrle permettant d'assurer que les
utilisateurs des dites ressources possdent uniquement les droits
qui leur ont t octroy.
La scurit informatique doit toutefois tre tudie de telle
manire ne pas empcher les utilisateurs de dvelopper les
Elabor par J.Alaoui page 10/10 Scurit des rseaux
usages qui leur sont ncessaires, et de faire en sorte qu'ils
puissent utiliser le systme d'information en toute confiance.
La scurit d'un systme informatique fait souvent l'objet de
mtaphores. Ainsi on la compare rgulirement une chane en
expliquant que le niveau de scurit d'un systme est caractris
par le niveau de scurit du maillon le plus faible. Ainsi, une porte
blinde est inutile dans un btiment si les fentres sont ouvertes sur
la rue.
Cela signifie que la scurit doit tre aborde dans un
contexte global :
La sensibilisation des utilisateurs aux problmes de
scurit
La scurit logique, c'est--dire la scurit au niveau des
donnes
La scurit des tlcommunications
La scurit des applications
La scurit physique, soit la scurit au niveau des
infrastructures matrielles (accs aux salles
informatiqueetc.)
La scurit est un sujet qui doit tre approch de manire
systmatique. On ne scurise pas un btiment en apposant
simplement des serrures sur les portes. Pour qu'un btiment rsiste
des attaques il faut que l'architecte pense dj la scurit
lorsqu'il dessine les plans.
L'approche systmatique classique pour la scurisation d'un
systme informatique en rseau peut se rsum comme suit:
! Analyse de la situation: on ne va pas scuriser de la
mme manire une villa qu'une banque ou une gare;
Elabor par J.Alaoui page 11/11 Scurit des rseaux
! Analyse du risque: valuation des risques prsents
dans un systme. A ce sujet un inventaire des biens protger
dois tre tabli incluant les menaces auxquelles ils sont exposs,
et on estime ensuite la probabilit que ses menaces se ralisent.
! Politique de scurit: elle dcrit de quelle manire on
va rduire les risques pour atteindre un niveau de risque rsiduel
acceptable. C'est un document qui dcrit les diffrents lments
d'un systme d'information et les rgles qui s'y appliquent. On y
trouve par exemple une classification des informations, un
dcoupage du systme en zones plus ou moins protges et des
rgles qui indiquent les prcautions prendre en fonction de la
classification des informations et de la zone dans laquelle elles se
trouvent.
La politique de scurit est donc l'ensemble des orientations
suivies par une organisation ( prendre au sens large) en terme de
scurit. A ce titre elle se doit d'tre labore au niveau de la
direction de l'organisation concerne, car elle concerne tous les
utilisateurs du systme.
Ainsi, il ne revient pas aux administrateurs informatiques de
dfinir les droits d'accs des utilisateurs mais aux responsables
hirarchiques de ces derniers. Le rle de l'administrateur
informatique est donc de faire en sorte que les ressources
informatiques et les droits d'accs celles-ci soient en cohrence
avec la politique de scurit retenue. De plus, tant donn qu'il est
le seul connatre parfaitement le systme, il lui revient de faire
remonter les informations concernant la scurit sa direction,
ventuellement de la conseiller sur les stratgies mettre en
oeuvre, ainsi que d'tre le point d'entre concernant la
communication aux utilisateurs des problmes et recommandations
en terme de scurit.
! Mesures de scurit : Une fois que la politique de
scurit est crite, il est possible de choisir les mesures qui vont
Elabor par J.Alaoui page 12/12 Scurit des rseaux
permettre de la raliser. Ces mesures peuvent tre techniques,
comme l'installation de fire-walls, ou organisationnelles, par
exemple l'tablissement de procdures de secours ou la
nomination d'un responsable de la scurit.
! Implmentation: Ce n'est qu'une fois qu'un ensemble
de mesures a t choisi pour rpondre la politique de scurit
que l'on pourra commencer les implmenter.
! Validation: il convient enfin de valider les mesures de
scurit implmentes afin de vrifier qu'elles offrent vraiment la
protection voulue. Cette validation peut tre des audits sous
forme de scanners de vulnrabilit ou par des tests d'intrusion.
Il est noter que cette tape peut remettre en cause toutes
les autres prcdentes.
2. Les menaces
2.1. Commandes SMTP
Le protocole SMTP (Simple Mail Transfer Protocol) est le
protocole standard permettant de transfrer le courrier d'un serveur
un autre en connexion point point.
Il s'agit d'un protocole fonctionnant en mode connect,
encapsul dans une trame TCP/IP.
Le courrier est remis directement au serveur de courrier du
destinataire.
Le protocole SMTP fonctionne grce des commandes
textuelles envoyes au serveur SMTP (par dfaut le port 25).
Chacune des commandes envoyes par le client (valide par la
chane de caractres ASCII CR/LF, quivalente un appui sur la
touche entre) est suivi d'une rponse du serveur SMTP compose
d'un numro et d'un message descriptif.
2.1.1. Descriptif des commandes SMTP
Elabor par J.Alaoui page 13/13 Scurit des rseaux
Lors de l'ouverture de la session SMTP, la premire
commandes envoyer est la commande HELO suivie d'un espace
(not ) et du nom de domaine de votre machine (afin de dire
"bonjour je suis telle machine"), puis valider par entre (note
). Depuis avril 2001, les spcifications du protocole SMTP,
dfinies dans le RFC 2821, imposent que la commande HELO soit
remplace par la commande EHLO.
La seconde commande est "MAIL FROM:" suivie de l'adresse e-
mail de l'expditeur. Si la commande est accepte le serveur
renvoie le message "250 OK"
La commande DATA est la troisime tape de l'envoi. Elle
annonce le dbut du corps du message. Si la commande est
accpte le serveur renvoie un message intermdiaire numrot
354 indiquant que l'envoi du corps du mail peut commencer et
considre l'ensemble des lignes suivantes jusqu' la fin du message
repr par une ligne contenant uniquement un point. Le corps du
mail contient ventuellement certains enttes tels que:
- Date
- Subject
- Cc
- Bcc
- From
Si le message est accept le serveur renvoie le message "250
OK"
Voici un rcapitulatif des principales commandes SMTP
Commande Exemple Description
HELO (dsormais EHLO) EHLO 193.56.47.125
Identification l'aide de l'adresse IP ou du nom de domaine de l'ordinateur expditeur
MAIL FROM: MAIL FROM: expediteur@domaine.com
Identification de l'adresse de l'expditeur
RCPT TO: RCPT TO: destinataire@domaine.com
Identification de l'adresse du destinataire
Elabor par J.Alaoui page 14/14 Scurit des rseaux
DATA DATA message Corps du mail QUIT QUIT Sortie du serveur SMTP
HELP HELP Liste des commandes SMTP supportes par le serveur
2.2. Commandes POP3
Le protocole POP (Post Office Protocol que l'on peut traduire
par "protocole de bureau de poste") permet comme son nom
l'indique d'aller rcuprer son courrier sur un serveur distant (le
serveur POP). Il est ncessaire pour les personnes n'tant pas
connectes en permanence Internet afin de pouvoir collecter les
mails reus hors connexion.
Il existe deux principales versions de ce protocole, POP2 et
POP3, auxquels sont affects respectivement les ports 109 et 110 et
fonctionnant l'aide de commandes textuelles radicalement
diffrentes.
Tout comme dans le cas du protocole SMTP, le protocole POP
(POP2 et POP3) fonctionne grce des commandes textuelles
envoyes au serveur POP. Chacune des commandes envoyes par
le client (valide par la squence CR/LF) est compose d'un mot-
cl, ventuellement accompagn d'un ou plusieurs arguments et est
suivie d'une rponse du serveur POP compose d'un numro et d'un
message descriptif.
