Réseau d’entreprise, sécurité et automatisation – Modules 3 : Concepts de sécurité réseau

3.0 Introduction

3.0.1 Pourquoi devrais-je suivre ce module?

Bienvenue aux Concepts de sécurité des réseaux!

Vous avez peut-être entendu l’une des centaines de reportages sur une violation de la sécurité des données au sein d’une grande entreprise ou même d’un gouvernement. Votre numéro de carte de crédit a-t-il été exposé par une violation? Vos informations médicales privées? Souhaitez-vous savoir comment éviter ces violations de données? Le domaine de la sécurité des réseaux se développe chaque jour. Ce module fournit un paysage détaillé des types de cybercriminalité et de nombreuses façons dont nous devons lutter contre les cybercriminels. C’est parti!

3.0.2 Qu’est-ce que je vais apprendre dans ce module?

Titre du module: Concepts de sécurité des réseaux

Objectif du module: Expliquer comment les vulnérabilités, les menaces et les exploits peuvent être atténués pour améliorer la sécurité du réseau.

3.0.3 Déclaration de Piratage Éthique

Dans ce module, les apprenants peuvent être exposés à des outils et des techniques dans un environnement de machine virtuelle «sandboxed» pour démontrer divers types de cyberattaques. L’expérimentation de ces outils, techniques et ressources est à la discrétion de l’instructeur et de l’institution locale. Si l’apprenant envisage d’utiliser des outils d’attaque à des fins éducatives, il doit contacter son instructeur avant toute expérimentation.

L’accès non autorisé aux données, aux ordinateurs et aux systèmes de réseau est un crime dans de nombreuses juridictions et s’accompagne souvent de graves conséquences, quelles que soient les motivations de l’auteur. C’est la responsabilité de l’apprenant, en tant qu’utilisateur de ce matériel, de connaître et de respecter les lois sur l’utilisation des ordinateurs.

3.1 État Actuel de la Cybersécurité

3.1.1 État Actuel des Affaires

Les cybercriminels disposent désormais de l’expertise et des outils nécessaires pour éliminer les infrastructures et les systèmes critiques. Leurs outils et techniques continuent d’évoluer.

Les cybercriminels portent les logiciels malveillants à des niveaux de sophistication et d’impact sans précédent. Ils sont de plus en plus aptes à utiliser des techniques de furtivité et d’évasion pour cacher leur activité. Enfin, les cybercriminels exploitent des lacunes non défendues en fait de sécurité.

Les failles de sécurité du réseau peuvent perturber le commerce électronique, entraîner la perte de données commerciales, menacer la confidentialité des personnes et compromettre l’intégrité des informations. Ces violations peuvent entraîner des pertes de revenus pour les entreprises, le vol de propriété intellectuelle, des poursuites et peuvent même menacer la sécurité publique.

Le maintien d’un réseau sécurisé garantit la sécurité des utilisateurs du réseau et protège les intérêts commerciaux. Les organisations ont besoin de personnes capables de reconnaître la vitesse et l’échelle à laquelle les adversaires accumulent et perfectionnent leurs cyber-armes. Tous les utilisateurs doivent connaître les termes de sécurité du tableau.

Les atouts doivent être identifiés et protégés. Les vulnérabilités doivent être traitées avant de devenir une menace et d’être exploitées. Des techniques d’atténuation sont requises avant, pendant et après une attaque.

3.1.2 Vecteurs d’Attaques Réseau

Un vecteur d’attaque est un chemin par lequel un acteur de menace peut accéder à un serveur, un hôte ou un réseau. Les vecteurs d’attaque proviennent de l’intérieur ou de l’extérieur du réseau d’entreprise, comme le montre la figure. Par exemple, les acteurs de menace peuvent cibler un réseau via Internet, pour perturber les opérations réseau et créer une attaque par déni de service (DoS).

Menaces externes et internes

Remarque: Une attaque DoS se produit lorsqu’un périphérique ou une application réseau est incapable de fonctionner et n’est plus capable de prendre en charge les demandes d’utilisateurs légitimes.

Un utilisateur interne, tel qu’un employé, peut accidentellement ou intentionnellement:

• Volez et copiez des données confidentielles sur des supports amovibles, des e-mails, des logiciels de messagerie et d’autres supports.
• Compromis de serveurs internes ou de périphériques d’infrastructure réseau.
• Déconnectez une connexion réseau critique et provoquez une panne de réseau.
• Connectez un lecteur USB infecté à un système informatique d’entreprise.

Les menaces internes ont le potentiel de causer des dommages plus importants que les menaces externes car les utilisateurs internes ont un accès direct au bâtiment et à ses équipements d’infrastructure. Les employés peuvent également connaître le réseau d’entreprise, ses ressources et ses données confidentielles.

Les professionnels de la sécurité réseau doivent mettre en œuvre des outils et appliquer des techniques pour atténuer les menaces externes et internes.

3.1.3 Perte de Données

Les données sont probablement l’atout le plus précieux d’une organisation. Les données d’une entreprise peuvent comprendre des informations relatives à la recherche et au développement, à la vente, aux finances, aux ressources humaines, aux contracteurs, aux employés et aux clients.

La perte ou l’exfiltration de données se produit lorsque les données sont intentionnellement ou involontairement perdues, volées ou divulguées au monde extérieur. La perte de données peut entraîner les résultats suivants:

• Dommages à la marque et perte de réputation
• Perte d’avantage concurrentiel
• Perte de clients
• Perte de revenus
• Litiges / actions en justice entraînant des amendes et des sanctions civiles
• Coûts et efforts importants pour informer les parties concernées et se remettre de la violation

Les vecteurs de perte de données courants sont affichés dans le tableau.

Les professionnels de la sécurité réseau doivent protéger les données de l’organisation. Divers contrôles de prévention des pertes de données (DLP) doivent être mis en œuvre qui combinent des mesures stratégiques, opérationnelles et tactiques.

3.2 Acteurs de Menace

3.2.1 Le Pirate

Dans la rubrique précédente, vous avez acquis un aperçu de haut niveau du paysage actuel de la cybersécurité, y compris les types de menaces et de vulnérabilités qui affligent tous les administrateurs et architectes de réseau. Dans cette rubrique, vous apprendrez plus de détails sur des types particuliers d’acteurs de menace.

Pirate est un terme commun utilisé pour décrire un acteur de menace. Comme le montre le tableau, les termes pirate à chapeau blanc, pirate à chapeau noir et pirate à chapeau gris sont souvent utilisés pour décrire un type de pirate.

Remarque: Dans ce cours, nous n’utiliserons pas le terme pirate en dehors de ce module. Nous utiliserons le terme acteur de menace. Le terme acteur de menace comprend les pirates. Mais l’acteur de menace comprend également tout appareil, personne, groupe ou État-nation qui est, intentionnellement ou non, la source d’une attaque.

3.2.2 Évolution des Pirates

Le piratage a commencé dans les années 1960 avec la panique du téléphone, ou phreaking, qui se réfère à l’utilisation des fréquences audio pour manipuler les systèmes téléphoniques. À cette époque, les commutateurs téléphoniques utilisaient différentes tonalités pour indiquer différentes fonctions. Les premiers pirates ont réalisé qu’en imitant une tonalité à l’aide d’un sifflet, ils pouvaient exploiter les commutateurs téléphoniques pour passer des appels longue distance gratuits.

Au milieu des années 80, des modems d’accès à distance par ordinateur ont été utilisés pour connecter des ordinateurs à des réseaux. Les pirates ont écrit des programmes de «composition de guerre» qui composaient chaque numéro de téléphone dans une zone donnée à la recherche d’ordinateurs. Lorsqu’un ordinateur a été trouvé, des programmes de piratage de mot de passe ont été utilisés pour y accéder.

Le tableau affiche les termes de piratage modernes et une brève description de chacun.

3.2.3 Les Cybercriminels

On estime que les cybercriminels volent des milliards de dollars aux consommateurs et aux entreprises. Les cybercriminels opèrent dans une économie souterraine où ils achètent, vendent et échangent des kits d’outils d’attaque, du code d’exploitation zero day, des services de botnet, des chevaux de Troie bancaires, des enregistreurs de frappe et bien plus encore. Ils achètent et vendent également les informations privées et la propriété intellectuelle qu’ils volent. Les cybercriminels ciblent les petites entreprises et les consommateurs, ainsi que les grandes entreprises et des industries entières.

3.2.4 Les Hacktivistes

Anonymous et l’armée syrienne électronique sont deux exemples de groupes hacktivistes. Bien que la plupart des groupes hacktivistes ne soient pas bien organisés, ils peuvent causer des problèmes importants aux gouvernements et aux entreprises. Les hacktivistes ont tendance à s’appuyer sur des outils assez simples et disponibles gratuitement.

