Rapport Final

Université Hassan II Mohammedia Faculté culté des Sciences Ben M’SIK M’SIK Département de physique Laboratoire de traitement d’information PROJET DE FIN D’ETUDES D’ETUD : POUR L’OBTENTION DU DIPLOME : LICENCE FONDAMENTALE EN ELECTRONIQUE IQUE ET INFORMATIQUE INDUSTRIELLE SUJET : ETUDE DE LA SECURITE AU NIVEAU DES PERIPH PERIPHERIQUES RESEAUX X ET AU NIVEAU D’UN RESEAU INFORMATIQUE Par:

Hajar AHARCHI Zakariaa SBAI Soukaina AMHIL

Encadré par : Orienté par :

Dr. TALEA Mohamed Mr. BAHNASSE Ayoub Membres de jury : Président : Encadrant : Examinant :

2013/2014

Page 1

Dédicaces Au Grand Dieu pour sa grâce infinie.

A nos très chers parents, Nul mot ne peut exprimer notre amour et nos sentiments envers vous. Puisse ce travail être l’expression de notre profonde gratitude et de notre reconnaissance de vos nobles sacrifices et abnégations inédites. Nous demandons à Dieu de vous procurer santé, bonheur et longue vie.

A nos chers frères et chères sœurs, Vous nous avez toujours encouragé, aidé et servi avec dévouement. Nous ne saurions vous exprimer par ces mots notre amour, notre attachement et notre affection.

A toutes nos familles, Pour leurs prières et leurs encouragements, qu’ils trouvent ici l’’expression de nos sentiments les plus dévoués et nos vœux les plus sincères.

A nos professeurs, S’il y a vraiment quelqu’un à remercier, ce sera vous. Merci pour vos efforts.

A tous nos amis et amies, Nous vous souhaitons une vie pleine de joie et de réussite, on vous aime énormément.

A notre encadrant, Nous vous remercions pour tout moment consacré pour nous aider.

2013/2014

Page 2

Remerciements « Il n’y a pas de bon travail sans l’assistance de bons esprits » Il nous est agréable de nous acquitter d’une dette de reconnaissance auprès de toutes les personnes, dont l’intervention au cours de ce projet, a favorisé son aboutissement. Ainsi, nous tenons à adresser nos profondes reconnaissances à Monsieur Mohamed TALEA, qui a bien voulu nous accueillir au sein de son laboratoire et nous faire bénéficier de la compétence de ses étudiants. Nos plus sincères remerciements vont à Mr. BAHNASSE, pour tout le temps qu’il nous a consacré. Son accueil et sa confiance qu’il nous a accordé, nous ont permis de travailler dans des conditions satisfaisantes. Que messieurs les membres du jury trouvent ici l’expression de notre reconnaissance pour avoir accepté d’évaluer mon travail. A la fin, nous remercions toutes nos familles pour leurs encouragements tout au long de nos études. En un mot comme en cent : Merci…

2013/2014

Page 3

Table des Matières : INTRODUCTION ....................................................................................................................................... 5 CHAPITRE I : GENERALITES SUR LES RESEAUX INFORMATIQUES ET LEURS SECURITE............................ 6 I-1 Généralités sur les réseaux informatiques..................................................................................... 6 I-2 Généralités sur la sécurité informatique........................................................................................ 8 I-2-1 Objectifs de la sécurité informatique ..................................................................................... 8 I-2-2 Nécessité d'une approche globale .......................................................................................... 9 I-2-3 Mise en place d'une politique de sécurité ............................................................................ 10 I-2-4 Les causes de l'insécurité ...................................................................................................... 11 CHAPITRE II: LA SECURITE DES EQUIPEMENTS D’UN RESEAU INFORMATIQUE.................................... 12 II-1 Un Ordinateur ............................................................................................................................. 12 II-2 Un Routeur .................................................................................................................................. 12 II-3 Un Switch .................................................................................................................................... 13 II-4 Un Modem .................................................................................................................................. 13 II-5 Une Caméra ................................................................................................................................. 13 II-6 Une imprimante .......................................................................................................................... 13 II-7 Un point d’accès .......................................................................................................................... 14 CHAPITRE III : LA SECURITE D’UN RESEAU INFORMATIQUE.................................................................. 16 III-1 La sécurité physique ................................................................................................................... 16 III-1-1 Caméra IP ............................................................................................................................ 17 III-1-2 Serrures électroniques ........................................................................................................ 19 III-1-3 L’UPS ................................................................................................................................... 20 III-1-4 Planification d’une salle ...................................................................................................... 22 III-2 La sécurité logique ..................................................................................................................... 23 III-2-1 Firewall ................................................................................................................................ 23 III-2-2 L’Authentification................................................................................................................ 27 III-2-3 Protection des équipements CISCO .................................................................................... 34 Conclusion ............................................................................................................................................. 46 BIBLIOGRAPHIE ...................................................................................................................................... 47

2013/2014

Page 4

INTRODUCTION

Avec le développement de l'utilisation d'internet, de plus en plus d'entreprises ouvrent leur système d'information à leurs partenaires ou leurs fournisseurs, il est donc essentiel de connaître les ressources de l'entreprise à protéger et de maîtriser le contrôle d'accès et les droits des utilisateurs du système d'information. Il en va de même lors de l'ouverture de l'accès de l'entreprise sur internet. Tous les domaines de l'informatique sont concernés par la sécurité d'un système d'information, en fonction de son domaine d'application, la sécurité informatique se décline en : 

Sécurité physique



Sécurité de l'exploitation



Sécurité logique



Sécurité applicative



Sécurité des télécommunications

Dans ce travail, nous allons étudier la sécurité sur les différents périphériques d’un réseau informatique, ainsi sur un réseau informatique en global. Notre mémoire sera présentée en trois chapitres : Dans le premier chapitre on va étudier les généralités du réseau informatique et de la sécurité informatique. Dans le deuxième chapitre on va étudier la sécurité sur les différents périphériques d’un réseau informatique. Dans le troisième chapitre on va étudier la sécurité physique et logique d’un réseau informatique.

2013/2014

Page 5

CHAPITRE I : GENERALITES SUR LES RESEAUX INFORMATIQUES ET LEURS SECURITE

I-1 Généralités sur les réseaux informatiques L’évolution technologique de ces quinze dernières années a conduit à la possibilité de construire des systèmes informatiques de plus en plus sophistiqués et de moins en moins encombrants. Pour permettre d’équiper le maximum de points d’utilisation et constituer, pour tout employé d’une entreprise, d’une administration, et donc d’un établissement d’enseignement, l’outil indispensable améliorant son efficacité et par suite sa productivité. Ces nouveaux systèmes offrent de nombreuses et précieuses possibilités, ils résolvent des problèmes de gestion, aident à saisir et à mettre en forme des textes, gèrent les emplois du temps de leurs utilisateurs, stockent localement des informations textuelles, graphiques ou numériques, vocales dans des fichiers, d’où ils permettent de les extraire pour les retraiter, les afficher, les imprimer ou les transmettre vers un autre système ou utilisateur. Une génération de produits informatiques nouveaux est apparue: les systèmes bureautiques, sortes d’ordinateurs individuels à usages multiples. Ces nouveaux systèmes sont destinés aux secrétaires, employés, cadres, enseignants, ingénieurs, etc. Pour prendre en charge de façon totalement automatisée, l’essentiel de leur activité quotidienne. Cette nouvelle situation est marquée par deux faits majeurs, résultat d’un progrès technologique continu : 

Les systèmes bureautiques sont conçus pour des utilisateurs non informaticiens.



Ces systèmes ne sauraient être isolés. Leur conception même est basée sur leur habileté à fonctionner dans un environnement de systèmes plus large pour communiquer et partager des ressources communes.

Partant du principe que 90% des informations échangées dans une entreprise le sont dans un périmètre de quelques dizaines de mètres, l’informatique a très tôt cherché à calquer ses infrastructures sur cette géographie des communications. Le concept de réseau local est en fait assez ancien, né dans les années 70 avec l’arrivée des mini-ordinateurs et recouvre un grand foisonnement de techniques, de normes et d’applications. Pourtant c’est à la fin des années 80, avec l’arrivée massive des micro-ordinateurs, que le réseau local a affirmé sa vocation, et aujourd’hui, l’expression est employée en général avec une connotation micro-informatique et bureautique. Même si beaucoup de réseaux locaux sont utilisés pour de toutes autres tâches, cette connotation « micro » n’a pas

2013/2014

Page 6

desservi le concept: au contraire, elle en a fait ce qu’il est aujourd’hui, une ressource essentielle de nombreux systèmes d’informations et finalement le mode majeur de l’informatisation aujourd’hui. Pour le définir, on pourrait dire que le réseau local, encore appelé RLE (Réseau Local d’Entreprise) ou LAN (Local Area Network), est une infrastructure de communications reliant des équipements informatiques et permettant de partager des ressources communes dans un aire géographique limitée à quelques centaines de mètres. En réalité, cette référence géographique perd une grande partie de son sens lorsque l’on constate qu’une ressource essentielle que permet de partager un réseau local est précisément constituée par les communications ! Qu’il s’agisse de partager un accès à des ressources éloignées, ou d’atteindre, à travers le réseau local, d’autres réseaux locaux, le réseau local s’avère finalement tout, sauf local Et la frontière entre LAN (Local Area Network), MAN (Metropolitain Area Network) et WAN (Wide Area Network) se fait de plus en plus floue. De plus, alors que les premières générations se justifiaient par la nécessité de partager des ressources chères (disques durs, imprimantes.), la baisse du prix de ces ressources lui a donné une vocation beaucoup plus ambitieuse et difficile, celle d’être le support d’un vrai système d’information, local et/ou étendu. Comme tel, ce n’est plus un outil « neutre », c’est une véritable organisation du travail. L’objectif d’un réseau local dans une entreprise (et donc dans un établissement d’enseignement) est de répondre à un certain nombre de questions spécifiques aux équipements à interconnecter et aux applications à supporter. C’est pourquoi la technique de réseaux locaux offre plusieurs solutions devant normalement être adaptées tout particulièrement à tel ou tel type d’ordinateurs et de systèmes informatiques, à tel ou tel volume d’informations à échanger, et à telle ou telle vitesse à utiliser Les problèmes de performance interviennent également de façon déterminante dans la conception et le choix du type de réseau local à installer. C’est pour cette raison qu’il est nécessaire que les utilisateurs soient informés des choix et solutions possibles afin de mieux adapter leurs installations à leurs contraintes budgétaires. Les réseaux locaux sont donc des infrastructures complexes, et plus seulement des câbles entre stations de travail. Et si l’on énumère la liste des composants d’un réseau local, on sera peut-être surpris d’en trouver une quantité plus grande que prévue: 

Le câblage constitue l’infrastructure physique, avec le choix entre paire téléphonique, câble coaxial et fibre optique.



La méthode d’accès décrit la façon dont le réseau arbitre les communications des différentes stations sur le câble : ordre, temps de parole, organisation des messages. Elle dépend étroitement de la « topologie » et donc de l’organisation spatiale des stations les unes par rapport aux autres. La méthode d’accès est essentiellement matérialisée dans les cartes d’interfaces, qui connectent les stations au câble.



Les protocoles de réseaux sont des logiciels qui « tournent » à la fois sur les différentes stations et leurs cartes d’interfaces réseaux.



Le système d’exploitation du réseau (ou NOS pour Network Operating System), souvent nommé « gestionnaire du réseau », réside dans les différentes stations du réseau local. Il

2013/2014

Page 7

fournit une interface entre les applications de l’utilisateur et les fonctions du réseau local auxquelles il fait appel par des demandes à travers la carte d’interface. 

Le ou les es serveurs de fichiers stockent et distribuent les fichiers de programmes ou les données partageables par les utilisateurs du réseau local. Il résulte d’une combinaison de matériel et de logiciel qui peut être spécifique.



Le système de sauvegarde est un élément élément indispensable qui fonctionne de diverses manières, soit en recopiant systématiquement tous les fichiers du ou des serveurs, soit en faisant des sauvegardes régulières, éventuellement automatisées.



Les ponts, les routeurs et les passerelles constituent constituent les moyens de communication qui permettent à un de ses utilisateurs de « sortir » du réseau local pour atteindre d’autres réseaux locaux ou des serveurs distants.



Le système de gestion envoie les alarmes en cas d’incidents, comptabilise le trafic, mémor mémorise l’activité du réseau, et aide l’administrateur à prévoir l’évolution de son réseau.

I-2 Généralités sur la sécurité informatique Le risque en termes de sécurité est généralement caractérisé par l'équation suivante :

La menace représente le type d'action susceptible de nuire dans l'absolu, tandis que la vulnérabilité, appelée parfois faille ou brèche représente le niveau d'exposition face à la menace dans un contexte particulier. Enfin la contre-mesure mesure est l'ensemble des actions mises en œuvre en prévention de la menace. Les contre-mesures mesures à mettre en œuvre ne sont pas uniquement des solutions techniques mais également des mesures de formation et de sensibilisation à l'intention des utilisateurs, ainsi qu'un ensemble de règles clairement définies. Afin de pouvoir sécuriser un système, il est nécessaire d'identifier les menaces potentielles, et donc de connaître et de prévoir la façon de procéder de l'ennemi. Le but de ce dossier est ainsi de donner un aperçu des motivations éventuelles des pirates, pirates, de catégoriser ces derniers, et enfin de donner une idée de leur façon de procéder afin de mieux comprendre comment il est possible de limiter les risques d'intrusions.

I-2-1 Objectifs de la sécurité informatique Le système d'information est généralement défini par l'ensemble l'ensemble des données et des ressources matérielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Le système d'information représente un patrimoine essentiel de l'entreprise, qu'il convient de p protéger. La sécurité informatique,, d'une manière générale, consiste à assurer que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu.

2013/2014

Page 8

La sécurité informatique vise généralement cinq principaux objectifs : 

L'intégrité, c'est-à-dire garantir que les données sont bien celles que l'on croit être.



La confidentialité, consistant à assurer que seules les personnes autorisées aient accès aux



ressources échangées. La disponibilité, permettant de maintenir le bon fonctionnement du système d'information.



La non-répudiation, permettant de garantir qu'une transaction ne peut être niée.



L'authentification, consistant à assurer que seules les personnes autorisées aient accès aux ressources.

I-2-1-1 L'intégrité Vérifier l'intégrité des données consiste à déterminer si les données n'ont pas été altérées durant la communication (de manière fortuite ou intentionnelle).

I-2-1-2 La confidentialité La confidentialité consiste à rendre l'information inintelligible à d'autres personnes que les seuls acteurs de la transaction.

I-2-1-3 La disponibilité L'objectif de la disponibilité est de garantir l'accès à un service ou à des ressources.

I-2-1-4 La non-répudiation La non-répudiation de l'information est la garantie qu'aucun des correspondants ne pourra nier la transaction.

I-2-1-5 L'authentification L'authentification consiste à assurer l'identité d'un utilisateur, c'est-à-dire de garantir à chacun des correspondants que son partenaire est bien celui qu'il croit être. Un contrôle d'accès peut permettre (par exemple par le moyen d'un mot de passe qui devra être crypté) l'accès à des ressources uniquement aux personnes autorisées.

I-2-2 Nécessité d'une approche globale La sécurité d'un système informatique fait souvent l'objet de métaphores. En effet, on la compare régulièrement à une chaîne en expliquant que le niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus faible. Ainsi, une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue. Cela signifie que la sécurité doit être abordée dans un contexte global et notamment prendre en compte les aspects suivants : 

La sensibilisation des utilisateurs aux problèmes de sécurité.



La sécurité logique, c'est-à-dire la sécurité au niveau des données, notamment les données



de l'entreprise, les applications ou encore les systèmes d'exploitation. La sécurité des télécommunications : technologies réseau, serveurs de l'entreprise, réseaux d'accès, etc.



La sécurité physique, soit la sécurité au niveau des infrastructures matérielles : salles sécurisées, lieux ouverts au public, espaces communs de l'entreprise, postes de travail des personnels, etc.

2013/2014

Page 9

I-2-3 Mise en place d'une politique de sécurité La sécurité des systèmes informatiques se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système en mettant en place des mécanismes d'authentification et de contrôle permettant d'assurer que les utilisateurs des dites ressources possèdent uniquement les droits qui leur ont été octroyés. Les mécanismes de sécurité mis en place peuvent néanmoins provoquer une gêne au niveau des utilisateurs et les consignes et règles deviennent de plus en plus compliquées au fur et à mesure que le réseau s'étend. Ainsi, la sécurité informatique doit être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance. C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, dont la mise en œuvre se fait selon les quatre étapes suivantes : 

Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise et leurs éventuelles conséquences ;



Elaborer des règles et des procédures à mettre en œuvre dans les différents services de l'organisation pour les risques identifiés ;



Surveiller et détecter les vulnérabilités du système d'information et se tenir informé des failles sur les applications et matériels utilisés ;



Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une menace ;

La politique de sécurité est donc l'ensemble des orientations suivies par une organisation (à prendre au sens large) en termes de sécurité. A ce titre elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne tous les utilisateurs du système. A cet égard, il ne revient pas aux seuls administrateurs informatiques de définir les droits d'accès des utilisateurs mais aux responsables hiérarchiques de ces derniers. Le rôle de l'administrateur informatique est donc de s'assurer que les ressources informatiques et les droits d'accès à celles-ci sont en cohérence avec la politique de sécurité définie par l'organisation. De plus, étant donné qu'il est le seul à connaître parfaitement le système, il lui revient de faire remonter les informations concernant la sécurité à sa direction, éventuellement de conseiller les décideurs sur les stratégies à mettre en œuvre, ainsi que d'être le point d'entrée concernant la communication à destination des utilisateurs sur les problèmes et recommandations en terme de sécurité.

2013/2014

Page 10

La sécurité informatique de l'entreprise repose sur une bonne connaissance des règles par les employés, grâce à des actions de formation et de sensibilisation auprès des utilisateurs, mais elle doit aller au-delà et notamment couvrir les champs suivants : 

Un dispositif de sécurité physique et logique, adapté aux besoins de l'entreprise et aux usages des utilisateurs ;



Une procédure de management des mises à jour ;



Une stratégie de sauvegarde correctement planifiée ;



Un plan de reprise après incident ;



Un système documenté à jour ;

I-2-4 Les causes de l'insécurité On distingue généralement deux types d'insécurités : 

L'état actif d'insécurité, c'est-à-dire la non connaissance par l'utilisateur des fonctionnalités du système, dont certaines pouvant lui être nuisibles (par exemple le fait de ne pas désactiver



des services réseaux non nécessaires à l'utilisateur) L'état passif d'insécurité, c'est-à-dire la méconnaissance des moyens de sécurité mis en place, par exemple lorsque l'administrateur (ou l'utilisateur) d'un système ne connaît pas les dispositifs de sécurité dont il dispose.

2013/2014

Page 11

CHAPITRE II: LA SECURITE AU NIVEAU DES PERIPHERIQUES RESEAUX Un réseau informatique est un ensemble de machines interconnectées qui servent à échanger des flux d'information, généralement si vous connectez juste deux ordinateurs entre eux, on ne peut pas réellement appeler ça un réseau, vous avez vraiment besoin d'en avoir au moins trois pour avoir un réseau. En fait, les réseaux sont souvent reliés entre eux, pour en former de plus grands, chaque petit réseau peut être un élément d'un plus grand réseau, à part les ordinateurs, on peut rajouter à un réseau informatique d’autres équipements qu’on cite : Un routeur, un Switch, un pare-feu, un modem, une webcam, une imprimante et un point d’accès. Il existe de nombreux risques en sécurité des équipements informatique qui évoluent d'année en année, ce qui exige la sécurisation de ces équipements.

II-1 Un Ordinateur Pour un ordinateur, Lorsque vous vous éloignez de votre ordinateur, n'importe qui peut alors l'utiliser et

accéder

à

vos

données

voire

mettre

le

bazar

dans

vos

réglages

du

système.

Pour sécuriser l'accès à votre ordinateur, vous pouvez verrouiller votre session : votre mot de passe sera alors demandé pour pouvoir réactiver votre session et accéder à vos tâches ouvertes et aux logiciels en cours d'exécution. Vous pouvez également transformer une clé USB en cadenas grâce au logiciel gratuit Predator. Lorsque la clé est branchée, vous pouvez utiliser votre ordinateur normalement. Lorsque vous quittez votre

ordinateur

et

enlevez

la

clé,

l'ordinateur

devient

inutilisable.

L’écran devient noir, le clavier et la souris se bloquent et de fait, plus personne ne peut accéder à vos données. Pour décadenasser votre ordinateur, il vous suffit de rebrancher la clé USB.

II-2 Un Routeur Pour un routeur voici les étapes à se rappeler pour le sécuriser : 

Choisir un mot de passe associé au code « admin » assez complexe pour accéder au routeur.



Changer le SSID par défaut.



Désactiver le « SSID Broadcast ».



Changer le canal de communication « channel » par défaut.



Activer WEP avec une clé de 128 bits.



Changer le type d’authentification à « Shared Key ».



Si vous voyez WPA ou WPA2 dans vos choix de sécurité réseau, choisissez WPA2, car il est beaucoup plus sécuritaire que WEP.

2013/2014

Page 12

II-3 Un Switch On ce qui concerne le Switch on procédera les mêmes étapes de la sécurisation d’un routeur.

II-4 Un Modem En ce qui concerne le modem voici les étapes à suivre pour le sécuriser : 

Étape 1 : brancher votre ordinateur à votre modem



Étape 2 : changer le nom de votre réseau sans fil



Étape 3 : créer une clef WPA

 

Étape 4 : activer la sécurité WPA Étape 5 : connecter votre ordinateur au réseau sans fil sécurisé

II-5 Une Webcam Plusieurs bonnes pratiques peuvent permettre de réduire le risque d’un piratage par webcam : 

Effectuez les mises à jour logicielles (système d’exploitation, antivirus, pare-feu, navigateurs, drivers matériels, etc.) dès qu’elles sont disponibles.



Ne cliquez pas sur des liens suspects, notamment sur les réseaux sociaux.



Evitez de placer des webcams (ou ordinateurs munis de webcams) dans les chambres à coucher, ou d’autres pièces aussi intimes.



N’établissez des conversations vidéo qu’avec des personnes confiance : les chats vidéo peuvent être enregistrés et diffusés publiquement sur le net.



Si vous êtes mineur(e) et victime d’un contact aux demandes sexuelles inappropriées, parlezen à un adulte de confiance, ou directement à la police.



Désactivez ou masquez la webcam si vous ne vous en servez pas. Plusieurs solutions sont envisageables :  Débranchez-la si elle est connectée en USB.  Poussez le loquet (si le PC le propose) pour masquer la lentille (NB : attention, le micro peut également être piraté et surveiller vos conversations).  Collez un scotch opaque (ex : pansement) sur la lentille (NB : attention, le micro peut également être piraté et surveiller vos conversations).

II-6 Une imprimante Pour sécuriser une imprimante, on procède deux étapes : Étape 1 : Sécuriser le document. Qui sait ce qui peut arriver à un document imprimé entre le moment où vous appuyez sur le bouton "Imprimer" depuis votre PC et le retrait effectif du document sur l'imprimante. Selon la longueur de l'intervalle, le document imprimé peut être perdu, égaré ou copié ; tous ces résultats peuvent être potentiellement

désastreux.

Protégez les documents précieux d'une falsification, d'une distribution inappropriée ou d'une vulnérabilité à des activités frauduleuses. Les solutions d’impressions protègent les données sensibles en nécessitant l'authentification sur l'imprimante. Ainsi, lorsqu'un utilisateur envoie le travail

2013/2014

Page 13

d'impression à une file d'attente générique sur le serveur, le document n'est pas imprimé tant que le même utilisateur ne s'authentifie pas sur l'imprimante. De cette manière, le document ne peut être récupéré que par la personne qui l'a envoyé à imprimer. Étape 2 : Sécuriser le périphérique. Une fois que vous avez empêché un document d'être produit sur l'imprimante et de tomber entre mauvaises mains, l'imprimante elle-même doit être protégée d'un accès inapproprié ou illégal. De nombreuses imprimantes et imprimantes multifonction possèdent des disques durs et de la mémoire. Cela rend les données, les informations et les documents vulnérables à un accès non autorisé et à un public non prévu lorsque l'équipement est mis à niveau ou redéployé, et au vol si le périphérique ou le disque

dur

sont

dérobés.

La solution de disque dur sécurisé haute performance HP offre une protection contre ces risques. Comment ? Tout simplement par du cryptage : le document bénéficie non seulement d'une sécurité physique, ne pouvant être retiré que par la personne qui l'a envoyé à imprimer, il est également crypté pendant

son

séjour

dans

la

file

d'attente

du

serveur.

Pour encore plus de sécurité, un élément dans la solution HP efface des périphériques de stockage les travaux d'impression, de numérisation, de télécopie et de copie. Bien que les solutions de sécurité d'impression HP effacent automatiquement les documents après leur impression, des fichiers temporaires peuvent demeurer accessibles avec des outils utilisés par des cybercriminels. Un disque dur crypté en option peut éliminer la possibilité d'accès extérieur même aux fichiers temporaires. Plusieurs niveaux de sécurité d'effacement sont prévus pour contribuer à garantir que les données demeurent inaccessibles par des utilisateurs non autorisés.

II-7 Un point d’accès La configuration des point d’accès varie selon les constructeurs et les modèles, mais préparez-vous aux étapes suivantes : 1. Reliez physiquement votre point d’accès à votre ordinateur à l’aide d’un câble Ethernet croisé puis branchez-le sur la prise Ethernet de votre point d’accès et sur la prise Ethernet de votre ordinateur. 2. Lancez votre navigateur web connectez vous à la console d’administration de votre point d’accès à l’aide de votre navigateur web, en tapant l’IP adéquat. 3. Comme le point d’accès est probablement défini avec un jeu courant d’utilisateurs et de mots de passe, vous devez changer le mot de passe par défaut et passer en revue les autres éventuels utilisateurs par défaut qui peuvent gérer le point d’accès. 4. Définissez

votre

SSID,

donnez

le

nom

de

votre

choix

à

votre

point

d’accès.

Cacher si possible la diffusion de votre SSID suivant les options fournis par votre point d’accès sur sa console d’administration. 5. Activez le WEP ensuite indiquez la clé de réseau hexadécimale (Certains modèles d’AP supportent des clés ASCII en plus des clés hexadécimales), puis notez la clé de réseau pour

2013/2014

Page 14

des implémentations WEP de base statiques, il faudra entrer cette clé manuellement sur chaque ordinateur qui souhaite se connecter. 6. Activez le WPA si possible, puis écrivez la clé WPA, après notez la clé de réseau, il faudra entrer cette clé manuellement sur chaque ordinateur qui souhaite se connecter. 7. Activez l’authentification par adresse MAC de votre point d’accès, puis pour permettre à votre ordinateur de se connecter à votre point d’accès, activez l’authentification MAC, et, écrivez l’adresse MAC de votre ordinateur (Adresse MAC du client de votre ordinateur) dans la console d’administration qui gère la sécurité de votre point d’accès.

2013/2014

Page 15

CHAPITRE III : LA SECURITE D’UN RESEAU INFORMATIQUE L'informatique et Internet ont changé considérablement nos manières de vivre et de travailler. Nous l'utilisons

aussi

bien

dans

la

vie

courante

qu'au

travail.

Aujourd'hui les entreprises ne peuvent plus se passer de l'informatique et d'Internet et la perte, le vol d'information ou un incident du système informatique peut avoir de lourdes conséquences pour les entreprises (moins de productivité, perte d'argent, de compétitivité...). C'est pourquoi, il est important de mettre en place des protections pour les informations confidentielles,

les données et

le réseau

informatique.

Les causes d'incidents peuvent être multiples. Cela peut provenir d'erreurs humaines, d'acte de malveillance, mais les agressions externes sont les plus fréquentes.

III-1 La sécurité physique La sécurité physique concerne tous les aspects liés de l'environnement dans lequel les systèmes se trouvent. La sécurité physique passe donc par : 

Des normes de sécurité.



Protection de l'environnement (incendie, température, humidité, ...).



Protection des accès.



Redondance physique.



Plan de maintenance préventive (test, ...) et corrective (pièce de rechange, ...).

2013/2014

Page 16

III-1-1 Caméra IP III-1-1-1 C’est quoi une caméra IP ? La caméra IP permet de surveiller son environnement à distance et à tout moment. On y accède par le réseau (RJ45 ou Wifi pour les caméras IP sans fil) à partir d'un ordinateur, d'un iPhone ou d'une tablette tactile. La caméra de surveillance par IP peut être d'intérieur, d'extérieur, sous forme d'un dôme ou hémisphérique, motorisée, Méga pixels (vidéo HD), et peut proposer des fonctions avancées comme la vision nocturne, le déclenchement d'alertes (par mail ou FTP) ou encore la sauvegarde via USB ou cartes SD. Une caméra IP ou caméra réseau est une caméra de surveillance utilisant le protocole Internet pour transmettre des images et des signaux de commande via une liaison Fast Ethernet. Certaines caméras IP sont reliées à un enregistreur vidéo numérique (DVR) ou un enregistreur vidéo en réseau (NVR) pour former un système de surveillance vidéo. L'avantage des caméras IP est qu'elles permettent aux propriétaires et aux entreprises de consulter leurs caméras depuis n'importe quelle connexion internet via un ordinateur portable ou un téléphone 3G. Une caméra IP peut être câblée avec du RJ45 vers un routeur ou « box ADSL », ce qui lui permet à la fois d'être alimentée et les images visionnées sur le réseau, ou alors par Wifi (une alimentation en courant électrique devient alors nécessaire). Contrairement aux Webcams USB, la compatibilité avec les logiciels de visioconférence n'est pas toujours garantie1. A ne pas confondre avec une webcam, une caméra IP réunit les fonctions optiques d’une caméra et la capacité d’un petit ordinateur équipé d’un serveur web interne. Une caméra réseau possède donc une prise RJ45 pour connexion directe sur un hub, un Switch ou un modem Ethernet ADSL. Elle diffuse ses images à tout poste qui en fait la demande via un navigateur sur le réseau IP. Les caméras réseaux sont le nouveau standard incontournable de la vidéosurveillance ou de l’animation de sites web. Elles permettent de faire baisser de manière considérable les coûts d’installation. Il existe plusieurs façons d’utiliser une caméra IP (nous distinguerons chaque cas tout au long du dossier). Ici nous allons voir son application dans un réseau local.