Commandes POP3
Commande Description
USER identifiant Cette commande permet de s'authentifier. Elle doit tre suivie du nom de l'utilisateur, c'est--dire une chane de caractres identifiant l'utilisateur sur le serveur. La
Elabor par J.Alaoui page 15/15 Scurit des rseaux
commande USER doit prcder la commande PASS.
PASS mot_de_passe
La commande PASS, permet d'indiquer le mot de passe de l'utilisateur dont le nom a t spcifi lors d'une commande USER pralable.
STAT Information sur les messages contenus sur le serveur
RETR Numro du message rcuprer
DELE Numro du message supprimer
LIST [msg] Numro du message afficher
NOOP Permet de garder les connexions ouvertes en cas d'inactivit
TOP
Commande affichant n lignes du message, dont le numro est donn en argument. En cas du rponse positive du serveur, celui-ci renvoie les en-ttes du message, puis une ligne vierge et enfin les n premires lignes du message.
UIDL [msg]
Demande au serveur de renvoyer une ligne contenant des informations sur le message ventuellement donn en argument. Cette ligne contient une chane de caractres, appele listing d'identificateur unique, permettant d'identifier de faon unique le message sur le serveur, indpendamment de la session. L'argument optionnel est un numro correspondant un message existant sur le serveur POP, c'est--dire un message non effac).
QUIT La commande QUIT demande la sortie du serveur POP3. Elle entrane la suppression de tous les messages marqus comme effacs et renvoie l'tat de cette action.
Le protocole POP3 gre ainsi l'authentification l'aide d'un
nom d'utilisateur et d'un mot de passe, il n'est par contre pas
scuris car les mots de passe, au mme titre que les mails,
circulent en clair (de manire non chiffre) sur le rseau. D'autre
part le protocole POP3 bloque la bote aux lettres lors de la
consultation, ce qui signifie qu'une consultation simultane par deux
utilisateurs d'une mme bote aux lettres est impossible.
Au mme titre qu'il est possible d'envoyer un e-mail grce telnet,
il est galement possible d'accder son courrier entrant grce
un simple telnet sur le port du serveur POP (110 par dfaut).
Elabor par J.Alaoui page 16/16 Scurit des rseaux
2.3. Les attaques distantes et les intrusions
De plus en plus de personnes s'amusent se connecter aux
ordinateurs des autres via Internet. Certaines personnes le font par
plaisir, mais la plupart du temps les personnes oprant ce genre de
techniques cherchent introduire des virus, a voler vos mots de
passe pour se connecter sur Internet sur votre compte, ou bien
d'autres buts.
Une attaque distance est une agression contre une
machine par une personne n'ayant pas les droits sur elle. Une
machine distante est "toute machine autre que la sienne et que l'on
peut joindre grce un protocole travers un rseau.
Les Hackers sont des personnes qui s'intressent de prs
aux systmes d'exploitation. Ils cherchent constamment
approfondir leurs connaissances et les faire partager. Leur but
n'est pas de nuire mais au contraire de connatre pour amliorer.
Les crashers par contre violent des systmes distance
dans un but de malveillance. Ils dtruisent des donnes,
empchent le fonctionnement de services...
2.3.1. Le Nuke
Les nukes sont des plantages de Windows dus des
utilisateurs peu intelligents (qui connaissent votre adresse IP) qui
s'amusent utiliser un bug de Windows 95 (pas 98) qui fait que si
quelqu'un envoie rptition des paquets d'informations sur le port
Elabor par J.Alaoui page 17/17 Scurit des rseaux
139, Windows affiche un magnifique cran bleu du plus bel effet,
vous n'avez plus qu' rebooter.
Pour se protger il existe des patches permettant de corriger
le bug.
2.3.2. Le Flood
Le flood consiste envoyer trs rapidement de gros paquets
d'information a une personne ( condition d'avoir un PING, c'est--
dire le temps que met l'information pour faire un aller retour entre 2
machines, trs court). La personne vise ne pourra plus rpondre
aux requtes et le modem va donc dconnecter.
Pour l'viter une solution consiste ne pas divulguer son
adresse IP.
2.3.3. Le TCP/SYN flooding
Lors d'une connexion TCP, le client et le serveur changent
des donnes et des accuss de rception pour tablir la connexion.
On appelle ce mcanisme la poigne de main en trois temps.
Elabor par J.Alaoui page 18/18 Scurit des rseaux
Toutefois ce mcanisme possde une faiblesse lorsque le
serveur renvoie un accus de rception (SYN-ACK) mais ne reoit
aucun accus (ACK) en provenance du client. Dans ce cas le serveur
cre une structure de donnes contenant toutes les connexions
ouvertes (et occupant de la place en mmoire). S'il est vrai qu'il
existe un mcanisme d'expiration permettant de fermer des
connexions ouvertes pendant un temps trop long, et ainsi librer de
la mmoire, il est possible pour un agresseur de saturer la mmoire
rapidement en envoyant suffisamment rapidement des paquets
SYN.
D'autre part, le systme agresseur fournit gnralement une
adresse de retour d'un ordinateur n'tant pas capable de rpondre.
Il est ainsi trs difficile de savoir d'o provient l'attaque...
2.3.4. Le Mail Bombing
Le mail bombing consiste envoyer plusieurs milliers de
messages identiques une bote aux lettres pour la faire saturer. En
effet les mails ne sont pas directs, ainsi lorsque vous relverez le
courrier, celui-ci mettra beaucoup trop de temps et votre bote aux
lettres sera alors inutilisable...
Elabor par J.Alaoui page 19/19 Scurit des rseaux
Les solutions:
Avoir plusieurs bote aux lettres: une importante que vous ne divulguez qu'aux personnes dignes de confiance, et une laquelle vous tenez moins.
Installer un logiciel anti-spam qui interdira la rception de plusieurs messages identiques un intervalle de temps trop court
2.3.5. Le spoofing
Le spoofing IP (en franais mystification) est une technique
permettant un pirate d'envoyer une machine des paquets
semblant provenir d'une adresse IP autre que celle de la machine
du pirate. Le spoofing IP n'est pas pour autant un changement
d'adresse IP. Plus exactement il s'agit d'une mascarade de l'adresse
IP au niveau des paquets mis, c'est--dire une modification des
paquets envoys afin de faire croire au destinataire qu'ils
proviennent d'une autre machine.
Ainsi, certains tendent assimiler l'utilisation d'un proxy
(permettant de masquer d'une certaine faon l'adresse IP) avec du
spoofing IP. Toutefois, le proxy ne fait que relayer les paquets, ainsi
mme si l'adresse est apparemment masque, un pirate peut
facilement tre retrouv grce au fichier journal (logs) du proxy.
Elabor par J.Alaoui page 20/20 Scurit des rseaux
Comme l'indique le schma ci-dessus, la technique du
spoofing (difficile mettre en oeuvre) peut permettre un pirate de
faire passer des paquets sur un rseau sans que ceux-ci ne soient
intercepts par le systme de filtrage de paquets (firewall).
En effet un firewall fonctionne grce des rgles de filtrage
indiquant quelles adresses IP sont autorises communiquer avec
les machines internes. Ainsi, un paquet spoof avec l'adresse IP
d'une machine interne semblera provenir du rseau interne et sera
transmis la machine cible, tandis qu'un paquet contenant une
adresse IP externe sera automatiquement rejete par le firewall.
Cependant, le protocole TCP (protocole assurant
principalement le transport fiable de donnes sur Internet) repose
sur des liens d'authentification et d'approbation entre les machines
d'un rseau, ce qui signifie que pour accepter le paquet, le
destinataire doit auparavant accuser rception auprs de
l'metteur, ce dernier devant nouveau accuser rception de
l'accus de rception.
