Accs au rseau tendu Chapitre 4

* * * * * *

Identifier les menaces de scurit dans les rseaux des entreprises; Dcrire les mthodes permettant de faire face aux menaces de scurit dans ces rseaux Configurer la Scurit de base dun Routeur Dsactiver les interfaces et les services non utiliss du routeur Utiliser la fonction de verrouillage de Cisco SDM Grer des fichiers et des images logicielles laide du systme de fichier intgr (IFS) de Cisco IOS

* Augmentation des menaces

* Lvolution des types de menaces et dattaques

diffrents termes invents pour dsigner les individus impliqus dans ces malveillances.

1.Fouineur (white hat): individu qui recherche des vulnrabilits

dans des systmes ou rseaux et qui signale ces vulnrabilits leurs propritaires de manire ce quils puissent les liminer. Ils tendent gnralement scuriser les systmes informatiques, 2.Bidouilleur (hacker) : terme utilis dans le pass pour dsigner un expert en programmation. Actuellement, ce terme est utilis pour dsigner un individu qui tente daccder de manire non autorise aux ressources des rseaux avec une intention malveillante. 3.Pirate (black hat) : autre terme dsignant un individu qui utilise ses connaissances des systmes informatiques pour accder de manire non autorise pour un but personnel ou bnficiaire. cracker est synonyme de black hat .

1. 2. 3.

Pirate informatique (cracker) : terme le plus prcis dsignant une personne non autorise qui tente daccder aux ressources dun rseau avec des intentions malveillantes. Pirate tlphonique (phreaker) : individu qui manipule le rseau tlphonique pour le faire fonctionner dune manire interdite. Le but de ce pirate est de tlphoner sans payer. Spammeur : individu qui envoie une grande quantit de courriels non sollicits. Ils utilisent des virus pour prendre possession dordinateurs familiaux pour les utiliser dans leurs envois massifs. Hameonneur (phisher) : individu qui utilise le courriel ou dautre moyens pour amener par la ruse dautres utilisateurs leur fournir des donnes sensibles,(Nr carte de crdit,..). Le hameonneur se fait passer pour une institution de confiance qui aurait un besoin lgitime de ces donnes sensibles.

4.

* Pensez comme lassaillant

tente de compromettre le rseau

1.tape 1: Analyse dempreinte

rcuprer des donnes telles que les adresses IP des serveurs, etc... Ainsi, lassaillant peut laborer le profil ou lempreinte de la scurit de cette socit.

2.tape 2 : Enumration des informations.

surveiller le trafic du rseau laide dun analyseur de paquets (Wireshark). Ainsi il dtecte les numros de version des serveurs FTP et des serveurs de messagerie. La rfrence croise de ces informations avec des bases de donnes de vulnrabilit expose alors les applications de la socit des abus potentiels. mots de passe faciles casser.

3.tape 3: Manipulation des utilisateurs pour obtenir un accs

4.tape 4: Escalade des privilges. Une fois laccs de base obtenu,

lassaillant utilise ses comptences pour augmenter ses privilges daccs au rseau.

1. 2. 3.

tape 5: Collecte dautres mots de passe et secrets. Lassaillant se sert de ses talents pour accder des informations sensibles bien protges. tape 6: Installation de portes drobes qui permettent lassaillant dentrer dans le systme sans tre dtect. La porte drobe la plus courante est le port TCP ou UDP ouvert en coute. tape 7: Exploitation du systme compromis. Une fois quil a compromis un systme, lassaillant lutilise pour lancer des attaques vers dautres htes du rseau.

* Rseaux ouverts et rseaux ferms: Les modles de scurit des

rseaux visent atteindre un quilibre entre :

1.Louverture tout ce qui nest pas explicitement refus est permis 2.La restriction tout ce qui nest pas jug ncessaire est refus.

* Rseau ouvert

les risques de scurit sont vidents.

* Rseau ferm

les rgles sont sous forme dune stratgie de scurit tablie par des personnes de lorganisation.

* Rseau Restrictif

Un changement dans les rgles daccs peut tre aussi simple que de demander lactivation dun service un administrateur rseau.

* Dveloppement dune stratgie de scurit

* Premire tape quune organisation devrait entreprendre pour se
prmunir et protger ses donnes contre les risques

* RFC2196 stipule quune stratgie de scurit est une dclaration

formelle des rgles qui doivent tre respectes par les personnes qui ont accs aux ressources technologiques et aux donnes vitales de lentreprise .