III-1-1-2 Pourquoi

utiliser

une

camera

IP

dans

un

réseau

local

?

Que ce soit à usage privé ou professionnel, la caméra IP s’avère très utile et, dans certain cas, elle diminue considérablement les coûts d'installation. Dans le domaine privée, la caméra IP3122 élaboré par Vivotek vous permettra de surveiller vos enfants (ex : un bébé qui dort ou des enfants qui joue dans le jardin) ou votre entrée (ex : les personnes qui sonnent à la porte) à partir de votre poste ou de ceux qui se trouve dans les autres pièces de votre domicile (ex : ceux de vos enfants ou bien le Notebook de votre femme). De ce fait vous, et tous les membres de votre famille, aurez accès à la caméra via les ordinateurs de la maison. Dans le domaine professionnel, La caméra IP 9060 PLUS joue parfaitement le rôle de caméra de 2013/2014

Page 17

surveillance. Grâce à sa connexion au réseau local, vous aurez accès aux images diffusées par la caméra IP à partir de tous les postes qui y seront branchés. Ainsi chaque membre de la direction pourra surveiller les locaux de la société. Vous pourrez même confier la surveillance à une personne qualifiée qui surveillera les locaux à partir de son poste durant la nuit par exemple. Ce mode d'utilisation est déjà largement utilisé dans les entreprises.

III-1-1-3 Comment

connecter

une

caméra

IP

à

un

réseau

l oca l

?

Pour utiliser une caméra IP dans un réseau local il y a deux méthode possible : par l'intermédiaire d'un Switch ou en utilisant un routeur combiné Switch. - Le Switch est en quelque sorte un "multi ports" RJ45. Il va vous permettre de brancher plusieurs ordinateurs en réseau et de transférer le signal de la caméra aux ordinateurs qui y seront connectés. Pour se faire, il vous suffit de connecter la camera IP au port RJ45 du Switch prévu à cet effet (via un câble RJ45), puis de connecter les ordinateurs aux ports RJ45 réservés à la connexion réseau (la connexion des ordinateurs au Switch peut se faire par l’intermédiaire d’un panneau de brassage quand le nombre d’ordinateurs à connecter au réseau est élevé). Bien sur, le nombre d'ordinateurs reste limité au nombre de ports du Switch. Il existe plusieurs types de Switch disposant d'un nombre de ports RJ45 plus ou moins élevé. (NETSW6555, NETSW4205, NETSW3102, OVISW4953, EDISW6287). - Le routeur est plus souvent utilisé pour connecté la caméra IP à Internet (cf. voir paragraphe suivant), mais bien souvent, la plupart d'entre eux dispose aussi la fonction Switch. De ce fait, ce type de routeur peut être également utilisé pour connecter une ou plusieurs caméras IP sur un réseau local. Pour se faire, il vous suffit de répéter la même manipulation que pour Switch (exemple de routeur : EDIRO6285). Pour résumer, la caméra IP offre de grandes possibilités tant par sa technologie que par ses fonctionnalités. Vous pourrez l'utiliser comme webcam, caméra de surveillance ou simple enregistreur vidéo. Les possibilités d'accès sont étendues et l'installation est facile. Que ce soit sur un réseau local ou sur Internet, l'accès est sécurisé grâce à l’adresse IP spécifique à chaque caméra. Vivotek et Aviosys sont les marques de référence dans la production de caméras IP de qualité, leurs résolutions offrent une vision excellente de jour comme de nuit et leurs prix sont très abordables. Si vous cherchez une caméra vidéo multi fonction n’hésitez plus, la caméra IP est vouée à remplacer la caméra vidéo classique et la webcam dans un futur proche.

2013/2014

Page 18

III-1-2 Serrures électroniques III-1-2-1 Définition La serrure électronique est un dispositif de verrouillage qui fonctionne grâce au courant électrique. Elle possède une serrure électronique parfois autonome avec un assemblage de contrôle électronique monté directement sur la serrure. C’est une serrure souvent connectée à un système de contrôle d’accès. Beaucoup plus utilisée à l’origine dans les milieux professionnels tels que les secteurs de la banque, de la joaillerie, de l’hôtellerie, l’installation des serrures électroniques ou électriques gagne du terrain chez les particuliers qui souhaitent avoir une sécurité renforcée. Les avantages d’une serrure électronique reliée à un système de contrôle d’accès incluent : le contrôle des clés (il est possible d’éviter de subir des actes de vandalisme avec des clés copiées), le contrôle d’accès (selon les options qui peuvent se faire par un mot de passe, une reconnaissance facile, vocale), l’enregistrement du journal des transactions. Ainsi, en plus de connaître les différentes utilisations de la serrure en journée, elle permet de savoir si on a tenté de forcer la porte ou pas. La serrure électronique utilise des aimants ou des moteurs pour actionner la serrure. Son fonctionnement peut être aussi simple que l’utilisation d’un interrupteur ou aussi complexe qu’un système biométrique de contrôle d’accès. La serrure électronique utilise un verrou magnétique. Un grand électro-aimant est monté sur le cadre de la porte et une armature correspondante est montée directement sur la porte. Lorsque l’aimant est alimenté et la porte est fermée, l’armature est accrochée à l’aimant. Très simple à installer, c’est une serrure très résistante aux attaques. Ce type de serrure a besoin du courant électrique pour fonctionner. Certains modèles se connectent au mécanisme de verrouillage et d’autres modèles fonctionnent grâce à une télécommande ou une console de contrôle. Son principal avantage est qu’elle permet d’avoir une sécurité renforcée, car les serrures électroniques sont plus fiables, plus efficaces et sont plus difficiles à déjouer. On ne peut récupérer un code, on ne peut les percer ni les couper. D’ailleurs, la plupart des hôtels et des banques ont toujours utilisé ce type de serrure. Les nouveaux modèles sont de plus en plus utilisés sur les portes de garage. Selon le type de fonctionnalités de la serrure choisie, le coût sera plus ou moins élevé. La raison pour laquelle, seuls certains établissements avaient accès à ce type de serrures était que les prix étaient très élevés. Ils le sont toujours, mais des modèles adaptés à une utilisation en maison individuelle et qui nécessitent moins d’infrastructure informatique comme dans une grande structure bancaire, permettent d’avoir accès à ce type de sécurité à un coût à peu près abordable.

III-1-2 Les méthodes d’authentification Il existe de nombreuses méthodes d’authentification pour l’installation d’une serrure électronique : la serrure biométrique électronique avec saisie du code PIN (serrure électronique offrant une variété de moyens d’authentification) ; la serrure avec saisie de codes numériques, des mots de passe et des mots de passe complexes qui est la forme la plus répandue de serrure électronique composée généralement d’un clavier avec la possibilité d’une réponse audible à chaque pression; la serrure avec jetons de sécurité (un autre moyen d’authentifier les utilisateurs est de les obliger à numériser ou « glisser » un jeton de sécurité comme une carte à puce.) ; la Biométrie qui devient de plus en plus importante comme moyen d’identification positive et dont l’utilisation dans les systèmes de sécurité augmente. Quelques nouvelles écluses électroniques tirent parti des technologies telles que la numérisation des empreintes digitales, le scan de la rétine et l’iris, et l’identification d’empreinte 2013/2014

Page 19

vocale; le RFID, l’identification par radiofréquence est l’utilisation d’un objet incorporé dans un produit, un animal ou une personne à des fins d’identification et de repérage par ondes radio. Certaines étiquettes peuvent être lues à plusieurs mètres et au-delà de la ligne de délimitation du lecteur. Choisir d’installer une serrure électronique ne se fait pas à la légère, il est important de bien se renseigner avant.

III-1-3 L’UPS III-1-3-1 Qu'est ce qu'un Onduleur? Egalement connus sous le nom d'UPS (Uninterruptible Power Supply) ou ASI (Alimentation Statique sans Interruption), les onduleurs sont des outils très utiles pour les structures professionnels actuelles. Cet appareil fonctionne comme un micro générateur vous permettant d'obtenir l'électricité nécessaire pour sauvegarder vos données bureautiques et fermer vos applications en cas de coupures subites. On peut résumer ses principales fonctions comme suit : Une alimentation de secours en cas de coupure d’électricité : Dès que l'onduleur détecte une coupure brutale d'électricité, ses batteries prennent automatiquement le relais et alimentent l'ordinateur pendant une durée correspondante à l'autonomie. L'autonomie est variable et dépend de la consommation des appareils qui lui sont connectés. Comme un véritable générateur de secours, cette sécurité donne le temps à l'utilisateur d'enregistrer les documents ouverts et de sortir des logiciels sur lesquels il travaille sans perte de données. Perdre les modifications sur un document Word depuis la dernière sauvegarde ce n'est pas forcément très grave, mais éteindre brusquement un ordinateur pendant une saisie sous un logiciel de gestion commerciale ou de comptabilité, cela peut détériorer les fichiers et vous obliger à lancer des traitements de réparation. Une source d'électricité propre : Avoir une source d'électricité propre c'est obtenir une onde sinusoïdale parfaite de 50Hz pour une tension de 220V, ce qui n'est pas forcément le cas sur le réseau E.D.F. En effet, l'électricité peut subir plusieurs types de perturbations :  Les parasites  Les variations de tensions (sur tensions ou sous tensions), elles sont provoquées par des appels de courants importants à la mise sous tension de gros équipements électriques (machines outils, poste à souder, etc. ...).  Les variations de fréquences, elles sont plus rares et sont provoqués par exemple par le passage sur un groupe électrogène.  Les microcoupures Véritable organe de secours, sans lui la moindre coupure d'électricité peut provoquer de grave dommage à votre ordinateur et vos fichiers tel que des plantages, des écritures 2013/2014

Page 20

incorrectes des données sur le disque dur, des pertes de données en mémoire, etc. Bref l'onduleur est un outil d'une grande utilité voir même indispensable pour les professionnels.