2.3.6. Modification de l'en-tte TCP
Elabor par J.Alaoui page 21/21 Scurit des rseaux
Sur Internet, les informations circulent grce au protocole IP,
qui assure l'encapsulation des donnes dans des paquets (ou plus
exactement datagramme IP). Voici la structure d'un datagramme :
Version Longueur d'en-tte
type de service
Longueur totale
Identification Drapeau Dcalage fragment Dure de vie Protocole Somme de contrle en-tte
Adresse IP source Adresse IP destination
Donnes
Masquer son adresse IP avec la technique du spoofing
revient modifier le champ source afin de simuler un datagramme
provenant d'une autre adresse IP (donc d'une autre machine).
Toutefois, sur internet, les paquets sont gnralement transports
par le protocole TCP, qui assure une transmission dite fiable.
Ainsi, avant d'accepter un paquet, une machine doit
auparavant accuser rception de celui-ci auprs de la machine
mettrice, et attendre que cette dernire confirme la bonne
rception de l'accus.
2.3.7. Les sniffers
Un sniffer (appel analyseur rseau en franais) est un
dispositif permettant d'couter" le trafic d'un rseau, c'est--dire de
capturer les informations qui y circulent.
En effet dans un rseau non commut, les donnes sont
envoyes toutes les machines du rseau. Toutefois, dans une
utilisation normale les machines ignorent les paquets qui ne leur
sont pas destins.
Ainsi, en utilisant l'interface rseau dans un mode spcifique
(appel gnralement mode promiscuous) il est possible d'couter
tout le trafic passant par un adaptateur rseau (une carte rseau
Ethernet, une carte rseau sans fil, ...).
Elabor par J.Alaoui page 22/22 Scurit des rseaux
2.3.7.1. Utilisation du sniffer
Un sniffer est un formidable outil permettant d'tudier le
trafic d'un rseau. Il sert gnralement aux administrateurs pour
diagnostiquer les problmes sur leur rseau ainsi que pour
connatre le trafic qui y circule. Ainsi les dtecteurs d'intrusion (IDS,
pour intrusion detection system) sont bass sur un sniffeur pour la
capture des trames, et utilisent une base de donnes de rgles
(rules) pour dtecter des trames suspectes.
Malheureusement, comme tous les outils d'administration, le
sniffer peut galement servir une personne malveillante ayant un
accs physique au rseau pour collecter des informations. Ce risque
est encore plus important sur les rseaux sans fil car il est difficile
de confiner les ondes hertziennes dans un primtre dlimit, si
bien que des personnes malveillantes peuvent couter le traffic en
tant simplement dans le voisinage.
La grande majorit des protocoles Internet font transiter les
informations en clair, c'est--dire de manire non chiffre. Ainsi,
lorsqu'un utilisateur du rseau consulte sa messagerie via le
protocole POP ou IMAP, ou bien surfe sur Internet sur des sites dont
l'adresse ne commence pas par HTTPS, toutes les informations
envoyes ou reues peuvent tre interceptes. C'est comme cela
que des sniffers spcifiques ont t mis au point par des pirates afin
de rcuprer les mots de passe circulant dans le flux rseau.
2.3.7.2. Protection
Il existe plusieurs faons de se prmunir des dsagrments
que pourraient provoquer l'utilisation d'un sniffer sur votre rseau :
Elabor par J.Alaoui page 23/23 Scurit des rseaux
Utiliser des protocoles chiffrs pour toutes les communications
dont le contenu possde un niveau de confidentialit lev.
Segmenter le rseau afin de limiter la diffusion des
informations. Il est notamment recommand de prfrer
l'utilisation de switchs (commutateurs) celle des hubs
(concentrateurs) car ils commutent les communications, c'est-
-dire que les informations sont dlivres uniquement aux
machines destinataires.
Utiliser un dtecteur de sniffer. Il s'agit d'un outil sondant le
rseau la recherche de matriels utilisant le mode
promiscuous.
Pour les rseaux sans fil il est conseill de rduire la
puissance des matriels de telle faon ne couvrir que la
surface ncessaire. Cela n'empche pas les ventuels pirates
d'couter le rseau mais rduit le primtre gographique
dans lequel ils ont la possibilit de le faire.
2.3.8. Les scanners
Un scanner est un programme qui permet de savoir quels
ports sont ouverts sur une machine donne.
Les scanners servent pour les crackers savoir comment ils
vont procder pour attaquer une machine.
Leur utilisation n'est heureusement pas seulement malsaine,
car les scanners peuvent aussi vous permettre de dterminer quels
ports sont ouverts sur votre machine pour prvenir une attaque.
2.3.9. Les exploits
Un exploit est un programme qui exploite un bug dans un
software spcifique (le mot exploit vient de la racine exploiter).
Chaque exploit est diffrent et exploite des bugs prcis se trouvant
dans un programme utilis par le "root".
Il existe diffrents types d'exploits :
Elabor par J.Alaoui page 24/24 Scurit des rseaux
la plupart servent tre root (statut de l'administrateur systme sous linux).
certains ont pour fonctions d'afficher le fichier password. d'autres ont pour missions d'obtenir des fichiers divers sur le
systme ...
L'utilisation d'un exploit est assez simple. La plupart du
temps les exploits sont crits en langage C (ils peuvent galement
tre en PERL ou tout langage pour lequel il existe un interprteur
sur la machine cible). Il faut ainsi au hacker une connaissance
minimale en programmation pour arriver ses fins (ce qui est assez
commun pour ce type de personnes).
Afin de pouvoir l'utiliser, il doit le compiler dans son
rpertoire de travail sur la machine qu'il veut prendre d'assaut
galement appel "Shell" (qu'il aura obtenu bien avant).
Une fois l'excution russie, selon le rle de l'exploit, le
hacker peut obtenir le statut root sur la machine distante (#sous
Unix) et donc faire absolument toutes les actions qu'il dsire...
2.3.10. Denial Of Service (DoS)
Les attaques par Denial Of service (souvent abrg en DoS,
en franais "Dni de service") consistent paralyser
temporairement (rendre inactif pendant un temps donn) des
serveurs afin qu'ils ne puissent tre utiliss et consults. Elles sont
un flau pouvant toucher tout serveur mais aussi tout particulier
reli Internet. Le but d'une telle attaque n'est pas de rcuprer ou
d'altrer des donnes, mais de nuire des socits dont l'activit
repose sur un systme d'information en l'empchant de fonctionner.
D'un point de vue technique, ces attaques ne sont pas trs
compliques, mais ne sont pas moins efficaces contre tout type de
machine possdant un systme d'exploitation Windows (95, 98, NT,
2000, XP, ...), Linux (Debian, Mandrake, RedHat, Suse, ...), Unix
commercial (HP-UX, AIX, IRIX, Solaris, ...) ou tout autre systme ...
Elabor par J.Alaoui page 25/25 Scurit des rseaux
En effet, la plupart des attaques par dni de service
n'exploitent non pas les failles d'un systme d'exploitation
particulier, mais celle de l'architecture TCP/IP. Les attaques par dni
de service consistent en un envoi de paquets IP de taille ou de
constitution inhabituelle, ce qui a pour cause la saturation ou une
mauvaise gestion de la part de la machine victime, qui ne peut plus
assurer les services rseaux qu'elle propose (d'o le terme de dni
de service).
2.3.10.1. La technique du Denial Of Service
Pour tre prcis, le DoS se fait par le biais de l'envoi d'un
datagramme IP de 65536 octets fabriqu grce la fragmentation.
Une fois le datagramme refragment sur l'hte distant on obtiendra
un dbordement de mmoire (communment appel Buffer
overflow) provoquant un plantage de la machine...