* Une stratgie de scurit vise les buts suivants : 1.Informer les utilisateurs, le personnel et les responsables de leur
obligation de protger les donnes vitales et les ressources technologiques de lentreprise ;

2.Spcifier les mcanismes permettant de respecter ces exigences ; 3.Fournir une base de rfrence partir de laquelle acqurir, configurer
et auditer les systmes informatiques pour quils soient conformes la stratgie.

* Vulnrabilits 1.La vulnrabilit est le degr de faiblesse inhrent tout rseau ou

priphrique. 2.Les vulnrabilits ou faiblesses principales sont au nombre de trois : Faiblesses technologiques Faiblesses de configuration Faiblesses dans la stratgie de scurit

Les administrateurs rseau et les ingnieurs systme doivent connatrent les faiblesses de configuration pour configurer correctement leurs quipements informatiques et rseau.

ll existe des risques de scurit pour le rseau si les utilisateurs ne respectent pas la stratgie de scurit.

* Menaces pour linfrastructure physique: moins connue, mais

importante, est la menace qui plane sur la scurit physique des priphriques. 1.Menaces matrielles entranant des dommages physiques aux serveurs, routeurs, commutateurs, installations de cblage et stations de travail.

1.

Menaces environnementales : dues aux variations extrmes de la temprature ou du taux dhumidit.

1.

Menaces lectriques : provenant de pointes de tension, dune tension dalimentation trop basse, dune alimentation non filtre (bruit) et de la perte totale dalimentation.

1.

Menaces de maintenance: dues un traitement inadquat de composants lectriques essentiels (dcharge lectrostatique), au manque de pices de rechange critiques, un mauvais cblage et un mauvais tiquetage.

* Menaces envers les rseaux: les dlits peuvent tre regroups dans 4
catgories de menaces principales :

1.Menaces non organises proviennent pour la plupart dindividus

inexpriments qui utilisent des outils de piratage, et causent de srieux dommages aux rseaux.  Exemple: le piratage du site Web dune entreprise peut nuire la rputation de

cette entreprise, qui vu de lextrieur, est considr comme un environnement peu sr pour des activits commerciales.

2.Menaces organises: viennent dindividus isols ou en groupes, plus

motivs et techniquement comptents.  Utilisation des techniques de piratage volues .  Accs par intrusion des ordinateurs dentreprises ou dinstitutions

gouvernementales pour y commettre des actes de fraude, pour dtruire ou altrer des donnes, ou simplement pour semer le chaos. Ces groupes sont souvent impliqus dans des cas de fraude ou de vol signals aux organismes chargs de lapplication de la loi. Technique de piratage si complexe que seuls des enquteurs trs spcialiss arrivent comprendre ce qui se passe.

 

1.

Menaces externes: Proviennent dindividus ou dorganisations agissant depuis lextrieur dune entreprise  Accs partir dInternet ou de serveurs daccs commut.  degrs de gravit variables selon que lassaillant est un amateur (non organis) ou
un expert (organis).

2.

Menaces internes: quelquun dispose dun compte ou dun moyen daccs physique autoris au rseau.

* Piratage psychologique: La mthode de piratage la plus simple, ne

demande aucune comptence en informatique.

* Le hameonnage est un type de piratage psychologique

* Il existe 4 catgories principales dattaques. 1.Reconnaissance: Il sagit dune collecte dinformations qui, dans la
plupart des cas, prcde un autre type dattaque.

1.

Accs implique lutilisation dun moyen de piratage, dun script ou dun outil exploitant une vulnrabilit connue de ce systme ou de lapplication attaque.

1.

Dni de service dsactive ou altre un rseau, des systmes ou des services dans le but de refuser le service prvu aux utilisateurs normaux. Les attaques par dni de service sont les plus redoutes.

1.

Vers,virus et chevaux de troie: logiciels malveillants,installs sur un hte dans le but dendommager ou daltrer un systme, de se reproduire ou dempcher laccs des rseaux, systmes ou services.

