Archive pour le mot-clef ‘reseau’

VPNs & Sécurité réseau

Dimanche 14 décembre 2008

Définition d’un VPN

Un VPN (Virtual Private Network) est un réseau de données qui utilise l’infrastructure publique tout en maintenant le caractère privé des données. Pour cela, il fait appel à des procédures de sécurité ainsi que des protocoles permettant d’établir des tunnels.

Internet et ses risques

L’ensemble des risques auxquels vous pouvez être exposés lors d’une connexion Internet se classifie comme suit :

  • L’interception d’identité
  • La mascarade ou l’usurpation d’identité (Prétendre être quelqu’un d’autre)
  • Le rejeu (Reproduire une procédure de Login)
  • L’interception de données ou de trafic
  • La manipulation (Modifier ou supprimer des informations d’une transmission)
  • La répudiation (La victime ne peut plus émettre ou recevoir)
  • Le dénis de service
  • Le routage (Manipulation des tables de routage / corruption DNS)

Les 4 fonctions critiques d’un VPN

L’authentification

Pas d’interception d’identité

Garantit l’identité de la source des paquets

La confidentialité

Empêche quiconque de lire ou copier les données

Le contrôle d’accès

Seuls les utilisateurs autorisés peuvent accéder au réseau

L’intégrité

Impossibilité de modifier les données en transit

Mécanismes d’authentification

Il en existe deux types :

  • L’authentification logicielle (système à mot de passe ou challenge)
    ex : CHAP, PAP, Radius
  • L’authentification matérielle (par jeton ou par certificat)
    ex : EAP, certificats X.509

PAP - Password Authentification Protocol est un protocole peu sûre du fait que le client émet son mot de passe en clair au NAS. Seul le NAS encrypte le password (Crypatge symétrique : DES 40 bits) avant de le transmettre au serveur Radius.

CHAP - Challenge Handshake Authentification Protocol plus sécurisé que CHAP dans le sens qu’aucun mot de passe ne transit en clair sur le réseau.  Le serveur Radius transmet un challenge au client via le NAS : à partir d’un numéro d’identifiant, d’un nombre aléatoire tiré par le serveur, le client est-il capable de donner le condensé (Hash MD5 128 bits) = numéro d’identifiant + nombre aléatoire + password.

EAP - Extensible Authentification Protocol est une extension du  Protocole Point-to-Point (PPP) se chargeant de l’authentification et supportant plusieurs mécanismes d’authentification. EAP supporte notamment les challenges MD5 (CHAP), les mots de passe à usage unique, les cartes à jeton générique, …

ITU-T X.509 standard - Il s’agit du standard définissant le format des certificats. Ils sont généralement délivrés par une tierce partie : l’Autorité de Certification (CA) qui garantit l’origine des clés publiques. Un certificat contient entre autre :

  • Un numéro de version
  • Un numéro de série
  • Un propriétaire
  • Une clé publique
  • Le nom de l’algorithme utilisé
  • Les dates de validité
  • La signature de la CA
  • Des options (liste de révocations, …)

Les tunnels

Ils permettent l’authentification des correspondants, le contrôle d’accès et la confidentialité des échanges. Plusieurs protocoles cohabitent : GRE, PPTP, L2F, L2TP, MPLS VPNs, …

GRE (IETF, 1994) - Generic Routing Encapsulation est un protocole de niveau 3 (cf. modèle OSI) qui permet d’établir des tunnels IP sur de l’IP. Son usage est destiné aux communications entre 2 routeurs (noeuds). L’encryptage et l’authentification ne sont pas très évolués.

PPTP (Microsoft, 1996) - Point-to-Point Tunneling Protocol est un protocole de niveau 2 (cf. modèle OSI) qui utilise les méthodes d’authentification de PPP (ex : PAP, CHAP). Il permet d’établir des tunnels de paquets PPP à travers un réseau IP (requiert IP) par le biais d’une version modifiée du protocole GRE. Il doit son expansion aux systèmes d’exploitation de Microsoft qui incluent nativement PPTP dès Windows NT. L’encryptage est réalisée via l’algorithme RSA RC4 avec des clés de 40 bits (Cryptage asymétrique). Il est souvent utilisé dans les communications en les PCs clients et le LAN.

L2F (Cisco, 1996) - Layer 2 Fowarding Protocol est un protocole de niveau 2 (cf. modèle OSI) qui permet de créer des tunnels de type LAN to LAN. Ce protocole n’est pas dépendant d’IP et fonctionne avec ATM, … L’authentification utilise les méthodes PPP (ex : PAP, CHAP) avec un serveur Radius. Il y a 2 niveau d’authentification : celle du routeur puis celle du client. Attention : pas d’encryptage des données !

L2TP (IETF, 1998) - Layer 2 Tunneling Protocol est un protocole de niveau 2 (cf. modèle OSI) qui permet de créer des tunnels de type LAN to LAN. Il résulte de la combinaison des protocoles PPTP & L2F. Il réutilise les mécanismes de PPP (ex : PAP, CHAP, EAP) avec serveur Radius. L’établissement du tunnel est basé sur L2F et l’encryptage des données réutilise les méthodes d’IPSec.

MPLS VPNs - Multi Protocol Layer Switching VPNs sont des tunnels de niveau 2 ou 3 (cf. modèle OSI). En général, on les retrouve entre 2 sites distants à travers Internet, ou encore dans les grosses entreprises qui souhaitent mettre en place des VPNs.

Encryptage des données

Il existe plusieurs moyens de crypter les données :

  • Un valeur aléatoire, une clé, …
  • L’algorithme de condensation (Hash Algorithm) qui permet de vérifier l’intégrité des documents : MD5, SHA-1, …
  • Le cryptage asymétrique (Système à clé publique) qui permet de signer les documents : Diffie-Helllman (DH), Rivest Shamir & Aldeman (RSA), Pretty Good Privacy (PGP), …
  • Le cryptage symétrique (Système à clé privée) qui permet d’encrypter les données échangées : DES, 3DES, IDEA, AES, RC2, RC4, …

Les mécanismes associés sont :

  • SSL - Secure Socket Layer : utilisé dans les transactions sur le Web
  • TLS - Transport Layer Security : utilisé dans les transactions sur le Web
  • S/MIME - Secure/Multipurpose Internet Mail Extensions : utilisé pour sécuriser les échanges de mails entre serveurs
  • PGP - Pretty Good Privacy : utilisé pour sécuriser les échanges de mails entre utilisateurs
  • IPSec - Secure IP : utilisé à l’origine pour sécuriser les échanges entre LANs, il évolue vers une utilisation sur PCs et terminaux mobiles

Filtrage et Pare-Feu

Un pare-feu peut être considéré comme un ensemble de programmes, localisés au niveau de la passerelle réseau, protégeant les ressources d’un réseau privé, des utilisateurs externes au réseau. Il existe 2 types de pare-feu :

  • Stateless Packet Filter (ex : ACL Cisco) : chaque paquet est comparé à une règle d’acceptation ou de refus. Ce type de pare-feu est disponible dans de nombreux routeurs.
  • Statefull inspection (ex : Checkpoint Firewalls) : on applique les règles de filtrage de manière plus intelligente : reconnaissance d’un flux IP appartenant à un service.

Quelques principes fondamentaux :

  • Tous les flux entrants doivent être inspectés par le pare-feu
  • En cas de panne, il doit toujours rester un routeur avec un filtrage de paquet actif
  • Tout traffic non explicitement autorisé est interdit

NB : cet article a été réalisé à l’aide de mes notes de cours ( VPN and Network Security de Sophie Gastellier-Prevost) et divers sources Internet (RFCs, …).

Cours d’informatique

Jeudi 10 avril 2008

Au cours de mes nombreuses recherches sur le Net, j’ai fait la connaissance du site Polymorphe.org. Ce site met à disposition de nombreux cours d’informatique en téléchargement libre. Pour les fans de sécurité, je vous recommande les rubriques Réseaux, Sécurité et Système d’exploitation. La plupart des cours disponibles sont en français, mais je vous conseille de ne pas négliger les tutoriels en anglais qui sont souvent de bonne qualité.

Le nouveau Boeing 787 serait vulnérable aux attaques des hackers

Lundi 25 février 2008

Le nouveau jet Boeing 787 “Dreamliner passenger jet” souffrirait d’une sérieuse faille de sécurité. Son réseau d’ordinateurs de bord pourrait autoriser les passagers à accéder aux systèmes de contrôle de l’avion. Cette annonce tirée du site “wired.com” proviendrait de l’administration d’aviation fédérale américaine.

