Objectifs spécifiques : permettre aux étudiants de comprendre la sécurité réseau et d’implémenter

quelques solutions.

Contenu :
À la fin de ce cours, l’étudiant doit être à mesure de :

D’expliquer le fonctionnement de quelques techniques de sécurité réseaux

Connaitre comment configurer les VPN, les listes de contrôle d’accès, les VLAN et les pare feu

Introduction
Les réseaux informatiques permettent aujourd’hui à toute entité de pourvoir communiquer avec
n’importe quelle autre à travers le monde. Il faut cependant trouver des solutions non seulement pour protéger
les communications mais aussi les différentes ressources locales et partagées du réseau. Le but de ce cours
est donc de connaitre ces solutions et de pouvoir les implémenter.

TAF : définir Réseau, sécurité réseau, protocole de sécurité

1. Principe général
On sécurise un réseau informatique pour protéger les ressources qui s’y trouvent, on peut citer
des serveurs, des routeurs, des postes de travail et des informations diverses capitales pour l’entreprise. La
sécurité est d’abord interne avant d’être externe. L’on doit d‘abord commencer à craindre son collègue de
bureau avant de craindre l’ennemi de l’extérieur. La sécurité réseau est basée sur les droits d’accès qu’ont
des utilisateurs par rapport aux ressources du réseau. Lorsqu’une ressource est partagée, les restrictions et les
autorisations s’imposent aux différents utilisateurs par rapport à cette ressource. Il en va de même avec le
réseau tout entier. Ce dernier doit être protégé contre toutes les menaces qui pèsent sur lui. Pour bien sécuriser
son réseau, une bonne politique de sécurité doit être pensée et déployée afin de restreindre l’accès aux
personnes non autorisées.

2. Quelques outils de sécurité

Pour sécuriser un réseau interne, on utilise généralement les outils de sécurité tels :

1
 Les antivirus
Les outils de détection d’intrusion dont le rôle est de détecter une attaque et d’alerter
l’administrateur, ou de détecter toute autre activité normale ou anormale du réseau

2
Cours Sécurité Informatique

Les pare feu dans lesquels sont écrites des règles de sécurité visant à protéger le
réseau contre les accès externes

Les outils de prévention d’intrusion dont le rôle est de détecter, bloquer une attaque
et d’alerter l’administrateur ;

Les listes de contrôle d’accès qui sont des règles écrites dans un routeur pour gérer
le réseau interne.

2.1. Les antivirus

Un logiciel antivirus est une application indépendante ou suite de programmes capables

de
détecter et supprimer des virus présents sur des ordinateurs et réseaux. Les logiciels antivirus
modernes protègent aussi vos appareils contre tout type de logiciel malveillant, notamment des
vers informatiques, chevaux de Troie, publiciels, logiciels espion, pirates de navigateur,
enregistreurs de frappe et rootkits.

Fonctionnement :

Lorsque vous effectuez un scan à la recherche d’un virus, votre programme

antivirus balaye votre disque dur ainsi que tous les appareils de stockage externes
qui y sont reliés. Le programme inspecte chaque fichier individuel et compare
simultanément ses résultats dans sa base de données de virus connus pour détecter
une menace potentielle. Le cas échéant, en fonction de la gravité de la menace, il
peut supprimer, mettre en quarantaine ou réparer le fichier infecté. Le programme
surveille aussi le comportement de tous les logiciels installés sur votre ordinateur à
la recherche de signes indicateurs de danger.

2.2. La détection d’intrusions (IDS/IPS)

La détection des intrusions regroupe les méthodes et les systèmes capables de détecter
les actes
de malveillance ou tout simplement des actes qui ne sont pas conformes à la « politique de
sécurité. Un outil de détection d’intrusion (IDS) permet donc à un administrateur réseau de
déceler tout comportement anormal ou trafic suspect. On en distingue trois variantes :

Proposé par Mme. ANGA Orcelie Page 3

Cours Sécurité Informatique

Le système : l’IDS a alors pour but d’analyser le fonctionnement du système. On

parle de HIDS (Host Intrusion Detection System) ;

Le réseau : l’IDS anayse le trafic réseau afin de détecter des communications non
autorisées.
On parle de NIDS (Network Intrusion Detection System) ;
Les systèmes et les réseaux : on prle d’IDS hybrides ; Ils combinent des HIDS et des NIDS

Fonctionnement d’un IDS

Collecte d’informations : elle peut être réalisée par divers dispositifs d’acquisition
de données tels que les sondes ;

Analyse des informations collectées : ces dernières sont comparées à des données
déjà connues (données de référence) permettant de juger du caractère hostile du
trafic ou du processus

Réaction : en cas de détection d’une anomalie, l’IDS peut déclencher une alerte
(logs, SMS, mail, téléphone, etc.) et apporter une réponse s’il y en a une qui est
prévue.

Après comparaison avec des données de référence, l’analyse doit permettre de dire
si le fonctionnement anormal est détecté ou pas.

Dans certains cas, le système peut se tromper et générer :

 Des faux-positifs : une anomalie ou une attaque est détectée alors qu’il n’en
est rien (on est face à une situation non hostile, mais peut-être peu
habituelle) ;

 Des faux-négatifs : l’IDS ne déclenche pas d’alerte alors qu’on est en

présence d’un risque pour le système (présence d’une attaque par exemple)

Les faux-positifs et faux-négatifs doivent être minimisés !

Proposé par Mme. ANGA Orcelie Page 4

Cours Sécurité Informatique

Différence entre IDS et IPS

Les IDS et IPS sont des dispositifs de sécurité qui s’intéressent aux intrusions ayant
traversé les pares-feux ;

Ils sont donc localisés à l’intérieur du réseau l’IDS détecte des instruisons ou des
anomalies dans le système ou le réseau et envoie des notifications ou alertes ;

L’IPS, en plus de réaliser une IDS peut réagir activement en bloquant par exemple un
trafic.

Exemples d’IDS/IPS : SNORT, BRO, OSSEC, SURICATA

2.3. Les pares feux

2.3.1. Rôles d’un pare-feu

Le pare-feu (en anglais firewall) est une protection située à l'entrée du réseau et sur les
ordinateurs, visant à empêcher toute intrusion sur le réseau. Un pare-feu surveille simplement
le trafic entrant et sortant sur un appareil, en recherchant tout signe d’activité malveillante. S’il

Proposé par Mme. ANGA Orcelie Page 5

Cours Sécurité Informatique

détecte quelque chose de suspect, il le bloque instantanément pour l’empêcher d’atteindre sa

destination. Il joue un rôle capital dans un réseau informatique :

Les intrusions : Les pare-feu empêchent les utilisateurs non autorisés d’accéder
à votre ordinateur ou à votre serveur à distance et de faire ce qu’ils veulent.

Les logiciels malveillants (malware) : Les attaquants qui parviennent à

s’infiltrer peuvent envoyer des logiciels malveillants pour vous infecter ou
infecter votre serveur. Les logiciels malveillants peuvent voler des informations
personnelles, se propager à d’autres utilisateurs ou endommager votre ordinateur
de toute autre manière.

Des attaques par force brute : Tentatives de pirates informatiques pour essayer
des centaines de combinaisons d’identifiants et de mots de passe afin de
découvrir vos informations de connexion d’administrateur (ou d’autres
utilisateurs).

Attaques DDoS : Les pare-feu (en particulier les pares-feux d’applications web)
peuvent tenter de détecter l’afflux de faux trafic qui se produit lors d’une attaque
DDoS.
2.3.2. Les fonctionnalités d’un pare-feu

Selon les fonctionnalités prises en charge par le pare-feu, le trafic peut être autorisé ou bloqué
par diverses techniques qui offrent différents niveaux de protection : Filtrage des entrées de la
carte réseau, Filtrage statique de paquets, Traduction d'adresses réseau (NAT), Inspection
dynamique, Analyse des circuits, Filtrage applicatif.

