Nouveau Accueil Informatique Sécurité des réseaux

Sécurité des réseaux

Soutenance mémoire 0

Sécurité des réseaux

Antivirus

Un antivirus est un logiciel qui protège une machine contre les virus. Les antivirus se fondent sur des fichiers de signatures et comparent alors les signatures génétiques du virus aux codes à vérifier. Certains programmes appliquent également la méthode heuristique tendant à découvrir un code malveillant par son comportement. Les antivirus peuvent scanner le contenu d’un disque dur, mais également la mémoire de l’ordinateur. Pour les plus modernes, ils agissent en amont de la machine en scrutant les échanges de fichiers avec l’extérieur, aussi bien en flux montant que descendant. Ainsi, les courriers sont examinés, mais aussi les fichiers copiés sur ou à partir de supports amovibles tels que cédéroms, disquettes, connexions réseau,… Aujourd’hui, il y a beaucoup d’antivirus comme Norton Antivirus, McAfee Antivirus, Kaspersky Antivirus…

Les réseaux privés virtuels (VPN Virtual Private Network) permettent à l’utilisateur de créer un chemin virtuel sécurisé entre une source et une destination. Avec le développement d’Internet, il est intéressant de permettre ce processus de transfert de données sécurisé et fiable. Grâce à un principe de tunnel (tunnelling) dont chaque extrémité est identifiée, les données transitent après avoir été chiffrées. Un des grands intérêts des VPN est de réaliser des réseaux privés à moindre coût. En chiffrant les données, tout se passe exactement comme si la connexion se faisait en dehors d’Internet. Il faut par contre tenir compte de la toile, dans le sens où aucune qualité de service (QoS) n’est garantie. Le principe du VPN est basé sur la technique du tunnelling. Cela consiste à construire un chemin virtuel après avoir identifié l’émetteur et le destinataire. Ensuite la source chiffre les données et les achemine en empruntant ce chemin virtuel. Les données à transmettre peuvent appartenir à un protocole différent d’IP. Dans ce cas le protocole de tunnelling encapsule les données en rajoutant un entête. Permettant le routage des trames dans le tunnel. Le tunneling est l’ensemble des processus d’encapsulation, de transmission et de désencapsulation [8].

Système de détection d’intrusions

Les méthodes de détection d’intrusions utilisées à l’heure actuelle reposent essentiellement sur l’observation d’événements et leur analyse. La collecte d’informations constitue donc la première étape dans tout système de détection d’intrusions. Il s’agit d’une part des informations fournies par le journal système, les journaux propres à certaines applications, mais aussi de données provenant de «sondes» installées par les outils de détection eux mêmes, comme des « sniffers » réseau ou des modules applicatifs spécifiques, permettant d’observer l’utilisation de l’application (URL des documents lus par l’intermédiaire d’un serveur Web, etc.), des modules système permettant de signaler l’exécution de certaines opérations particulières. Le rôle des outils de détection d’intrusions consiste alors à exploiter cette masse d’informations, appelée audit, de manière à y détecter des événements signalant potentiellement une intrusion. Deux approches ont été proposées à ce jour dans ce but [20] l’approche comportementale et l’approche par signatures. La première se base sur l’hypothèse que l’on peut définir un comportement « normal » de l’utilisateur et que toute déviation par rapport à celui-ci est potentiellement suspecte. La seconde s’appuie sur la connaissance des techniques employées par les attaquants on tire des signatures d’attaque et on recherche dans les traces d’audit leur éventuelle survenue. Dans ce chapitre nous présentons tout d’abord la notion de système de détection d’intrusions ainsi que son architecture. Nous présentons également la classification des IDS, dans ce cadre plusieurs critères sont prises en compte nous commençons par la classification selon la méthode d’analyse qui découpe les IDS en deux approches (comportementale et par signatures), enfin nous allons mettre le point sur la détection d’intrusions Web.

