Etude des protocoles de sécurité dans le réseau internet

V.2.1.2.2. Screening router

Evite l'IP spooffing en vérifiant que les adresses d'origine des paquets qui arrivent sur chaque interface sont cohérentes et il n'y a pas de mascarade. Exemple : un paquet qui a une adresse de votre réseau interne et qui vient de l'extérieur est un Spoofed Packet. Il faut le jeter et prévenir le plus vite l'administrateur qu'il y a eu tentative d'attaque.

V.2.2. Systèmes de détection et de prévention de l'intrusion

Un système de détection d'intrusion (IDS en anglais), est un dispositif matériel et/ou logiciel de surveillance qui permet de détecter en temps réel et de façon continue des tentatives d'intrusion en temps réel, dans un SI ou dans un ordinateur seul, de présenter des alertes a l'administrateur, voire pour certains IDS plus sophistiqué, de neutraliser ces pénétrations éventuelles et de prendre en compte ces intrusions afin de sécuriser davantage le système agressé.

Un IDS réagit en cas d'anomalie, a condition que le système puisse bien identifier les intrus externes ou internes qui ont un comportement anormal, en déclenchant un avertissement, une alerte, en analysant éventuellement cette intrusion pour empêcher qu'elle ne se reproduise, ou en paralysant même l'intrusion. Un IDS est un capteur informatique qui écoute de manière furtive le trafic sur un système, vérifie, filtre et repère les activités anormales ou suspectes, ce qui permet ultérieurement de décider d'action de prévention. Sur un réseau, l'IDS est souvent réparti dans tous les emplacements stratégiques du réseau. Les techniques sont différentes selon que l'IDS inspecte un réseau ou que l'IDS contrôle l'activité d'une machine (Hôte, serveur).

1' Sur un réseau, il y a en général plusieurs sondes qui analysent de concert, les attaques en amont d'un pare-feu ou d'un serveur ;

1' Sur un système hôte, les IDS sont incarnés par des démons ou des applications standards furtives qui analysent des fichiers de journalisation et examinent certains paquets issus du réseau.

Il existe deux grandes familles distinctes d'IDS :

1' Les N-IDS (Network Based Intrusion Detection system), ils assurent la sécurité au niveau du réseau ;

1' Les H-IDS (Host Based Intrusion Detection system), ils assurent la sécurité au niveau des hôtes.

Un N-IDS nécessite un matériel dédié et constitue un système capable de contrôler les paquets circulant sur un ou plusieurs liens réseau dans le but de découvrir si un acte malveillant ou anormal a lieu. Le H-IDS réside sur un hôte particulier et la gamme de ces logiciels couvre donc une grande partie des systèmes d'exploitation tels que Windows, Linux, etc.

Le H-IDS se comporte comme un démon ou un service standard sur un système hôte. Traditionnellement, le H-IDS analyse des informations particulières dans les journaux de logs (Syslogs, messages, last logs, etc.) et aussi capture les paquets réseaux entrant/sortant de l'hôte pour y déceler des signaux d'intrusion (Déni de services, Backdoors, chevaux de Troie, etc.).

V.3. VPN ¹² V.3.1. Principe

Les entreprises et les organisations possèdent en général plusieurs sites géographiques qui travaillent conjointement en permanence. Dans chaque site géographique, les utilisateurs sont connectés ensemble grâce à un réseau local. Ces réseaux locaux sont souvent connectés via Internet. En outre, certains utilisateurs peuvent vouloir se connecter aux réseaux de l'entreprise en étant a l'extérieur chez un client ou en déplacement. Il existait autrefois des liaisons physiques spécialisées, qui sont maintenant abandonnées au profit de liaisons logiques.

Un réseau virtuel privé (Virtual Private Network, en anglais d'oü l'abréviation VPN) consiste en fabrication d'un tunnel logique qui sera contracté par les communications de l'entreprise, lesquelles seront véhiculées dans cette tranchée numérique construite sur un réseau fréquenté par d'autres usagers. Dans la pratique, il s'agit d'un artifice, car les données vont utiliser un chemin ordinaire, emprunté par tout le monde, mais ces données chiffrées et tagguées seront sécurisées, a l'image du transport de containers plombés sur une route. Le caractère privé du réseau est donc complètement virtuel puisqu'il ne s'agit pas de liaison physique spécialisée. Le caractère privé est créé par un protocole cryptographique (IPSec ou PPTP). Un VPN est donc une communication sécurisée entre deux points d'un réseau public, d'oü l'expression de tunnel. Un VPN fournit un service fonctionnellement équivalent a un

¹² G. LABOURET et H. SCHAUER CONSULTANTS, La sécurité réseau avec IPSec, 75001 Paris, le 24 avril 2003, pp.1-13.

réseau privé, en utilisant les ressources partagées d'un réseau public. Les réseaux VPN Internet sont utilisés dans plusieurs types d'application : Intranet étendus, Extranet, accès distants. Des tunnels empruntent le réseau Internet et assurent une sécurité robuste des échanges de données : authentification forte des équipements VPN source et destination, intégrité et confidentialité des données échangées. VPN fournit aux utilisateurs et administrateurs du système d'information des conditions d'exploitation, d'utilisation et de sécurité à travers un réseau public identiques à celles disponibles sur le réseau privé. Parmi les protocoles VPN les plus utilisés, on peut citer : VPN IPSec et VPN SSL.