1. *

Attaques de reconnaisance: elles peuvent avoir les formes suivantes : Demandes dinformations Internet: 1. Des assaillants externes utilisent des outils Internet (nslookup , whois) pour

dcouvrir facilement les adresses IP attribues une entreprise ou une entit donne. Une fois connues, des requtes ping sont lances vers les adresses publiquement accessibles pour dterminer celles qui sont actives.

2.

* *

Balayages ping: fping ou gping, qui envoie systmatiquement des requtes ping une plage dadresses ou toutes les adresses dun sous-rseau. Balayages de ports: 1. Nmap ou Superscan sont des exemples doutils de balayage conus pour dtecter
les ports ouverts sur un hte du rseau.

2.

Loutil de balayage interroge les ports pour connatre le type et la version des applications, ainsi que le type et la version du systme dexploitation en cours dexcution sur lhte.

Analyseurs de paquets: coute lectronique 1. Utilis par des pirates internes pour prparer des attaques 2. Deux utilisations courantes: La collecte dinformations : identifier des noms dutilisateur, des mots de passe ou
dautres informations vhicules par les paquets de donnes ;

Le vol de donnes : lorsque des donnes sont transmises sur le rseau interne ou externe. de crdit.

* 1. 2. 3.

3 mthodes sont utilises efficaces permettent de neutraliser lcoute lectronique :. Utilisation de commutateurs au lieu de concentrateurs diffuser le trafic tous les htes du rseau. viter de

Utilisation dune mthode de chiffrement qui rpond aux besoins de lentreprise sans imposer une charge excessive pour les ressources du systme et les utilisateurs. tablissement et mise en application de directives qui interdisent lutilisation de protocoles susceptibles dcoute lectronique. Par exemple, comme le protocole http

* 1.

Attaques daccs: Attaques de mot de passe :

Tentatives de connexion rptes une ressource partage,(serveur ou routeur) identifier un compte utilisateur, un mot de passe ou les deux. Ces tentatives rptes sappellent attaques par dictionnaire ou attaques en force. Les pirates utilisent des outils tels que L0phtCrack ou Cain. Ces attaques russissent souvent du fait que les utilisateurs ont tendance choisir des mots de passe simples Dautre attaque de mot de passe se base sur les tables arc-en-ciel rainbow tables Une table arc-en-ciel est une srie pr-calcule de mots de passe qui se construit en laborant des chanes de mots de passe possibles en texte clair. Il est possible de limiter les attaques de mot de passe en apprenant aux utilisateurs dfinir des mots de passe complexes et en spcifiant une longueur de mot de passe minimale.

* 1.

Attaques daccs: Exploitation de la confiance:

A pour but de compromettre un hte de confiance et de lutiliser ensuite pour lancer des attaques sur dautres htes du rseau.

2.

Redirection de port:
Le segment daccs public est gnralement appel zone dmilitarise (DMZ).

3.

Attaques par lhomme du milieu: man-in-the-middle ou MIM en anglais

Le pirate peut attraper une victime par hameonnage ou par le biais dun site Web contrefait. (Proxy transparent) LURL du site lgitime est alors prcde de lURL de lassaillant. Par exemple, http:www.legitime.fr devient http:www.assaillant.fr/http://www.legitime.fr.

* 1.

Attaques Dos: la plus rpandue et la plus difficile liminer. Ping fatal: trs rpandue la fin des annes 1990.
Le pirate modifiait la partie IP de len-tte dun paquet ping pour indiquer une quantit de donnes suprieure la quantit relle du paquet. Rsulat bloquer un ordinateur cible dancienne gnration. Actuellement la plupart des rseaux ne sont plus vulnrables ce type dattaque.

2.

Inondation SYN:

Attaques DDoS: des centaines des milliers de points dattaque tentent de submerger une cible.

1. 2. 3. 1. 2. 3. 4.

Une attaque DDoS comprend 3 lments. Le client est typiquement la personne qui lance lattaque. Le gestionnaire est lhte compromis qui excute le programme de lassaillant et qui est capable de commander plusieurs agents . Les agents sont des htes compromis qui excutent le programme de lassaillant et gnrent un flux de paquets dirig vers la victime choisie. Exemples dattaques DDoS : Attaque SMURF Tribe flood network (TFN) Stacheldraht MyDoom

Attaques de programmes malveillants:

1. 1.

Vers : son attaque est compose de trois phases. Activation de la vulnrabilit : Il sinstalle en exploitant les vulnrabilits dun systme. Mcanisme de propagation : laccs lhte tant acquis, le ver sy reproduit, puis slectionne dautres cibles. Charge : une fois lhte infect par un ver, lassaillant peut y accder, bien souvent en tant quutilisateur privilgi. Virus et chevaux de Troie

Scurit base sur les htes et les serveurs:

1. 2. 3. 4.

Durcissement des priphriques: linstallation dun nouveau systme dexploitation sur un ordinateur, les paramtres de scurit sont dfinis leur valeur par dfaut. Il convient de les personnaliser Logiciel antivirus: Il analyse les fichiers, et surveille les processus suspects. Pare-feu personnel: rside sur lordinateur de lutilisateur et tente dempcher les attaques. Correctifs du systme dexploitation: La meilleure faon de limiter les risques lis aux vers et leurs variantes consiste tlcharger les Maj de scurit du fournisseur du SE et dappliquer les correctifs aux systmes vulnrables.

* 1. 2.

Dtection des intrusions et mthodes de prvention Les systmes de dtection des intrusions (IDS) Les systmes de protection contre les intrusions (IPS)

Systme de dtection des intrusions install sur lhte: 1. La technologie passive: mthode de 1ire gnration, appelle systme de dtection

des intrusions install sur lhte (HIDS). Dtecte les attaques, envoie des donnes de journalisation une console de gestion.

2.

La technologie Active:technologie en ligne, appele systme de prvention contre les intrusions install sur lhte (HIPS), arrte lattaque, empche les dgts et bloque la propagation des vers et des virus.

Cisco fournit des systmes HIPS bass sur le logiciel Cisco Security Agent.

*
* 1. 2. 3. 4. 5. * *

Appareils et applications de scurit courants : Un pare-feu nest plus

suffisant pour scuriser un rseau. Il est indispensable dadopter une approche intgrant pare-feu, prvention contre les intrusions et rseau priv virtuel. Contrle des menaces : rgule les accs au rseau, isole les systmes infects, empche les intrusions et protge les biens en neutralisant le trafic malveillant,. Voici quelques priphriques: les plateformes Cisco ASA de la gamme 5500 ; les routeurs services intgrs (ISR) ; le contrle daccs au rseau (NAC) ; lagent de scurit Cisco pour ordinateurs de bureau ; les systmes Cisco de prvention contre les intrusions. Scurisation des communications : scurise les priphriques dextrmit par des rseaux privs virtuels (VPN). Contrle daccs au rseau (NAC) : procure une mthode base sur des rles pour prvenir les accs non autoriss au rseau.

* 1. 2. 3. 4.

Logiciel Cisco IOS sur les routeurs Cisco services intgrs (ISR) : Plateformes Cisco ASA de la gamme 5500: intgre dans un seul appareil un parefeu, ainsi que des services de scurit vocale, SSL et VPN IPSec, IPS, Capteurs Cisco IPS de la gamme 4200 utilis dans les rseaux de grande taille. Le capteur identifie, catgorise et arrte le trafic malveillant du rseau. Appareil Cisco NAC: utilise linfrastructure du rseau pour faire respecter la stratgie de scurit sur tous les priphriques qui tentent daccder aux ressources informatiques du rseau. Agent de scurit Cisco (CSA) : comporte des fonctions de protection contre les menaces pour les serveurs, les ordinateurs de bureau etc

La stratgie de scurit est un moyeu auquel se rattachent les quatre rayons ou tapes de la roue de la scurit.

* 1. 2. * *

tape 1 : scurisation Protection contre les menaces Inspection dynamique et filtrage des paquets tape 2 : surveilance La mthode active la plus courante est laudit des fichiers journaux des htes tape 3 : test consiste tester de manire proactive les mesures de scurit. Les outils dvaluation de la vulnrabilit, tels que SATAN, Nessus ou Nmap, permettent de tester priodiquement les mesures de scurit au niveau du rseau et de lhte. tape 4 : amlioration comprend lanalyse des donnes collectes pendant les phases de surveillance et de test. Le maintien dun rseau dans un tat aussi scuris que possible impose de rpter continuellement le cycle de la roue de la scurit, car de nouvelles vulnrabilits et de nouveaux risques apparaissent tous les jours.