[Link]. Filtrage des entrées de la carte réseau

Le filtrage des entrées de la carte réseau consiste à examiner les adresses source ou
destination
et d'autres informations contenues dans le paquet entrant, puis à bloquer le paquet ou l'autoriser
à continuer. Il ne s'applique qu'au trafic entrant et ne peut pas contrôler le trafic sortant. Il
examine les adresses IP et les numéros de port afin d'identifier les protocoles UDP et TCP, ainsi
que le protocole du trafic, TCP, UDP et GRE (Generic Routing Encapsulation). Le filtrage des
entrées de la carte réseau permet de refouler rapidement et efficacement les paquets entrants
standard qui répondent aux critères configurés dans le parefeu. Cependant, ce type de filtrage

Proposé par Mme. ANGA Orcelie Page 6

Cours Sécurité Informatique

est facile à contourner, car il n'examine que les en-têtes du trafic IP, partant du principe que
le trafic filtré est conforme aux standards IP et qu'il n'a pas été manipulé pour contourner le
filtrage.

[Link]. Filtrage statique de paquets

Le filtrage statique de paquets ressemble au filtrage des entrées de la carte réseau

dans la mesure
où il n'examine que les en-têtes IP afin de déterminer si le trafic doit être autorisé à traverser
l'interface ou non. Toutefois, ce type de filtrage permet de contrôler les communications
entrantes et sortantes. De plus, il permet de vérifier que le bit ACK (ACKnowledged) est défini
dans l'en-tête IP. Le bit ACK identifie le paquet comme une nouvelle requête ou comme un
retour d'une requête initiale. Il ne vérifie pas que le paquet a été envoyé par la carte qui le reçoit.
Il contrôle simplement si le trafic qui arrive au niveau de la carte est un trafic de retour, suivant
les conventions applicables aux en-têtes IP.

Cette technique ne s'applique qu'au protocole TCP, et non au protocole UDP. À

l'instar du
filtrage des entrées de la carte réseau, ce type de filtrage est extrêmement rapide, mais ses
capacités sont limitées et il peut être contourné en manipulant le trafic.

[Link]. Translation des adresses réseau

Dans la gamme mondiale des adresses IP, certaines adresses sont désignées comme
des adresses
privées. Ces adresses sont destinées à être utilisées au sein de votre entreprise et ne représentent
rien vis-àvis d'Internet. Le trafic à destination de ces adresses IP ne pouvant pas être acheminé
par Internet, l'affectation d'adresses privées aux périphériques internes permet de limiter les
risques d'intrusion. Cependant, ces périphériques internes ayant souvent besoin d'accéder à
Internet, la technologie NAT (Network Address Translation) convertit les adresses privées en
adresses Internet.
Bien que la technologie NAT ne constitue pas à proprement parler une technologie de pare-
feu,
la dissimulation de l'adresse IP réelle d'un serveur empêche les agresseurs d'obtenir des
informations précieuses sur le serveur.

Proposé par Mme. ANGA Orcelie Page 7

Cours Sécurité Informatique

[Link]. Inspection dynamique

L'inspection dynamique consigne la totalité du trafic sortant dans une table des états.
Lorsque le
trafic de connexion retourne à l'interface, la table des états est contrôlée afin de vérifier qu'il
provenait bien de cette interface. L'inspection dynamique est légèrement plus lente que le
filtrage statique des paquets. Cependant, elle garantit que le trafic ne passe que s'il correspond
aux requêtes de trafic sortant. La table des états contient des informations telles que l'adresse
IP de destination, l'adresse IP source, le port appelé et l'hôte d'origine.

La quantité d'informations (telles que les fragments IP envoyés et reçus) consignées

dans la table
des états varie d'un pare-feu à l'autre. Le pare-feu peut vérifier que le trafic est traité lorsque
tout ou partie des informations fragmentées revient. En général, la fonctionnalité d'inspection
dynamique contribue à atténuer les risques engendrés par la reconnaissance du réseau et
l'usurpation d'adresse IP.

[Link]. Analyse des circuits

Le filtrage des circuits permet d'analyser les sessions, et non plus seulement les
connexions ou
les paquets. Une session peut comprendre plusieurs connexions. À l'instar du filtrage de paquets
dynamique, les sessions sont uniquement établies en réponse à une demande d'un utilisateur.
Le filtrage de circuit prend en charge les protocoles avec connexions secondaires, comme FTP
et le flux multimédia en continu. Il contribue à réduire les risques d'attaque par reconnaissance
du réseau, DoS et usurpation d'adresse IP.