2.3.10.2. La technique dite du "smurf"
La technique du "smurf" est base sur l'utilisation de
serveurs broadcast pour paralyser un rseau. Un serveur broadcast
est un serveur capable de dupliquer un message et de l'envoyer
toutes les machines prsentes sur le mme rseau que lui.
Le scnario d'une attaque est le suivant:
La machine attaquante envoie un ping (le ping est un outil
du monde UNIX pour tester les machines d'un rseau en envoyant
un paquet et en attendant la rponse) un (ou plusieurs) serveurs
broadcast en falsifiant sa propre adresse IP (l'adresse laquelle le
serveur devrait thoriquement rpondre par un pong) et en
fournissant l'adresse IP de la machine cible.
Lorsque le serveur broadcast va dispatcher le ping sur tout le
rseau, toutes les machines du rseau vont rpondre par un pong,
que le serveur broadcast va rediriger vers la machine cible.
Elabor par J.Alaoui page 26/26 Scurit des rseaux
Ainsi lorsque la machine attaquante adresse le ping a
plusieurs serveurs broadcast situs sur des rseaux diffrents,
l'ensemble des rponses de tous les ordinateurs des diffrents
rseaux vont tre reroutes sur la machine cible.
De cette faon l'essentiel du travail de l'attaquant consiste
trouver une liste de tous les serveurs broadcast et d'arriver
falsifier l'adresse de rponse afin de les diriger vers la machine
cible.
Elabor par J.Alaoui page 27/27 Scurit des rseaux
3. Les virus
Un virus est un petit programme situ dans le corps d'un
autre, qui, lorsqu'on l'excute, se charge en mmoire et excute les
instructions que son auteur a programmes.
La dfinition d'un virus pourrait tre la suivante:
"Tout programme d'ordinateur capable d'infecter un autre programme d'ordinateur en le modifiant de faon ce qu'il puisse son tour se reproduire."
Ils se multiplient pour la plupart, c'est--dire qu'ils s'insrent
dans les fichiers que vous excutez ds lors qu'ils sont rsidents en
mmoire. Le vritable nom donn aux virus est CPA soit Code Auto-
Propageable, mais par analogie avec le domaine mdical, le nom de
"virus" leur a t donn.
Les virus vont de la simple balle de ping-pong qui traverse
l'cran, au virus destructeur de donnes. Ce dernier tant la forme
de virus la plus virulente. Ainsi, tant donn qu'il existe une vaste
gamme de virus ayant des actions aussi diverses que varies, les
virus ne sont pas classs selon leurs dgts mais selon leur mode
de propagation et d'infection.
On distingue ainsi diffrents types de virus :
les vers sont des virus capables de se propager travers un
rseau
les troyens (chevaux de Troie) sont des virus permettant de
crer une faille dans un systme (gnralement pour
permettre son concepteur de s'introduire dans le systme
infect afin d'en prendre le contrle)
les bombes logiques sont des virus capables de se dclencher
suite un vnement particulier (date systme, activation
distante, ...)
Elabor par J.Alaoui page 28/28 Scurit des rseaux
Depuis quelques annes un autre phnomne est apparu, il
s'agit des canulars (en anglais hoax), c'est--dire des annonces
reues par mail (par exemple l'annonce de l'apparition d'un
nouveau virus destructeur ou bien la possibilit de gagner un
tlphone portable gratuitement,...) accompagnes d'une note
prcisant de faire suivre la nouvelle tous ses proches. Ce procd
a pour but l'engorgement des rseaux ainsi que la dsinformation.
3.1. Introduction aux antivirus
Les antivirus sont des programmes capables de dtecter la
prsence de virus sur un ordinateur, ainsi que de nettoyer celui-ci
dans la mesure du possible si jamais un ou des virus sont trouvs.
On parle ainsi d'radication de virus pour dsigner la procdure de
nettoyage de l'ordinateur.
3.1.1. La dtection des virus
Les virus se reproduisent en infectant des "applications
htes", c'est--dire en copiant une portion de code excutable au
sein d'un programme existant. Or, afin de ne pas avoir un
fonctionnement chaotique, les virus sont programms pour ne pas
infecter plusieurs fois un mme fichier. Ils intgrent ainsi dans
l'application infecte une suite d'octets leur permettant de vrifier si
le programme a pralablement t infect : il s'agit de la signature
virale.
Les antivirus s'appuient ainsi sur cette signature propre
chaque virus pour les dtecter. Il s'agit de la mthode de recherche
de signature (scanning), la plus ancienne mthode utilise par les
antivirus.
Cette mthode n'est fiable que si l'antivirus possde une
base virale jour, c'est--dire comportant les signatures de tous les
virus connus. Toutefois cette mthode ne permet pas la dtection
Elabor par J.Alaoui page 29/29 Scurit des rseaux
des virus n'ayant pas encore t rpertoris par les diteurs
d'antivirus. De plus, les programmeurs de virus les ont dsormais
dot de capacit de camouflage, de manire rendre leur signature
indtectable, il s'agit de "virus polymorphes".
Certains antivirus utilisent un contrleur d'intgrit pour
vrifier si les fichiers ont t modifis. Ainsi le contrleur d'intgrit
construit une base de donnes contenant des informations sur les
fichiers excutables du systme (date de modification, taille, et
ventuellement une somme de contrle). Ainsi, lorsqu'un fichier
excutable change de caractristiques, l'antivirus prvient
l'utilisateur de la machine.
3.1.2. Les virus mutants
En ralit, la plupart des virus sont des clones, ou plus
exactement des "mutants", c'est--dire des virus ayant t rcrits
par d'autres utilisateurs afin d'en modifier leur comportement ou
bien uniquement leur signature.
Le fait qu'il existe plusieurs versions (on parle de variantes)
d'un mme virus le rend d'autant plus difficile reprer dans la
mesure o les diteurs d'antivirus doivent ajouter ces nouvelles
signatures leurs bases de donnes ...
3.1.3. Les virus polymorphes
Etant donn que les antivirus dtectent (entre autres) les
virus grce leur signature (la succession de bits qui les identifie),
certains crateurs de virus ont pens leur donner la possibilit de
modifier automatiquement leur apparence, tel un camlon, en
dotant les virus de fonction de chiffrement et de dchiffrement de
leur signature de telle manire ce que seul le virus soit capable de
reconnatre sa propre signature.
Ce type de virus est appel virus polymorphe (ce mot
provenant du grec signifie qui peut prendre plusieurs formes).
Elabor par J.Alaoui page 30/30 Scurit des rseaux
3.1.4. Les rtrovirus
On appelle "rtrovirus" ou "virus flibustier" (en anglais
bounty hunters) un virus ayant la capacit de modifier les
signatures des antivirus afin de les rendre inoprants.
3.1.5. Les virus de boot
On appelle virus de boot, un virus capable d'infecter le
secteur de dmarrage d'un disque (MBR, soit master boot
record), c'est--dire un secteur du disque copi dans la mmoire
au dmarrage de l'ordinateur, puis excut afin d'amorcer le
dmarrage du systme d'exploitation.
3.1.6. Les chevaux de Troie
De plus, le virus peut reprsenter une faille dans la scurit
d'un rseau en crant des vulnrabilits dissimules qu'un
utilisateur extrieur pourra utiliser pour s'introduire dans le
systme, ou pour lui fournir des informations.
Le but de ces virus est de se propager, vulnrabiliser des
systmes, et "marquer" les systmes de telle faon ce qu'ils
puissent tre reprs par leurs crateurs. De tels virus dvoilent
l'ensemble des systmes d'informations d'une machine et brisent
ainsi la confidentialit des documents qu'elle renferme, on appelle
ce type de virus un cheval de Troie...