Le réseau d’ordinateurs du compartiment passager, conçu pour donner l’accès à Internet aux passager, serait connecté au systèmes de contrôle, de navigation et de communications de l’avion, selon le rapport de cette même administration.

Une conception plus sécurisée séparerait physiquement les deux réseaux d’ordinateurs. Mais Boeing aurait répondu qu’il en était hors de question et a conçu une solution testée rapidemment.

“C’est du sérieux,” s’est exprimé Mark Loveless, un analyste en sécurité des réseaux d’Autonomic Networks. “Il ne s’agit pas d’un ordinateur de bureau. Il contrôle les systèmes qui garantissent notre sécurité. Nous espérons donc qu’ils solutionnent sérieusement cette faille.”

Projet de fin d’études : Fin

Vendredi 1 février 2008

Equipe ToLoseAction

Voilà l’aventure à pris fin hier soir lors d’une présentation de notre réalisation devant des industriels. Ceux-ci nous sont apparus satisfait de notre prestation aussi, notre travail sera présenté lors d’une prochaine conférence dans le domaine de la finance.

Vous trouverez notre rapport final et tous les documents complémentaires sur la page : Projet de fin d’études.

Les outils NetBIOS

Samedi 19 janvier 2008

NetBIOS est l’ancien service de nommage distribué pour les réseaux Microsoft Windows. Il est maintenant remplacé par le traditionnel DNS. Cependant, il est toujours activé par défaut sur toutes les distributions de Windows. L’article suivant est donc encore d’actualité…

Il est possible de recenser les groupes de travail et les domaines Windows avec net view :

// Lister les domaines :

c:\> net view /domain

Domaine
———————
WORKGROUP

// Lister les machines d’un domaine (ex Workgroup) :

c:\> net view /domain:workgroup

Nom de serveur Remarque
——————————————–
\\ULYSSE

Enfin un autre outil gratuit nommé nbtscan, développé par Alla Bezroutchko (site officiel) permet d’analyser la totalité d’un réseau au moyen de nbtstat et de produire une mine d’informations très utiles :

// Scanner le réseau 192.168.0.0/24 :

c:\> nbscan 192.168.0.0/24

Doing NBT name scan for addresses from 192.168.0.0/24

IP @ NetBIOS Name Server User MAC @
————————————————————————————
X.X.X.X ULYSSE <server> <unknown> X-X-X-X-X-X

Ces outils peuvent donc vous aider lors de recherches d’informations sur les réseaux Microsoft Windows : association IP <-> Host Name, …

Projet de fin d’études : Suite

Vendredi 11 janvier 2008

Cette semaine fut l’objet de nombreuses avancées sur notre projet de fin d’études. L’architecture a été virtualisée sur une Dédibox, afin de simplifier la gestion des différents serveurs du projet.

Implémentation & Virtualisation

J’ai aussi réalisé la configuration d’un canal réseau sécurisé au moyen du protocole IPSec. Ainsi les échanges entre les serveurs principaux peuvent rester parfaitement confidentiels. Je vous propose de suivre mon tutoriel, dont voici les liens :

D’ailleurs, il serait assez sympa de la part des utilisateurs, de me faire un retour constructif sur les tutoriaux que je propose.

Merci encore à l’Institut Français de Gestion pour nous prêter ses locaux, où il rêgne une ambiance agréable pour travailler. Voyez par vous même :

Epiphanie

 

 

Salle de travail

 

 

Tour Eiffel

 

 

Quai de Grenelle

Projet de fin d’études

Dimanche 9 décembre 2007

En dernière année à l’ECE, nous devons réaliser un projet de fin d’études sur une durée d’un mois. Nous avons choisi de réaliser un système de gestion de portefeuille électronique par carte à puce.

Voici un aperçu de l’architecture que nous souhaitons réaliser :

Architecture générale

Ce projet nous permet de réunir 3 des voix d’approfondissement enseignées à l’ECE : Biométrie (Cartes à puce), Finance, et Internet Professionnel (Sécurité & Web Services).

Le projet étant validé par l’administration et le cahier des charges étant finalisé, nous commencerons à réaliser ce projet début janvier.

Pour plus d’informations sur notre projet, je vous propose de lire la page qui lui est consacrée sur ce site : ici.

Découverte du réseau avec Nmap

Jeudi 29 novembre 2007

Question : “Comment peut-on obtenir la liste des adresses IP & adresses MAC des machines connectées sur un réseau ?”.

Réponse : Il vous suffit de télécharger l’utilitaire gratuit Nmap, qui est un super couteau suisse pour les ingénieurs réseau. Il vous suffit de télécharger le paquet qui vous correspond (Windows, Linux, …) puis de lancer l’installation. L’utilisation en ligne de commande est très simple :

# prompt> nmap @_réseau_CIDR

C:\> nmap 192.168.0.0/24

Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-29 11:49 Paris, Madrid

Interesting ports on 192.168.0.4:
Not shown: 1689 closed ports
PORT STATE SERVICE
21/tcp open ftp
23/tcp open telnet
80/tcp open http
280/tcp open http-mgmt
443/tcp open https
515/tcp open printer
631/tcp open ipp
9100/tcp open jetdirect
MAC Address: XX:XX:XX:XX:XX:XX (Hewlett Packard)

Interesting ports on 192.168.0.8:
Not shown: 1695 filtered ports
PORT STATE SERVICE
80/tcp open http
554/tcp open rtsp
MAC Address: XX:XX:XX:XX:XX:XX (Freebox SA)

Skipping SYN Stealth Scan against 192.168.0.112 because Windows does not support scanning your own machine (localhost) this way.
All 0 scanned ports on 192.168.0.112 are

Nmap finished: 256 IP addresses (3 hosts up) scanned in 59.453 seconds

Nous trouvons donc bien nos 3 machines présentent sur le réseau : Mon PC, la Freebox, l’imprimante HP… Bien d’autres options sont disponibles, à vous de vous amuser. Attention à n’utiliser ce logiciel uniquement sur des réseau dont vous êtes propriétaire, sinon cela est illégal.

Manager ses ports réseaux

Jeudi 22 novembre 2007

Aujourd’hui, j’ai eu beaucoup de mal à mettre en place mon espace de développement JEE sous eclipse. En effet, mon serveur Tomcat ne voulait apparemment pas démarrer à cause d’un service occupant le même port réseau.

Il m’a fallut voir de quel service il s’agissait, et pour cela j’ai utilisé les commandes Windows suivantes :

netstat -an : liste les services réseaux en route

“-b” pour les exécutables impliqués

“-o” pour l’identifiant du processus

services.msc : permet la gestion des services réseaux

sc config “nom_du_service” start= disabled : permet de désactiver un service réseau

Je pense que ces commandes peuvent servir à tous, alors merci à J-B Marchand pour son article dont je me suis inspiré.

Honeynet : scan of the month

Samedi 17 novembre 2007

Aujourd’hui, je mets à votre disposition mon rapport de TP multimédia réalisé au sein de l’ECE.

Le but était d’acquérir de nouvelles connaissances en Sécurité, en analysant les études réalisées par les membres du projet Honeynet.Le sujet que j’ai choisi de développer est le fonctionnement de scans de ports et des informations que l’on peut obtenir des échanges réalisés.

Voici le sujet :

Les membres de l’équipe du sud de la Floride ont générés manuellement 5 différents types de scans de ports depuis Internet vers un unique « Honeypot » (i.e. : pot de miel). Durant chacun des scans, un « IDS » (i.e. : Intrusion Detection System) capture et enregistre les évènements réseau dans un fichier de log. « Snort » est le logiciel utilisé pour la capture des scans au format « Tcpdump », via la librairie : « Libpcap ». La mission est de répondre aux questions suivantes :

  1. Qu’est-ce qu’un fichier binaire de log et comment en créer ?
  2. Qu’est-ce que le MD5 et quelle valeur produit-il ?
  3. Quelle est l’adresse IP de l’attaquant ?
  4. Quelle est l’adresse attaquée ?
  5. Identifier les 5 techniques de scans utilisées et les décrire.
  6. Quel outil de scan a été employé pour l’exercice ? Comment le déterminer ?
  7. Dans quel but scanne-t-on des ports ?
  8. Quels sont les ports trouvés ouverts ?
  9. Quel est le système d’exploitation de l’attaquant ?

Mon tutoriel est disponible ici.