Rapport stage Dess Isa



Yüklə 0,52 Mb.
səhifə3/13
tarix02.11.2017
ölçüsü0,52 Mb.
#27769
1   2   3   4   5   6   7   8   9   ...   13

1.2 Contexte du stage

1.2.1Objectif du stage


J'ai effectué mon stage au sein du département Réseau et Services Multimédias (RSM) sous la responsabilité de Monsieur Sylvain Gombault. Mon stage a débuté le 11 juin 2004 et s’est terminé le 15 octobre 2004.
Mon premier projet consistait au déploiement du système de détection d’intrusion développée à l’ENST de Bretagne DIAMS1. Le déploiement de DIAMS se décline en fait en plusieurs tâches : création d’un fichier exécutable, installation des machines virtuelles, configuration d’une base de données postgresql, configuration d’une liaison SSH. Ce projet a donné lieu à une présentation pour EADS(European Aeronautic Defence and Space), le 5 septembre dernier.
La deuxième partie de mon stage porta sur la définition de politiques de sécurité réseau. Mon travail consistait dans un premier temps à effectuer une recherche bibliographique ciblée sur différents pare-feu. Puis dans un second temps, à générer à partir d’un modèle de politique de sécurité des règles pour ces pare-feu. J’ai pris connaissance du modèle de politique de sécurité développé à l’ENST « Or-Bac ». Pour parvenir à configurer des pare feu, une approche a été proposée, elle comporte deux étapes. La première étape consiste à exprimer Or-Bac dans un langage intermédiaire. Ce premier langage permet de rendre générique la génération des règles de contrôle d’accès. La seconde étape dépend avant tout du firewall choisi, et elle consiste à traduire le langage intermédiaire en règles spécifique pour les pare feu. Les traductions se font à l’aide de transformations en XSLT2.

1.2.2Plan du document


Ce rapport propose en premier lieu une introduction à la sécurité des réseaux, il décrit ensuite le déploiement de la plate forme DIAMS. Les deux chapitres suivants présentent le modèle Or-bac et les pare-feu. Chaque chapitre décrit les spécifications et les études effectuées. La partie la plus concrète du travail concerne la génération de règles pour Planets3 et les études effectuées sur Firewall Builder4[4]. A la fin du document se trouvent les annexes et une liste de références.

1.3Introduction à la sécurité des réseaux

1.3.1Insuffisance des mécanismes de sécurités classiques


La sécurité des systèmes d’information vise à garantir la confidentialité, l’intégrité et la disponibilité des services. C’est une tâche difficile, tout particulièrement dans un contexte de connectivité croissante.

Pour améliorer la sécurité, il faut mettre en place des mécanismes pour assurer d’une part, que seules les personnes autorisées peuvent consulter ou modifier des données et d’autre part que les services peuvent être rendus correctement.

La première mesure à prendre est la protection physique des équipements. Les accès aux locaux et aux unités centrales doivent être contrôlés car, si l’on peut s’emparer du disque dur, les autres systèmes de protection sont vains.

Ensuite, il faut mettre en œuvre les mécanismes d’authentification et de contrôle d’accès. L’authentification consiste pour l’utilisateur à prouver son identité au système par exemple grâce à son mot de passe, le contrôle d’accès permet de définir les droits que l’on accorde aux différents utilisateurs sur les données ou les machines. Des outils d’analyse automatique des vulnérabilités du système (comme COPS ou SATAN)5 permettent de trouver certaines failles dues à une mauvaise configuration.

Face à la croissance considérable d’Internet et aux possibilités d’attaques à distance via le réseau, il faut contrôler l’accès aux machines depuis l’extérieur en installant un pare-feu qui a pour rôle de filtrer les paquets et de rejeter ceux qui sont indésirables.

Mais tout cela ne suffit pas à sécuriser un site. En effet, face à ces protections connues et aux failles qui sont continuellement découvertes dans les systèmes, les hackers6 redoublent d’ingéniosité pour traverser ces zones frontières afin d’accéder au système d’information des entreprises.

La détection d’intrusion est donc devenue un domaine d’étude important de la sécurité des réseaux.

1.3.2Généralités sur la détection d’intrusion « Projet DIAMS »


Avant toute chose, il nous faut définir le terme intrusion. Le Robert définit une intrusion par :

  • « Le fait de s’introduire, sans en avoir le droit, dans une charge, une dignité ; dans une société, un groupe »

La détection d’intrusions a été introduite en 1980 par J.P Anderson qui a été le premier à montrer l’importance de l’audit de sécurité dans le but de détecter les éventuelles violations de la politique de sécurité d’un système. Anderson définit une violation de la politique de sécurité comme une tentative délibérée :




  • D’accéder de manière non autorisée à l’information. L’accès non autorisé peut être effectué par une personne extérieure au système (n’ayant aucun droit d’accès) ou bien par une personne interne (ayant des droits d’accès limités ; dans ce cas il y a violation de droits d’accès). Dans les deux cas on parle de violation de la contrainte de confidentialité des données.

  • De modifier l’information de manière non autorisée. Il s’agit, dans ce cas, d’une atteinte à l’intégrité des données.

  • De détériorer tout ou partie des données et ressources d’un système afin de le rendre inutilisable ou non fiable. C’est le cas de violation de la contrainte de disponibilité des données et des ressources d’un système.