3.1.7. Les virus trans-applicatifs (virus macros)
Avec la multiplication des programmes utilisant des
macros, Microsoft a mis au point un langage de script commun
pouvant tre insr dans la plupart des documents pouvant
contenir des macros, il s'agit de VBScript, un sous-ensemble de
Visual Basic.
Elabor par J.Alaoui page 31/31 Scurit des rseaux
Ces virus arrivent actuellement infecter les macros des
documents Microsoft Office, c'est--dire qu'un tel virus peut tre
situ l'intrieur d'un banal document Word ou Excel, et excuter
une portion de code l'ouverture de celui-ci lui permettant d'une
part de se propager dans les fichiers, mais aussi d'accder au
systme d'exploitation (gnralement Windows).
Or, de plus en plus d'applications supportent Visual Basic,
ces virus peuvent donc tre imaginables sur de nombreuses
autres applications supportant le VBScript.
Le dbut du troisime millnaire a t marqu par
l'apparition grande frquences de scripts Visual Basic diffuss
par mail en fichier attach (reprables grce leur extension
.VBS) avec un titre de mail poussant ouvrir le cadeau
empoisonn.
Celui-ci a la possibilit, lorsqu'il est ouvert sur un client de
messagerie Microsoft, d'accder l'ensemble du carnet d'adresse
et de s'autodiffuser par le rseau. Ce type de virus est appel ver
(ou worm en anglais).
3.2. Les hoax
On appelle hoax (en franais canular) un courrier
lectronique propageant une fausse information et poussant le
destinataire a diffuser la fausse nouvelle a tous ces proches ou
collgues.
Ainsi, de plus en plus de personnes font suivre (anglicis en
forwardent) des informations reues par courriel sans vrifier la
vracit des propos qui y sont contenus. Le but des hoax est
simple :
provoquer la satisfaction de son concepteur d'avoir bern une
masse norme de personnes
Les consquences de ces canulars sont multiples :
Elabor par J.Alaoui page 32/32 Scurit des rseaux
ils contribuent engorger inutilement les rseaux en
provoquant une masse de donnes superflues circulant dans
les infrastructures rseaux.
ils tendent provoquer de la dsinformation, c'est--dire faire
admettre de nombreuses personnes de faux concepts ou
vhiculer de fausses rumeurs (on parle de lgendes urbaines)
pour certains de ces courriers
ils encombrent inutilement nos bote aux lettres dj charges
ils nous font perdre un temps certain
ils peuvent contribuer la dgradation de l'image d'une
personne ou bien d'une entreprise
ils provoquent un effet d'incrdulit, c'est--dire qu' force de
recevoir de fausses informations on finit par ne plus croire aux
vraies
Ainsi, il est essentiel de suivre certains principes avant de
faire circuler une information sur Internet.
3.2.1. Comment lutter contre la dsinformation?
Afin de lutter efficacement contre la propagation de fausses
informations par courrier lectronique, il suffit de retenir un seul
concept :
Ainsi tout courrier contenant une information non
accompagne d'un pointeur vers un site d'information ne doit pas
tre transmis d'autres personnes.
Lorsque vous transmettez une information des
destinataires, cherchez un site prouvant votre propos.
3.2.2. Comment vrifier qu'il s'agit d'un canular ?
Elabor par J.Alaoui page 33/33 Scurit des rseaux
Lorsque vous recevez un courriel insistant sur le fait qu'il
est essentiel de propager l'information (et ne contenant pas de
lien prouvant son intgrit), vous pouvez vrifier sur le site
hoaxbuster (site en franais) s'il s'agit effectivement d'un hoax
(canular).
Si l'information que vous avez reue ne s'y trouve pas,
recherchez l'information sur les principaux sites d'actualits ou
bien par l'intermdiaire d'un moteur de recherche (Google tant
un des plus fiables).
4. Les chevaux de Troie
On appelle "Cheval de Troie" (an anglais trojan horse) un
programme informatique effectuant des oprations malicieuses
l'insu de l'utilisateur. Le nom "Cheval de Troie" provient d'une
lgende narre dans l'Iliade (de l'crivain Homre) propos du
sige de la ville de Troie par les Grecs.
La lgende veut que les Grecs, n'arrivant pas pntrer
dans les fortifications de la ville, eurent l'ide de donner en
cadeau un norme cheval de bois en offrande la ville en
abandonnant le sige.
Les troyens (peuple de la ville de Troie), apprcirent cette
offrande priori inoffensive et la ramenrent dans les murs de la
ville. Cependant le cheval tait rempli de soldats cachs qui
s'empressrent d'en sortir la tombe de la nuit, alors que la
ville entire tait endormie, pour ouvrir les portes de la cit et en
donner l'accs au reste de l'arme ...
Un cheval de Troie (informatique) est donc un programme
cach dans un autre qui excute des commandes sournoises, et
qui gnralement donne un accs la machine sur laquelle il est
excut, par extension il est parfois nomm troyen par analogie
avec les habitants de la ville de Troie.
Elabor par J.Alaoui page 34/34 Scurit des rseaux
Un peu comme le virus, le cheval de Troie est un code
(programme) nuisible plac dans un programme sain (imaginez
une fausse commande de listage des fichiers, qui dtruit les
fichiers au-lieu d'en afficher la liste).
Un cheval de Troie peut par exemple
voler des mots de passe copier des donnes sensibles excuter tout autre action nuisible ...
Pire, un tel programme peut crer, de l'intrieur de votre
rseau, une brche volontaire dans la scurit pour autoriser des
accs des parties protges du rseau des personnes se
connectant de l'extrieur.
Les principaux chevaux de Troie sont des programmes
ouvrant des ports de la machine, c'est--dire permettant son
concepteur de s'introduire sur votre machine par le rseau en
ouvrant une porte drobe. C'est la raison pour laquelle on parle
gnralement de backdoor (littralement porte de derrire) ou de
backorifice (terme imag vulgaire signifiant "orifice de derrire"
...).
Un cheval de Troie n'est pas ncessairement un virus,
dans la mesure o son but n'est pas de se reproduire pour
infecter d'autres machines.
Par contre certains virus peuvent galement tre des
chevaux de Troie, c'est--dire se propager comme un virus
et ouvrir un port sur votre machine !
Dtecter un tel programme est difficile car il faut arriver
dtecter si l'action du programme (le cheval de Troie) est voulue
ou non par l'utilisateur.
4.1. Les symptmes d'une infection
Elabor par J.Alaoui page 35/35 Scurit des rseaux
Une infection par un cheval de Troie fait gnralement suite
l'ouverture d'un fichier contamin contenant le cheval de Troie
(voir l'article sur la protection contre les vers) et se traduit par les
symptmes suivants :
activit anormale du modem: des donnes sont charges alors que vous ne faites rien
des ractions curieuses de la souris des ouvertures impromptues de programmes des plantages rptition ...
4.2. Principe du cheval de Troie
Le principe des chevaux de Troie tant gnralement (et de
plus en plus) d'ouvrir un port de votre machine pour permettre
un pirate d'en prendre le contrle (par exemple voler des donnes
personnelles stockes sur le disque), le but du pirate est dans un
premier temps d'infecter votre machine en vous faisant ouvrir un
fichier infect contenant le troyen et dans un second temps
d'accder votre machine par le port qu'il a ouvert.
Toutefois pour pouvoir s'infiltrer sur votre machine, le pirate
doit gnralement en connatre l'adresse IP. Ainsi :
soit vous avez une adresse IP fixe (cas d'une entreprise ou bien parfois de particuliers connect par cble, ...) auquel l'adresse IP peut tre facilement rcupre;
soit votre adresse IP est dynamique (affecte chaque connexion), c'est le cas pour les connexions par modem; auquel cas le pirate doit scanner des adresses IP au hasard afin de dceler les adresses IP correspondant des machines infectes.