3.2.5 Pirates Parrainés par l’État

Les pirates informatiques parrainés par l’État créent un code d’attaque avancé et personnalisé, utilisant souvent des vulnérabilités logicielles non découvertes appelées vulnérabilités zero-day. Un exemple d’attaque parrainée par l’État concerne le malware Stuxnet qui a été créé pour endommager les capacités d’enrichissement nucléaire de l’Iran.

3.3 Outils d’Acteur de Menace

3.3.2 Introduction aux Outils d’Attaque

Pour exploiter une vulnérabilité, un acteur de menace doit disposer d’une technique ou d’un outil. Au fil des ans, les outils d’attaque sont devenus plus sophistiqués et hautement automatisés. Ces nouveaux outils nécessitent moins de connaissances techniques pour être implémentés.

Dans la figure, faites glisser le cercle blanc le long de la frise pour afficher le rapport entre la sophistication des outils d’attaque et les connaissances requises pour les utiliser.

La complexité des outils d’attaque par rapport aux connaissances techniques

3.3.3 Évolution des Outils de Sécurité

Le piratage éthique implique de nombreux types d’outils différents utilisés pour tester le réseau et sécuriser ses données. Pour valider la sécurité d’un réseau et de ses systèmes, de nombreux outils de test de pénétration réseau ont été développés. Il est regrettable que bon nombre de ces outils puissent être utilisés par des pirates informatiques à des fins d’exploitation.

Les pirates à chapeau noir ont également créé de nombreux outils de piratage. Ces outils sont créés explicitement pour des raisons néfastes. Les pirates informatiques doivent également savoir comment utiliser ces outils lors des tests de pénétration du réseau.

Le tableau présente les catégories d’outils de test de pénétration courants. Comme vous pouvez le constater, certains outils sont utilisés à la fois par les pirates chapeau blanc et chapeau noir. Gardez à l’esprit que la liste n’est pas exhaustive car de nouveaux outils sont toujours en développement.

Remarque: une grande partie de ces outils sont basés sur UNIX ou sur Linux; par conséquent, un professionnel de la sécurité doit avoir une solide expérience de ces systèmes.

3.3.4 Types d’Attaque

Les acteurs de menace peuvent utiliser les outils d’attaque mentionnés précédemment, ou une combinaison d’outils, pour créer des attaques. Le tableau affiche les types d’attaques courants. Cependant, la liste des attaques n’est pas exhaustive car de nouvelles vulnérabilités d’attaque sont constamment découvertes.

3.4 Logiciel Malveillant

3.4.1 Présentation des Logiciels Malveillants

Maintenant que vous connaissez les outils utilisés par les pirates, cette rubrique vous présente différents types de logiciels malveillants que les pirates utilisent pour accéder aux terminaux.

Les terminaux sont particulièrement exposés aux attaques de logiciels malveillants. Il est important de connaître les logiciels malveillants, car les acteurs des menaces comptent sur les utilisateurs pour installer des logiciels malveillants afin d’aider à exploiter les failles de sécurité.

Cliquez sur Lecture pour afficher une animation des trois types de logiciels malveillants les plus courants.

3.4.2 Virus et Chevaux de Troie

Le premier type de programme malveillant, et le plus répandu, est le virus. Les virus nécessitent une action humaine pour se propager et infecter d’autres ordinateurs. Par exemple, un virus peut contaminer un ordinateur lorsqu’une victime ouvre une pièce jointe, ouvre un fichier sur un disque USB ou télécharge un fichier.

Le virus est caché dans du code, un logiciel ou des documents. Lorsque l’utilisateur y accède, le virus s’exécute et contamine l’ordinateur.

Les virus peuvent…

• Modifier, corrompre, supprimer des fichiers ou effacer des disques entiers.
• Causer des problèmes de démarrage de l’ordinateur et des applications corrompues.
• Capturer et envoyer des informations sensibles aux acteurs de menace.
• Accéder aux comptes de messagerie et les utiliser pour se propager
• Rester en sommeil jusqu’à ce qu’il soit convoqué par l’acteur de menace.

Les virus modernes sont développés pour des objectifs spécifiques tels que ceux répertoriés dans le tableau.

Les acteurs de menace utilisent des chevaux de Troie pour compromettre les hôtes. Le cheval de Troie se présente comme un programme utile, mais contient du code malveillant. Les chevaux de Troie sont souvent fournis avec des programmes en ligne gratuits, tels que des jeux informatiques. Les utilisateurs sans méfiance téléchargent et installent le jeu, ainsi que le cheval de Troie.

Il existe plusieurs types de chevaux de Troie, comme décrit dans le tableau.

Les virus et les chevaux de Troie ne sont que deux types de logiciels malveillants utilisés par les acteurs de menace. Il existe de nombreux autres types de logiciels malveillants conçus à des fins spécifiques.

3.4.3 Autres Types de Logiciels Malveillants

Le tableau présente des détails sur de nombreux types de logiciels malveillants différents.

3.5 Attaques Réseau Courantes

3.5.1 Présentation des Attaques Réseau Courantes

Comme vous l’avez appris, il existe de nombreux types de logiciels malveillants que les pirates peuvent utiliser. Mais ce ne sont pas les seuls moyens d’attaquer un réseau ou même une organisation.

Lorsque des logiciels malveillants sont livrés et installés, la charge utile peut être utilisée pour provoquer diverses attaques liées au réseau.

Pour atténuer les attaques, il est utile de comprendre les types d’attaques. En catégorisant les attaques de réseau, il est possible d’adresser les types d’attaques plutôt que les attaques individuelles.

Les réseaux sont sensibles aux types d’attaques suivants:

• Attaques de reconnaissance
• Attaques par accès
• Attaques DoS

3.5.3 Attaques de Reconnaissance

La reconnaissance est la collecte d’informations. C’est comme un voleur qui arpente un quartier en faisant du porte-à-porte en prétendant vendre quelque chose. Ce que le voleur fait, c’est rechercher des maisons vulnérables par effraction, comme des résidences inoccupées, des résidences avec des portes ou des fenêtres faciles à ouvrir, et des résidences sans système de sécurité ni caméra de sécurité.

Les acteurs de menace utilisent des attaques de reconnaissance (ou de recon) pour effectuer la découverte et la cartographie non autorisées de systèmes, de services ou de vulnérabilités. Les attaques Recon précèdent les attaques d’accès ou les attaques DoS.

Certaines des techniques utilisées par les acteurs de menace malveillants pour mener des attaques de reconnaissance sont décrites dans le tableau.

Cliquez sur chaque bouton pour afficher la progression d’une attaque de reconnaissance, de la requête d’information au balayage de ping en passant par l’analyse de port.

3.5.5 Attaques par Accès

Les attaques d’accès exploitent les vulnérabilités connues des services d’authentification, des services FTP et des services Web. Le but de ces types d’attaques est d’accéder à des comptes Web, à des bases de données confidentielles et à d’autres informations sensibles.

Les acteurs de menace utilisent des attaques d’accès sur les périphériques réseau et les ordinateurs pour récupérer des données, y accéder ou pour augmenter les privilèges d’accès au statut d’administrateur.

Attaques par mot de passe

Dans une attaque par mot de passe, l’acteur de menace tente de découvrir les mots de passe des systèmes critiques en utilisant diverses méthodes. Les attaques par mot de passe sont très courantes et peuvent être lancées à l’aide d’une variété d’outils de craquage de mot de passe.

Attaques par usurpation

Dans les attaques d’usurpation d’identité, le dispositif d’acteur de menace tente de se faire passer pour un autre dispositif en falsifiant les données. Les attaques d’usurpation d’identité courantes incluent l’usurpation d’adresse IP, l’usurpation d’adresse MAC et l’usurpation d’identité DHCP. Ces attaques d’usurpation seront discutées plus en détail plus loin dans ce module

Les autres attaques d’accès incluent:

• Exploiter la confiance
• Redirection de port
• Attaques de l’homme-au-milieu
• Attaques de dépassement de tampon

Cliquez sur chaque bouton pour afficher une illustration et une explication de ces attaques d’accès.

3.5.6 Ingénierie Sociale

L’ingénierie sociale est une attaque d’accès qui tente de manipuler des individus pour effectuer des actions ou divulguer des informations confidentielles. Certaines techniques d’ingénierie sociale sont réalisées en personne tandis que d’autres peuvent utiliser le téléphone ou l’Internet.

Les ingénieurs sociaux comptent souvent sur la volonté des gens d’être utiles. Ils exploitent également les faiblesses des gens. Par exemple, un acteur de menace pourrait appeler un employé autorisé ayant un problème urgent nécessitant un accès immédiat au réseau. L’acteur de menace pourrait faire appel à la vanité de l’employé, invoquer l’autorité en utilisant des techniques de suppression de nom ou faire appel à la cupidité de l’employé.

Le tableau présente des informations sur les techniques d’ingénierie sociale.

La boîte à outils d’ingénierie sociale (SET) a été conçue pour aider les pirates en chapeau blanc et autres professionnels de la sécurité des réseaux à créer des attaques d’ingénierie sociale pour tester leurs propres réseaux.

Les entreprises doivent éduquer leurs utilisateurs sur les risques de l’ingénierie sociale et développer des stratégies pour valider les identités par téléphone, par e-mail ou en personne.

La figure montre les pratiques recommandées qui devraient être suivies par tous les utilisateurs.

Pratiques de protection recommandées par l’ingénierie sociale 

3.5.7 Travail pratique – Ingénierie sociale

Dans ce TP, vous rechercherez des exemples d’ingénierie sociale et identifierez des moyens de la reconnaître et de la prévenir.

3.5.9 Attaques DoS et DDoS

Une attaque par déni de service (DoS) crée une sorte d’interruption des services réseau pour les utilisateurs, les appareils ou les applications. Il existe deux principaux types d’attaques DoS:

• Quantité de trafic écrasante – L’acteur de menace envoie une énorme quantité de données à un débit que le réseau, l’hôte ou l’application ne peut pas gérer. Cela ralentit la transmission et le temps de réponse. Il peut également faire tomber en panne un appareil ou un service.
• Paquets formatés de manière malveillante – L’acteur de menace envoie un paquet formaté de manière malveillante à un hôte ou une application et le récepteur n’est pas en mesure de le gérer. L’appareil récepteur est alors très lent ou s’écrase.

Cliquez sur chaque bouton pour une illustration et une explication des attaques DoS et DDoS.

3.6 Menaces et Vulnérabilités Liées au Protocole IP

3.6.2 IPv4 et IPv6

l’IP ne valide pas si l’adresse IP source contenue dans un paquet provient réellement de cette source. Pour cette raison, les acteurs de menace peuvent envoyer des paquets à l’aide d’une adresse IP source usurpée. Les acteurs de menace peuvent également trafiquer les autres champs de l’en-tête IP pour exécuter leurs attaques. Les analystes de sécurité doivent comprendre les différents champs des en-têtes IPv4 et IPv6.

Certaines des attaques liées à l’IP les plus courantes sont présentées dans le tableau.

3.6.3 Attaques ICMP

Les acteurs de menace utilisent ICMP pour les attaques de reconnaissance et de scan. Ils peuvent lancer des attaques de collecte d’informations pour cartographier une topologie de réseau, découvrir quels hôtes sont actifs (accessibles), identifier le système d’exploitation hôte (empreinte du système d’exploitation) et déterminer l’état d’un pare-feu. Les acteurs de menace utilisent également ICMP pour les attaques DoS.

Remarque: ICMP pour IPv4 (ICMPv4) et ICMP pour IPv6 (ICMPv6) sont sensibles à des types d’attaques similaires.

Les réseaux doivent avoir un filtrage strict de la liste de contrôle d’accès (ACL) ICMP sur la périphérie du réseau pour éviter les sondages ICMP à partir d’Internet. Les analystes de la sécurité devraient être en mesure de détecter les attaques liées à ICMP en examinant le trafic capturé et les fichiers journaux. Dans le cas de grands réseaux, les dispositifs de sécurité tels que les pare-feu et les systèmes de détection d’intrusion (IDS) détectent de telles attaques et génèrent des alertes aux analystes de sécurité.

Les messages communs d’ICMP qui intéressent les acteurs de menace sont énumérés dans le tableau.

3.6.5 Attaques par Amplification et Réflexion

Les acteurs de menace utilisent souvent des techniques d’amplification et de réflexion pour créer des attaques DoS. L’exemple de la figure illustre comment une technique d’amplification et de réflexion appelée attaque Schtroumpf est utilisée pour submerger un hôte cible.

• Amplification – L’auteur de la menace transfère les messages de demande d’écho ICMP à de nombreux hôtes. Ces messages contiennent l’adresse IP source de la victime.
• Reflection – Ces hôtes répondent tous à l’adresse IP usurpée de la victime pour la submerger.

Remarque: De nouvelles formes d’attaques d’amplification et de réflexion telles que les attaques de réflexion et d’amplification basées sur DNS et les attaques d’amplification NTP (Network Time Protocol) sont désormais utilisées.

Les acteurs de menace utilisent également des attaques d’épuisement des ressources. Ces attaques consomment les ressources d’un hôte cible soit pour le planter, soit pour consommer les ressources d’un réseau.

3.6.6 Attaques par Usurpation d’Adresse

Les attaques d’usurpation d’adresse IP se produisent lorsqu’un acteur de menace crée des paquets contenant de fausses informations d’adresse IP source pour masquer l’identité de l’expéditeur ou pour se faire passer pour un autre utilisateur légitime. L’acteur de menace peut alors accéder à des données autrement inaccessibles ou contourner les configurations de sécurité. L’usurpation d’identité est généralement intégrée à une autre attaque telle qu’une attaque de Schtroumpf.

Les attaques d’usurpation d’identité peuvent être non aveugles ou aveugles:

• Usurpation d’identité non aveugle – L’acteur de menace peut voir le trafic qui est envoyé entre l’hôte et la cible. L’acteur de menace utilise une usurpation d’identité non aveugle pour inspecter le paquet de réponse de la victime cible. L’usurpation non aveugle détermine l’état d’un pare-feu et la prédiction du numéro de séquence. Il peut également détourner une session autorisée.
• Usurpation aveugle – L’acteur de menace ne peut pas voir le trafic qui est envoyé entre l’hôte et la cible. L’usurpation aveugle est utilisée pour les attaques DoS.

Les attaques d’usurpation d’adresse MAC sont utilisées lorsque les acteurs de menace ont accès au réseau interne. Les acteurs de menace modifient l’adresse MAC de leur hôte pour correspondre à une autre adresse MAC connue d’un hôte cible, comme le montre la figure. L’hôte attaquant envoie ensuite une trame à travers le réseau avec l’adresse MAC nouvellement configurée. Lorsque le commutateur reçoit la trame, il examine l’adresse MAC source.

L’acteur de menace usurpe l’adresse MAC d’un serveur

Le commutateur écrase l’entrée de table CAM actuelle et attribue l’adresse MAC au nouveau port, comme illustré dans la figure. Il transmet ensuite à l’hôte attaquant les trames destinées à l’hôte cible.

Le commutateur met à jour la table CAM avec l’adresse usurpée

L’usurpation d’application ou de service est un autre exemple d’usurpation. Un acteur de menace peut connecter un serveur DHCP non autorisé pour créer une condition MITM.

3.7 Vulnérabilités des Protocoles TCP et UDP

3.7.1 En-tête de segment TCP

Alors que certaines attaques ciblent l’IP, cette rubrique traite des attaques qui ciblent TCP et UDP.

Les informations de segment TCP apparaissent immédiatement après l’en-tête IP. Les champs du segment TCP et les drapeaux du champ Control Bits sont affichés sur la figure.

Voici les six bits de contrôle du segment TCP:

• URG – Champ de pointeur urgent significatif (Urgent pointer field significant)
• ACK – Champ d’acquittement significatif (Acknowledgment field significant)
• PSH – Fonction push (Push function)
• RST – Réinitialiser la connexion
• SYN – Synchroniser les numéros de séquence
• FIN – Plus de données de l’expéditeur

3.7.2 Services TCP

TCP fournit ces services:

• Livraison fiable – TCP intègre des accusés de réception pour garantir la livraison, au lieu de s’appuyer sur des protocoles de couche supérieure pour détecter et résoudre les erreurs. Si un accusé de réception en temps opportun n’est pas reçu, l’expéditeur retransmet les données. La demande d’accusé de réception des données reçues peut entraîner des retards importants. Des exemples de protocoles de couche d’application qui utilisent la fiabilité TCP incluent HTTP, SSL / TLS, FTP, les transferts de zone DNS et autres.
• Contrôle de flux – TCP implémente un contrôle de flux pour résoudre ce problème. Plutôt que d’accuser réception d’un segment à la fois, plusieurs segments peuvent être acquittés avec un seul segment d’accusé de réception.
• Communication avec état – La communication avec état TCP entre deux parties se produit pendant la prise de contact à trois voies TCP. Avant que les données puissent être transférées à l’aide de TCP, une négociation à trois voies ouvre la connexion TCP, comme indiqué sur la figure. Si les deux parties acceptent la connexion TCP, les données peuvent être envoyées et reçues par les deux parties en utilisant TCP.

Une connexion TCP en trois étapes 

Une connexion TCP est établie en trois étapes :

1. Le client demande l’établissement d’une session de communication client-serveur avec le serveur.
2. Le serveur accuse réception de la session de communication client-serveur et demande l’établissement d’une session de communication serveur-client.
3. Le client accuse réception de la session de communication serveur-client.

3.7.3 Attaques TCP

Les applications réseau utilisent des ports TCP ou UDP. Les acteurs de menace effectuent des analyses de port des appareils cibles pour découvrir les services qu’ils proposent.