III-1-3-2 Les types d’un onduleur Pour faire simple, il existe trois grands types d'onduleurs sur le marché :

Les onduleurs Offline Les onduleurs Offline sont les versions de première génération et ne sont pratiquement plus produites. De conception ancienne, ce type d'onduleur commute sur le circuit de secours, c'est à dire qu'il

passe

en

mode

batterie

lorsqu'une

chute

de

tension

est

relevée.

Le temps que met l'onduleur pour passer sur le circuit de secours s'appelle temps de commutation. Ce type d'onduleur dispose d'un temps de commutation relativement long suivant les cas (<6ms), ce qui peut poser certains problèmes suivant les environnements à protéger. De plus, les onduleurs Offline ne proposent pas de fonction de régulation de tension et la plupart du temps ceux-ci se limitent au filtrage des parasites et aux baisses de tension. Enfin le signal de sortie n'est pas une sinusoïdale mais souvent une onde P.W.M. (Pulse Width

Modulation).

On retrouve souvent ce type de dispositif sur les stations de travail bureautique. En résumé on dire que les onduleurs Offline son des outils de première gamme qui ne dispose pas de fonctionnalités avancées et manque de réactivité et de stabilité.

Les onduleurs In-Line ou Line interactive (Gamme ALPHA d'UNITEK) Les onduleurs In-Line ou Line interactive sont également des onduleurs

à

commutation

mais ils

sont

dits

intelligents.

En effet, il dispose d'un système commandé par micro processeur dont le but est dédiminuer le temps de commutation (<2ms) et de réguler la tension de manière à simuler en

sortie

une

onde

sinusoïdale

parfaite.

Ils sont en général dotés d'un booster qui évite de solliciter les batteries lorsqu'une chute de

tension

est

observée.

Concrètement, le booster permet d'économiser sur la durée de vie des batteries.

Les onduleurs On-line (Gammes DELTA & OMEGA d'UNITEK) Les onduleurs On-line régule la tension en continue car les batteries sont montées en série entre un chargeur/redresseur et l'onduleur. Dès lors, il n'y a plus de commutation (=0).

2013/2014

Page 21

Avec

cette

gamme

d'onduleur,

on

obtient

une réactivité quasi

parfaite,

un

signal

parfaitement pur et régulé et une protection optimale de vos données et applications en cas de

coupure

subite.

Utilisable dans tout type de station de travail, ce mode de protection est le plus efficace, mais

également

le

plus

coûteuse.

Pour résumé, on peut aisément diviser ces trois catégories d'onduleur en série d'entrée de gamme pour les offlines, milieu de gamme pour les In-lines et Haut de gamme pour les online.

III-1-4 Planification d’une salle Planification d'une salle de serveurs est importante pour la sécurité et l'intégrité des données de l’entreprise. Une salle de serveur doit être isolée à partir d'éléments environnementaux tels que la chaleur et l'humidité, et il doit être dans un endroit sûr où les autres ne peuvent pas accéder à l’ordinateur. Lors de la planification d'une salle de serveur, il existe plusieurs normes à suivre. Déterminer la taille appropriée de la pièce. Exigences en matière de salles de serveurs sont déterminées par la quantité d'espace de rack nécessaire pour les routeurs, les commutateurs et les ordinateurs. La technologie actuelle continue de limiter l'espace nécessaire pour un serveur, mais avec les grands centres de données peut avoir des centaines ou des milliers de serveurs. Lorsque l'on mesure les exigences de taille, assurez-vous que vous incorporez des chiffres qui laissent place à l’évolutivité. Choisir une chambre qui dispose d'un espace pour les besoins A/C élevées et faible humidité. Une salle de serveurs peut faire très chaude surtout avec plusieurs serveurs. Constante de refroidissement A/C doit être intégrée dans la planification de la salle des serveurs. Cela inclut de multiples évents et les unités qui éliminent l'humidité. Les chaudes pièces humides peuvent conduire à une défaillance matérielle et la perte de données. Comprennent des plans pour des zones de gestion des câbles. Fils durs qui fonctionnent à partir de routeurs au plafond doivent être correctement attaché avec de la ficelle sans électricité statique. Les routeurs et concentrateurs qui ont plusieurs câbles connectés doivent être câblés dans une zone où il n'y a pas de trafic. Câblage peut amener les gens à se déclencher, et il peut causer des pannes de réseau dues à des câbles brisés.

2013/2014

Page 22

III-2 La sécurité logique La sécurité logique fait référence à la réalisation de mécanismes de sécurité par logiciel, elle repose sur la mise en œuvre d'un système de contrôle d'accès logique s'appuyant sur un service d'authentification, d'identification et d'autorisation. Elle repose également sur :   

les dispositifs mis en place pour garantir la confidentialité dont la cryptographie une gestion efficace des mots de passe et des procédures d'authentification Des mesures antivirus et de sauvegarde des informations sensibles

Pour déterminer le niveau de protection nécessaire aux informations manipulées, une classification des données est à réaliser pour qualifier leur degré de sensibilité (normale, confidentielle, top secrète, ...)

III-2-1 Firewall III-2-1-1 Qu'est-ce qu'un pare-feu? Un pare-feu (firewall en anglais), est un système physique (matériel) ou logique (logiciel) servant d'interface entre un ou plusieurs réseaux afin de contrôler et éventuellement bloquer la circulation des paquets de données, en analysant les informations contenues dans les couches 3, 4 et 7 du modèle OSI. Il s'agit donc d'une machine (machine spécifique dans le cas d'un firewall matériel ou d'un ordinateur sécurisé hébergeant une application particulière de pare-feu) comportant au minimum deux interfaces réseau : • une interface pour le réseau à protéger (réseau interne) • une interface pour le réseau externe Le pare-feu représente ainsi généralement dans les entreprises un dispositif à l'entrée du réseau qui permet de protéger le réseau interne d'éventuelles intrusions en provenance des réseaux externes (souvent internet).

III-2-1-2 Principes du filtrage de paquet Le rôle d'un firewall est d'être un filtre entre le réseau local et un autre réseau. Il se met en place sous la forme d'un routeur ou d'un ordinateur dédié qui transmet les paquets en suivant un certain nombre de règles déterminées. Il sert aussi à superviser le trafic entrant et sortant du réseau, et fournit donc des informations pour détecter des tentatives d'intrusion, ou pour remonter jusqu'aux responsables d'intrusions.

Firewall sans états (stateless) Ce sont les firewalls les plus anciens mais surtout les plus basiques qui existent. Ils font un contrôle de chaque paquets indépendamment des autres en se basant sur les règles prédéfinies par l'administrateur (généralement appelées ACL, Access Control List).

2013/2014

Page 23

Ces firewalls interviennent sur les couches réseau et transport. Les règles de filtrages s'appliquent alors par rapport à une d'adresses IP sources ou destination, mais aussi par rapport à un port source ou destination.

Les limites : Lors de la création des règles de filtrage, il est d'usage de commencer à spécifier que le firewall ne doit laisser passer aucun paquet. Ensuite, il faut ajouter les règles permettant de choisir les flux que nous souhaitons laisser passer. Il suffit alors d'autoriser l'ouverture des ports des serveurs devant être accessible depuis l'extérieur. Mais les connexions des postes vers l'extérieur poseront problèmes. Effectivement, il faudrait autoriser les ports utilisés par les postes clients lors des connexions vers les serveurs, ceci implique donc d'ouvrir tout les ports supérieurs à 1024. Ceci pose donc un réel problème de sécurité. Il n'est pas possible non plus de se préserver des attaques de type ip-spoofing (technique consistant à se faire passer pour une machine de confiance) ou SYN Flood (surcharge de demande de connexion sans attente de la réponse). Les règles de filtrage de ces firewalls sont basées que sur des adresses IP, il suffit donc au pirate de trouver les règles de ce firewall pour pouvoir utiliser cette technique de piratage. Une solution pour se protéger des attaques de type ip-spoofing est de mettre en place une règle interdisant les paquets provenant du réseau extérieur dont l'adresse IP source correspond à une adresse valide du réseau local. Exemple d'attaque par ip-spoofing. Une connexion est établie entre le client A et le serveur B. Un pirate souhaite attaquer cette connexion.

2013/2014

Page 24

2013/2014

Page 25

Figure 1- Exemple d'attaque par ip-spoofing.

Une autre limite de ce type de firewall se trouve au niveau des protocoles fonctionnant de manière similaire au FTP. Effectivement, certains protocoles ont besoin d'ouvrir un autre port que celui dédié. Ce port est choisi aléatoirement avec une valeur supérieure à 1024. Dans le cas du protocole FTP, l'utilisation de deux ports permet d'avoir un flux de contrôle et un flux de données pour les connexions. Le problème posé viens du fait que ce port est choisi aléatoirement, il n'est donc pas possible de créer des règles pour permettre les connexions FTP avec les firewalls sans états.