4.3. Se protger contre les troyens
Pour se protger de ce genre d'intrusion, il suffit d'installer
un firewall, c'est--dire un programme filtrant les communications
entrant et sortant de votre machine.
Elabor par J.Alaoui page 36/36 Scurit des rseaux
Un firewall (littralement pare-feu) permet ainsi d'une part
de voir les communications sortant de votre machines (donc
normalement inities par des programmes que vous utilisez) ou
bien les communications entrant. Toutefois, il n'est pas exclu que
le firewall dtecte des connexions provenant de l'extrieur sans
pour autant que vous ne soyez la victime choisie d'un hacker. En
effet il peut s'agir de tests effectus par votre fournisseur d'accs
ou bien un hacker scannant au hasard une plage d'adresses IP.
Pour les systmes de type Windows, il existe des firewalls
gratuits trs performant :
ZoneAlarm Tiny personal firewall
4.4. En cas d'infection
Si un programme dont l'origine vous est inconnue essaye
d'ouvrir une connexion, le firewall vous demandera une
confirmation pour initier la connexion.
Il est essentiel de ne pas autoriser la connexion aux
programmes que vous ne connaissez pas, car il peut trs bien
s'agir d'un cheval de Troie.
5. Les bombes logiques
Sont appels bombes logiques les dispositifs programms
dont le dclenchement s'effectue un moment dtermin en
exploitant la date du systme, le lancement d'une commande, ou
n'importe quel appel au systme.
Ainsi ce type de virus est capable de s'activer un moment
prcis sur un grand nombre de machines (on parle alors de
bombe retardement ou de bombe temporelle), par exemple le
jour de la Saint Valentin, ou la date anniversaire d'un vnement
majeur : la bombe logique Tchernobyl s'est active le 26 avril
1999, jour du 13me anniversaire de la catastrophe nuclaire ...
Elabor par J.Alaoui page 37/37 Scurit des rseaux
Les bombes logiques sont gnralement utilises dans le
but de crer un dni de service en saturant les connexions rseau
d'un site, d'un service en ligne ou d'une entreprise !
6. Exemples de virus 6.1. Le Sircam
Le virus Sircam (nom de code W32.Sircam.Worm@mm,
Backdoor.SirCam ou Troj_Sircam.a) est un ver se propageant
l'aide du courrier lectronique. Il affecte particulirement les
utilisateurs de Microsoft Outlook sous les systmes d'exploitation
Windows 95, 98, Millenium et 2000.
6.1.1. Les actions du virus
Le ver Sircam choisit alatoirement un document
(d'extension .gif, .jpg, .mpg, .jpeg, .mpeg, .mov, .pdf, .png, .ps
ou .zip) se trouvant dans le rpertoire c:\Mes Documents\ de
l'ordinateur infect, puis envoie automatiquement un courrier
lectronique dont le sujet est le nom de ce document, dont le
corps du message est un des deux messages suivants :
En anglais "Hi! How are you? I send you this file in order to have your advice
See you later. Thanks" "Hi! How are you? I hope you can help me with this file that I send See you later. Thanks" "Hi! How are you? I hope you like the file that I send to you See you later. Thanks"
Elabor par J.Alaoui page 38/38 Scurit des rseaux
Le virus Sircam adjoint au message une copie de lui-mme
dont le nom est celui du fichier rcupr sur le disque de
l'utilisateur avec la double extension .vbs.
Le ver Sircam risque en outre de supprimer l'intgralit des
fichiers de votre disque dur le 16 octobre de chaque anne si
votre ordinateur utilise un format de date l'europenne
(jour/mois/anne).
Sircam ajoute galement du texte au fichier
c:\recycled\sircam.sys lors de chaque redmarrage de la
machine, ce qui risque potentiellement de saturer l'espace
disponible sur le lecteur C:\.
6.1.2. Symptmes de l'infection
Les machines infectes possdent sur leur disque les
fichiers :
Sirc32.exe Sircam.sys Run32.exe
Pour vrifier si vous tes infects, procdez une recherche
des fichiers cits ci-dessus sur l'ensemble de vos disques durs
(Dmarrer / Rechercher / Fichiers ou Dossiers).
6.2. Le virus Magistr
Le virus Magistr (nom de code W32/Magistr.b@MM, I-
Worm.Magistr.b.poly ou PE_MAGISTR.B) est un ver polymorphe
(c'est--dire un ver dont la forme, ou plus exactement la
signature, se modifie continuellement) se propageant l'aide du
courrier lectronique. Il s'agit d'une variante du ver Disemboweler
(Magistr.A) affectant particulirement les utilisateurs de client de
messagerie Microsoft Outlook, Eudora ou Netscape sous les
systmes d'exploitation Windows 95, 98, Millenium et 2000.
Elabor par J.Alaoui page 39/39 Scurit des rseaux
6.2.1. Les actions du virus
Le virus Magistr.B recherche les fichiers de carnet
d'adresses prsents sur le systme (respectivement d'extensions
.WAB et .DBX/.MBX pour les clients Outlook et Eudora), afin de
slectionner les destinataires du message.
Le sujet et le corps du message envoy par le ver Magistr
sont choisis alatoirement en prenant un extrait de fichier trouv
sur le disque de l'ordinateur infect.
Le virus Magistr adjoint au message une copie de lui-mme
dont le nom contient une extension (ou une double extension) du
type .com, .bat, .pif, .exe ou .vbs.
Le ver Magistr risque en outre de supprimer l'intgralit des
informations contenues dans :
Le CMOS le BIOS Le disque dur
Le virus Magistr.B peut ainsi gravement endommager votre
systme et les informations s'y trouvant.
De plus, le virus Magistr.B est capable de dsactiver le
Firewal personnel ZoneAlarm l'aide de la commande WM_QUIT.
6.2.2. Symptmes de l'infection
Les machines infectes possdent la particularit suivante :
Un dplacement du pointeur de la souris sur le bureau provoque
un dplacement des icnes.
6.3. Le ver Nimba
Le virus Nimda (nom de code W32/Nimda est un ver se
propageant l'aide du courrier lectronique, mais il exploite
galement 4 autres modes de propagation :
Elabor par J.Alaoui page 40/40 Scurit des rseaux
Le web Les rpertoires partags Les failles de serveur Microsoft IIS Les changes de fichiers
Il affecte particulirement les utilisateurs de Microsoft
Outlook sous les systmes d'exploitation Windows 95, 98,
Millenium, NT4 et 2000.
Le ver Nimda rcupre la liste des adresses prsentes dans
les carnets d'adresses de Microsoft Outlook et Eudora, ainsi que
les adresses e-mails contenues dans les fichiers HTML prsents
sur le disque de la machine infecte.
Puis le virus Nimda envoie tous les destinataires un
courrier dont le corps est vide, dont le sujet est alatoire et
souvent trs long et attache au courrier une pice jointe nomme
Readme.exe ou Readme.eml (fichier encapsulant un fichier
excutable). Les virus utilisant une extension du type .eml
exploitent une faille de Microsoft Internet Explorer 5.
D'autre part le virus Nimda est capable de se propager
travers les rpertoires partags des rseaux Microsoft Windows
en infectant les fichiers excutables s'y trouvant.
La consultation de pages Web sur des serveurs infects par
le virus Nimda peut entraner une infection lorsqu'un utilisateur
consulte ces pages avec un navigateur Microsoft Internet Explorer
5 vulnrable.
En effet, le virus Nimda est galement capable de prendre
la main sur un serveur Web Microsoft IIS (Internet Information
Server) en exploitant certaines failles de scurit.
Enfin, le virus infecte les fichiers excutables prsents sur la
machine infecte, ce qui signifie qu'il est galement capable de se
propager par change de fichiers.
6.3.1. Symptmes de l'infection
Elabor par J.Alaoui page 41/41 Scurit des rseaux
Les postes de travail infects par le ver Nimda possdent
sur leur disque les fichiers suivants :
README.EXE README.EML fichiers comportant l'extension .NWS fichiers dont le nom est du type mep*.tmp, mep*.tmp.exe
(par exemple mepE002.tmp.exe)
Pour vrifier si vous tes infects, procdez une recherche
des fichiers cits ci-dessus sur l'ensemble de vos disques durs
(Dmarrer / Rechercher / Fichiers ou Dossiers).
6.4. Le virus BadTrans
Le virus BadTrans (nom de code W32.BadTrans.B ou
W32/Badtrans-B) est un ver se propageant l'aide du courrier
lectronique. Il exploite galement un autre mode de propagation
:
Les failles de Microsoft Internet Explorer
Le virus BadTrans.B affecte particulirement les
utilisateurs de Microsoft Outlook sous les systmes
d'exploitation Windows 95, 98, Millenium, NT4 et 2000,
dans la mesure o le virus s'active par simple consultation
du message (c'est--dire mme si l'utilisateur ne clique
pas sur la pice jointe).
6.4.1. Les actions du virus
Elabor par J.Alaoui page 42/42 Scurit des rseaux
Le ver BadTrans rcupre la liste des adresses prsentes
dans les carnets d'adresses de l'utilisateur infect, ainsi que dans
les pages web contenues dans les dossiers de cache Internet et
dans le rpertoire Mes Documents.
Puis le virus BadTrans envoie tous les destinataires un
courrier:
dont le corps est vide, ou comportant la phrase Take a look to the attachment.
dont le sujet est Re: dont la pice jointe possde un nom compos de trois parties
o Premire partie: un des textes suivants : ! CARD ! DOCS ! FUN ! HAMSTER NEWS_DOC ! HUMOR ! IMAGES ! ME_NUDE ! New_Napster_Site ! News_doc ! PICS ! README ! S3MSONG ! SEARCHURL ! SETUP ! Sorry_about_yesterday ! YOU_ARE_FAT!
o Seconde partie: une des extensions suivantes : ! .DOC ! .MP3 ! .ZIP
o Troisime et dernire partie : une des extensions suivantes : ! .pif ! .scr
Ainsi, le message contiendra une pice jointe du type :
Me_Nude.MP3.scr News_doc.DOC.scr HAMSTER.DOC.pif PICS.doc.scr HUMOR.MP3.scr
Elabor par J.Alaoui page 43/43 Scurit des rseaux
README.MP3.scr FUN.MP3.pif YOU_are_FAT!.MP3.scr ...
6.4.2. Symptmes de l'infection
Les postes de travail infects par le ver BadTrans possdent
sur leur disque le fichier suivant :
kdll.dll, ce dernier est un cheval de Troie capable d'enregistrer les frappes sur le clavier afin de rcuprer vos mots de passe
Pour vrifier si vous tes infects, procdez une recherche
des fichiers cits ci-dessus sur l'ensemble de vos disques durs
(Dmarrer / Rechercher / Fichiers ou Dossiers).
6.5. Le virus LovSan
Apparu durant l't 2003, le virus LovSan (connu
galement sous les noms W32/Lovsan.worm,
W32/Lovsan.worm.b, W32.Blaster.Worm, W32/Blaster-B,
WORM_MSBLAST.A, MSBLASTER, Win32.Poza, Win32.Posa.Worm,
Win32.Poza.B) est le premier virus a exploiter la faille RPC/DCOM
(Remote Procedure Call, soit en franais appel de procdure
distante) des systmes Microsoft Windows permettant des
processus distants de communiquer. En exploitant la faille grce
un dbordement de tampon, un programme malveillant (tel que
le virus LovSan) peut prendre le contrle de la machine
vulnrable. Les systmes affects sont les systmes Windows NT
4.0, 2000, XP et Windows Server 2003.
6.5.1. Les actions du virus
Le ver LovSan / Blaster est programm de telle faon
scanner une plage d'adresses IP alatoire la recherche de
systmes vulnrables la faille RPC sur le port 135.
Elabor par J.Alaoui page 44/44 Scurit des rseaux
Lorsqu'une machine vulnrable est trouve, le ver ouvre un
shell distant sur le port TCP 4444, et force la machine distante
tlcharger une copie du ver dans le rpertoire
%WinDir%\system32 en lanant une commande TFTP (port 69
UDP) pour transfrer le fichier partir de la machine infecte.
Une fois le fichier tlcharg, il est excut, puis il cre des
entres dans la base de registre afin de se relancer
automatiquement chaque redmarrage :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
6.5.2. Symptmes de l'infection
L'exploitation de la vulnrabilit RPC provoque un certain
nombre de dysfonctionnements sur les systmes affects, lis la
dsactivation du service RPC (processus svchost.exe / rpcss.exe).
Les systmes vulnrables prsentent les symptmes
suivants :
Copier/Coller dfectueux ou impossible Ouverture d'un lien hypertexte dans une nouvelle fentre
impossible Dplacement d'icones impossibles fonction recherche de fichier de windows erratique fermeture du port 135/TCP Redmarrage de Windows XP : le systme est sans cesse
relanc par AUTORITE NT/system avec le(s) message(s) suivant(s) :
Windows doit maintenant redmarrer car le service appel de procdure distante (RPC) s'est termin de faon inattendue arrt du systme dans 60 secondes veuillez enregistrer tous les travaux en cours cet arrt a t initi par AUTORITE NT\SYSTEM
Windows doit maintenant dmarrer
Elabor par J.Alaoui page 45/45 Scurit des rseaux
6.6. L'espionnage du rseau 6.6.1. Vulnrabilits des rseaux diffusion
Les rseaux diffusion, comme Ethernet, utilisent un seul
support de communication pour tous les noeuds du rseau. Sur le
bus Ethernet, toute trame mise est reue par toutes les cartes
rseaux. Seule la carte qui reconnat son adresse dans dans le
champ destination de l'en-tte de la trame transmet le contenu la
couche protocole. Dans le cas d'Ethernet 10BaseT (topologie toile),
les trames sont mises en diffusion par le concentrateur, de faon
simuler le bus partag.
En gnral, des informations peuvent tre rcupres par simple
coute. Des protocoles tels que telnet, POP3, HTTP et FTP
transfrent encore des mots de passe en clair.
6.6.2. Exploitation
L'espionnage du rseau ncessite d'une part un accs au rseau et
un outil d'analyse du trafic
6.6.3. Prise de contrle d'un poste utilisateur
Ceci est plus ou moins facile selon les systmes d'exploitation.
Les systmes Microsoft Windows acceptent, en configuration
standard, uniquement des commandes "console". Il est ncessaire
d'avoir un accs physique la station.
Elabor par J.Alaoui page 46/46 Scurit des rseaux
Les systmes UNIX acceptent des commandes "console" et
des commandes distantes (Telnet, RLOGIN...). Il peut tre possible
de prendre le contrle distance, mme sur un autre rseau. C'est
une menace interne et externe.
6.6.4. Connexion physique sur le rseau
L'intrus connecte son propre quipement, un ordinateur
portable, sur le rseau. C'est particulirement facile sur les rseaux
Ethernet 10Base5 et 10Base2, qui utilise une topologie bus base
de cble coaxial. Un connecteur type Vampire dans le premier cas,
ou un T et un cble coaxial dans le deuxime cas suffisent
amplement.
Pour les rseaux Ethernet 10BaseT, il suffit d'un cble en
paires torsades, branch soit directement sur un concentrateur,
soit sur une prise murale. La connexion ncessite un accs physique
et local au rseau. C'est une menace interne.