Attaque par inondation TCP SYN

l’attaque par inondation TCP SYN exploite la négociation à trois voies TCP. La figure montre un acteur de menace envoyant continuellement des paquets de demande de session TCP SYN avec une adresse IP source falsifiée de manière aléatoire à une cible. Le périphérique cible répond avec un paquet TCP SYN-ACK à l’adresse IP usurpée et attend un paquet TCP ACK. Ces réponses n’arrivent jamais. Finalement, l’hôte cible est submergé de connexions TCP semi-ouvertes et les services TCP sont refusés aux utilisateurs légitimes.

Attaque par inondation TCP SYN

1. L’acteur de menace envoie plusieurs demandes SYN à un serveur Web.
2. Le serveur Web répond avec des SYN-ACK pour chaque demande SYN et attend de terminer la négociation à poignée de main à trois voies. L’acteur de menace ne répond pas aux SYN-ACK.
3. Un utilisateur valide ne peut pas accéder au serveur Web car le serveur Web possède trop de connexions TCP semi-ouvertes.

Attaque de réinitialisation du TCP

Une attaque de réinitialisation TCP peut être utilisée pour mettre fin aux communications TCP entre deux hôtes. La figure montre comment TCP utilise un échange à quatre voies pour fermer la connexion TCP à l’aide d’une paire de segments FIN et ACK de chaque point de terminaison TCP. Une connexion TCP se termine lorsqu’elle reçoit un bit RST. Il s’agit d’une manière abrupte de rompre la connexion TCP et d’informer l’hôte destinataire de cesser immédiatement d’utiliser la connexion TCP. Un acteur de menace pourrait effectuer une attaque de réinitialisation TCP et envoyer un paquet usurpé contenant un TCP RST à un ou aux deux points de terminaison.

Arrêt de la connexion TCP

La fin d’une session TCP utilise le processus d’échange à quatre voies suivant:

1. Quand le client n’a plus de données à envoyer dans le flux, il envoie un segment dont l’indicateur FIN est défini.
2. Le serveur envoie un segment ACK pour informer de la bonne réception du segment FIN afin de fermer la session du client au serveur.
3. Le serveur envoie un segment FIN au client pour mettre fin à la session du serveur au client.
4. Le client répond à l’aide d’un segment ACK pour accuser réception du segment FIN envoyé par le serveur.

Détournement de session TCP

Le détournement de session TCP est une autre vulnérabilité TCP. Bien que difficile à mener, un acteur de menace prend le contrôle d’un hôte déjà authentifié lors de sa communication avec la cible. L’acteur de menace doit usurper l’adresse IP d’un hôte, prédire le numéro de séquence suivant et envoyer un ACK à l’autre hôte. En cas de succès, l’acteur de menace pourrait envoyer, mais pas recevoir, des données de l’appareil cible.

3.7.4 En-tête et Fonctionnement du Segment UDP

UDP est couramment utilisé par DNS, TFTP, NFS et SNMP. Il est également utilisé avec des applications en temps réel telles que le streaming multimédia ou la VoIP. UDP est un protocole de couche de transport sans connexion. Il a une surcharge beaucoup plus faible que TCP car il n’est pas connexion orienté et n’offre pas les mécanismes sophistiqués de retransmission, de séquencement et de contrôle de flux qui assurent la fiabilité. La structure de segment UDP, illustrée sur la figure, est beaucoup plus petite que la structure de segment de TCP.

Bien que UPD soit normalement appelé non fiable, contrairement à la fiabilité de TCP, cela ne signifie pas que les applications qui utilisent UDP ne sont pas toujours fiables, ni que UDP est un protocole inférieur. Cela signifie que ces fonctions ne sont pas fournies par le protocole de couche transport et doivent être implémentées ailleurs si nécessaire.

La faible surcharge d’UDP le rend très souhaitable pour les protocoles qui effectuent des transactions de demande et de réponse simples. Par exemple, l’utilisation de TCP pour DHCP introduirait un trafic réseau inutile. Si aucune réponse n’est reçue, l’appareil renvoie la demande.

3.7.5 Attaques UDP

UDP n’est protégé par aucun cryptage. Vous pouvez ajouter un chiffrement à UDP, mais il n’est pas disponible par défaut. L’absence de cryptage signifie que n’importe qui peut voir le trafic, le modifier et l’envoyer à sa destination. La modification des données dans le trafic modifie la somme de contrôle 16 bits, mais la somme de contrôle est facultative et n’est pas toujours utilisée. Lorsque la somme de contrôle est utilisée, l’acteur de menace peut créer une nouvelle somme de contrôle basée sur la nouvelle charge utile de données, puis l’enregistrer dans l’en-tête en tant que nouvelle somme de contrôle. Le périphérique de destination constatera que la somme de contrôle correspond aux données sans savoir que les données ont été modifiées. Ce type d’attaque n’est pas largement utilisé.

Attaque par inondation UDP

Vous êtes plus susceptible de voir une attaque par inondation UDP. Dans une attaque par inondation UDP, toutes les ressources d’un réseau sont consommées. L’acteur de menace doit utiliser un outil comme UDP Unicorn ou Low Orbit Ion Cannon. Ces outils envoient un flot de paquets UDP, souvent à partir d’un hôte usurpé, vers un serveur du sous-réseau. Le programme balaiera tous les ports connus en essayant de trouver des ports fermés. Cela entraînera le serveur de répondre avec un message inaccessible du port ICMP. Étant donné qu’il existe de nombreux ports fermés sur le serveur, cela crée beaucoup de trafic sur le segment, qui utilise la majeure partie de la bande passante. Le résultat est très similaire à une attaque DoS.

3.8 Services IP

3.8.1 Vulnérabilités ARP

Plus tôt dans ce module, vous avez découvert les vulnérabilités avec IP, TCP et UDP. La suite de protocoles TCP / IP n’a jamais été conçue pour la sécurité. Par conséquent, les services qu’IP utilise pour adresser des fonctions telles que ARP, DNS et DHCP ne sont pas non plus sécurisés, comme vous l’apprendrez dans cette rubrique.

Les hôtes diffusent une demande ARP à d’autres hôtes sur le segment pour déterminer l’adresse MAC d’un hôte avec une adresse IP particulière. Tous les hôtes du sous-réseau reçoivent et traitent la requête ARP. L’hôte dont l’adresse IP correspond à la requête ARP envoie une réponse ARP.

Cliquez sur Lecture dans la figure pour voir le processus ARP à l’œuvre.

Le Processus ARP

Tout client peut envoyer une réponse ARP non sollicitée appelée «ARP gratuit». Cette opération est souvent effectuée lorsqu’un périphérique démarre pour informer tous les autres périphériques du réseau local de l’adresse MAC du nouveau périphérique. Lorsqu’un hôte envoie un ARP gratuit, les autres hôtes du sous-réseau stockent l’adresse MAC et l’adresse IP contenues dans l’ARP gratuit dans leurs tables ARP.

Cette fonctionnalité d’ARP signifie également que tout hôte peut prétendre être le propriétaire de n’importe quelle adresse IP ou MAC. Un acteur de menace peut empoisonner le cache ARP des appareils sur le réseau local, créant une attaque MITM pour rediriger le trafic. L’objectif est de cibler un hôte victime, et de lui faire changer sa passerelle par défaut vers le dispositif de l’acteur de menace. Cela positionne l’acteur de menace entre la victime et tous les autres systèmes en dehors du sous-réseau local.

3.8.2 Empoisonnement de cache ARP

L’empoisonnement du cache ARP peut être utilisé pour lancer diverses attaques de l’homme au milieu.

Cliquez sur chaque bouton pour une illustration et une explication du processus d’empoisonnement du cache ARP.

Remarque: Il existe de nombreux outils disponibles sur Internet pour créer des attaques ARP MITM, notamment dsniff, Cain & Abel, ettercap, Yersinia et autres.

3.8.4 Attaques DNS

Le protocole DNS (Domain Name System) définit un service automatisé qui fait correspondre les noms de ressources, tels que www.cisco.com, avec l’adresse réseau numérique requise, telle que l’adresse IPv4 ou IPv6. Il inclut le format des requêtes, des réponses et des données, et utilise les enregistrements de ressource (RR) pour identifier le type de réponse DNS.

La sécurisation du protocole DNS est souvent négligée. Cependant, il est crucial pour le fonctionnement d’un réseau et doit être sécurisé en conséquence.

Les attaques DNS sont les suivantes:

• Attaques résolveur ouvert DNS
• Attaques furtive DNS
• Les attaques de shadowing de domaine DNS
• Attaques de Tunnellisation (tunneling) DNS

Attaques résolveur ouvert DNS

De nombreuses organisations utilisent les services de serveurs DNS ouverts au public tels que GoogleDNS (8.8.8.8) pour fournir des réponses aux requêtes. Ce type de serveur DNS est appelé résolveur ouvert. Un résolveur ouvert DNS répond aux requêtes des clients en dehors de son domaine administratif. Les résolveurs ouverts DNS sont vulnérables à plusieurs activités malveillantes décrites dans le tableau.

Attaques furtives DNS

Pour cacher leur identité, les acteurs de menace utilisent également les techniques de furtivité DNS décrites dans le tableau pour mener leurs attaques.

Attaques d’observation de domaine DNS

L’observation de domaine implique que l’acteur de menace collecte les informations d’identification du compte de domaine afin de créer silencieusement plusieurs sous-domaines à utiliser pendant les attaques. Ces sous-domaines pointent généralement vers des serveurs malveillants sans alerter le propriétaire réel du domaine parent.

3.8.5 Attaques DNS par Tunnellisation

Les acteurs de menace qui utilisent la tunnellisation DNS placent le trafic non DNS dans le trafic DNS. Cette méthode contourne souvent les solutions de sécurité lorsqu’un acteur de menace souhaite communiquer avec des robots à l’intérieur d’un réseau protégé, ou exfiltrer des données de l’organisation, comme une base de données de mots de passe. Lorsque l’acteur de menace utilise la tunnellisation DNS, les différents types d’enregistrements DNS sont modifiés. Voici comment fonctionne la tunnelisation DNS pour les commandes CnC envoyées à un botnet:

1. Les données de commande sont divisées en plusieurs blocs codés.
2. Chaque bloc est placé dans une étiquette de nom de domaine de niveau inférieur de la requête DNS.
3. Étant donné qu’il n’y a pas de réponse du DNS local ou en réseau pour la requête, la demande est envoyée aux serveurs DNS récursifs du FAI.
4. Le service DNS récursif transmet la requête au serveur de noms faisant autorité de l’acteur de menace.
5. Le processus est répété jusqu’à ce que toutes les requêtes contenant les blocs soient envoyées.
6. Lorsque le serveur de noms faisant autorité de l’acteur de menace reçoit les requêtes DNS des appareils infectés, il envoie des réponses pour chaque requête DNS, qui contiennent les commandes CnC encapsulées et encodées.
7. Le malware sur l’hôte compromis recombine les blocs et exécute les commandes cachées dans l’enregistrement DNS.

Pour arrêter les attaques DNS par tunnellisation, il faut utiliser un filtre inspectant le trafic DNS. Portez une attention particulière aux requêtes DNS qui sont plus longues que la moyenne ou à celles qui ont un nom de domaine suspect. Les solutions DNS, comme Cisco OpenDNS, bloquent une grande partie du trafic de DNS par tunnellisation en identifiant les domaines suspects.

3.8.6 DHCP

Les serveurs DHCP fournissent dynamiquement des informations de configuration IP aux clients. La figure montre la séquence typique d’un échange de messages DHCP entre le client et le serveur.

Fonctionnement normal du protocole DHCP

Dans la figure, un client diffuse un message de découverte DHCP. Le serveur DHCP répond par une offre de monodiffusion qui inclut les informations d’adressage que le client peut utiliser. Le client diffuse une requête DHCP pour indiquer au serveur que le client accepte l’offre. Le serveur répond par un accusé de réception monodiffusion acceptant la demande.

3.8.7 Attaques DHCP

Attaques par usurpation DHCP

Une attaque d’usurpation DHCP se produit lorsqu’un serveur DHCP non autorisé est connecté au réseau et fournit de faux paramètres de configuration IP aux clients légitimes. Un serveur non autorisé peut fournir une variété d’informations trompeuses:

• Passerelle par défaut incorrect – L’acteur de menace fournit une passerelle non valide ou l’adresse IP de son hôte pour créer une attaque MITM. Cela peut ne pas être détecté car l’intrus intercepte le flux de données à travers le réseau.
• Serveur DNS incorrect – L’acteur de menace fournit une adresse de serveur DNS incorrecte pointant l’utilisateur vers un site Web malveillant.
• Adresse IP incorrecte – L’acteur de menace fournit une adresse IP non valide, une adresse IP de passerelle par défaut non valide, ou les deux. L’acteur de menace crée ensuite une attaque DoS sur le client DHCP.

Supposons qu’un acteur de menace ait correctement connecté un serveur DHCP non autorisé à un port de commutateur sur le même sous-réseau que les clients cibles. Le but du serveur non autorisé est de fournir aux clients de fausses informations de configuration IP.

Cliquez sur chaque bouton pour une illustration et une explication des étapes d’une attaque d’usurpation DHCP.

3.8.8 Travaux pratiques – Explorez le trafic DNS

Au cours de ces travaux pratiques, vous aborderez les points suivants:

• Capturer le trafic DNS
• Explorer le trafic des requêtes DNS
• Explorer le trafic des réponses DNS

3.9 Bonnes Pratiques pour la Sécurité du Réseau

3.9.1 Confidentialité, intégrité et disponibilité

Il est vrai que la liste des types d’attaques réseau est longue. Mais il existe de nombreuses meilleures pratiques que vous pouvez utiliser pour défendre votre réseau, comme vous le découvrirez dans cette rubrique.

La sécurité du réseau consiste à protéger les informations et les systèmes d’information contre tout accès, utilisation, divulgation, interruption, modification ou destruction non autorisés.

La plupart des organisations suivent la triade de sécurité de l’information de la CIA:

• Confidentialité: seuls les personnes, entités ou processus autorisés peuvent accéder aux informations sensibles. Cela peut nécessiter l’utilisation d’algorithmes de cryptage cryptographiques tels que AES pour crypter et décrypter les données.
• Intégrité – Désigne la protection des données contre toute altération non autorisée. Il nécessite l’utilisation d’algorithmes de hachage cryptographiques tels que SHA.
• Disponibilité – Les utilisateurs autorisés doivent avoir un accès ininterrompu aux ressources et données importantes. Cela nécessite la mise en œuvre de services, de passerelles et de liaisons redondants.

CIA Triad 

3.9.2 L’Approche de Défense en Profondeur

Pour garantir des communications sécurisées sur les réseaux publics et privés, vous devez sécuriser les appareils, y compris les routeurs, les commutateurs, les serveurs et les hôtes. La plupart des organisations utilisent une approche de défense en profondeur de la sécurité. Ceci est également connu comme une approche en couches. Cela nécessite une combinaison de périphériques réseau et de services fonctionnant ensemble. Prenons l’exemple du réseau de la figure.

###Protection contre les attaques réseau

Plusieurs dispositifs et services de sécurité sont mis en œuvre pour protéger les utilisateurs et les atouts d’une organisation contre les menaces TCP / IP.

• VPN – Un routeur est utilisé pour fournir des services VPN sécurisés avec des sites d’entreprise et un support d’accès à distance pour les utilisateurs distants à l’aide de tunnels cryptés sécurisés.
• Pare-feu ASA – Cet appareil dédié fournit des services de pare-feu avec état. Il garantit que le trafic interne peut sortir et revenir, mais le trafic externe ne peut pas établir de connexions avec des hôtes internes.
• IPS – Un système de prévention des intrusions (IPS) surveille le trafic entrant et sortant à la recherche de logiciels malveillants, de signatures d’attaques réseau, etc. S’il détecte une menace, il peut immédiatement l’arrêter.
• ESA/WSA – L’appliance de sécurité de messagerie (ESA) filtre les spams et les e-mails suspects. L’appliance de sécurisation du web filtre les sites de malwares Internet connus et suspects.
• Serveur AAA – Ce serveur contient une base de données sécurisée de qui est autorisé à accéder et à gérer les périphériques réseau. Les périphériques réseau authentifient les utilisateurs administratifs à l’aide de cette base de données.

Tous les périphériques réseau, y compris le routeur et les commutateurs, sont renforcés, ce qui signifie qu’ils ont été sécurisés pour empêcher les acteurs de menace d’accéder et de falsifier les périphériques.

Ensuite, vous devez sécuriser les données lorsqu’elles transitent par différents liens. Cela peut inclure le trafic interne, mais il est plus important de protéger les données qui circulent en dehors de l’organisation vers les sites de succursale, les sites de télétravail et les sites partenaires.

3.9.3 Pare-feu

Un pare-feu est un système, ou un groupe de systèmes, qui impose une politique de contrôle d’accès entre des réseaux. Cliquez sur Lecture dans la figure pour afficher une animation du fonctionnement d’un pare-feu.

Fonctionnement du pare-feu

Tous les pare-feu partagent certaines propriétés communes:

• Les pare-feu résistent aux attaques réseau.
• Les pare-feu sont les seuls points de transit entre les réseaux d’entreprise internes et les réseaux externes car tout le trafic passe par le pare-feu.
• Les pare-feu appliquent la politique de contrôle d’accès.

Il y a plusieurs avantages à utiliser un pare-feu dans un réseau :

• Il empêche les utilisateurs non fiables d’accéder aux hôtes, aux ressources et aux applications sensibles.
• Il assainit le flux de protocoles pour empêcher l’exploitation des failles.
• Il bloque les données malveillantes provenant des serveurs et des clients.
• Il simplifie la gestion de la sécurité en confiant la majeure partie du contrôle d’accès réseau à quelques pare-feu sur le réseau.

Les pare-feu présentent également certaines limites :

• Un pare-feu mal configuré peut avoir des conséquences graves pour le réseau. Il peut par exemple constituer un point de défaillance unique.
• Les données de nombreuses applications ne peuvent pas être transmises via des pare-feu en toute sécurité.
• Les utilisateurs peuvent rechercher proactivement des façons de contourner le pare-feu afin de recevoir des données bloquées, ce qui expose le réseau à des attaques potentielles.
• Les performances du réseau peuvent baisser.
• Le trafic non autorisé peut être tunnelisé ou masqué afin qu’il apparaisse comme du trafic légitime via le pare-feu.

3.9.4 IPS

Pour vous défendre contre les attaques rapides et évolutives, vous pouvez avoir besoin de systèmes de détection et de prévention économiques, tels que les systèmes de détection des intrusions (IDS) ou les systèmes de prévention des intrusions plus évolutifs (IPS). L’architecture du réseau intègre ces solutions dans les points d’entrée et de sortie du réseau.

Les technologies IDS et IPS partagent plusieurs caractéristiques, comme le montre la figure. Les technologies IDS et IPS sont toutes deux déployées comme des capteurs. Des capteurs IDS ou IPS peuvent se présenter sous la forme de différents dispositifs:

• Un routeur configuré avec le logiciel Cisco IOS IPS
• Un appareil spécialement conçu pour fournir des services IDS ou IPS dédiés
• Un module réseau installé dans un ASA (Adaptive Security Appliance), un commutateur ou un routeur

Fonctionnement du système IPS

La figure montre comment un IPS gère le trafic refusé.

1. L’acteur de menace envoie un paquet destiné à l’ordinateur portable cible.
2. L’IPS intercepte le trafic et l’évalue par rapport aux menaces connues et aux stratégies configurées.
3. L’IPS envoie un message de journal à la console de gestion.
4. L’IPS abandonne le paquet.

Les technologies IDS et IPS détectent les modèles de trafic réseau à l’aide de signatures. Une signature est un ensemble de règles qu’un IDS ou un IPS utilise pour détecter les activités malveillantes. Les signatures peuvent être utilisées pour détecter les violations graves de la sécurité, détecter les attaques de réseau courantes et recueillir des informations. Les technologies IDS et IPS peuvent détecter les modèles de signature atomiques (paquet unique) ou composites (multipaquets).

3.9.5 Appliances de Sécurité du Contenu

Les dispositifs de sécurité du contenu incluent un contrôle précis des e-mails et de la navigation Web pour les utilisateurs d’une organisation.

Appliance de sécurité de messagerie Cisco (ESA)

Appliance de sécurité de messagerie Cisco ESA (Cisco Email Security Appliance) est un appareil spécial conçu pour surveiller le protocole de transfert de courrier simple SMTP (Simple Mail Transfer Protocol). Cisco ESA est constamment mis à jour par des flux en temps réel de Cisco Talos, qui détecte et corrèle les menaces et les solutions en utilisant un système de surveillance de base de données mondial. Ces données de renseignement sur les menaces sont extraites par Cisco ESA toutes les trois à cinq minutes.

Dans la figure, un acteur de menace envoie un e-mail de phishing.

1. L’acteur de menace envoie une attaque d’hameçonnage à un hôte important du réseau.
2. Le pare-feu transmet tous les e-mails à l’ESA.
3. L’ESA analyse le courrier électronique, l’enregistre et le supprime.

Appliance de sécurité Web Cisco (WSA)

L’appliance de sécurité Web Cisco (WSA) est une technologie d’atténuation des menaces Web. Il aide les organisations à relever les défis de la sécurisation et du contrôle du trafic Web. Cisco WSA combine une protection avancée contre les logiciels malveillants, la visibilité et le contrôle des applications, des contrôles de politique d’utilisation acceptable et des rapports.

Cisco WSA offre un contrôle complet sur la façon dont les utilisateurs accèdent à Internet. Certaines fonctionnalités et applications, comme le chat, la messagerie, la vidéo et l’audio, peuvent être autorisées, limitées avec le temps et de bande passante, ou bloquées, selon les besoins de l’organisation. Le WSA peut effectuer la mise sur liste noire des URL, le filtrage des URL, l’analyse des logiciels malveillants, la catégorisation des URL, le filtrage des applications Web et le chiffrement et le déchiffrement du trafic Web.

Dans la figure, un utilisateur d’entreprise tente de se connecter à un site connu sur liste noire.

1. Un utilisateur tente de se connecter à un site Web.
2. Le pare-feu transmet la demande de site Web à la WSA.
3. Le WSA évalue l’URL et détermine qu’il s’agit d’un site connu sur liste noire. Le WSA rejette le paquet et envoie un message d’accès refusé à l’utilisateur.

3.10 Cryptographie

3.10.2 Sécuriser vos Communications

Les organisations doivent fournir un support pour sécuriser les données au fur et à mesure qu’elles traversent les liens. Cela peut inclure le trafic interne, mais il est encore plus important de protéger les données qui circulent en dehors de l’organisation vers les sites de succursale, les sites de télétravail et les sites partenaires.

Ce sont les quatre éléments des communications sécurisées:

• Intégrité des données – Garantit que le message n’a pas été modifié. Toute modification des données en transit est détectée. L’intégrité est assurée en implémentant Message Digest version 5 (MD5) ou les algorithmes de hash sécurisé Secure Hash Algorithm (SHA).
• Authentification d’origine – Garantit que le message n’est pas une contrefaçon et provient réellement de qu’il déclare. De nombreux réseaux modernes garantissent l’authentification avec des protocoles, par exemple le code HMAC (hash message authentication code).
• Confidentialité des données – Garantit que seuls les utilisateurs autorisés peuvent lire le message. Si le message est intercepté, il ne peut être déchiffré dans un délai raisonnable. La confidentialité des données est implémentée à l’aide d’algorithmes de chiffrement symétrique et asymétrique.
• Non-répudiation des données – Garantit que l’expéditeur ne peut pas répudier ou réfuter la validité d’un message envoyé. La non-répudiation repose sur le fait que seul l’expéditeur dispose des caractéristiques uniques ou de la signature relative au traitement du message.

La cryptographie peut être utilisée presque partout où se produit une communication de données. En fait, la tendance est au cryptage de toutes les communications.

3.10.3 Intégrité des Données

Les fonctions de hash sont utilisées pour garantir l’intégrité d’un message. Ils garantissent que les données des messages n’ont pas été modifiées accidentellement ou intentionnellement.

Sur la figure, l’expéditeur envoie un transfert d’argent de 100 $ à Alex.

L’algorithme de hash fonctionne comme suit :

1. The sending device inputs the message into a hashing algorithm and computes its fixed-length hash of 4ehiDx67NMop9.
2. Ce hash est ensuite joint au message et envoyé au récepteur. Le message et le hash sont en texte clair.
3. L’appareil récepteur supprime le hash du message et saisit celui-ci dans le même algorithme de hash. Si le hash calculé est égal à celui joint au message, c’est que celui-ci n’a pas été modifié pendant l’envoi. Lorsque les hashs divergent (comme illustré dans la figure), l’intégrité du message ne peut être garantie.

3.10.4 Fonction de Hachage

Il existe trois fonctions de hash principales:

MD5 avec résumé 128 bits

MD5 est une fonction unidirectionnelle qui génère un message haché de 128 bits, comme illustré dans la figure. MD5 est un algorithme hérité qui ne devrait être utilisé que lorsqu’aucune meilleure alternative n’est disponible. Utilisez SHA-2 à la place.

Dans la figure, un message en texte brut est transmis via une fonction de hachage MD5. Le résultat est un message haché de 128 bits.

Algorithme de hash SHA

SHA-1 est très similaire aux fonctions de hachage MD5, comme le montre la figure. Plusieurs versions existent. SHA-1 crée un message haché de 160 bits et est légèrement plus lent que MD5. Elle présente des défauts et apparaît comme un algorithme obsolète. Utilisez SHA-2 lorsque cela est possible.

Dans la figure, un message en texte brut est transmis via une fonction de hachage SHA. Le résultat est un message haché.

La fonction SHA-2

Cela inclut SHA-224 (224 bits), SHA-256 (256 bits), SHA-384 (384 bits) et SHA-512 (512 bits). SHA-256, SHA-384 et SHA-512 s’inscrivent comme des algorithmes nouvelle génération qu’il convient d’utiliser dès que possible.

Bien que le hash permette de détecter des modifications accidentelles, il ne peut être utilisé pour se prémunir contre les modifications intentionnelles. La procédure de hash ne comporte aucune information d’identification unique provenant de l’expéditeur. Cela signifie que n’importe qui peut calculer un hachage pour toutes les données, s’il a la fonction de hachage correcte.

