V.2.1.2.2. Screening router
Evite l'IP spooffing en vérifiant que les adresses
d'origine des paquets qui arrivent sur chaque interface sont cohérentes
et il n'y a pas de mascarade. Exemple : un paquet qui a une adresse de votre
réseau interne et qui vient de l'extérieur est un Spoofed Packet.
Il faut le jeter et prévenir le plus vite l'administrateur qu'il y a eu
tentative d'attaque.
V.2.2. Systèmes de détection et de
prévention de l'intrusion
Un système de détection d'intrusion (IDS en
anglais), est un dispositif matériel et/ou logiciel de surveillance qui
permet de détecter en temps réel et de façon continue des
tentatives d'intrusion en temps réel, dans un SI ou dans un ordinateur
seul, de présenter des alertes a l'administrateur, voire pour certains
IDS plus sophistiqué, de neutraliser ces pénétrations
éventuelles et de prendre en compte ces intrusions afin de
sécuriser davantage le système agressé.
Un IDS réagit en cas d'anomalie, a condition que le
système puisse bien identifier les intrus externes ou internes qui ont
un comportement anormal, en déclenchant un avertissement, une alerte, en
analysant éventuellement cette intrusion pour empêcher qu'elle ne
se reproduise, ou en paralysant même l'intrusion. Un IDS est un capteur
informatique qui écoute de manière furtive le trafic sur un
système, vérifie, filtre et repère les activités
anormales ou suspectes, ce qui permet ultérieurement de décider
d'action de prévention. Sur un réseau, l'IDS est souvent
réparti dans tous les emplacements stratégiques du réseau.
Les techniques sont différentes selon que l'IDS inspecte un
réseau ou que l'IDS contrôle l'activité d'une machine
(Hôte, serveur).
1' Sur un réseau, il y a en général
plusieurs sondes qui analysent de concert, les attaques en amont d'un pare-feu
ou d'un serveur ;
1' Sur un système hôte, les IDS sont
incarnés par des démons ou des applications standards furtives
qui analysent des fichiers de journalisation et examinent certains paquets
issus du réseau.
Il existe deux grandes familles distinctes d'IDS :
1' Les N-IDS (Network Based Intrusion Detection system), ils
assurent la sécurité au niveau du réseau ;
1' Les H-IDS (Host Based Intrusion Detection system), ils
assurent la sécurité au niveau des hôtes.
Un N-IDS nécessite un matériel
dédié et constitue un système capable de contrôler
les paquets circulant sur un ou plusieurs liens réseau dans le but de
découvrir si un acte malveillant ou anormal a lieu. Le H-IDS
réside sur un hôte particulier et la gamme de ces logiciels couvre
donc une grande partie des systèmes d'exploitation tels que Windows,
Linux, etc.
Le H-IDS se comporte comme un démon ou un service
standard sur un système hôte. Traditionnellement, le H-IDS analyse
des informations particulières dans les journaux de logs (Syslogs,
messages, last logs, etc.) et aussi capture les paquets réseaux
entrant/sortant de l'hôte pour y déceler des signaux d'intrusion
(Déni de services, Backdoors, chevaux de Troie, etc.).
V.3. VPN 12 V.3.1.
Principe
Les entreprises et les organisations possèdent en
général plusieurs sites géographiques qui travaillent
conjointement en permanence. Dans chaque site géographique, les
utilisateurs sont connectés ensemble grâce à un
réseau local. Ces réseaux locaux sont souvent connectés
via Internet. En outre, certains utilisateurs peuvent vouloir se connecter aux
réseaux de l'entreprise en étant a l'extérieur chez un
client ou en déplacement. Il existait autrefois des liaisons physiques
spécialisées, qui sont maintenant abandonnées au profit de
liaisons logiques.
Un réseau virtuel privé (Virtual Private
Network, en anglais d'oü l'abréviation VPN) consiste en fabrication
d'un tunnel logique qui sera contracté par les communications de
l'entreprise, lesquelles seront véhiculées dans cette
tranchée numérique construite sur un réseau
fréquenté par d'autres usagers. Dans la pratique, il s'agit d'un
artifice, car les données vont utiliser un chemin ordinaire,
emprunté par tout le monde, mais ces données chiffrées et
tagguées seront sécurisées, a l'image du transport de
containers plombés sur une route. Le caractère privé du
réseau est donc complètement virtuel puisqu'il ne s'agit pas de
liaison physique spécialisée. Le caractère privé
est créé par un protocole cryptographique (IPSec ou PPTP). Un VPN
est donc une communication sécurisée entre deux points d'un
réseau public, d'oü l'expression de tunnel. Un VPN fournit un
service fonctionnellement équivalent a un
12 G. LABOURET et H. SCHAUER CONSULTANTS, La
sécurité réseau avec IPSec, 75001 Paris, le 24 avril
2003, pp.1-13.
réseau privé, en utilisant les ressources
partagées d'un réseau public. Les réseaux VPN Internet
sont utilisés dans plusieurs types d'application : Intranet
étendus, Extranet, accès distants. Des tunnels empruntent le
réseau Internet et assurent une sécurité robuste des
échanges de données : authentification forte des
équipements VPN source et destination, intégrité et
confidentialité des données échangées. VPN fournit
aux utilisateurs et administrateurs du système d'information des
conditions d'exploitation, d'utilisation et de sécurité à
travers un réseau public identiques à celles disponibles sur le
réseau privé. Parmi les protocoles VPN les plus utilisés,
on peut citer : VPN IPSec et VPN SSL.
|