Firewall à états (stateful) Les firewalls à états sont une évolution d*es firewalls sans états. La différence entre ces deux types de firewall réside dans la manière dont les paquets sont contrôlés. Les firewalls à états prennent en compte la validité des paquets qui transitent par rapport aux paquets précédemment reçus. Ils gardent alors en mémoire les différents attributs de chaque connexions, de leur commencement jusqu'à leur fin, c'est le mécanisme de stateful inspection. De ce fait, ils seront capables de traiter les paquets non plus uniquement suivant les règles définies par l'administrateur, mais également par rapport à l'état de la session : – NEW : Un client envoie sa première requête. – ESTABLISHED : Connexion déjà initiée. Elle suit une connexion NEW. – RELATED : Peut être une nouvelle connexion, mais elle présente un rapport direct avec une connexion déjà connue. – INVALID : Correspond à un paquet qui n'est pas valide. Les attributs gardés en mémoires sont les adresses IP, numéros de port et numéros de séquence des paquets qui ont traversé le firewall. Les firewalls à états sont alors capables de déceler une anomalie protocolaire de TCP. De plus, les connexions actives sont sauvegardées dans une table des états de connexions. L'application des règles est alors possible sans lire les ACL à chaque fois, car l'ensemble des paquets appartenant à une connexion active seront acceptés. Un autre avantage de ce type de firewall, se trouve au niveau de la protection contre certaines attaques DoS comme par exemple le Syn Flood. Cette attaque très courante consiste à envoyer en masse des paquets de demande de connexion (SYN) sans en attendre la réponse (c'est ce que l'on appel flood). Ceci provoque la surcharge de la table des connexions des serveurs ce qui les rend incapable d'accepter de nouvelles connexions. Les firewalls stateful étant capables de vérifier l'état des sessions, ils sont capables de détecter 2013/2014

Page 26

les tentatives excessives de demande de connexion. Il est possible, en autre, ne pas accepter plus d'une demande de connexion par seconde pour un client donné. Un autre atout de ces firewalls est l'acceptation d'établissement de connexions à la demande. C'est à dire qu'il n'est plus nécessaire d'ouvrir l'ensemble des ports supérieurs à 1024. Pour cette fonctionnalité, il existe un comportement différent suivant si le protocole utilisé est de type orienté connexion ou non. Pour les protocoles sans connexion (comme par exemple UDP), les paquets de réponses légitimes aux paquets envoyés sont acceptés pendant un temps donné. Par contre, pour les protocoles fonctionnant de manière similaire à FTP, il faut gérer l'état de deux connexions (donnée et contrôle). Ceci implique donc que le firewall connaisse le fonctionnement du protocole FTP (et des protocoles analogues), afin qu'il laisse passé le flux de données établi par le serveur.

Les limites : La première limite de ce type de firewall ce situe au niveau du contrôle de la validité des protocoles. Effectivement, les protocoles « maisons » utilisant plusieurs flux de données ne passeront pas, puisque le système de filtrage dynamique n'aura pas connaissance du fonctionnement de ces protocoles particuliers. Ensuite, il existe un coût supplémentaire lors de la modification des règles du firewall. Il faut que les firewalls réinitialisent leurs tables à état. Pour finir, ce type de firewall ne protège pas contre l'exploitation des failles applicatives, qui représentent la part la plus importante des risques en termes de sécurité.

Remarque : Le Firewall ne s'agit pas d'une solution totalement efficace vis à vis des malveillances qu'un réseau local peut subir, mais c'est une façon de se préserver contre certaines tentatives d'intrusion. Elle est par exemple inefficace contre les attaques de virus.

III-2-2 L’authentification III-2-2-1 Qu'est-ce que l'authentification réseau ? L'authentification est la procédure qui consiste, pour un système informatique, à vérifier l'identité d'une personne ou d'un ordinateur afin d'autoriser l'accès de cette entité à des ressources (systèmes, réseaux, applications…). L'authentification permet donc de valider l'authenticité de l'entité en question L'identification permet donc de connaître l'identité d'une entité alors que l'authentification permet de vérifier cette identité.

2013/2014

Page 27

L'authentification est un besoin bien défini aujourd'hui. Mais en parallèle de cette authentification, vient se greffer l'autorisation. Enfin, la notion d'accounting peut se rajouter aux deux précédentes. Ce sont les AAA ou triple A. Les serveurs d'authentifications tels que Cisco Secure Access Control Server proposent ces AAA. Ils sont basés sur des protocoles d'authentification tels que TACACS+ ou RADIUS.

Protocoles d'authentification : Un protocole d’authentification est un moyen de contrôle d’accès. Il comprend les trois A (AAA) :   

Authentication (authentification) Authorization (autorisation) Accounting (rapports)

a. Authentification : Cela correspond à l’identification de l’utilisateur, que ce soit une personne physique ou un service. Cette identification passe par la présentation de l’identité de l’utilisateur. Cette information est unique à chaque utilisateur et non secrète. Elle sert de référence dans la base des utilisateurs. Le contrôle de cette information consiste à vérifier un secret partagé entre l’utilisateur et le serveur d’authentification. Elle peut être de plusieurs types : Statique : l’information transmise est alors la même lors d’authentifications successives : mot de passe type UNIX par exemple. Dynamique : on passe alors par un challenge entre le serveur et l’utilisateur, ce qui permet d’avoir une information différente à chaque nouvelle authentification : calculette, carte à puce, badge... Physique : reconnaissance vocale, empreintes, iris...

b. Authorization : C’est le fait de déterminer quels sont les droits de l’utilisateur. Par exemple, après s’être logué, l’utilisateur peut essayer d’utiliser certaines commandes. L’autorisation détermine alors si l’utilisateur peut ou non les utiliser. Dans certaines implémentations, l’identification et l’autorisation sont regroupés en une seule étape.

c. Accounting :

2013/2014

Page 28

Cela consiste à mesurer les ressources qu’un utilisateur consomme, en terme d’échange réseau, de ressources système,... Cela sert en fait à loguer un certain nombre d’informations sur l’utilisateur. Cela permet de connaître à la fois les services demandés par l’utilisateur et la quantité de ressources requises. Les trois points définis ci-dessus sont importants pour une bonne gestion et une bonne sécurité d’un réseau. Ils devraient être disponibles au point d’entrée d’un réseau. Tous les utilisateurs distants accèdent au réseau au travers d’un NAS (Network Access Server), aussi appelé Remote Access Server, ou Terminal Server. Un NAS est une interface qui accepte un accès distant à travers une ligne téléphonique ou RNIS. Le NAS connecte les utilisateurs distants au réseau interne (Local Area Network). Après s’être connecté, l’utilisateur distant a accès à toutes les ressources du réseau interne (serveurs, partages, communication avec les autres utilisateurs, …) La mise en place des AAA au point d’entrée du réseau garantit un contrôle sur les connexions des utilisateurs au réseau, ainsi que sur ce qu’ils sont autorisés ou non à faire.

Le protocole TACACS+ (Terminal Access Controller Access Control System) : TACACS+ est la dernière version du protocole TACACS développé à l’origine par BBN, puis repris par Cisco qui va l’étendre une première fois par XTACACS (extended TACACS) compatible avec TACACS, puis par TACACS+. Mais cette dernière version n’est plus compatible avec les versions originelles, bien que basée sur celles-ci. TACACS+ utilise TCP pour son transport (contrairement à TACACS qui était basé sur l’UDP). Il utilise le port 49 (login). Il gère séparément les trois fonctions AAA (authentification, autorisation, accounting), contrairement à d’autres protocoles d’authentification. TACACS+ prévoit une implémentation pour chacune des trois, mais une configuration n'exige pas de toutes les utiliser.

a. Session : TACACS+ utilise la notion de session pour ses communications entre le client (NAS) et le serveur. Une session ne contient qu’un échange, ou d’authentification, ou d’autorisation, ou d’accounting. TACACS+ peut utiliser l’identifiant des sessions pour chiffrer les paquets. Si le client et le serveur le supportent, plusieurs sessions peuvent être réalisées sur la même connexion TCP. Mais, pour des raisons de compatibilité, ce dispositif est à éviter, et il vaut mieux rouvrir une nouvelle connexion pour chaque session.

b. Authentification avec TACACS+ :

2013/2014

Page 29

TACACS+ peut aussi bien utiliser des techniques d’authentification classiques type login/mot de passe statique, ou bien des procédés plus évolués à base de challenge avec authentification réciproque, par exemple. Lors d’une nouvelle connexion, le NAS émet un message START au serveur décrivant le type d’authentification à utiliser. En retour, le démon envoie un message REPLY. Ce type de message peut indiquer ou bien que l’authentification est terminée, ou bien qu’elle doit continuer, auquel cas, le client récupère l’information manquante et la retourne dans un message CONTINUE. Le type de requête provenant du serveur peut être une demande GETDATA, GETUSER ou GETPASS. GETDATA est une requête générique de récupération d’information du profil utilisateur.

c. Autorisation avec TACACS+ : Lors d’un accès à un service particulier, le NAS ouvre une session d’autorisation. Cette session consiste juste en l’échange d’une paire de messages : REQUEST/RESPONSE. La requête décrit l’authentification pour l’utilisateur ou le processus qui demande l’accès au service. La réponse du serveur contient un ensemble d’attributs pouvant restreindre ou modifier les actions du client, plutôt qu’une simple réponse affirmative de type oui/non.

d. Accounting avec TACACS+ : Les échanges utilisés lors de l’accounting sont similaires à ceux employés lors de l’autorisation (REQUEST/RESPONSE). Au démarrage et à la terminaison d’un service, on émet un paquet START et STOP. De plus, le protocole TACACS+ propose l’émission de paquets UPDATE servant à confirmer qu’un service est en cours d’utilisation.

e. Les attributs de TACACS+ : Les serveurs d'authentification supportent les paires "attribut-valeur" (AV pair) de TACACS+. Ce sont des couples 'attribut'='valeur' qui permettent de définir tous les paramètres d'autorisation que l'on désire mettre en œuvre. Le but de TACACS+ est de fournir une méthodologie permettant de gérer les différents points d'accès distants depuis un simple ensemble de services de gestion. La famille de serveurs d'accès et de routeurs de Cisco peut être des points d'accès distants. Les points d'accès distants permettent aux terminaux basiques, aux émulateurs de terminaux, aux stations de travail, aux PCs et aux routeurs, de communiquer en utilisant des protocoles sur les lignes séries comme le PPP (Point-to-Point Protocol), le SLIP (Serial Line Internet Protocol), le CSLIP (Compressed SLIP) ou l'ARAP (AppleTalk Remote Access Protocol). En d'autres termes, un point d'accès distant fournit des connexions à un simple utilisateur,

2013/2014

Page 30

vers un réseau. Les entités connectées par l'intermédiaire d'un point d'accès distant sont appelées clients distants (network access clients). Les services de sécurité réseau AAA accomplissent les fonctions suivantes : 





Authentification – Fournit un contrôle complet de l'authentification à travers un échange de login et de passe, un challenge et une réponse, un support de transmission de messages, et un système de chiffrement utilisant l'algorithme MD5 (Message Digest 5). Le mécanisme d'authentification donne la possibilité, après la transaction du login et du mot de passe, de vérifier son identité en lui posant un certain nombre de questions, par exemple son adresse postale ou le nom de jeune fille de sa mère… L'administrateur TACACS+ peut augmenter l'intégrité de l'authentification en changeant régulièrement ces questions (challenge). Le service d'authentification TACACS+ est assez flexible pour pouvoir envoyer des messages sur l'écran de l'utilisateur. Par exemple, un message peut prévenir les utilisateurs qu'ils doivent changer leur mot de passe à cause de la politique de gestion de leur durée de vie. Autorisation – Fournit un contrôle d'accès distant incluant une seule autorisation globale ou bien une autorisation pour chaque service, un support pour les groupes d'utilisateurs et un support pour IP, IPX, ARA et telnet. En plus de cela, on peut créer des permissions et des restrictions d'accès ou de commandes. Pour de plus grands niveaux de contrôles sur les actions des utilisateurs après qu'ils se soient authentifiés, la composante d'autorisation de TACACS+ permet de créer différents groupes basés sur les fonctionnalités des utilisateurs. Avec l'autorisation TACACS+, un administrateur réseau peut limiter un utilisateur à un nombre restreint de fonctions sur l'interface utilisateur d'un routeur (autocommands) Accounting – Rassemble et envoie les informations regroupant les actions des utilisateurs.

Les administrateurs réseau peuvent utiliser cette fonctionnalité pour tracer l'activité d'un utilisateur pour un audit de sécurité ou simplement pour des statistiques. Un rapport peut être réalisé pour fournir différentes informations comme l'identité de l'utilisateur, les heures de début et de fin de sessions, les commandes exécutées (comme PPP), les nombres de paquets et les nombres d'octets échangés.

Le protocole RADIUS (Remote Access Dial-In User Service) : Le protocole RADIUS (Remote Authentication Dial In User Service) a été créé par Livingston et normalisé par l’IETF (Internet Engineering Task Force) sous la forme de RFC (Request For Comments). Actuellement il s’agit des RFC 2138 et 2139. Tous les clients RADIUS communiquent généralement à travers le réseau local sur un serveur unique, ce qui rend la tâche de l’administrateur plus simple. La gestion des utilisateurs et de leurs droits est alors plus facile par rapport à plusieurs serveurs qu’il faudrait mettre à jour simultanément sur le réseau. Le standard RADIUS est basé sur un ensemble d’attributs relatifs aux utilisateurs. Ils sont tous stockés dans la base RADIUS du serveur. Au cours d’une connexion, un échange d’information a lieu entre le serveur et le client (NAS). Le standard RADIUS propose un 2013/2014

Page 31

certain nombre d’attributs qui doivent être mis en œuvre. Mais beaucoup d’implémentations spécifiques du protocole apportent leur propre jeu d’attributs. Le protocole RADIUS permet une authentification utilisateur/mot de passe ou utilisateur/challenge/réponse ou les deux, qui peut être configurée spécifiquement pour chaque utilisateur. La vérification est réalisée par le serveur RADIUS, qui retourne alors un “authentication reply” au NAS qui a émis la requête. L’autorisation, elle, est réalisée par le NAS, en utilisant les informations sur l’utilisateur retournées par le serveur. Le protocole RADIUS est basé sur un échange de paquets utilisant le protocole UDP. Le port généralement employé est le 1645, bien qu’il doive être normalement configuré sur le port 1812 pour éviter des conflits avec le service Datametrics. Il existe 4 types de paquets différents : “Access-Request” “Access-Accept” “Access-Reject” “Access-Challenge”

a. Authentification avec RADIUS : Afin de se connecter au NAS, le client RADIUS récupère d’abord toutes les informations nécessaires (login, mot de passe). La méthode de récupération de ces informations dépend de la configuration du client. Il peut s’agir directement d’un prompt invitant l’utilisateur à entrer ces informations, ou bien d’utiliser les valeurs transmises par le protocole de communication (ex : PPP). A la suite de cela, le client RADIUS crée un paquet de type “Access-Request” contenant les informations dont le serveur RADIUS a besoin (nom, mot de passe, ID du client, ID du port). Si un mot de passe est présent, il sera chiffré en utilisant MD5. Une fois que le serveur reçoit la requête, il vérifie d’abord que le client partage un secret avec lui, puis récupère les informations concernant l’utilisateur. Celles-ci sont extraites d’une base de données qui peut être locale au serveur RADIUS, ou bien appartenir à un autre serveur du réseau (dans ce cas, le serveur RADIUS jouera lui-même le rôle de client). Si un mot de passe doit être communiqué, il sera vérifié par le serveur. D’autres vérifications peuvent être effectuées sur l’ID du client ou du port selon le contenu de la base concernant l’utilisateur. Dans le cas où l’une des conditions ne seraient pas remplies, le serveur retourne un paquet “Access-Reject” qui indiquerait au client que la connexion a été refusée et pourrait contenir un message d’explication. Sinon, le serveur retourne un “Access-Challenge”. Le paquet contient un nombre aléatoire que le client doit chiffrer. Pour cela, il peut utiliser une calculette, ou un logiciel permettant de faciliter le calcul de la réponse.

2013/2014

Page 32

En retour, le client émet de nouveau le paquet “Access-Request” mais contenant cette fois la réponse au challenge. Le serveur peut alors renvoyer : Un “Access-Accept” si l’authentification est validée Un “Access-Reject” dans le cas contraire Un “Access-Challenge” si un complément d’information est nécessaire

b. Autorisation avec RADIUS Lors de l’ “Access-Accept”, le serveur ajoute, dans le paquet, une liste de valeurs correspondant aux paramètres de l’utilisateur. Elles sont utilisées par le NAS qui réalise la phase d’autorisation. Si elles sont valides, l’utilisateur est alors connecté. Suivant la configuration du Network Access Server, elle peut ne pas être réalisée, auquel cas, aucune autorisation ne sera effectuée.

c. Accounting avec RADIUS Au démarrage d’un service, le NAS émet un paquet “Accounting-Start” au serveur RADIUS. Le NAS centralise les informations, puis les envoie au serveur au moment de la fermeture du service dans un paquet “Accounting Stop” (quantité transmise, débit, bande passante, temps d’émission, ...).

d. Les attributs de RADIUS Tout comme TACACS+, RADIUS (Remote Dial-In User Service) fonctionne à l'aide des AVpairs. Contrairement à TACACS+, RADIUS intègre, dans son implémentation, une notion de type de donnée.

Comparaison entre TACACS+ et RADIUS :

Figure 2 – Comparaison entre les protocoles RADIUS et TACACS+

2013/2014

Page 33

III-2-3 Sécurisation d’accès distant des équipements CISCO III-2-3-1 Telnet : Le protocole Telnet : simple mais dangereux. Un protocole très simple, très basique, a été créé dans les années 80 : c'est Telnet. Il sert juste à échanger des messages simples d'une machine à une autre. En théorie donc, on peut communiquer avec un serveur à l'aide du protocole Telnet. Le problème de ce protocole… c'est justement qu'il est trop simple : les données sont transférées en clair sur le réseau. Il n'y a aucun cryptage. Voici ce qui pourrait se passer. Je force le trait, mais c'est pour vous donner une idée. Imaginez qu'un PC militaire demande à un serveur de l'armée le code de lancement de missiles (nucléaires, soyons fous), comme sur la figure suivante.

Figure 3- Serveur envoie un code à l’aide du protocole TELNET

Après tout, il n'y a rien de choquant. Le message n'est envoyé qu'au client qui l'a demandé. Mais en fait, un pirate aurait la possibilité d'« écouter » ce qui se passe sur le réseau, et donc d'intercepter les données en chemin (figure suivante).

2013/2014

Page 34

Figure 4- Un pirate intercepte les données

Vous pouvez difficilement empêcher quelqu'un intercepte les données. Intercepter les données peut être compliqué à réaliser, mais possible. Sachez qu'il existe par exemple des programmes comme Wireshark capables d'écouter ce qui se passe — notamment sur un réseau local — et donc d'intercepter les données (figure suivante).

2013/2014

Page 35

Figure 55 Programme WIRESHARK

Euh… attends, là : moi, je veux juste me connecter à distance à ma machine ou à un serveur pour avoir l'accès à la console. Je ne vais pas échanger de code de lancement de missiles nucléaires ! Je ne vois pas en quoi c'est un problème si quelqu'un sait que je suis en train de faire un grep sur ma machine, par exemple…

Ça ne vous dérange pas que l'on vous espionne ? Soit. Mais quand vous allez vous connecter au serveur, vous allez donner votre login et votre mot de passe. Rien que ça, c'est dangereux (figure (figure suivante). Il ne faut pas que le login et le mot de passe apparaissent en clair sur le réseau !

2013/2014

Page 36

Figure 6- Pirate ayant pris le login et le mot de passe

Rien que pour cela, il faut que les données soient cryptées. Vous ne voulez pas que quelqu'un récupère votre mot de passe tout de même !

III-2-3-2 SSH (Secure Shell) Le protocole SSH : la solution pour sécuriser les données Comme on ne peut pas complètement empêcher quelqu'un d'intercepter les données qui transitent sur l'internet, il faut trouver un moyen pour que le client et le serveur communiquent de manière sécurisée. Le cryptage sert précisément à ça : si le pirate récupère le mot de passe crypté, il ne peut rien en faire. Mais tout cela est plus compliqué que ça en a l'air. Comment crypter les données ? SSH est un protocole assez complexe, mais il est vraiment intéressant de savoir comment il fonctionne. Plutôt que de l'utiliser bêtement, je vous propose de vous expliquer dans les grandes lignes son mode de fonctionnement. Nous allons ici nous intéresser aux deux questions suivantes. a) Quelles sont les différentes méthodes de cryptage qui existent ? b) Comment SSH utilise-t-il ces méthodes de cryptage pour garantir la sécurité ?