Par exemple, lorsque le message traverse le réseau, un acteur de menace potentiel pourrait intercepter le message, le modifier, recalculer le hachage et l’ajouter au message. L’appareil récepteur ne validera que par rapport au hachage joint.

Par conséquent, le hash est vulnérable aux attaques homme-au-milieu (MitM) et ne garantit pas la sécurité des données transmises. Pour assurer l’intégrité et l’authentification de l’origine, vous devez opter pour un élément supplémentaire.

3.10.5 Authentification de l’Origine

Pour ajouter l’authentification à l’assurance d’intégrité, utilisez un code d’authentification de message de hachage à clé (HMAC). HMAC utilise une clé secrète supplémentaire comme entrée pour la fonction de hachage.

Cliquez sur chaque bouton pour une illustration et des explications sur l’authentification d’origine à l’aide de HMAC.

3.10.6 Confidentialité des données

Il existe deux classes de cryptage utilisées pour assurer la confidentialité des données. Ces deux classes diffèrent dans la façon dont elles utilisent les clés.

Les algorithmes de chiffrement symétrique tels que (DES), 3DES et Advanced Encryption Standard (AES) sont basés sur l’hypothèse que chaque partie communicante connaît la clé pré-partagée. La confidentialité des données peut également être assurée à l’aide d’algorithmes asymétriques, notamment Rivest, Shamir et Adleman (RSA) et l’infrastructure à clé publique (PKI).

La figure met en évidence les différences entre chaque méthode d’algorithme de chiffrement.

3.10.7 Chiffrement symétrique

Les algorithmes de chiffrement symétrique utilisent la même clé prépartagée pour chiffrer et déchiffrer les données. La clé prépartagée (ou « clé secrète ») est connue par l’expéditeur et le récepteur en amont de toute communication chiffrée.

Pour mieux comprendre le fonctionnement du chiffrement symétrique, prenons l’exemple d’Alice et de Bob qui vivent à deux endroits différents et désirent échanger des messages secrets par la poste. Dans cet exemple, Alice souhaite envoyer un message secret à Bob.

Sur cette figure, Alice et Bob possèdent des clés identiques pour ouvrir un même cadenas. Ces clés ont été échangées en amont de l’envoi des messages secrets. Alice écrit un message secret et le place dans une petite boîte qu’elle verrouille à l’aide de sa clé. Elle envoie la boîte à Bob. Pendant le transfert par la poste, le message est en sécurité, dans la boîte fermée par cadenas. Lorsque Bob reçoit la boîte, il utilise sa clé pour ouvrir le cadenas et récupérer le message. Bob peut utiliser la même boîte et le même cadenas pour envoyer une réponse secrète à Alice.

Exemple de chiffrement symétrique

Aujourd’hui, les algorithmes de chiffrement symétrique sont couramment utilisés avec le trafic VPN. En effet, les algorithmes symétriques utilisent moins de ressources CPU que les algorithmes de chiffrement asymétriques. Le cryptage et le décryptage des données sont rapides lors de l’utilisation d’un VPN. Lorsque vous utilisez un algorithme de chiffrement symétrique, et comme avec les autres types de chiffrement, plus la clé est longue, plus le temps nécessaire pour la découvrir est important. La plupart des clés de chiffrement comprennent entre 112 et 256 bits. Pour garantir la sécurité du cryptage, utilisez une longueur de clé minimale de 128 bits. Utilisez une clé plus longue pour des communications plus sécurisées.

Des algorithmes de chiffrement symétrique bien connus sont décrits dans le tableau.

3.10.8 Chiffrement asymétrique

Les algorithmes asymétriques, également appelés algorithmes à clé publique, sont conçus pour que la clé utilisée pour le chiffrement soit différente de la clé utilisée pour le déchiffrement, comme illustré dans la figure. La clé de déchiffrement ne peut pas, dans un délai raisonnable, être calculée à partir de la clé de chiffrement et vice versa.

Les algorithmes asymétriques utilisent une clé publique et une clé privée. Les deux clés permettent le processus de chiffrement, mais la clé associée complémentaire est requise pour le déchiffrement. Le processus est également réversible. Les données chiffrées avec la clé publique nécessitent la clé privée pour être déchiffrées. Les algorithmes asymétriques assurent la confidentialité, l’authentification et l’intégrité en utilisant ce processus.

Exemple de chiffrement asymétrique

Aucune des parties ne disposant de secret partagé, il convient d’utiliser des clés particulièrement longues. Le chiffrement asymétrique peut utiliser des longueurs de clé entre 512 à 4,096bits. Là où les longueurs de clé supérieures ou égales à 1,024 bits peuvent s’entendre comme fiables, les longueurs de clé plus courtes sont considérées comme non fiables.

Voici des exemples de protocoles qui utilisent des algorithmes à clé asymétrique:

• Internet Key Exchange (IKE) – Il s’agit d’un composant fondamental des VPN IPsec.
• Secure Socket Layer (SSL) – Ceci est maintenant implémenté en tant que TLS (Transport Layer Security) standard de l’IETF.
• Secure Shell (SSH) – Ce protocole fournit une connexion d’accès à distance sécurisée aux périphériques réseau.
• Pretty Good Privacy (PGP)- Ce programme informatique fournit une confidentialité cryptographique et une authentification. Il est souvent utilisé pour renforcer la sécurité des communications par e-mail.

Les algorithmes asymétriques sont considérablement plus lents que les algorithmes symétriques. Leur conception se base sur des problèmes informatiques, tels que la factorisation des nombres extrêmement grands ou le calcul de logarithmes discrets de très grands nombres.

Parce qu’ils sont lents, les algorithmes asymétriques sont généralement utilisés dans les mécanismes cryptographiques à faible volume, tels que les signatures numériques et l’échange de clés. Cependant, la gestion des clés des algorithmes asymétriques a tendance à être plus simple que les algorithmes symétriques, car généralement l’une des deux clés de chiffrement ou de déchiffrement peut être rendue publique.

Des exemples courants d’algorithmes de chiffrement asymétriques sont décrits dans le tableau.

3.10.9 L’échange de clés Diffie-Hellman

Diffie-Hellman (DH) est un algorithme mathématique asymétrique où deux ordinateurs génèrent une clé secrète partagée identique sans avoir communiqué auparavant. En réalité, la nouvelle clé partagée n’est pas véritablement échangée entre l’émetteur et le récepteur. Cependant, comme les deux parties le savent, la clé peut être utilisée par un algorithme de chiffrement pour chiffrer le trafic entre les deux systèmes.

Voici trois exemples d’instances où DH est couramment utilisé:

• Les données sont échangées à l’aide d’un VPN IPsec.
• Les données sont cryptées sur Internet à l’aide de SSL ou TLS.
• Les données SSH sont échangées.

Pour comprendre le fonctionnement de l’algorithme DH, reportez-vous à la figure.

L’utilisation de couleurs sur la figure est préférée à celle de longs numéros complexes et permet de simplifier le processus d’accord par clé DH. L’échange de clés DH commence par la définition, par Alice et Bob, d’une couleur commune arbitraire dont la confidentialité n’est pas requise. Dans notre exemple, cette couleur est le jaune.

Ensuite, Alice et Bob doivent chacun choisir une couleur secrète. Alice choisit le rouge et Bob le bleu. Ces couleurs secrètes ne doivent jamais être partagées. La couleur secrète représente la clé privée choisie par chacune des parties.

Alice et Bob mélangent maintenant la couleur commune partagée (le jaune) avec leur propre couleur secrète afin d’obtenir une couleur privée. Par conséquent, Alice mélange le jaune au rouge et obtient ainsi une couleur privée orange. Bob mélange le jaune au bleu et obtient ainsi une couleur privée verte.

Alice envoie sa couleur privée (l’orange) à Bob et Bob envoie sa couleur privée (le vert) à Alice.

Alice et Bob mélangent chacun la couleur qu’ils ont reçue avec leur couleur d’origine secrète (rouge pour Alice et bleu pour Bob). Le résultat est un mélange de couleurs marron final identique au mélange de couleurs final de l’autre. La couleur brune représente la clé secrète partagée obtenue par Bob et Alice.

La sécurité DH utilise des nombres incroyablement élevés dans ses calculs. Par exemple, un nombre DH de 1 024 bits équivaut environ à un nombre décimal de 309 chiffres. Étant donné qu’un milliard représente 10 chiffres décimaux (1 000 000 000), on peut facilement imaginer la complexité de travailler non pas avec un, mais avec de nombreux nombres décimaux à 309 chiffres.

Malheureusement, les systèmes à clé asymétrique sont extrêmement lents, quel que soit le mode de chiffrement par bloc. Par conséquent, il est courant de chiffrer la majeure partie du trafic à l’aide d’un algorithme symétrique, tel que 3DES ou AES, puis d’utiliser l’algorithme DH pour créer des clés qui seront utilisées par l’algorithme de chiffrement.

3.11 Module pratique et questionnaire

3.11.1 Packet Tracer – Network Security Exploration

Dans cette activité en mode PTPM (Packet Tracer Physical Mode), vous allez explorer et mettre en œuvre plusieurs procédures de sécurité à différents endroits de la ville de Greenville, en Caroline du Nord. Sont inclus des réseaux dans un centre de données, un ISP, un Coffee Shop et un Home.

Le centre de données est approvisionné pour la sécurité environnementale et physique. Il y a aussi un logiciel inclus pour maintenir le contrôle d’accès. Vous allez installer un détecteur de fumée de l’Internet des objets (IoT).

Le Coffee Shop offre un accès sans fil gratuit à ses clients. Vous allez mettre en place un VPN pour sécuriser le trafic.

La maison comprend un bureau, une chambre d’étudiant et un salon. Vous allez configurer deux réseaux locaux sans fil (WLAN) domestiques pour exiger l’authentification pour deux types d’utilisateurs différents: les membres de la famille et les invités. Ces réseaux seront également configurés avec le filtrage des adresses MAC pour restreindre l’accès.

3.11.2 Qu’est-ce que j’ai appris dans ce module?

Les failles de sécurité du réseau peuvent perturber le commerce électronique, entraîner la perte de données commerciales, menacer la confidentialité des personnes et compromettre l’intégrité des informations. Les atouts doivent être identifiés et protégés. Les vulnérabilités doivent être traitées avant de devenir une menace et d’être exploitées. Des techniques d’atténuation sont requises avant, pendant et après une attaque. Un vecteur d’attaque est un chemin par lequel un acteur de menace peut accéder à un serveur, un hôte ou un réseau. Les vecteurs d’attaque proviennent de l’intérieur ou de l’extérieur du réseau d’entreprise.

Le terme «acteur de menace» comprend les pirates et tout appareil, personne, groupe ou État-nation qui est, intentionnellement ou non, la source d’une attaque. Il existe des pirates informatiques “White Hat”, “Grey Hat” et “Black Hat”. Les cybercriminels opèrent dans une économie souterraine où ils achètent, vendent et échangent des kits d’outils d’attaque, du code d’exploitation zero day, des services de botnet, des chevaux de Troie bancaires, des enregistreurs de frappe, etc. Les hacktivistes ont tendance à s’appuyer sur des outils assez simples et disponibles gratuitement. Les pirates informatiques parrainés par l’État créent un code d’attaque avancé et personnalisé, utilisant souvent des vulnérabilités logicielles non découvertes appelées vulnérabilités zero-day.

Les outils d’attaque sont devenus plus sophistiqués et hautement automatisés. Ces nouveaux outils nécessitent moins de connaissances techniques pour être implémentés. Le piratage éthique implique de nombreux types d’outils différents utilisés pour tester le réseau et sécuriser ses données. De nombreux tests d’intrusion ont été développés afin de valider la sécurité des réseaux et de leurs systèmes. Les types d’attaques les plus courants sont les suivants: écoute clandestine, modification de données, usurpation d’adresse IP, mot de passe, déni de service, homme au milieu, clé compromise et renifleur.

Les trois types de logiciels malveillants les plus courants sont les vers, les virus et les chevaux de Troie. Un ver exécute un code arbitraire et installe des copies de lui-même dans la mémoire de l’ordinateur infecté. Un virus exécute une fonction indésirable spécifique et souvent nuisible sur un ordinateur. Un cheval de Troie ne se réplique pas automatiquement. Le cheval de Troie peut attaquer le périphérique terminal de l’intérieur lors du téléchargement et de l’ouverture d’une application ou d’un fichier infecté. Les autres types de logiciels malveillants sont: les adwares, les ransomwares, les rootkits et les spywares.

Les réseaux sont sensibles aux types d’attaques suivants: reconnaissance, accès et DoS. Les cyberpirates utilisent les attaques de reconnaissance pour découvrir et cartographier les systèmes, les services et les vulnérabilités en toute discrétion. Les attaques d’accès exploitent les vulnérabilités connues des services d’authentification, des services FTP et des services Web. Les types d’attaques d’accès sont les suivants: mot de passe, usurpation d’identité, exploitations de confiance, redirections de ports, man-in-the-middle et buffer overflow. Le piratage psychologique est une attaque d’accès qui tente de manipuler les individus dans l’exécution d’actions ou dans la divulgation d’informations confidentielles. DoS et DDoS sont des attaques qui créent une sorte d’interruption des services réseau pour les utilisateurs, les appareils ou les applications.

Les acteurs de menace peuvent envoyer des paquets en utilisant une adresse IP source usurpée. Les acteurs de menace peuvent également trafiquer les autres champs de l’en-tête IP pour exécuter leurs attaques. Les techniques d’attaque IP incluent: ICMP, amplification et réflexion, usurpation d’adresse, MITM et détournement de session. Les cyberpirates utilisent le protocole ICMP pour leurs attaques de reconnaissance et d’analyse. Ils lancent des attaques de collecte d’informations pour cartographier une topologie de réseau, découvrir quels hôtes sont actifs (accessibles), identifier le système d’exploitation hôte (empreinte digitale du système d’exploitation) et déterminer l’état d’un pare-feu. Les cyberpirates utilisent souvent des techniques d’amplification et de réflexion pour créer des attaques DoS.

Les informations de segment TCP apparaissent immédiatement après l’en-tête IP. TCP fournit une livraison fiable, un contrôle de flux et une communication dynamique. Les attaques TCP incluent: l’attaque TCP SYN Flood, l’attaque de réinitialisation TCP et le détournement de session TCP. Le protocole UDP est généralement utilisé par les protocoles DNS, TFTP, NFS et SNMP. Il est aussi utilisé par les applications en temps réel comme la diffusion multimédia en flux continu ou les transmissions VoIP. UDP n’est pas protégé par le cryptage. Les attaques UDP Flood envoient un flot de paquets UDP, souvent à partir d’un hôte usurpé, vers un serveur du sous-réseau. Le résultat est très similaire à celui d’une attaque DoS.

Tout client peut envoyer une réponse ARP non sollicitée (appelé « réponse ARP gratuite »). Cela signifie que tout hôte peut prétendre être le propriétaire de n’importe quelle adresse IP ou MAC. Un cyberpirate peut empoisonner le cache ARP des appareils du réseau local en créant une attaque MITM visant à rediriger le trafic. L’empoisonnement du cache ARP peut être utilisé pour lancer diverses attaques de l’homme du milieu. Les attaques DNS incluent: les attaques par résolveur ouvert, les attaques furtives, les attaques par suivi de domaine et les attaques par tunnel. Pour arrêter la tunnellisation DNS, l’administrateur réseau doit utiliser un filtre qui inspecte le trafic DNS. Une attaque par usurpation via le service DHCP se produit lorsqu’un serveur DHCP non autorisé (rogue) se connecte au réseau et fournit des paramètres de configuration IP incorrects aux clients légitimes.

La plupart des organisations suivent la triade de sécurité de l’information de la CIA: confidentialité, intégrité et disponibilité. Pour garantir des communications sécurisées sur les réseaux publics et privés, vous devez sécuriser les appareils, y compris les routeurs, les commutateurs, les serveurs et les hôtes. C’est ce qu’on appelle la défense en profondeur. Un pare-feu est un système, ou un groupe de systèmes, qui impose une politique de contrôle d’accès entre des réseaux. Pour vous défendre contre les attaques rapides et évolutives, vous pouvez avoir besoin d’un système de détection d’intrusion (IDS) ou des systèmes de prévention des intrusions (IPS) plus évolutifs.

Les quatre éléments des communications sécurisées sont l’intégrité des données, l’authentification d’origine, la confidentialité des données et la non-répudiation des données. Les fonctions de hachage garantissent que les données des messages n’ont pas été modifiées accidentellement ou intentionnellement. Trois fonctions de hachage bien connues sont MD5 avec un résumé de 128 bits, l’algorithme de hachage SHA et SHA-2. Pour ajouter l’authentification à l’assurance d’intégrité, utilisez un code d’authentification de message de hachage à clé (HMAC). HMAC est calculé à l’aide de tout algorithme cryptographique qui combine une fonction de hachage cryptographique avec une clé secrète. Les algorithmes de chiffrement symétrique utilisant DES, 3DES, AES, SEAL et RC sont basés sur l’hypothèse que chaque partie communicante connaît la clé pré-partagée. La confidentialité des données peut également être assurée à l’aide d’algorithmes asymétriques, notamment Rivest, Shamir et Adleman (RSA) et l’infrastructure à clé publique (PKI). Diffie-Hellman (DH) est un algorithme mathématique asymétrique où deux ordinateurs génèrent une clé secrète partagée identique sans avoir communiqué auparavant.