Les Modèles de Sécurité des Réseaux

Les attaques actives

Les attaques actives entraînent une certaine modification des données ou insertion de nouvelle données et peuvent être divisées en quatrecatégories: la mascarade (usurpation), le rejeu, la modification des messages et le déni de service.
La Mascarade a lieu quand une entité feint pour être une entitédifférente (figure 3). Une mascarade inclut souvent des autres formes d’attaque active. Par exemple, lors d’authentification, des paramètres de connexion (login et mot de passe par exemple) peuvent être capturés et rejoués après qu’un ordrevalide d’authentification a eu lieu. De ce fait, elle permet à une entité légale d’obtenir plus des privilèges pour avoir un accès non autorisé.
La Modification des messages signifie qu’une partie d’un message envoyé est changée, ou que des messages sont retardés ou rejoués pour produire un effet non autorisé (figure 5). Par exemple, message signifiant « Permettez à Bob de lire les dossiers confidentiels des comptes clients » est modifiée pour signifier que « Permettez à Darth de lire les dossiers confidentiels des comptes clients».
Le Déni de service empêche l’utilisation ou la gestion des équipements de communications (figure 6). Cette attaque peut avoir une cible spécifique, par exemple, une entité peut supprimer tous les message dirigés vers une destination particulière (par exemple, le service d’audit de sécurité). Une autre forme d’attaque peut être la panique d’un réseau entier, ou en le urchargeants avec des messages afin de dégrader la performance (le réseau peut devenirindisponible).
Figure 6: le déni de service

Les Services de Sécurité

La recommandation X.800 de ITU-T [8] définit un service de sécurité comme étant un service fourni par une couche de protocole du modèle OSI, qui assure la sécurité de système ou le transfert de données. Une définitionplus précise est trouvée dans RFC 2828 [9], qui stipule que: ’’ un service de sécurité est fourni par un système pour donner une protection aux ressources de système; Les services de sécurité implémentent des politiques de sécurité et sont mises en œuvre à l’a ide des mécanismes de sécurité’’. Nous présentons brièvement les différents types deservices de sécurité :

L’Authentification

L’effet d’assurer qu’une communication est authenti que. Dans le cas d’un message simple, tel qu’un signal d’alarme, la fonct ion du service d’authentification est d’assurer le destinataire qu e le message est de la source de la laquelle il prétend être.
Deux services spécifiques d’authentification sont définis dans[8]:
L’authentification de paire à paire : c’est l’action qui consiste à prouver son identité pour l’entité homologue déclarée. Cervices est généralement rendu par l’utilisateur d’un ‘‘ échange d’authentification’’ qui implique un certain dialogue entre les tiers communicants.
L’authentification de l’origine de données : sert à prouver que les données reçues ont bien été émises par l’émetteuréclaréd. Ce type de service supporte des applications comme le courrier électronique où il n’y a aucune interaction antérieure entre les entités ommunicantes.

Le Contrôle d’accès

C’est la capacité de limiter et contrôler l’accès aux ressources matériels et logiciels d’un système via les liaisons de communication. Pour réaliser ceci, chaque entité qui essaye de se connecter doit tout d’abord s’identifier. Chaque utilisateur possède des droits d’accès particuliers aux ressources.

La Confidentialité

La confidentialité est la protection des données transmises contre des attaques passives. Elle assure la protection du contenu de données transmission de données. Plusieurs niveaux de la protection peuvent être identifiés. La confidentialité concerne la protection de toutes les données sur une connexion ou des données dans un bloc spécifique, ou des champssélectionnés ou encore des informations qui peuvent être déduites par analysede trafic. Par exemple, quand une connexion TCP est établie entre deux entités, aditel protection empêche la connaissance de n’importe quelles données d’utilisateur transmises durant celle-ci.

L’Intégrité

Un service d’intégrité orienté connexion traite unflot de données (messages) et assure que les messages reçus sont celles envoyés, sans duplication, insertion, modification et suppression. D’autre part, un service d’intégrité sans connexion, assure généralement la protection contre la modification de message seulement.
Nous pouvons faire une distinction entre le service avec et sans recouvrement. Puisque le service d’intégrité est lié aux attaquesactives, nous sommes concernés par la détection plutôt que la prévention. Si une violation d’intégrité est détectée, alors le service peut rapporter cette violation et une intervention humaine ou logicielle est exigée pour restaurer après la violation. il existe des mécanismes pour restaurer l’intégrité des données. L’incorporation des mécanismes de restauration automatisés est généralement l’alternative la plus attrayante.

La non-répudiation

La non-répudiation empêche l’expéditeur ou le réctepur de nier un message transmis. Elle assure la protection contre un dénie (une négation) par une entité d’avoir participé à une partie ou toute la communication. Ainsi, quand un message est envoyé, le récepteur peut montrer que l’expéditeur a envoyé le message. De même, quand un message est reçu, l’expéditeur peutmontrer que le récepteur a reçu le message.