* 1. 2. 3. 4. 5. 6. *

Quest-ce quune stratgie de scurit? Elle fournit les moyens dauditer la scurit dun rseau et de comparer les exigences de scurit avec ce qui est en place. Elle permet de planifier des amliorations de scurit, notamment en matire dquipements, de logiciels et de procdures. Elle dfinit les rles et responsabilits des cadres, des administrateurs et des utilisateurs. Elle dfinit les comportements autoriss et ceux qui ne le sont pas. Elle dfinit une procdure de traitement des incidents de scurit. Elle constitue la base dactions en justice lorsque cela savre ncessaire Fonctions dune stratgie de scurit

Stratgies spcifiques concernant le courriel: 1. Stratgie denvoi automatis : rgles limitant lenvoi sans passer par la direction 2. Stratgie de messagerie lectronique :dfinit des normes sur le contenu des courriels 3. Stratgie sur le courrier indsirable : dfinit comment le courrier indsirable doit tre signal et
trait.

Stratgies daccs distance: 1. Stratgie daccs des appels entrants : dfinit les rgles daccs des appels entrants et leur
utilisation

2. 3.

Stratgie daccs distance : dfinit les normes de connexion au rseau de lentreprise partir de tout hte ou rseau externe. Stratgie de scurit des rseaux privs virtuels : dfinit les critres de connexion de rseaux privs virtuels au rseau de lentreprise.

* 1. 2. 3. 4.

Scurisation de votre rseau : Les routeurs situs en priphrie du rseau est la premire tape de la scurisation. Scurit physique Mise jour du logiciel IOS du routeur chaque fois quelle est conseille Sauvegarde de la configuration du routeur et de son logiciel IOS Durcissement du routeur pour liminer labus ventuel des ports et des services inutiliss Disposer dun plan pour toutes les tapes de configuration pour protger lIOS

* 1. 2. 3. 4. 5. 6. * *

La scurisation de base dun routeur recommandations

des mots de passe. Voici quelques

Ne notez pas les mots de passe sur des bouts de papier conservs des endroits visibles sur votre bureau ou sur votre moniteur. vitez dutiliser les mots dun dictionnaire, noms, Nr de tlphone et dates. Utilisez une combinaison de lettres, de chiffres et de symboles. Faites volontairement des fautes dorthographe. Smith peut scrire Smyth ou comprendre un chiffre comme dans 5mYth. Composez de longs mots de passe. Changez les mots de passe aussi souvent que possible. Selon votre stratgie. Phrases de passe Pour des mots de passe forts et complexes utiliser des phrases de passe.

*
* * * * *

Par dfaut, le logiciel Cisco IOS affiche les mots de passe en texte clair
R1(config)# username Student password cisco123 R1(config)# do show run | include username username Student password 0 cisco123 R1(config)# Le 0 indique que le mot de passe nest pas masqu

* * * *

Pour scuriser les accs administratifs aux routeurs et aux commutateurs:

1. 2.

Scuriser les lignes dadministration (VTY, TTY, AUX), Configurer le priphrique rseau de manire chiffrer le trafic dans un tunnel SSH.

Cette connexion peut seffectuer avec les protocoles Telnet, Secure Shell (SSH), HTTP, HTTP scuris (HTTPS) ou SNMP. Les lignes TTY permettent un accs asynchrone au routeur au moyen dun modem Empcher les sessions commande no password et login

Contrle des lignes VTY commande transport input

* *

Fixer des dlais dattentes commande exec-timeout Activation du test dactivit TCP commande service tcp-keepalives-in

* * * * *

Configurer des listes de contrle daccs avec la commande ip access-class sur la dernire ligne VTY maintenir une ligne pour des connexions dadministrateurs Mise en SSH uvre du protocole SSH pour scuriser laccs administratif distance port TCP Nr22

IOS Images cryptographiques le permettent. Les noms de ces images logicielles contiennent les identifiants k8 ou k9. Laccs par une ligne de terminal SSH permet aux administrateurs 1. Connexion un routeur dot de plusieurs lignes de terminal relies des consoles ou aux ports
srie dautres routeurs, commutateurs et priphriques.

2. 3. 4.

Connexion simplifie un routeur depuis nimporte quel endroit par une liaison spcifique au serveur de terminaux. Raccordement de modems aux routeurs utiliss pour des communications sortantes scurises. Authentification exige sur chaque ligne par un nom dutilisateur et un mot de passe dfinis localement ou par un serveur de scurit comme les serveurs TACACS+ ou RADIUS.

Configuration de la scurit SSH

Pour vous connecter un routeur configur en SSH, utilisez une application cliente SSH comme PuTTY ou TeraTerm. Choisissez loption SSH et utilisez le port TCP 22.

* * * *

Les journaux permettent de vrifier le fonctionnement dun routeur, de dterminer sil a t compromis ou non. Les routeurs prennent en charge diffrents niveaux de journalisation. De 0 (urgences indiquant que le systme est instable) 7 (messages de dbogage reprenant toutes les donnes de routage). Les journaux peuvent tre transfrs diffrents emplacements, comme la mmoire du routeur ou un serveur Syslog spcialis. Kiwi Syslog Daemon est un exemple dapplication du type serveur Syslog.

Aperu gnral des services vulnrables des routeurs pour ces services.

mthode recommande

* * * * * * *

La dsactivation de services ncessite diffrentes commandes: Configuration distance Routage sans classe Interfaces inutilises Pas dattaques SMURF Routage ad hoc : no service config. Routage par la source no ip source-route. no ip classless. shutdown. no ip directed-broadcast.

no ip proxy-arp.

* * * * *

SNMP il convient dutiliser la version 3 NTP dsactivez le protocole NTP (protocole de synchronisation des horloges des routeurs), si pas dhirarchie NTP sur le rseau DNS dsactivez la rsolution de noms DNS avec la commande no ip domainlookup DNS de base pas dauthentification ou dintgrit. Par dfaut, les demandes dadresse sont envoyes ladresse de diffusion 255.255.255.255.

* *

Prsentation de lauthentification des protocoles de routage: En gnral, les systmes de routage peuvent tre attaqus de deux faons : 1. Interruption entre homologues la moins critique 2. Falsification des informations de routage plus subtile vise causer un dni de service , acheminer

2. Redirection du trafic pour pouvoir le surveiller sur une liaison non fiable. 3. Redirection du trafic pour le rejeter.

le trafic par un chemin quil naurait pas suivi dans des conditions normales etc Redirection du trafic pour crer des boucles, comme illustr dans la figure.

par consquent:

Configuration de RIPv2 avec authentification du protocole de routage

Configuration de EIGRP et OSPF avec authentification du protocole de routage

La commande Auto secure de cisco dsactive certains services et processus non essentiels du systme.

Cisco Router and Security Device Manager (SDM)

* * * *

tape 1. Accdez linterface ILC du routeur Cisco laide de la connexion de console ou Telnet. tape 2. Activez les serveurs HTTP et HTTPS sur le routeur. tape 3. Crez un compte utilisateur avec niveau de privilge 15 (activez les privilges). tape 4. Configurez SSH et Telnet pour une session locale avec niveau de privilge 15.

* * *

tape 1. Pour lancer Cisco SDM, utilisez le protocole HTTPS et

tapez ladresse IP du routeur dans le navigateur. privilgi du routeur

tape 2. Entrez le nom dutilisateur et le mot de passe du compte tape 3. Garder la fentre du programme Javascript ouverte

pendant lexcution de Cisco SDM.

 

tape 1. Cliquez sur la tche Security Audit tape 2. Lassistant vrifie si la configuration de votre routeur

prsente des problmes de scurit potentiels et effectue automatiquement les changements de configuration ncessaires .

 

Priodiquement il convient de faire des MAJ ou des mises niveau du systme et du fichier de configuration Cisco vous recommande de suivre une procdure de migration en quatre phases.
1. 2. 3. 4. Planification Conception Mise en uvre Exploitation

    

Lexpression tftp: ou flash sappelle le prfixe. Tout ce qui se trouve aprs la double barre oblique (//) dfinit lemplacement. 192.168.20.254 est lemplacement du serveur TFTP. Le rpertoire principal correspond configs . Le nom de fichier est backup-configs




Sauvegarde et mise niveau de limage logicielle

Etape1

Etape2.

Etape3

Mise niveau des images du logiciel Cisco IOS

Utilisation slective et temporaire de commandes debug vous permet dobtenir des informations utiles .

Commandes associes debug

Prparation du priphrique