audit d’un reseau
REPUBLIC OF CAMEROON PEACE-WORK-FATHERLAND MINISTRY OF HIGHER EDUCATION REPUBLIQUE DU CAMEROUN PAIX – TRAVAIL – PATRIE MNISTERE DE L’ENSEI SUPERIEUR CCNB Projet Sni* to View Filière : Technique De L’Information et de la Communication M. David TSOPBENG Spécialité : Réseautique et Sécurité Niveau Il Rédigé par : NGOMENDA Frank (Chef de groupe) NTIAMENE KENNE serge A. NJOH Elessa Franck NJOUONANG Semeni Maxwell Encadreur Acdémique L’ILIC 2. Architecture et topologie du réseau 11 a. Description de l’architecture réseau -11 Description du système informatique de l’IUC 12 a.
Inventaires des micros ordinateurs et serveurs b. Inventaires des micros ordinateurs et serveurs — 13 Inventaire de technologies implémentées -13 Présentation de la sécurité existante a [‘ICIC — 13 a. Sécurité physique – b. Sécurité logique . 14 Sécurité réseau – d. Sécurité systèmes –14 CHAPITRE 3 PRESENTATION ET ANALYSES DES FAILLES A. Failles organisationnelles et physique basé sur la norme ISO 27002 1. Introduction — 2. Étude et interprétation des observations et résultats a. Politique de sécurité de l’information b. Organisation de la sécurité de l’information
AUDIT DE SECURITE ET GESTION DE LA QOS page c. Gestion des biens — d. Sécurité physique et en PAGF î 9 17 . Introduction 2. Analyse de l’architecture réseau et système a Étude du réseau et plan d’adressage b. sondages systèmes et services réseaux c. identification des systèmes d’exploitation Identification des seNices réseaux 19 e. Analyse des vulnérabilités 3. analyse du routeur CISCO – 4. Analyse de la politique d’usage des mots de passe –17 -19 d. PROPOSES — — CHAPITRE 4 : DIFFERENTES RECOMMANDATIONS ET SOLUTIONS RECOMMANDATIONS ORGANISATIONNELLES ET PHYSIQUE introduction 2.
Politique de sécurité Organisation de la sécurité de l’information 4. Gestion des biens — 5. Sécurité physique et environnementale — 6. Contrôle d’Access Développement et maintenances des systèmes—— 7. 8. Gestion de la continuité d’activité. B. Recommandations techniques 1. Introduction Recommandations — SESSION 2 GESION DE LA Qos 3 OF ag -22 –23 -25 Qos – –27 Paramètres de QOS – CHAPITRE 1- Définition — — 4. Le débit La gigue La disponibilité La latence — Les paquets perdus -27 –28 CHAPITRE 2 : ETAPES DE LA MISE EN PLACE Introdution — Type de trafic : Class Map – Règles du trafic : Policy Map –
Application : Service-policy Bande passante : Rate-limit CHAPITRE 1 : ANALYSE ET SURVEILLANCE DU TRAFIC : NETFLOW -31 -33 ANALYZER Introduction 9 BI BLIOGRAPHIE TABLEAU DES FIGURES Figure Intitule Page Figure 1 Thématique de la norme ISO 6 Figure 2 principe de fonctionnement de la norme ISOI 779 8 Figure 3 Cycle de vie d’audit sécurité 9 Figure 4 cycle de vie d’un audit PAGF s 9 confidentielles et de les utiliser dans leurs propre intérêt. Il en découle que ces réseaux sont devenus ciblés. Par ce genre de menaces et leur sécurisation recèle une préoccupation de plus en plus importante.
La mise en place dune politique de sécurité autour de ces systèmes est donc primordiale. Dès lors, la sécurité revêt une importance qui grandit avec le développement des réseaux IP, les entreprises y voient aujourd’hui un avantage concurrentiel et un nouveau défi ? battre. La complexité des technologies utilisée, la crossance exponentielle des terminaux à protéger ainsi que la prolifération de nouvelles menaces démontrent que la sécurité est très importante, et nécessaire. Les opérations informatiques offrent de nouvelles perspectives de rentabilité pour les pirates et les malveillants.
