ebook img

Sécurité et Administration des Systèmes Informatiques Administration réseau PDF

86 Pages·2013·3.3 MB·French
by  
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview Sécurité et Administration des Systèmes Informatiques Administration réseau

S écurité et A dministration des S ystèmes I nformatiques Administration réseau Fabrice Legond-Aubry [email protected] 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 1 11 Les ressources WEB ● Adresses web: – www.ietf.org (Request For Comments - RFC) – www.iana.org, www.ripe.org (IP) – deptinfo.cnam.fr (cours réseaux) – www.linux-france.org/article/index.html (intro) – www.linux-france.org/prj/inetdoc (doc architecture réseau) n o i – www.developpez.com (programmation & réseau) t c u ● Livres: d o – R. Stevens, « Unix network programming », Prentice Hall, 1990 r t n – J-M. Rifflet et J-B. Yunès, « Unix : programmation et communication », I Dunod – A. S. Tannenbaum, « Computer Networks », Prentice Hall. – W.R. Stevens, « TCIP/IP Illustrated, The protocols » , Addison Wesley – L. Toutain, « Réseaux locaux et Internet », Hermès 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 2 22 Vocabulaire ● Attaque Réseau TCP/IP – Spoofing : Forger un message réseau faux et/ou malformé – Flooding : Inondation en vu de saturer une machine n – Smurfing : Equivalent du flooding mais sur tout un réseau o i – Hijacking : Détournement d’un connexion t c u – Sniffing : Ecoute des communications en vu d’obtenir des informations d o – Replay : Le rejeu r t n – Denial Of Service : Déni de service I 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 3 33 Les problèmes de sécurité dans la pratique ● Internet n’a pas été conçu avec un objectif de sécurité – Internet est basé sur la confiance – Chaque niveau traversé par vos données offre des moyens d’attaques ● Internet est né avec les unix n o ti – il n'y a pas un UNIX mais une multitude d'implémentations c u différentes qui présentent toutes des caractéristiques propres d o ● r Il existe de nombreux problèmes de sécurité dans la plus t n I part des systèmes informatiques actuels. ● Au niveau physique et liaison (ethernet) – Sniffers qui écoute le réseau 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 4 44 Les problèmes de sécurité dans la pratique ● Au niveau réseau (IP) – IP Spoofing et Smurfing ● Au niveau transport (TCP) – SYN Flooding n o – Au niveau applicatif (service réseau) i t c u – Déni de services (Deny of Services) d o r t – Buffer Overflows n I ● Attaque au niveau des services ● Attaque au niveau des personnes 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 5 55 Section : « Administration réseau » Les bases du réseau Couche liaison et Routage IP u a Attaques sur les couches basses e s Couche Transport : TCP/UDP é r u Configuration réseau d s Outils réseau e s a DHCP b s DNS e L Parefeu – NAT - SSL/TLS IDS et Analyse 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 6 66 De la nécessité du réseau ! ● 90% des services linux sont basés sur le réseau ● Vous vivez dans un monde interconnecté !!! ● Revoir vos cours de réseau !!!! u a ● e Toute machine « Linux » a au moins un réseau: s é le réseau virtuel local « loopback » r u ● d Une machine peut être connectée à plusieurs réseaux s e ● Il faut connaître les notions de réseaux pour s a b – Définir l’architecture d’un parc de machines s e L – Les interactions entres machines – Déployer, configurer, SECURISER un service 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 7 77 Pile TCP/IP Couche 5-7 : application Services linux u Couche 4 : transport TCP/UDP a e s (gestion des connexions) (désignation d’un processus) é r u d Couche 3 : réseau IP s e (routage) (désignation d’une machine) s a b Couches 1-2 : physique, liaison s e L Ethernet , ATM, … (transfert entre 2 machines reliés par une voie physique) 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 8 88 Relations entre les différents protocoles TCP UDP Couche u a transport e s é r u IGMP IP ICMP d s Couche e s réseau a b ARP RARP s e L Couche Ethernet liaison 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 9 99 Gestionnaires des adresses IP ● Attribution par des organismes spéciaux : – IANA (www.iana.org et www.icann.org) centralise les affectations u – RIPE (www.ripe.net) s’occupe des adresses européennes a e s – AfriNIC (www.afrinic.net) s’occupe des adresses é r africaines u d – APNIC (www.apnic.net) s’occupe des adresses s e s asiatiques et pacifiques a b – ARIN (www.arin.net) s’occupe des adresses de s e l’Amérique du nord L – LACNIC (lacnic.net/en/index.html) s’occupe des adresses de l’Amérique latine et des Caraïbes 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 10 1100 Notion de classe d’adresses IPv4 ● Permet le routage et l’acheminement des données sur l’ensemble de l’internet ● IP permet de désigner une machine ● Notion de classes d’adresses (besoin de connaître le binaire !!!) u a e 7 bits 24 bits s Classe A 0 network host é r u 14 bits 16 bits d Classe B 10 network host s e s 21 bits 8 bits a Classe C 110 network host b s e 28 bits L Classe D 1110 host 28 bits Classe E 1111 host 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 11 1111 Nombres de réseaux par classe ● Classe A : 126 (27-2) réseaux possibles de 16 777 214 (224-2) machines u ● a Classe B : 16 382 (214-2) réseaux possibles de 65 534 e s (216-2) machines é r u ● Classe C : 2 097 150 (221-2) réseaux possibles de 254 d s (28-2) machines e s a ● Classe D : adresses de diffusion (multicast) b s e ● Classe E : adresses réservées pour des usages futurs L 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 12 1122 Réseaux non routables ● Ce sont des réseaux qui ne seront jamais attribués à une entité ● Ils ne sont pas routable sur internet u a ● Ils sont réservés à un usage privé / interne : e s é r – 1 réseau de classe A : 10.0.0.0 u d – 15 réseaux de classe B : 172.16.0.0 - 172.31.0.0 s e s – 255 réseaux de classe C : 192.168.0.0 - 192.168.255.0 a b ● s Aucun datagramme IP venant de l’extérieur ne doit e L porter ces adresses. 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 13 1133 Les informations réseaux ● Une machine ayant l’IP : 193.22.143.52 ✔Adresse de classe C (193 commence par 110 en binaire) ✔24 bits pour le réseau (network @) u ✔8 bits pour la machine (host @) a ● e Adresses particulières pour les réseaux de classes A,B,C s é r – L’adresse « réseau » : Tous les bits d’adresse host à 0 u d ✔Exemple: 192.22.143.0 s e – L’adresse de diffusion (broadcast) à tout le sous-réseau : s a Tous les bits d’adresse host à 1 b s e ✔Exemple: 193.22.143.255 L – Le masque de sous réseau: Tous les bits d’adresse host à 0, tous les bits d’adresse réseau à 1 ✔Exemple: 255.255.255.0 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 14 1144 Masque de réseau ● Le masque de réseau – Permet de séparer la partie réseau de la partie machine. – Possibilité de créer des sous-réseaux u a ● e Exemples s Réseau LIP6, notations : ● é r u – Masque: 255.255.0.0 d 132.227.64.15 s – @ réseau: 132.227.0.0 e s a – @ diffusion: 132.227.255.255 Classe B (10) b s Partie machine ● Sous-réseau SRC, notations : e Partie réseau L – Masque: 255.255.255.0 – @ réseau: 132.227.64.0 – @ diffusion: 132.227.64.255 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 15 1155 Saturation de l'espace d'adressage IPv4 ● Pourquoi? ✔Trop d'adresses distribuées