[Link]. Filtrage de la couche applicative

Le filtrage de la couche applicative constitue le niveau d'inspection du trafic le plus

sophistiqué. Des filtres d'application performants permettent d'analyser un flux de données pour
une application particulière et de proposer un traitement spécifique à l'application. Ce traitement
comprend l'inspection, le filtrage ou le blocage, le réacheminement et la modification des
données qui traversent le pare-feu. Ce mécanisme permet notamment de se protéger contre des
commandes SMTP non sécurisées ou des attaques contre des DNS (Domain Name System)
internes. Vous pouvez généralement ajouter à votre pare-feu des outils de filtrage de contenu

Proposé par Mme. ANGA Orcelie Page 8

Cours Sécurité Informatique

provenant d'autres fournisseurs, par exemple pour la détection des virus, l'analyse lexicale et la
catégorisation des sites. Un pare-feu applicatif est capable d'examiner de nombreux protocoles
différents en fonction du trafic qui le traverse.

Le pare-feu applicatif contribue à réduire les risques liés aux attaques par usurpation
d'adresse IP, DoS, reconnaissance du réseau, chevaux de Troie et certaines attaques de la couche
applicative. Les inconvénients d'un pare-feu applicatif sont qu'il nécessite une capacité de
traitement importante et qu'il est généralement plus lent à acheminer le trafic que les pares-
feux par filtrage dynamique ou statique. Les performances du pare-feu au niveau de la couche
applicative sont déterminantes dans l'utilisation d'un parefeu applicatif.

Le filtrage de la couche applicative est couramment utilisé pour protéger les services
accessibles
au public. Si votre entreprise possède une boutique en ligne qui collecte des numéros de carte
de crédit et d'autres informations personnelles sur les clients, la prudence exige de prendre un
maximum de précautions pour protéger ces informations. Le filtrage de la couche applicative
garantit que le trafic qui passe par un port est acceptable. Contrairement au filtrage statique ou
dynamique des paquets, qui se contente d'examiner le port et l'adresse IP source et destination,
le filtrage de la couche applicative examine les données et les commandes entrantes et sortantes.

Source : [Link]

3. Le contrôle d’accès
3.1. Definitions

« Un modèle de contrôle d'accès est un formalisme (souvent mathématique) permettant

d'exprimer les droits d'accès des sujets (ou acteurs) sur les objets ». Une politique de contrôle
d’accès permet de définir les règles à respecter afin de garantir un accès sécurisé aux
informations confidentielles. Le contexte comprend :

Authentification : composant qui vérifie que les Identifiants de l’utilisateur

sont valides ;
Autorisation (gestion des) : vérifications des droits ou autorisations à exécuter
des opérations sur les ressources du système ;

Proposé par Mme. ANGA Orcelie Page 9

Cours Sécurité Informatique

Audit : Composante qui garde des traces des opérations effectuées (Sujets,
Objets,Date).
L’audit est important en ce sens qu’il permet de faire Une évaluation du contrôle
d’accès,
Une détection de violation de mesures de sécurité, Une recommandation
d’améliorations futures

3.2. Les politiques de contrôle d’accès

On distingue plusieurs politiques de contrôle d’accès. Dans le cadre de ce cours, nous allons
voir les politiques de contrôle d’accès DAC, MAC, RBAC et ABAC.

3.2.1. La méthode d’accès DAC (Discretionary Access Control)

La politique de contrôle d’accès discrétionnaire est basée sur l’identité du sujet et les
règles
d’autorisation qui lui sont prédéfinies, les autorisations d’accès à chaque objet sont manipulées
librement par le responsable de l’objet (généralement le propriétaire), les autorisations peuvent
être accordées, selon sa volonté, par ce responsable à tout autre sujet. Exemples de cas
d’utilisations : les SGBD, les OS, les ACLs
Avantages

Facile à manipuler
Flexible
Adoptée par la majorité des systèmes commerciaux de nos jours (SGBD, Systèmes
d’exploitation, etc.)

Inconvénients

Manque de contrôle de fuite d’informations confidentielles (vulnérables aux

attaques par
chevaux de Troie et aux utilisateurs malveillants).

3.2.2. La méthode d’accès MAC (Mandatory Access Control)

La politique de contrôle d’accès mandataire est définie par MAC = DAC + (Règles
(contraintes)

Proposé par Mme. ANGA Orcelie Page 10

Cours Sécurité Informatique

obligatoire), elle mpose des règles d’autorisation incontournables qui s’ajoutent aux règles
discrétionnaires, spécifie l’accès en se basant sur des classifications associées aux sujets et aux
objets. On s’y réfère souvent par Sécurité à Multi niveaux (MLS) et est utilisée pour protéger
les informations dotées d’une importance élevée (domaine militaire).

Exemple : Un utilisateur sera autorisé à manipuler une information dans le système s’il
possède le droit de lecture sur l’information (contrôle discrétionnaire) et s’il a un niveau de
sécurité plus élevé que celui de l’information en question (contrôle obligatoire).

Avantages

Adopté dans les domaines militaires

Sécurité et confidentialité renforcées
Lutter contre les fuites d’informations

Inconvénients

Difficile à manipuler
Couteuse au niveau de l’implémentation

3.2.3. La méthode d’accès RBAC (Role Based Access Control)

Un des problèmes majeurs des politiques discutées précédemment revient à gérer

un grand
nombre d’objets et de sujets (nombre d’autorisations qui augmente, la manipulation des
autorisations devient compliquée) d’où la nécessité d’adopter une politique de contrôle d’accès
facile à manipuler mais en même temps flexible et adéquate, en l’occurrence la politique de
contrôle d’accès à base de rôles.

Fonctionnement :
Un rôle représente de façon abstraite une fonction identifiée dans l’organisation
(Employé, directeur technique, directeur, etc.)

L’association des permissions (autorisations) se fait pour chaque rôle et non pour
chaque utilisateur

Proposé par Mme. ANGA Orcelie Page 11

Cours Sécurité Informatique

Chaque utilisateur est associé à un (ou plusieurs) rôle(s) englobant ses fonctions
au sein de l’organisation

Avantages

La manipulation des autorisations est facile

Le modèle sert à grouper les règles d’autorisation selon les positions (job) dans
une organisation

Inconvénient

Un grand nombre de rôles implique tout de même une complexité de gestion

3.2.4. La méthode d’accès ABAC (Attribute-Based Access Control)

Politique de contrôle basée sur les attributs des utilisateurs, des ressources et des conditions de
l’environnement. Politique d’accès définie par des conditions sur les attributs des sujets ou
objets (ressources).

Avantages

Utilisation des
autorisations facile Plus
sécurisante

Inconvénient

Difficile à mettre en place

4. Les listes de contrôle d’accès

Une ACL est une liste de règles permettant de filtrer ou d’autoriser du trafic sur une
ressource
(une ressource peut être un réseau, un ordinateur, un protocole, un serveur, une donnée ou
n’importe quel autre service réseau) en fonction de certains critères (IP source, IP destination,
port source, port destination, protocole, …). Une ACL permet de soit autoriser du trafic (permit)
ou de le bloquer (deny). Il est possible d’appliquer au maximum une ACL par interface et par

Proposé par Mme. ANGA Orcelie Page 12

Cours Sécurité Informatique

sens (input/output). Une ACL est analysée par l’IOS de manière séquentielle. Dès qu’une règle
correspond au trafic, l’action définie est appliquée, le reste de l’ACL n’est pas analysé. Donc
tout trafic ne correspondant à aucune règle d’une ACL est rejeté.

On distingue trois types d’ACL : les ACL standards, les ACL étendues et les ACL
nommées
Une ACL est dite standard lorsque le filtre se fait uniquement sur l’adresse IP source.
Elle est
dite étendue lorsqu’en plus de l’adresse IP source, on filtre également l’adresse IP de
destination, le protocole utilisé ainsi que les numéros de port des applications qui
communiquent en réseau.

On utilise les numéros pour distinguer les ACL dans un routeur. Les numéros allant de 1
à 99 et
de 1300 à 1999 sont utilisés pour les ACL standards et ceux allant de 100 à 199 et de 200 à
2699 pour les ACL étendues.

Les ACL nommées

Comme vous le savez, toutes les listes d’accès doivent être identifiées par un nom
ou un numéro. Ce type de liste d’accès est plus pratique, car on peut spécifier un nom significatif
qui est facile à retenir et associer à une règle. Les ACL nommées peuvent correspondre aux
mêmes champs qu’une ACL standard et étendue, cependant, elles présentent trois grandes
différences par rapport aux listes de contrôles d’accès numérotées, voyons cela ensemble :

L’utilisation de noms au lieu de chiffres pour identifier la liste ACL facilite la

mémorisation et l'identification de l'ACL.

Utilisation de sous-commandes ACL, et non de commandes globales, pour définir

l'action et les paramètres correspondants.

Utilisation des fonctionnalités d'édition de l'ACL qui permettent de supprimer des

lignes individuelles de l'ACL et d'insérer de nouvelles instructions à une liste
d'accès nommée.

Les ACL sont configurées par protocole, par direction, par adresse et par interface. Pour
bien

Proposé par Mme. ANGA Orcelie Page 13

Cours Sécurité Informatique

configurer une ACL, on doit être capable de répondre aux quatre questions suivantes :

1) De quel type d’ACL s’agit-il ?

2) Dans quel routeur doit-on écrire cette ACL ?
3) Sur quelle interface doit-on appliquer l’ACL ?
4) Quelle est la direction du Traffic

NB1 : on écrit une ACL standard dans le routeur le plus proche de la destination et une ACL
étendue dans le routeur le plus proche de la source.

NB2 : un Traffic est dit entrant dans un routeur, lorsque le message qui est transmis part d’un
hôte pour le routeur. Il est dit sortant lorsqu’il part du routeur pour l’hôte.

NB3 : la commande « in » est utilisée lorsque le Traffic est entrant et « out » lorsque le traffic
est sortant

NB4 : les ACL s’exécutent séquentiellement c'est-à-dire de la première à la dernière instruction.

Ainsi, il faut toujours écrire les règles les plus spécifiques avant les règles les plus génériques.
À travers la commande « implicit deny », les ACL rejettent par défaut tout ce qui n’a pas été
autorisé par l’administrateur réseau.

Syntaxe des ACL

- ACL standard

access-list n°_ACL {deny | permit} adresse d’origine

masque générique access-list n°_ACL {deny | permit}
any interface [interface]

ip access-group N°_ACL {in | out}

- ACL étendu
access-list N°_ACL {permit | deny} protocol adresse_IP_origine masque_générique
adresse_destination masque_générique operateur_operande [N°_port]

access-list N°_ACL {permit | deny} protocol adresse_IP_origine masque_générique

adresse_destination

Proposé par Mme. ANGA Orcelie Page 14

Cours Sécurité Informatique

masque_générique operateur_operande [N°_port]

interface [interface]
ip access-group access-list-number {in | out}

Operateur operande : lt, gt, eq neq suivi d’un numéro de port

Lt pour lower than (plus petit que)

Gt pour greater than (plus grand que)

Eq pour equal (égal à)

Neq pour non equal (différent de)

Established permet au trafic TCP de passer si les bit ACK sont activées.

Les commandes host et any

• Ces deux commandes sont des abréviations permettant de simplifier la lecture ainsi que l’écriture

des listes de contrôle d’accès :

- any : n’importe quelle adresse (équivaut à [Link] [Link])

- host : abréviation du masque générique Ex: host [Link] équivaut à [Link] [Link]

Proposé par Mme. ANGA Orcelie Page 15

Cours Sécurité Informatique

Proposé par Mme. ANGA Orcelie Page 16

Cours Sécurité Informatique

Proposé par Mme. ANGA Orcelie Page 17

Cours Sécurité Informatique

Conclusion

En guise de conclusion, nous pouvons dire avoir abordé quelques notions de sécurités
réseau. Il est à retenir qu’une sécurité réseau à en place dépend de plusieurs facteurs ;
notamment de la politique de sécurité de l’entreprise en général, de la taille du réseau, des
technologies utilisées, etc. en particulier.

Proposé par Mme. ANGA Orcelie Page 18