1. Concept Général

PréventionMots de passes fortsblocages des ports non utilisés

auto-logoutauto-lock ...

DétectionAntivirusFirewallFichiers de Logs / Alerte…

Réponsetransactions annuléesblocage du systèmesuppression de fichiersquarantaine ….

scanne: mémoire, disques, e-mail

mise à jour du fichier définition des virus

mode heuristique

User

Authentication Database

Reference Monitor

Objects

AuthenticationBarrier

SecurityAdministrator

Access ControlBarrier

MAC : Mandatory access control▪Droits et privilèges sur les ressources -> administrateur▪Pas de partage dynamique de ressources▪partage pré-établis

r

MAC : Mandatory access control

Etiquettes sur toutes les ressources

FichierR W X

DAC : Discretionary Access Control▪dynamique, souple▪ l’utilisateur peut partager ses fichiers ou les fichiers d’autres utilisateurs▪pas d’étiquetage obligatoire

RBAC : Role based access control▪attribution de rôles aux utilisateurs :▪Admistrator role▪backup operator role▪Salesperson role

prouve l’identité des utilisateurs

Identification : loginAuthentification : password

PAP : password authentication protocol▪authentification la plus simple▪pas de réel sécurité▪ login/pass envoyés en clair

PAP : password authentication protocol

CHAP : Challenge Handshake Authentication protocol▪pas d’envoi de login/mot de passe▪ le server Chap lance un défi au client▪chaque partie partage un « secret » (mot de passe) commun

(1) Le client envoie sont LOGIN en clair

(2) Le Serveur se sert du mot de passe du client comme clé d’ encryption pour le message aléatoire « challenge » Mot de passe du client stocké dans la BD

Serveur « Challenge »  crypté avec le mot de passe

client « challenge » message aléatoire crypté Challenge : N (integer) challenge crypté: XFNET Envoi au client

par le réseau

(3) Le client décrypte le challenge avec sa clé = mot de passe

(4) Le client ré-encrypte le message avec sa clé Envoie au Serveur par le réseau

(5-6) Le Serveur décrypte le message avec la clé du client stocké dans sa BD N = N Authentification réussie

Certificats▪Serveur délivrant certificats▪certificats électroniques▪cartes électroniques▪expiration

Jetons ( security token )▪privilèges inscrits dans le jeton▪destruction du jeton en fin de session

Kerberos▪Authentification unique / accès à plusieurs ressources

Authentification multiple

▪ Plus de protocoles ou services Plus de vulnérabilités

▪Mail▪Web▪Telnet▪FTP ( mot de passes en clair )▪NNTP : Network news Transfer protocol▪DNS: domain name service

IM: Instant messaging ICMP: Internet control message protocol▪ ping

▪accès autorisé aux données▪éviter toute divulgation d’informations sensibles

▪données réputées conformes▪pas de modifications non contrôlées

▪Le SI est accessible par tous▪Tous les services proposés sont disponibles selon un certain degré: ▪99%▪99.9%▪99.9999%

qui a accédé à 1 ressource ?qui a modifié celle-ci? fichiers/bd de logs fichiers de logs: enregistrement des opérations effectuées sur le SI authentification, échecs d’authentification, liste des adresses IP des clients connectés,…

INTERNET : réseau global

INTRANET: réseau privé▪accès impossible depuis Internet

EXTRANET:▪extension du réseau privé pour sites distants ou partenaires

DEMILITARIZED ZONE (DMZ) Zone de mise à l’écart de certain

serveurs Séparation avec votre intranet Serveurs accessibles par des utilisateurs

de niveau de confiance faible (Internet)

VLAN (Virtual local area Network) Switch port Sous-réseaux séparation logique du réseau séparation des domaines de broadcast interconnexion: Routeurs ou Switch

trunkmode

NAT: NETWORK ADRESS TRANSLATION plusieurs connexions présentées en 1

seule partage d’une adresse IP ( en général

addresse publique adresse Internet) par un pool d’adresse IP ( en général addresse privé adressa de réseau local, LAN, ex: 192.168.0.1-254)

trafic interne masquéadresse privéIp du réseau local)

Tuneling Connexion dédiée virtuelle entre 2

systèmes Ex: VPN