par rapport au besoins (inutilisation) ✔Pas de redistribution de la classe E, et des classes A? u ✔Sans doute 50% des adresses distribuées ne servent pas! a e ✔Agrégation des classes C (cid:1) gonflement des tables de routages s é ● IPv6 : un espace d 'adressage beaucoup plus grand r u d ✔128 bits soit 16 octets au lieu de 32 bits soit 4 octets s e ✔A priori 3,9 * 1018 adresses par mètre carré de surface terrestre s a ✔Si l'on utilise très mal les adresses disponibles (comme dans le b (cid:1) téléphone) 1500 adresses par mètre carré s e ● Autres solutions ? L ✔Les réseaux brûlés avec translation d'adresse (NAT) ? ✔CIDR (Classless Inter-Domain Routing) 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 16 1166 CIDR une solution en attendant IPv6 ● Abandon de la notion de classe ● On définit les réseaux suivant les besoins ● Notation CIDR: adresse/préfixe (RFC: 1517, 1518, 1519, 1520) ● Pour construire un réseau de 2000 machines u – Il faut 8 réseaux de classe C (/24) de 254 machines soit 2036 machines a – Il faut 1 réseau de classe B (/16) de 65534 machines e s – Il faut 1 réseau CIDR /21 qui permet de déclarer 2046 machines (2^11-2) é r ● On agrège ainsi les réseaux pour une même entreprise u d – Par exemple, on peut agréger 2 réseaux de classes C (/24) en un réseau /23 e s ● A la place de 3 classes, on utilise un préfixe : a b a ”préfixe” bits 32-“préfixe” bits L Classe “préfixe” network host 21 bits 11 bits Classe /21 network host 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 17 1177 Section : « Administration réseau » Les bases du réseau n o Routage IP et couche liaison s i a i Attaques sur les couches basses l e h Couche Transport : TCP/UDP c u o Configuration réseau c t Outils réseau e P DHCP I e g DNS a t u Parefeu – NAT - SSL/TLS o R IDS et Analyse 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 18 1188 Algorithmes de routage IP ● Routage sur un routeur (algorithme) – Recherche d'une destination correspondant à celle visée. n o – Recherche d'une entrée réseau où se trouverait le site visé s i a (le plus proche). i l e – Recherche d'une entrée de type défaut. h c u ● Algorithmes de routage IP: OSPF, RIPv2, … o c ● t Routage à partir d’une machine e P I – Si le site à atteindre est connecté directement au site e g courant (par une liaison point à point ou en réseau local) a (cid:1) t le message est envoyé directement. u o R – Sinon l'hôte dispose d'un routeur par défaut à qui il envoie tous les datagrammes qu'il ne peut acheminer. 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 19 1199 Exemple: routage IP sur une machine ● Gateway: la route par défaut (default route) – Définit où envoyer tous les paquets qui ne sont pas destinés au n réseau local o s ai switch switch i l e h Internet c Router u o c t legond@hebe > netstat -r e Kernel IP routing table P Destination Gateway Genmask Flags MSS Window irtt Iface I 132.227.64.0 * 255.255.255.0 U 0 0 0 eth0 e 127.0.0.0 * 255.0.0.0 U 0 0 0 lo g default castor 0.0.0.0 UG 0 0 0 eth0 a t u ● Ligne 1 : L'accès au réseau local (ethernet) de l'hôte o R ● Ligne 2 : La boucle locale (loopback) pour les messages qui ne sortent pas du site ● Ligne 3 : L'accès à un routeur par défaut qui permet de passer sur l'internet 22F66a//00b99r//22i00c00e55 Legond-Aubry LLEEGGOOMoNNdDDu FFlaaebb rrSiiccAeeSI 20 2200

Description:
www.linux-france.org/article/index.html (intro). – www.linux-france.org/prj/inetdoc (doc architecture réseau). – www.developpez.com (programmation & réseau) Fabrice Legond-Aubry. Section : « Administration réseau ». Les bases du réseau. Couche liaison et Routage IP. Attaques sur les couc
See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.