2013/2014

Page 37

a. Quelles sont les différentes méthodes de cryptage ? Il existe dans tonnes d'algorithmes de cryptage. Je ne vais pas tous vous les présenter : cela demanderait trop de notions mathématiques, on pourrait y consacrer 30 chapitres et on n'aurait pas tout vu. Si l'on ne peut pas connaître tous les algorithmes de cryptage, il faut par contre savoir que l'on peut les classer en deux catégories : les cryptages symétriques et les cryptages asymétriques.

Le cryptage symétrique C'est la méthode de cryptage la plus simple. Cela ne veut pas dire qu'elle n'est pas robuste (il existe des cryptages symétriques très sûrs). Cela veut plutôt dire que le fonctionnement est simple à comprendre. :-) Avec cette méthode, on utilise une clé (un mot de passe secret) pour crypter un message. Par exemple, imaginons que cette clé soit topsecret (figure suivante).

Figure 7- Cryptage symétrique Pour décrypter ensuite le message, on utilise cette même clé (figure suivante)…

Figure 8- Décryptage symétrique Il faut donc que la personne qui crypte et celle qui décrypte connaissent toutes deux cette clé qui sert à crypter et décrypter. Si le pirate intercepte un message crypté, il ne peut rien en faire s'il ne connaît pas la clé secrète (figure suivante)

2013/2014

Page 38

Figure 9- Interception du message crypté

Ah… c'est bien, ça ! Mais il faut que le client et le serveur connaissent tous les deux la clé de cryptage. Il faut donc que le client envoie d'abord au serveur la clé pour que celui-ci puisse décrypter ses futurs messages…

En effet, pour que le schéma que l'on vient de voir puisse fonctionner, il faut que le client et le serveur se soient transmis auparavant la clé magique qui sert à crypter et décrypter. Mais comment font-ils pour se l'échanger ? S'ils l'envoient en clair, le pirate va pouvoir l'intercepter et sera ensuite capable de décrypter tous les messages cryptés qui passeront sur le réseau (voyez la figure suivante)

Figure 10- Interception de la clé de cryptage Le cryptage symétrique est donc puissant, mais il a un gros défaut : il faut communiquer « discrètement » la clé de cryptage… mais c'est impossible : il faut bien envoyer la clé en clair 2013/2014

Page 39

au À moins de… Et pourquoi pas ? Si l'on cryptait la clé de cryptage lors de son envoi ?

début. non…

Pour crypter la clé de cryptage symétrique, on va utiliser une autre méthode : le cryptage asymétrique. Avec cette autre méthode, on ne risque pas de connaître à nouveau le problème que l'on vient de rencontrer.

Le cryptage asymétrique Le cryptage symétrique utilise une seule clé pour crypter et décrypter. Le cryptage asymétrique, lui, utilise une clé pour crypter, et une autre pour décrypter. Il y a donc deux clés :  

une clé dite « publique » qui sert à crypter. une clé dite « privée » qui sert à décrypter.

La clé publique ne sert qu'à crypter. Avec ce type d'algorithme, on ne peut décrypter un message que si l'on connaît la clé privée. On demande à l'ordinateur de générer une paire de clés : une privée et une publique. Elles vont ensemble. Ne me demandez pas comment il les génère ni pourquoi elles vont ensemble, c'est trop compliqué à expliquer ici. Admettez simplement que l'ordinateur est capable de générer aléatoirement un couple de clés qui vont ensemble. Prenons un exemple et imaginons que :  

la clé publique soit 74A48vXX ; la clé privée soit 99o0pn9.

Pour crypter, on utilise la clé publique, comme sur la figure suivante.

Figure 11- Cryptage asymétrique

Pour décrypter, la clé publique ne fonctionne pas. Il faut obligatoirement utiliser la clé privée (figure suivante).

2013/2014

Page 40

Figure 12- Décryptage asymétrique Voilà pourquoi on dit que c'est un cryptage asymétrique : il faut deux clés différentes. L'une d'elles permet de crypter le message, l'autre de le décrypter. Il n'y a pas d'autre moyen. La clé publique peut être transmise en clair sur le réseau (elle est « publique »). Ce n'est pas grave si un pirate l'intercepte. En revanche, la clé privée — qui permet donc de décrypter — doit rester secrète.

b. La création d'un tunnel sécurisé avec SSH SSH utilise les deux cryptages : asymétrique et symétrique. Cela fonctionne dans cet ordre. 1. On utilise d'abord le cryptage asymétrique pour s'échanger discrètement une clé secrète de cryptage symétrique. 2. Ensuite, on utilise tout le temps la clé de cryptage symétrique pour crypter les échanges.

Pourquoi ne pas utiliser uniquement du cryptage asymétrique tout le temps ?

Ce serait possible mais il y a un défaut : le cryptage asymétrique demande beaucoup trop de ressources au processeur. Le cryptage asymétrique est 100 à 1 000 fois plus lent que le cryptage symétrique ! Les ordinateurs s'échangent donc la clé de cryptage symétrique de manière sécurisée (grâce au cryptage asymétrique) et peuvent ensuite communiquer plus rapidement en utilisant en permanence le cryptage symétrique. Le cryptage asymétrique est donc utilisé seulement au début de la communication, afin que les ordinateurs s'échangent la clé de cryptage symétrique de manière sécurisée. Ensuite, ils ne communiquent que par cryptage symétrique.

2013/2014

Page 41

c. Les étapes de la création d'un canal sécurisé avec SSH en images Je résume en images. On veut s'échanger une clé de cryptage symétrique, mais on ne peut pas le faire en clair sinon le p1irate peut l'intercepter. On va donc crypter la clé grâce au cryptage asymétrique. Le serveur envoie la clé publique en clair au client pour qu'il puisse crypter (figure suivante).

Figure 13- Envoi de la clé publique au client Le client génère une clé de cryptage symétrique (par exemple topsecret) qu'il crypte grâce à la clé publique qu'il a reçue (figure suivante).

Figure 14- Création de clé symétrique et cryptage par le client

2013/2014

Page 42

Le client envoie la clé symétrique cryptée au serveur. Le pirate peut l'intercepter, mais ne peut pas la décrypter car il faut pour cela la clé privée, connue seulement du serveur (figure suivante).

Figure 15- Envoi de la clé cryptée au serveur Le serveur décrypte la clé reçue grâce à sa clé privée qu'il a gardée bien au chaud chez lui (figure suivante).

Figure 16- Décryptage de la clé par le serveur grâce à sa clé privée Le client et le serveur connaissent maintenant tous les deux la clé symétrique top secret, et à aucun moment ils ne l'ont échangée en clair sur le réseau. Ils peuvent donc s'envoyer des messages cryptés de manière symétrique en toute tranquillité. Ce cryptage est plus rapide et tout aussi sûr que le cryptage asymétrique car le pirate ne connaît pas la clé (figure suivante)

2013/2014

Page 43

Figure 17- Échange sécurisé établi ! Voilà comment SSH fonctionne pour créer un canal d'échange sécurisé. Tout est crypté grâce à la clé symétrique que le client et le serveur se sont astucieusement communiquée.

Maintenant qu'ils discutent de manière sécurisée, que font le client et le serveur ?

Eh bien seulement maintenant, le client peut se connecter au serveur : il peut donner son login et son mot de passe sans craindre de se les faire voler par le pirate (figure suivante)

Figure 18- Le client peut envoyer son login et son mot de passe de manière sécurisée Faut-il savoir tout cela pour utiliser SSH ?

Non. En fait, tout se fait automatiquement. Vous allez juste avoir à entrer un login et un mot de passe pour vous connecter à votre machine à distance. Mais j'estime que c'était l'occasion idéale de vous expliquer comment fonctionne le protocole SSH. Ce système est utilisé partout dans le monde ! Plus personne n'envisage de se connecter en Telnet aujourd'hui.

2013/2014

Page 44

III-2-3-3 Comparaison entre les protocoles Telnet & SSH

Figure 19 – Comparaison entre les protocoles TELNET & SSH

2013/2014

Page 45

Conclusion La sécurité informatique est un domaine vaste et en évolution permanente. Décrire un ensemble de règles complètes à suivre pour sécuriser un système dépasse de loin le cadre de cette mémoire, et ne serait surement pas adapté à la plupart des cas concrets. Il existe cependant quelques principes de base qu'il est souvent bon de suivre. Durant notre PFE on a constaté des différentes méthodes de sécurisation des périphériques qui se résument dans le tableau suivant : Périphériques Ordinateur Routeur/Switch Modem Webcam Imprimante Point d’accès

Sécurité physique

Sécurité logique   

  

Et on a aussi étudié les éléments de la sécurité physique et logique d’un réseau informatique. Le tableau suivant représente l’ensemble des solutions proposées dans cette mémoire : Sécurité Physique

Sécurité Logique

Caméra IP / Serrures électroniques / UPS / Firewall / Authentification / Sécurisation Planification d’une salle. d’accès distant des équipements CISCO

De même notre PFE a été pour nous une occasion de faire une autoformation, de savoir gérer les recherches et les analyses de la bibliographie, et surtout de bien améliorer chez nous le sens du travail d’équipe. Et après avoir posé la problématique de notre sujet, on a étudié des solutions, et ce n’est pas fini ici, on a bien fait une réalisation des problèmes réels. Finalement nous remercions toutes personnes qui a attribué de loin ou de proche dans la réussite de ce projet.

2013/2014

Page 46

BIBLIOGRAPHIE La sécurité informatique Eric LEOPOLD et Serge LHOSTE Que sais-je ? Halte aux hackers - Sécurité réseaux: secrets et solutions Stuart McClure, Joel SCAMBARY et George KURTZ CISCO, la sécurité des réseaux Vincent REMAZEILLES

Sites internet : www.cru.fr www.cnrs.fr www.symantec.com www.hackingexposed.com www.securiteinfo.com www.developpez.com www.secuser.com www.hoaxkiller.fr www.security.web-france.com www.cert.org …..

2013/2014

Page 47