Elles constituent un moyen d’attaque qui peut être mené à des mllliers de kilomètres de la Clble vlsée. Ces risques ont gagné du terrain. Depuis la naissance du réseau mondial Internet. par conséquent, toute organisation qui a des ordinateurs relies ? internet (ou à tout autre réseau externe) doit élaborer une politique pour assurer la sécurité de chaque système. D’autres part la gestion de la qualité de service est un élément primordial voir même indispensable pour la rentabilité et l’atteinte des objectifs d’une entreprise.
C’est ainsi que la mise sur ied d’une bonne politique n ce qui PAGF OF ag la base même d’une politique permettant à Pentreprise de mettre œuvre une démarche de gestion de ses risques. Dans ce contexte il nous a été confié de réaliser une mission d’audit de sécurité du système dinformation et la gestion de QOS de l’IUC. Le présent rapport sera structuré en 02 sessions : La première session concernera l’audit de la sécurité du réseau de l’iuc La seconde session nous présentera les différentes méthodes de gestion d’une QOS et des trafics selon les priorités définies par l’entreprise AUDIT DE SECURITE ET GESTION DE LA Qos
SESSION 1 : AUDIT DE SECURITE CHAPITRE 1- GENERALITES ET CONCEPT SUR LA NOTION DE SECURITE DES SYSTEM ES D’INFORMATION L’informatique est l’un des éléments clefs de la compétitivité entreprlse. C’est pourquoi, chaque entreprise dot avoir un parc rationnel et optimisé. Cependant, rare sont celles qui mettent en place une stratégie au fil des évolutions de leurs besoins. Cest pourquoi réaliser un PAGF 7 9 par une vision claire et normes de sécurité ont été définies, donnant les règles à respecter afin de maintenir la sécurité du système dlnformation de l’entreprise. arallèlement, étant donné a complexité de la mise en œuvre de ces normes, plusieurs méthodes d’analyse des risques ont été mises au point afin de faciliter et d’encadrer leur utilisation. Cependant, la plupart de ces méthodes en sont que partiellement compatibles, ne tenant compte que d’une partie des règles énoncées dans ces normes. Étude du référentiel d’audit : norme ISO 27001 page 5 Les relations entre entreprises ou administrations rendent nécessaire la définition de Référentiels communs. Dans ce contexte, plusieurs normes se présentent pour assurer les Relations de la sécurité des systèmes d’information
ISO 14000 : traitant de l’environnement. FIPS140 : traitant de la cryptographie BS7799: Specifications for security management. A la différence de ces normes la norme internationale ISO (International PAGF 8 OF ag de sécurité : pour exprimer l’orientation de la direction à la sécurité de L’information. page 6 l’organisation de la sécurité : pour définir les responsabilités du management de la Sécurité de l’information au sein de l’entité. la sécurité et les ressources humaines : pour réduire les risques d’origine humaine, de vol ou d’utilisation abusive des infrastructures, notamment par la formation des utillsateurs. sécurité physique : pour prévenir les accès non autorisés aux locaux. la gestion des opérations et des communications : pour assurer le fonctionnement correct Des infrastructures de traitement de l’information, et minimiser les risques portant sur les Communicatlons. les contrôles d’accès : pour maitriser les accès au patrimoine informationnel. l’acquisition, le développement et la maintenance des systèmes : Pour que la sécurité soit une partie intégrante du développement maintenance des Systèmes d’information. a gestion des incidents : pour s’assurer d’une bonne gestion des événements liés à la Sécurité de l’information. la gestion de la continuité d’activité : pour parer aux interruptions des activités de l’entité Et permettre aux processus cruciaux de l’entité de continuer maleré des PAGF ag SECURITE ET GESTION DE LA QOS Page 7 Figure 2 : principe de fonctionnement de la norme IS01779 Les contraintes de sécurité intégrité : garantir que l’information et les processus de l’information demeurent justes et Complets. ccessibilité : garantir que les personnes autorisées ont accès aux informations et aux avoirs associés en temps voulu. disponibilité : c’est la possibilité de pouvoir obtenir l’information echerchée au moment où elle est nécessaire . garantie de continuité de service et de performances des applications ,du matériel et de l’environnement organisationnel. onfidentialité : assurer que des informations demeurent accessibles qu’aux personnes Autorisées. Rôles et objectifs d’audit L’audit sécurité est une mission d’évaluation de conformité par rapport à une politique de sécurité ou à défaut par rapport à un ensemble de règles de sécurité. Principe : auditer rationnellement et expliciter les finalités de l’audit, puis en déduire les moyens d’investi ations ‘u és nécessaires et suffisants.