Approche comportementale La détection d’intrusions comportementale (Anomaly Detection) a été la première approche proposée et développée. Anderson [44] propose de détecter des violations de la politique de sécurité du système en observant le comportement des utilisateurs et en le comparant à un modèle du comportement considéré comme normal, appelé profil. D’une manière générale, l’approche comportementale comporte deux phases une phase d’apprentissage où le profil est constitué en observant le comportement de l’entité surveillée et une phase de détection pendant laquelle l’IDS observe le comportement de l’entité, mesure la similarité entre ce dernier et le profil et émet une alerte si la déviation est trop importante. L’idée principale de cette approche est de considérer toute déviation, toute anomalie dans le comportement comme une intrusion. Cette hypothèse est certainement fausse des événements ou des comportements rares peuvent tout à fait être légitimes du point de vue de la politique de sécurité du système. Le système est susceptible d’émettre des faux positifs. Tant que le nombre de faux positifs reste suffisamment faible, la méthode peut être valide. Cela conduit à poser deux questions essentielles, dans le domaine de la détection d’intrusions comportementale, sur le caractère correct et complet du modèle de comportement normal. La Figure II.3 représente se caractère.

Détecteurs d’intrusions actifs Ont pour objectif d’empêcher (dans la mesure du possible) le succès d’une attaque ou du moins de limiter son impact. Le terme IPS (Intrusion Prevention Systems) est de plus en plus utilisé, dans la presse spécialisée et par les services commerciaux des compagnies oeuvrant dans ce domaine, pour designer les détecteurs d’intrusions actifs. Par opposition aux détecteurs d’intrusions passifs, les détecteurs actifs peuvent changer la configuration des systèmes ou du réseau. Ainsi, les réponses peuvent aller de la simple déconnexion de l’intrus, l’arrêt d’un processus le verrouillage d’un compte utilisateur, jusqu’au changement des règles de filtrage d’un pare-feu ou même des règles de routage d’un routeur (voir Figure II.7). Pour plus d’efficacité, les IPS sont généralement positionnés en coupure dans l’architecture du réseau (comme un pare-feu). Un IPS possède de nombreux inconvénients. Le premier est qu’il bloque toute activité qui lui semble suspecte. Or, il est impossible d’assurer une fiabilité à 100% dans l’identification des attaques. Les faux positifs sont donc très dangereux pour les IPS. Le deuxième inconvénient est qu’un pirate peut utiliser sa fonctionnalité de blocage pour mettre hors service un système. Et enfin, le troisième inconvénient et non le moindre un IPS est peu discret. En effet, à chaque blocage d’attaque, il montre sa présence. Cela peut paraître anodin, mais si un pirate remarque la présence d’un IPS, il tentera de trouver une faille dans celui-ci afin de réintégrer son attaque, mais cette fois en passant inaperçu. Voilà pourquoi les IDS passifs sont souvent préférés aux IPS. Cependant, il est intéressant de noter que plusieurs IDS ont été dotés d’une fonctionnalité de réaction automatique à certains types d’attaques.

Approche comportementale Bien que les approches par signatures soient effectives, elles posent certains problèmes. La plupart des applications Web sont spécifiques et sont développées rapidement sans souci de sécurité particulier. Il est difficile d’écrire des signatures pour ces applications car il n’y a pas forcément de caractéristiques communes. L’approche comportementale semble ici adaptée à la nature des vulnérabilités. Breach Security propose un produit nommé Web Defend [55] qui modélise le trafic normal à destination et en provenance des applications Web protégées et ensuite capable de bloquer les attaques. Kruegel et al. [56] [57] ont proposé le premier IDS comportementale spécifique aux serveurs Web. Il utilise les fichiers d’audit comme source d’événements. Il ne traite cependant que les requêtes de type GET comportant des paramètres et se concentre donc sur la détection d’attaques contre les scripts CGI. Robertson et al. [58] présentent une amélioration des travaux précédents en ajoutant à la détection d’anomalies deux composants un composant permettant la génération de signatures d’alertes et groupant les alertes suivant les signatures et un composant permettant d’identifier les anomalies suivant des heuristiques.

Le rapport de stage ou le pfe est un document d’analyse, de synthèse et d’évaluation de votre apprentissage, c’est pour cela rapport gratuit propose le téléchargement des modèles gratuits de projet de fin d’étude, rapport de stage, mémoire, pfe, thèse, pour connaître la méthodologie à avoir et savoir comment construire les parties d’un projet de fin d’étude.

Table des matières

Table des matières
Liste de figures
Liste des abréviations
Introduction générale
I.Préambule
II.Problématique
III. Objectifs
IV.Organisation de PFE
Chapitre I – Sécurité des réseaux
I.Introduction
II.Services de la sécurité
III. Menace sur les réseaux
III.1. Vulnérabilité
III.2. Attaque
III.2.1. Motivation des attaques
III.2.2. Anatomie d’une attaque
III.2.3. Différentes étapes d’une attaque
III.2.4. Différents types d’attaques
III.3. Types de logiciels malveillants
III.3.1. Virus
III .3.2. Vers
III.3.3. Cheval de Troie
III.3.4. Porte dérobée
III.3.5. Bombe logique
III.3.6. Logiciel espion
III.3.7. Spam
III.3.8. Spyware
III.3.9. Cookies
IV.Mécanismes de sécurité
IV.1. Cryptage
IV.2. Pare-feu
IV.3. Antivirus
IV.4. VPN
IV.5. Détection et prévention d’intrusions
V.Politique de sécurité
VI.L’avenir de la sécurité
VII. Conclusion
Chapitre II – Système de détection d’intrusions
I.Introduction
II.Définition
III. Architecture d’un IDS
III.1. Capteur
III.2. Analyseur
III.3. Manager
IV.Méthodes d’analyses
IV.1. Analyse centralisée
IV.2. Analyse locale
IV.3. Analyse distribuée
V.Classification des systèmes de détection d’intrusions
V.1. Classification selon la méthode d’analyse
V.1.1. Approche par signatures
V.1.2. Approche comportementale
V.1.3. Approche hybride
V.2. Classification selon le type de ressources analysées
V.2.1. Sondes réseau
V.2.2. Sondes systèmes
V.2.3. Sondes noyau
V.2.4. Systèmes de détection d’intrusions hybrides
V.2.5. Sondes applicatives
V.2.6. IDS basé sur la pile
V.3. Classification par type de réaction
V.3.1. Détecteurs d’intrusions passifs
V.3.2. Détecteurs d’intrusions actifs
V.4. Classification par mode d’utilisation
V.4.1. Analyse en temps réel
V.4.2. Analyse en différé
VI.Détection d’intrusions Web
VI.1. Approche par signatures
VI.2. Approche comportementale
VI.3. Approche hybride
VII. Conclusion
Chapitre III – Implémentation de l’application Web
I.Introduction
II.Outils de réalisation
II.1. Choix de langage de programmation Java
II.2. Choix du Framework Struts2
II.3. Choix de MySQL
III. Réalisation de l’application Web
III.1. Définition de e-Commerce
III.2. Description de boutique en ligne
IV.Sécurisé l’application Web
IV.1. IDS de détection d’anomalies
IV.1.1. Phase d’apprentissage
IV.1.2. Phase de détection
IV.1.3. Les faux positifs
IV.1.4. Diagramme récapitulatif
IV.2. IDS de détection par signatures
IV.3. Comparaison entre les deux approches
Conclusion
Conclusion générale
Bibliographie

Rapport PFE, mémoire et thèse PDFTélécharger le rapport

Télécharger aussi :

Etude de mobilite et performance du soft handover dans le reseau WIMAX mobile

Rôle du faisceau hertzien dans un réseau GSM

Principe des reseaux numeriques

La transmission numérique

Le WEB , un des services de l’internet

Vue generale du systeme d’exploitation windows

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *