Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

1/11 CENTRE DE FORMATION PROFESSIONNELLE BERNE FRANCOPHONE REPETITION THEORIE –

1/11 CENTRE DE FORMATION PROFESSIONNELLE BERNE FRANCOPHONE REPETITION THEORIE – ICH184 TABLE DES MATIÈRES 1. SUPERVISION INDUSTRIELLE 2. SYSTÈME DE SUPERVISION 3. RRDTOOL 4. MRTG (MULTI ROUTER TRAFFIC GRAPHER) 5. PRTG (PAESSLER ROUTEUR TRAFFIC GRAPHER) 6. NTOP (NETWORK TOP) 7. SNMP (SIMPLE NETWORK MANAGEMENT PROTOCOL) 8. MIB 9. CONTRE MESURE 9.1. PFSENSE 4 9.2. PFBLOCKERNG 5 9.3. IPBLOCKLIST 5 10. DETECTION D’INTRUSION 10.1. NIDS (NETWORK BASED INTRUSION DETECTION SYSTEM) 6 10.2. HIDS (HOSTBASED INTRUSION DETECTION SYSTEM) 6 10.3. IDS (INTRUSION DETECTION SYSTEM) 6 10.4. IDS CONNUS 7 10.5. IPS (INTRUSION PREVENTION SYSTEM) 7 10.6. TROIS FAMILLES 7 10.7. LISTE DES IPS CONNUES 8 11. ATTAQUES INFORMATIQUE 629660511.docx 2/11 11.1. MOTIVATIONS 8 11.2. PLUSIEURS CATEGORIES 9 11.3. ACCES PHYSIQUE 9 11.4. INTERCEPTION DE COMMUNICATIONS 9 11.5. DENIS DE SERVICE 9 11.6. INTRUSIONS 9 11.7. INGENIERIE SOCIALE 9 11.8. ATTAQUE PAR REBOND 10 11.9. EFFORT DE PROTECTION 10 3/11 1. SUPERVISION INDUSTRIELLE  Est une technique de suivi et de pilotage  Concerne l’acquisition des données (mesures. Alarmes, retour d’état de fonctionnement)  Hypervision  centralisation des outils de supervision, infrastructure, application référentielle 2. SYSTÈME DE SUPERVISION  PRTG  MRTG  NAGIOS  ZABBIX  XYMON  GANGLIA  NTOP  … 3. RRDTOOL  Outil de gestion de base de données RRD (Round-Robin Database) « Tobias Oetiker »  Utilisé par la sauvegarde de données graphiques, chornologiques : Cacti, collectd, lighttpd, Nagios  Créé pour superviser des données serveur  Logiciel libre 4. MRTG (MULTI ROUTER TRAFFIC GRAPHER)  Developpé sous licence GNU/GPL  Permet de surveiller le trafic réseau  Utilise le protocole SNMP pour interroger des équipements tels que des routeurs, commutateurs, serveurs disposant d’une MIB (Management Information Base  Peut lancé Windows, Linux, MacOS et NetWare 5. PRTG (PAESSLER ROUTEUR TRAFFIC GRAPHER)  Logiciel commercial sous Windows  Permet de créer des capteurs  ICMP, SNMP, WMI (Virtual Machine Interface)  Les capteurs génèrent des graphiques mesurant l’activité des switches, routeurs, serveurs et imprimantes  PRTG est capable de faire du sniffing grâce à Npcap 4/11 5/11 6. NTOP (NETWORK TOP)  Outil libre  Application portable  Produit des informations sur le trafic réseau en temps réel  Capture les trames d’une interface de données  Observe une majeure partie du trafic  Interface web et mode interactif  S’appuie sur la lib « libpcap » pour effectuer les captures de trames 7. SNMP (SIMPLE NETWORK MANAGEMENT PROTOCOL)  Protocole de communication qui permet aux admins de gérer les équipements, superviser et diagnostiquer des problèmes et matériels à distance  SNMP est un datagramme UDP envoyé par le manager au port 161  Les schémas de sécurité dépendent des versions  Permet le dialogue entre le superviseur et les agents 8. MIB  Base de données gérée par un agent SNMP  Possède une structure d’arbre similaire à celui dans le DNS  Sur Windows, les fichiers se trouvent dans le répertoire System32 9. CONTRE MESURE  Disposition prise pour s’opposer à une action, un effet, un événement ou les prévenir 9.1. PFSENSE  Parefeu et blocage de port  Gestion de la bande passante  Redirections et isolation-interdiction des machines  Anti-spammer et blocage de pays  Filtrage des adresses et blacklist 6/11 9.2. PFBLOCKERNG  Gère les sources de liste IPv4 (refuser, autoriser ou correspondre)  Utilise base de données GeoIP  Amélioration de la déduplication des données  Télécharger à partir de formats de menaces de réputation IP  Blocage du nom de domaine (DNSBL)  Deux composants : o IP : règles de pare-feu pour interface WAN o DNSBL : publicité et autres domaines malveillants  Attribution de listes d’URL IP  Bloquer les pays et plages d’adresse IP (blacklist)  Remplacement de Countryblock et IPblocklist  Utiliser les fonctions natives du logiciel pfSense 9.3. IPBLOCKLIST  Permet d’entrer des IP à bloquer o Doit être en CIDR o Création d’une liste pour chaque type d’action  Deny both  refusera l’accès des deux sens  Deny Inbound  refusera accès aux réseaux local  Deny Outbound  refusera accès des users locaux aux listes d’IP  Permit Inbound  Permet accès au réseaux local  Permit outbound Permet accès des users locaux aux IP sélectionner  Disabled gardera juste la sélection et ne fera rien aux listes  Alias Only  Créera alias avec listes sélectionnées pour aider affectations de règles 10. DETECTION D’INTRUSION  Destiné à repérer des activités anormales ou suspectes  Avoir connaissance sur les tentatives réussies ou échouées d’intrusions  Trois familles : o NIDS (Network Based Intrusion Detection System) surveillent l’état au niveau réseau o Les systèmes de détection d’intrusion HIDS (Host Based Intrusion Detection System) surveillent l’état au niveau des hôtes o IDS (Intrusion Detection System) hybrides utilisent les NIDS et HIDS poura voir des alertes plus pertinentes 7/11 10.1. NIDS (NETWORK BASED INTRUSION DETECTION SYSTEM)  Capture o Récupération du trafic en temps réel o La plupart utilisent la library standard libpcap  Signatures o Démarche d’analyse similaire à celle des antivirus o NIDS est efficace s’il connaît l’attaque, mais inefficace en cas contraire  Alertes o Généralement stockées dans les journaux système o Existe une norme qui permet d’en formaliser le contenu : IDMEF (Intrusion Detection Message Exchange Format o IDMEF : popularisé par le projet Prelude offrant infrastructure permettant aux IDS de ne pas avoir à s’occuper de l’envoi des alertes 10.2. HIDS (HOSTBASED INTRUSION DETECTION SYSTEM)  Dédie à un matériel ou OS  Contrairement au NIDS, il récupère les infos qui lui sont données par l’OS ou le matériel  Plusieurs approches : signatures, comportement ou délimitation de périmètre avec système ACL  Se comporte comme un DAEMON ou service standard sur un système d’host qui détecte une activité suspecte  Si dépassement de la norme, alerte générée  La machine peut être surveillée sur plusieurs points : o Activité de la machine : nombre de listes de processus ainsi que des users o Activité de l’utilisateur : horaires et durée des connexions, commandes utilisées, messages envoyés, programmes activés, dépassement du périmètre défini o Activité malicieuse : virus, ver, cheval de troie 10.3. IDS (INTRUSION DETECTION SYSTEM)  Basé sur architecture distribuée où chaque composant unifie son format d’envoi d’alerte  IDMEF permet à des composants divers de communiquer et d’extraire des alertes plus pertinentes (NIDS et HIDS)  Avantages IDS hybrides o Moins de faux positifs o Meilleure corrélation o Possibilité de réaction sur les analyseurs 8/11 10.4. IDS CONNUS  NIDS o Snort o Bro o Enterasys o Check Point o Tipping point  HIDS o AIDE o Dark Spy o Chkrootkit o FCheck o IceSword o Integrit  HYBRIDE o Prelude o OSSIM 10.5. IPS (INTRUSION PREVENTION SYSTEM)  Outils des spécialistes en sécurités des systèmes d’informations o Diminue impact d’une attaque o IDS actif détecte balayage automatisé de l’IPS o Les IPS peuvent parer les attaques connues et inconnues o Comme les IDS, ils ne sont pas fiables à 100% 10.6. TROIS FAMILLES  HIPS (host based intrusion prevention system) sont des IPS permettant de surveiller le poste de travail à travers différentes techniques : o Surveillances des processus des drivers o En cas de détection de processus suspect le HIPS peut le tuer pour mettre fin à ses agissements o Les HIPS peuvent protéger des attaques de buffer Overflow  NIPS (ntework intrusion prevention system) sont des IPS permettant de surveiller le trafic o Peuvent prendre des mesures telles que terminer une session TCP o Une déclinaison en WIPS (wireless intrusion prevention system  KIPS (kernel intrusion prevention system) o Permettent de détecter toutes tentatives d’intrusion au niveau des noyau (IPS moins utilisé) 9/11 10.7. LISTE DES IPS CONNUES  Suricata  Snort inline  Panoptis  PHP fiirewall  Ossec  Samhain  Fail2ban 11. ATTAQUES INFORMATIQUE  Exploitation d’une faille d’un système à des fins non connues par l’exploitant du système et généralement préjudiciables 11.1. MOTIVATIONS  Obtenir accès au système  Voler des informations  Glaner des informations personnelles  Récupérer des données bancaires  S’informer sur l’organisation  Troubler le bon fonctionnement d’un service  Utiliser un système de l’utilisateur comme « rebond »  Utiliser les ressources du système de l’utilisateur notamment lorsque le réseau sur lequel il est situé possède une bande passante élevée 10/11 11.2. PLUSIEURS CATEGORIES  Accès physique  Interception de communications  Dénis de service  Intrusions  Ingénierie sociale  Attaque par rebond  Effort de protection 11.3. ACCES PHYSIQUE  Un cas ou l’attaquant à accès aux locaux éventuellement même aux machines o Coupure de l’electricité o Extinction manuelle de l’ordinateur o Vandalisme o Ouverture du boîtier de l’ordinateur et vol de disque dur o Ecoute du trafic 11.4. INTERCEPTION DE COMMUNICATIONS  Distante ou locale  Vol de session  Usurpation d’identité  Détournement ou altération de messages 11.5. DENIS DE SERVICE  Exploitation de faiblesses de TCP/IP  Exploitation de vulnérabilité des logiciels serveurs 11.6. INTRUSIONS  Balayage de ports  uploads/Management/ documentation-securite-reseau-theorie.pdf