Dans le milieu informatique, le terme intrusion regroupe différentes catégories d’attaques que l’on peut classer suivant leur effet :



  • Le vol d’information (ou attaque passive) : écoute passive du réseau avec ou sans recopie des données qui y circulent.

  • Le déni de service : l’attaque consiste à neutraliser un serveur afin qu’il ne puisse plus rendre le service qui lui est demandé.

  • L’attaque active : une personne non autorisée s’est introduite dans le système sur le compte d’un utilisateur ou pire encore, de l’administrateur.

Ces attaques peuvent provenir de différents problèmes :



  • Au niveau physique : insuffisance du contrôle d'accès.

  • Au niveau applicatif : bogues logiciels.

  • Au niveau système : mauvaise administration ou configuration.

  • Au niveau réseau : faiblesses ou bogues dans les protocoles ou firewall mal configurés.

On peut se rendre compte ici, qu’un système ne peut être entièrement sécurisé à cause des failles découvertes continuellement dans les systèmes et protocoles. Il est impossible de donner une liste exhaustive des attaques et donc de savoir toutes les parer. Néanmoins, le CERT (Computer Emergency Response Team) et le CIAC (Computer Incident Advisory Capability) via leurs avis décrivent les nouvelles attaques décelées et les corrections associées.

Face à ces attaques de plus en plus sophistiquées, les outils de détection d’intrusion ou IDS (Intrusion Detection System) ont pour but de révéler des intrusions qui ont pu se faire suite à une mauvaise politique de sécurité ou une mauvaise mise en œuvre de cette politique.
Actuellement, la reconnaissance d’attaques est fondée sur deux méthodes :


  • L’analyse statistique du comportement qui repose sur la cohérence entre le comportement actuel et le comportement passé de chacun des utilisateurs.




  • La détection de scénarios d’attaque, technique la plus courante, est réalisée en comparant le trafic réseau avec des signatures connues. Il présente l’avantage de certifier l’intrusion par la reconnaissance d’un scénario.

A partir du milieu des années 90, c'est l'approche par scénario qui est principalement implantée dans les outils. Aujourd'hui, la plupart des IDS commerciaux reposent sur ce principe. Ils sont configurés selon une politique de sécurité et une intrusion correspond à une violation de la politique de sécurité.


1.3.3Politique de sécurité « Projet Or-Bac »

La politique de sécurité définit l'ensemble des propriétés de sécurité que l'on désire assurer dans un système ainsi que les dispositifs pour les garantir. La politique doit identifier les objectifs de sécurité du système et les menaces auxquelles le système devra résister. Elle doit être indépendante de tout produit ou technologie.


Elle est composée de la politique de sécurité physique (contrôle d'accès physique aux machines), de la politique de sécurité administrative (définition de qui fait quoi) et de la politique de sécurité logique (contrôle du droit d'accès aux données) réalisée par le système informatique.
La constitution de la politique de sécurité s'articule sur trois phases :


  • Phase 1 : définition du périmètre de sécurité, des menaces et des risques

  • Phase 2 : définition des règles d'accès et d'utilisation des données

  • Phase 3 : mise en oeuvre de la politique de sécurité par la déclinaison des règles de contrôle d'accès et l'ajout au SI de systèmes de protections tels que : anti-virus, chiffrement, authentification forte,...

La politique de sécurité doit être spécifiée dans un document, obtenir l'aval de la direction de l'entreprise et doit être partagée avec les personnes qui sont chargées de sa mise en oeuvre.


Lorsque la politique de sécurité du SI est déployée, il faut contrôler si elle est respectée, si elle est toujours cohérente avec les évolutions du SI et prévoir les situations de crises en cas de défaillance.
Politique de sécurité réseau

La démarche d'une politique de sécurité réseau fait intégralement partie de la démarche sécuritaire de l'entreprise. Elle se définit comme un ensemble de règles mettant en jeu des entités. Chaque règle porte sur un flux entrant ou sortant et comporte une condition, une action et une priorité. Une condition est constituée de paramètres liés au trafic. Généralement sa définition se fait à l’aide des paramètres suivants :



  • adresses IP source et destination (machine ou réseau)

  • protocole (TCP, UDP, ICMP …)

  • service (ports source et/ou destination et/ou données)

Les actions sont principalement autoriser ou interdire, et si la condition est remplie alors l’action est effectuée.

La priorité est souvent implicite, ce qui signifie que la première règle est souvent la plus prioritaire, mais cela dépend avant tout du firewall. Si aucune condition n’est remplie alors aucune règle ne correspond et on applique la politique par défaut.


Politique par défaut
On distingue dans le cadre de politiques de sécurité déclinées pour le réseau 2 types de politique:

    • La politique ouverte :

      • Facile à mettre en place après une ouverture totale

      • Connaissance de toutes les applications et de tous les trous

      • Vulnérable aux "nouveaux" trous.

    • La politique fermée :

        • Par défaut, tout est interdit

        • Les règles n’expriment que les cas permis

      • Ouverture progressive aux applications que l'on maîtrise

      • Installation en une seule fois de tous les filtres (après étude des applications utilisées et tests).

De manière générale, la 2ème solution est bien plus efficace que la 1ère comme protection.

Yüklə 0,52 Mb.

Dostları ilə paylaş:
1   2   3   4   5   6   7   8   9   ...   13




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©muhaz.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin