Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

INF4420A > Réseau 2 > Flashcards

Réseau 2 Flashcards

1
Q

Principes de bastionnage de réseaux #1

A

Bloquer tous le trafic non pertinent :

  • Paquets qui ne vont pas à la bonne place ( adresse IP vs table de routage)
  • Applications/services non offerts (superflus) (ports fermés/ouvers)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Principes de bastionnage de réseaux #2

A

Segmentation du réseau :

  • Utiliser des routeurs/passerelles/serveurs mendataires
    • cacher les adresse IP internes (par NAT)
    • Protéger les services/serveur critiques
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Principes de bastionnage de réseaux #3

A

Défense en profondeur

  • principe de l’oignon
  • chaque niveau à un contexte différent (permet de mieux ajuster le modèle de sécurité)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

NAT : principe de base

A
  • Le réseau interne est dans le domaine “privé” :
    • 10...* ou 192...*
    • Non-routable (par défaut) vers l’extérieur ou sur l’Internet

Pour les paquets sortant :

- (priv_src_IP, priv_src_port) est associé à une nouvelle paire (public_src_IP, publique_src_port) 
- Ces associations sont conservés dans une table NAT

Pour les paquets entrant :
- on utilise le dest_port pour retrouver la bonne paire (priv_src_IP, priv_src_port)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

NAT : implanté par?

A
  • routeur ou passerelle
  • coupe-feu
  • Serveur mandataire
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Réseaux privés virtuels (VPN) : objectifs

A
  • Relier plusieurs sous-réseaux (ou un client et un sous-réseau) ensembles de façon sécuritaires à travers un réseau intermédiares non sécurisé
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

VPN : 3 techniques

A
  • Tunneling :
    • Chaque sous réseau protégé par une passerelle VPN
    • Encasulation de paquet (pas NAT) (ancien aquet devient message, nouvelle entête en fonction des passerelles)
  • Chiffrement :
    • Message (= ancien paquet) peut-être chifré our éviter l’intercetion ou modification sur le réseau non-securité
  • Contrôle d’accès :
    • seuls les paquets provenant des clients ou sous-réseaux autorisés sont ré-acheminés vers le réseau interne)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Zone démilitarisée (DMZ) : Objectifs

A

Permettre de fournir des services de ou vers l’extérieur du réseau intern, tout en protégeant celui-ci

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Zone démilitarisée (DMZ) : Principe de base

A
  • Créer une zone intermédiaire où se trouve les services strictement nécessaires
  • Adresses des serveurs DMZ sont routables et accessibes (de l’extérieur en tout temps et de l’intérieur si pertinent)
  • Protégé par un coue-feu/passerelle
  • isolé du réseau interne par un coupe-feu/passerelle
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Service typique fournis à l’extérieur d’une DMZ (Services fournis à l’extérieur)

A
  • Serveur DNS (pour adresses DMZ seulement)
  • Serveur SMTP
  • Serveur Web
  • Passerelle VPN
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Service typique fournis à l’extérieur d’une DMZ (Services fournis à l’intérieur)

A
  • Serveur mandataires web
  • M-à-j des fichiers du serveur web
  • Connexion avec serveur SMTP interne
  • Connexion entre serveur Web et serveur de BD
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Types de coupe-feu : selon l’implémentation

A

matériel :

- pare-feu filtrant
- Parfois intégré dans le routeur
- Network appliances (Combine d'autres fonctionalités)

logiciel :

- Serveur pare-feu dédié
- pare-feu client ou individuel
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Types de coupe-feu : selon les fonctionnalités

A
  • Filtrage statique
  • Filtrage dynamique
  • Pare-feu d’aplication (par-feu filtrant, serveur mandataire (proxy))
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Coupe-feu statique : Principes de fonctionnement

A
  • Examine paquet par paquet (statelesss) :
    • adresse IP src et dest
    • Port src et dest
    • Type de protocole
  • Utilise des règles pour prendre action “block” ou “accept” :
    • Règle de routage: “IF src_IP = 123.45.. THEN block (adresses privées, adresse internes/externes, listes noires)
    • Règle d’application “ IF dest_port = 80 THEN accept (par port de destination)
    • Évaluation séquentielle
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Coupe-feu statique : Limitations

A

Pas de notion de connexion –> permet certains types d’attaques

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Coupe-feu dynamique : Principes de bases

A
  • Examen paquet par paquet, mais essaie d’établir relations entre paquets :
    • UDP :
      • Associe paquet avec d’autre paquets sur mêmes ports et adresses
      • En général, permet seulement réponses si requêtes originales venant d’adresses internes
    • TCP :
      • Garde information sur état et direction de la session TCP
      • Regarde en plus les flags TCP pour déterminer si hors-protocole
      • Applications qui changent de port (i.e. FTP) suit et autorise les ports éphémères utilisés par les applications
17
Q

Coupe-feu dynamique : Limitations

A
  • Pas de connaissance de l’état de la connexion au niveau aplication
  • Usurpation de port
18
Q

Coupe-feu applicatif : principe de base

A

Le coupe-feu regarde le message et interprète son contenu par rapport à l’application identifié par le port

19
Q

Coupe-feu applicatif : Routeur filtrant

A

Bloque ou accepte en fonction du contenu du message :

  • Bon port pour type d’application
  • Bonne séquence à niveau des protocoles d’aplication
20
Q

Coupe-feu applicatif : Serveurs mandataires (proxy)

A
  • Agisse au nom du client d’application

- Déballe et remballe les aquets IP avec nouvel adresse et port src

21
Q

Coupe-feu applicatif : Autres fonctionnalités

A
  • Authentification et contrôle d’accès
  • VPN
  • Anti-virus, anti-spam, filtrage de contenu
  • Caching
22
Q

Étapes d’unes attaque standard sur le réseau

A

1) Définitions et identification d’objectifs (quelle est la cible)
2) Reconnaissance (où se trouve la cible)
3) Caractérisation (“Fingerprinting”) (Identification de vulnérabilité)
4) Pénétration (Exploitation de vulnérabilité)
5) Exploitation (garder l’accès, ne pas se faire prendre, accomplir les objectifs)

23
Q

Attaques de déni de services (DOS) : Objectifs

A

Éliminer ou réduire la qualité de service d’un ournisseur de services

24
Q

Attaques de déni de services (DOS) : Types

A
  • Par vulnérabilité (“crippling DoS”)
  • Par saturation (“Flood DoS”)
  • Par absorption (“Black hole DoS”)
25
Q

Attaques de déni de services (DOS) : Particularités

A
  • Pas de pénétration
  • Camouflage optionnel
  • Pas de contre-mesures absolues
26
Q

Attaques DoS distribuée (DDOS) : Principe de base

A
  • Prendre le contrôle de plusieurs machines (“botnet”)

- Utiliser ces machines pour générer des requêtes (saturation)

27
Q

Attaques DoS distribuée (DDOS) : Exemples

A
  • SYN flooding
  • SYN/ACK flooding (direct, indirect (backblast)
  • Session/Application flooding (tcp, http, SQL)(Spoofing plus possible)
28
Q

Attaques DoS distribuée (DDOS) : Défense

A
  • Analyse de coût relatif

- Faire augmenter le coût de l’attaque

INF4420A (10 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions