Upload
internet
View
106
Download
1
Embed Size (px)
Citation preview
1. Concept Général
PréventionMots de passes fortsblocages des ports non utilisés
auto-logoutauto-lock ...
DétectionAntivirusFirewallFichiers de Logs / Alerte…
Réponsetransactions annuléesblocage du systèmesuppression de fichiersquarantaine ….
scanne: mémoire, disques, e-mail
mise à jour du fichier définition des virus
mode heuristique
User
Authentication Database
Reference Monitor
Objects
AuthenticationBarrier
SecurityAdministrator
Access ControlBarrier
MAC : Mandatory access control▪Droits et privilèges sur les ressources -> administrateur▪Pas de partage dynamique de ressources▪partage pré-établis
r
MAC : Mandatory access control
Etiquettes sur toutes les ressources
FichierR W X
DAC : Discretionary Access Control▪dynamique, souple▪ l’utilisateur peut partager ses fichiers ou les fichiers d’autres utilisateurs▪pas d’étiquetage obligatoire
RBAC : Role based access control▪attribution de rôles aux utilisateurs :▪Admistrator role▪backup operator role▪Salesperson role
prouve l’identité des utilisateurs
Identification : loginAuthentification : password
PAP : password authentication protocol▪authentification la plus simple▪pas de réel sécurité▪ login/pass envoyés en clair
PAP : password authentication protocol
CHAP : Challenge Handshake Authentication protocol▪pas d’envoi de login/mot de passe▪ le server Chap lance un défi au client▪chaque partie partage un « secret » (mot de passe) commun
(1) Le client envoie sont LOGIN en clair
(2) Le Serveur se sert du mot de passe du client comme clé d’ encryption pour le message aléatoire « challenge » Mot de passe du client stocké dans la BD
Serveur « Challenge » crypté avec le mot de passe
client « challenge » message aléatoire crypté Challenge : N (integer) challenge crypté: XFNET Envoi au client
par le réseau
(3) Le client décrypte le challenge avec sa clé = mot de passe
(4) Le client ré-encrypte le message avec sa clé Envoie au Serveur par le réseau
(5-6) Le Serveur décrypte le message avec la clé du client stocké dans sa BD N = N Authentification réussie
Certificats▪Serveur délivrant certificats▪certificats électroniques▪cartes électroniques▪expiration
Jetons ( security token )▪privilèges inscrits dans le jeton▪destruction du jeton en fin de session
Kerberos▪Authentification unique / accès à plusieurs ressources
Authentification multiple
▪ Plus de protocoles ou services Plus de vulnérabilités
▪Mail▪Web▪Telnet▪FTP ( mot de passes en clair )▪NNTP : Network news Transfer protocol▪DNS: domain name service
IM: Instant messaging ICMP: Internet control message protocol▪ ping
▪accès autorisé aux données▪éviter toute divulgation d’informations sensibles
▪données réputées conformes▪pas de modifications non contrôlées
▪Le SI est accessible par tous▪Tous les services proposés sont disponibles selon un certain degré: ▪99%▪99.9%▪99.9999%
qui a accédé à 1 ressource ?qui a modifié celle-ci? fichiers/bd de logs fichiers de logs: enregistrement des opérations effectuées sur le SI authentification, échecs d’authentification, liste des adresses IP des clients connectés,…
INTERNET : réseau global
INTRANET: réseau privé▪accès impossible depuis Internet
EXTRANET:▪extension du réseau privé pour sites distants ou partenaires
DEMILITARIZED ZONE (DMZ) Zone de mise à l’écart de certain
serveurs Séparation avec votre intranet Serveurs accessibles par des utilisateurs
de niveau de confiance faible (Internet)
VLAN (Virtual local area Network) Switch port Sous-réseaux séparation logique du réseau séparation des domaines de broadcast interconnexion: Routeurs ou Switch
trunkmode
NAT: NETWORK ADRESS TRANSLATION plusieurs connexions présentées en 1
seule partage d’une adresse IP ( en général
addresse publique adresse Internet) par un pool d’adresse IP ( en général addresse privé adressa de réseau local, LAN, ex: 192.168.0.1-254)
trafic interne masquéadresse privéIp du réseau local)
Tuneling Connexion dédiée virtuelle entre 2
systèmes Ex: VPN