6.6.5. Outils d'analyse du trafic
Les outils d'analyse du trafic (sniffers) permettent d'couter et
d'enregistrer le trafic rseau. Sur les rseaux diffusion, tout le
trafic peut ainsi tre analys. Ce sont des outils d'administration,
qui peuvent toutefois tre utiliss des fins peu scrupuleuses.
Ils utilisent un mode de fonctionnement particulier des cartes
rseaux, appel le mode Promiscuous. En principe une carte rseau
ne transfre aux protocoles que le contenu des trames qui lui sont
destines (soit par son adresse physique, soit par une adresse
multicast ou broadcast). En mode promiscuous, la carte rseau
transfre toutes les trames vers l'outil d'analyse.
Elabor par J.Alaoui page 47/47 Scurit des rseaux
Il existe de nombreux sniffers fonctionnant sur diffrents systmes.
On utilisera titre de dmonstration le logiciel GOBBLER sous MS-
DOS.
L'espionnage d'un rseau permet de rcuprer des informations telles que :
les comptes et les mots de passe non chiffrs les adresses physiques et logiques des noeuds les caractristiques et configuration de certains
quipements. les donnes
L'espionnage du rseau peut se limiter la rcupration des
informations, mais c'est aussi une tape pralable pour mener une
attaque plus consquente partir des informations recueillies.
6.6.6. Dtection
Lorsqu'une station se contente d'couter sans rien mettre, il
est impossible de dtecter une carte qui fonctionne en mode
Promiscuous. La seule solution consiste parcourir le rseau et
vrifier les connexions de toutes les stations.
Sur certains systmes Unix toutefois, la commande ifconfig -a
permet de lister les interfaces et leur tat. Une connexion Telnet sur
Elabor par J.Alaoui page 48/48 Scurit des rseaux
une station peut aider dtecter un fonctionnement en mode
Promiscuous.
6.6.7. Solutions et recommandations
Contre les intrusions internes, on pourra :
! ne pas brasser les prises non utilises.
! dsactiver les ports non utiliss
! utiliser des quipements actifs dots de fonctions de
dtection d'intrusion (DUD ou blocage de port sur
dconnexion)
! mettre en place des contrle d'accs aux postes du
rseau (ouverture de session avec mot de passe, ...)
! utiliser des cartes rseaux ne supportant pas le mode
promiscuous.
! utiliser des systmes d'exploitation ne supportant pas
le mode promiscuous (certains noyaux peuvent tre
recompils sans le support de ce mode).
Contre les intrusions externes, on pourra:
! contrler les accs externes l'aide d'un routeur
filtrant
! mettre en place des contrle d'accs aux postes du
rseau (ouverture de session avec mot de passe, ...)
! dsactiver les services de prise de contrle distance
non utiliss.
Contre l'espionnage du rseau, on pourra :
! utiliser des quipements actifs quips de fonctions de
brouillage (NTK)
Elabor par J.Alaoui page 49/49 Scurit des rseaux
! segmenter le trafic l'aide de ponts et de
commutateurs
! constituer des rseaux virtuels isols l'aide de VLAN
! utiliser des protocoles scuriss (IPSec, SSH, SSL ..).
7. Mesures techniques 7.1. Le concentrateur scuris
Un concentrateur Ethernet rpte le signal sur tous les ports.
C'est pourquoi il est possible de capturer tout le trafic d'un rseau
en se connectant sur un seul port.
Avant l'arrive des commutateurs, les constructeurs ont mis en
oeuvre des solutions de scurisation sur les concentrateurs. On
retrouve quatre techniques
! la dsactivation des ports non utiliss
! le brouillage de trame (appel NTK, Need to Know)
! le contrle d'adresse avec blocage de port (appel DUD,
Disconnect Unauthorized Device)
! le contrle de la dconnexion
7.1.1. La dsactivation des ports non utiliss
La plupart des concentrateurs administrables disposent de la
possibilit de dsactiver les ports non utiliss. Cette solution n'est
pourtant pas aussi efficace que le non-brassage, mais peut tre
utile de faon temporaire, contre les connexions pirates.
7.1.2. Le brouillage de trame
Lorsque la trame ethernet est reu au niveau du
concentrateur, celui analyse l'en-tte et rcupre l'adresse
destination de la trame. En fonction de sa table d'adresse, il redirige
la trame sur le port destinataire.
Elabor par J.Alaoui page 50/50 Scurit des rseaux
Toutefois, pour que le fonctionnement en diffusion ne soit pas
remis en cause, il rmet une trame brouille sur les autres ports,
de faon prvenir les stations de l'occupation du rseau Ethernet.
Le brouillage de trame est trs efficace contre l'coute, mais n'est
valable que sur les topologies toiles. Un bus connect sur un port
ne pouvant pas tre brouill.
7.1.3. Le contrle d'adresse
Le contrle d'adresse utilise la table d'adresses MAC et les
correspondances avec les ports pour dtecter le changement d'une
adresse et la possibilit d'une intrusion. Lorsqu'une trame Ethernet,
le concentrateur rcupre l'adresse source et la compare avec celle
stocke dans la table pour le port correspondant.
En cas de changement d'adresse, le concentrateur peut
! soit bloquer le port, et plus aucune trame ne sera
accepte ni diffuse sur ce port.
! soit enregistrer l'vnement dans un fichier journal
! soit mettre une alarme SNMP vers une plate-forme
d'administration.
Le contrle d'adresse est assez efficace contre les connexions
en place d'une station existante. Il peut toutefois tre mis en chec
par une falsification de l'adresse source des trames. Dans ce cas, on
peut lui associer le contrle de dconnexion.
Souvent, le contrle d'adresse augmente considrablement la
charge d'administration. L'administrateur doit saisir les adresses des
stations sur le concentrateur et tout dmnagement ncessite une
reconfiguration de l'quipement.
7.1.4. Rappel sur les adresses MAC 7.1.4.1. Dfinition
Elabor par J.Alaoui page 51/51 Scurit des rseaux
Afin de pouvoir tre dsign comme destinataire
d'informations, tout nud d'un rseau doit avoir au moins une
adresse.
Une adresse est un nombre binaire qui peut s'crire sur un nombre
variable d'octets suivant les protocoles.
Les adresses MAC s'crivent sur 6 octets ( voir plus bas).
Dans ce contexte, MAC signifie "Medium Access Card" :
carte d'accs au mdium de transmission.
C'est, en effet une adresse lie la carte d'accs matriel au
rseau. Elle est "inscrite" sur cette carte, gnralement mmorise
dans une ROM ou EPROM.
7.1.4.2. Pourquoi une adresse lie la carte d'interface ?
On sait, ou on ne sait pas, tout dpend de votre avancement
dans l'tude des rseaux, que la couche 3 de l'OSI, couche
"Rseau" a vocation de grer l'adressage des stations sur un
rseau. Or, les adresses MAC sont dfinies au niveau 1 Physique
(on les appelle aussi "adresses physiques") et manipules au niveau
MAC intermdiaire entre les couches 1 et 2.
En fait, les adresses MAC et les adresses de niveau 3
(adresses IP par exemple) semblent faire double emploi.
En fait, les adresses MAC ont l'avantage d'tre dcodes trs
rapidement :
! les dcodeurs se trouvent immdiatement l'entre
des cartes rseau
et reoivent la trame les premiers
! ce sont des dcodeurs de logique combinatoire &
squentielle donc environ
1000 fois plus rapides que de la logique programme
Elabor par J.Alaoui page 52/52 Scurit des rseaux
! les adresses MAC se trouvent en tte de trame (on
n'attend pas longtemps les dcouvrir)
Les adresses de niveau 3 ont les inconvnients suivants :