La Disponibilité

C’est l’aptitude d’un système ou une ressource de système à pouvoir être accessible et fonctionnel à un instant donné par une entité autorisée du système. Une variété d’attaques peut avoir lieu lors de la perte de la disponibilité, tel que le déni de service.
Le tableau ci-dessous (tableau 1) indique le rapport entre les services de sécurité et les attaques.

Les Mécanismes de Sécurité

Les moyens utilisés par les services pour contrer les attaques. Ils sont définies dans deux documents de référence à savoir : ITU-T X.800[8] et RFC 2828 [9]. Ils se sont divisés en deux parties ceux qui sont implantés dans une couche spécifique de protocole et ceux qui ne sont pas spécifiques à aucune couche de protocole particulier ou service de sécurité.[8] distingue les mécanismes réversibles et irréversibles de chiffrement. Un mécanisme réversible de chiffrement est un algorithme de chiffrage qui permet à des données d’être chiffrées et plus tard déchiffréesLes. mécanismes irréversibles de chiffrement incluent les algorithmes de hachage et les codes d’authentification de message (Message Authentification Code, MAC), qui sont employés dans la signature numérique et le scellement qui consiste à adjoindre au message un sceau ou MAC.

Les Mécanismes Spécifiques de Sécurité

Ils peuvent être incorporés à la couche de protocole appropriée afin de fournir certains services de sécurité d’OSI. Parmi ces mécanismes on peut citer :
Le Chiffrement : Le chiffrement peut assurer la confidentialité soit des données, soit du flux de données et peut jouer un ôler dans un certain nombre d’autres mécanismes de sécurité ou les compléter. Les algorithmes de chiffrement peuvent être réversiblesou irréversibles. Un algorithme de chiffrement réversible peut être de euxd types:
Le Chiffrement symétrique (c’est-à-dire à clé secrète), dans lequel la connaissance de la clé de chiffrement implique une connaissance de la clé de déchiffrement et vice versa;
Le Chiffrement asymétrique (par exemple, à clé publique) dans lequel la connaissance de la clé de chiffrement n’implique pas la connaissance de la clé de déchiffrement, ouvice versa. Les deux clés de ce système sont parfois appelées clé“ publique” et “clé privée”;
Les algorithmes de chiffrement irréversibles peuvent ou non utiliser une clé. Lorsqu’ils utilisent une clé, celle ci peut treê publique ou secrète. L’existence d’un mécanisme de chiffrement implique l’utilisation d’un mécanisme de gestion de clés, sauf dans le cas de ertainsc algorithmes de chiffrement irréversibles .
La Signature Numérique :Des données ajoutées, ou une transformation cryptographique, à une unité de données qui permet au destinataire de prouver la source et l’intégrité de l’unité de données et de se protéger contre l’usurpation.
Le Contrôle d’accès : C’est une variété de mécanismes qui applique des droits d’accès aux ressources.
L’Intégrité des données C’est: une variété de mécanismes qui assure l’intégrité des données. L’Échange d’authentification : Un mécanisme prévu pour assurer l’identité d’une entité au moyen d’échange d’information.
Le Remplissage du trafic : L’insertion de bit dans les zones vides d’un flux de données pour contrarier les tentatives de ’analyse de trafic.
Le Contrôle de Routage (Routing Control): Permet le choix des routes physiquement sécuriser pour certaines données et permet le changement de routage, particulièrement quand on suspecte une violation de sécurité.
Le Certificat : L’utilisation d’un tiers de confiance pour assurer certaines propriétés d’un d’échange de données.

Les Principaux Mécanismes de Sécurité

Ces sont des mécanismes qui ne sont pas spécifiquesà aucun service de sécurité ou couche particulière de protocole OSI. On peut noter les cas suivants :
Fonctionnalité de confiance(Trusted Functionality) : Ce qui est perçu correct en respectant quelques critères (par exemple, établi par une politique de sécurité).
Étiquette de sécurité : Étiquette sur une ressource (qui peut être une unité de données) indiquant le nom ou les attributsde sécurité de cette ressource.
Détection d’événement :Détection des événements appropriés de sécurité.
Audit de Sécurité(Security Audit Trail): Données collectées et potentiellement employées pour faciliter un audit de sécurité, qui est un examen indépendants des enregistrements et des activités de système.
Recouvrement de Sécurité(Security Recovery) : Effectué suite à une demande des mécanismes, tels que les fonctions de manipulation d’événement(event handling).
Le tableau ci-dessous (tableau 2), basé sur [8], indique le rapport entre les services de sécurité et les mécanismes de sécurité.

Formation et coursTélécharger le document complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *