La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

La sécurisation du réseau

Publié parPercevel Allard Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "La sécurisation du réseau"— Transcription de la présentation:

1 La sécurisation du réseau
Un message avant de commencer : - les firewall (gardes barrière) ne suffisent plus pour protéger l’ensemble du SI. Ils ne sont plus suffisants pour détecterle « mal » dans l’information transportée dans les flux SMTP et HTTP par exemple. Il faut bien évidemment des antivirus et des antiSpam, mais cela ne suffit pas non plus. Il est bien évident que le comportement humain est primordial.

2 La vue simpliste, idéaliste
En fait La vue simpliste, idéaliste Du chenapan au «criminel » Hackers, pirates, espions, Fraudeurs, Cyber-terroristes, … Internet Il n’y a pas de problème particulier créé par Internet Contenus dangereux (Virus, vers, sites mystifiés, bombes, Ch.de Troie, NON (plaisantins, vengeance, …) Tout le monde est gentil, évite les erreurs, fait attention, travaille sur place Les matériels et logiciels sont parfaits. NON (erreur de configuration, …) NON (on clique trop vite, on télécharge, …) NON (maison, déplacement, …), visiteurs, échanges avec les partenaires extérieurs (filiales, sous-traitants, fournisseurs, …) Réseau d’entreprise NON (failles, contrôles faibles par défaut, pas d’intégration de sécurité par défaut)

3 Indépendant de notre volonté, seules des législations contraignantes
Que faire? Internet Indépendant de notre volonté, seules des législations contraignantes pourraient faire évoluer les choses ?????? Et peut-être une nouvelle génération de protocoles Internet (des travaux en cours) (1) Contrôler les accès, les flux, … (deux sens) (2) Cloisonner les « populations » Différencier les droits, contrôler les accès (services, ressources) et les flux inter-communautés) Réseau d’entreprise En (3)  tout équipement et tout applicatif de service doit concourir à renforcer le niveau de sécurité. De plus il serait bien d’avoir une politique de sécurité centrale (cohérence) sur laquelle tout les modules s’appuient. En (6)  les poste de travail sortant de l’entreprise doivent être soumis à contrôle particulier, les détenteurs de ces poste avoir une formation particulière. (5) (3) Renforcer la capacité des équipements et des applications à contrôler, détecter, alerter, corriger, interdire, protéger, … (5) Informer  guide de bonnes pratiques (6) Contrôle du « nomadisme » (4) Surveillance (monitoring), métrologie, traces (logs).

4 Trois domaines d’intervention
Le réglementaire et juridique (national, international) Le facteur humain Chartes, formation, information  l’expertise les guides et recommandations  les bonnes pratiques, obligations, … Les technologies

5 (services purement internes)
Exemple de « cartographie » Réseau d’une université L'INTERNET Personnel, étudiant nomade Zône de contrôle Serveurs devant être Visibles de l’extérieur « Visiteurs » Serveurs Intranet (services purement internes) Chercheurs Administration Étudiants

6 Les domaines de technologies pouvant servir à sécuriser
Métrologie, supervision, traces, logs PKI, EAM, SSO Clients légers Durcissement systèmes Authentification VPN Protection du poste de travail Chiffrement données Antivirus, AntiSPAM Proxy / Cache Analyse de contenu Détection d’intrusion Pare-feu Sécurisation du Wi-Fi du nomadisme Communateurs,routeurs (VLAN, filtres)

7 Serveurs Intranet Chercheurs Administration
Exemple d’une université L'INTERNET VPN Chiffrement des infos DMZ Routeur filtrant Relais mail, Web, DNS, Serveur VPN, … Proxy/cache WiFi Pare-feu (filtrage, NAT, relayage, serveur VPN, …) antivirus centralisé, antiSPAM, analyse de contenu, … « Visiteurs » Routeur filtrant VLAN Serveurs Intranet Chercheurs Le pare-feu a des fonctionnalités de : filtrage, NAT (statique, dynamique, port-forwarding, …) Contrôle de contenu (relai niveau application)  PROXY avec authentification détection d’intrusion pour certains et même IPS, Il va pouvoir intégrer un anti-virus, ainsi qu’un anti SPAM, etc.  Parler de NuFW Administration Étudiants Durcissement de systèmes, filtres, antivirus, analyse de Contenus, supervision, Traces, … AUTHENTIFICATION Pare-feu personnel antivirus, antispy(mal)ware, …

8 L'INTERNET Serveurs Intranet Honeypot Scanner de vulnérabilités DMZ
IDS (Intrusion Detection System) N-IDS Métrologie Supervision Performance, Scanner de vulnérabilités: Outils plus simple : NESSUS Nmap SAINT SARA IDS (les N-IDS, et les H-IDS) Outils plus simple SNORT (Sourcefire) TCPDUMP ETHEREAL Métrologie Netmet Serveurs Intranet

9 Séparation des communautés Par VLAN Internet
Public Pare-feu On peut rajouter ici, sur le VLAN rose un détecteur de nomade en forme connecté sur le routeur. Ceci afin d’éviter des PC qui ramènent des vers/virus au bureau. PC-Nomades Intranet

10 VLAN Normalisation : normalisée au travers du protocole 802.q Objectifs Possibilité sur une même infrastructure physique de distinguer entre plusieurs ensembles de machines (réseaux logiques ou virtuels) limiter les domaines de broadcast optimiser les performances (partage de charge éventuel) sécuriser les groupes d ’usagers (contrôle inter-VLAN), les échanges de paquets entre VLAN passent par un élément de filtrage (routeur, …), Spanning-Tree par VLAN (suivant constructeur) administration centrale possible de l ’ensemble du réseau

11 Les VLANs D1 D3 D2 Communication interne VLAN administration
Contrôle des flux inter segment Internet Les VLANs Routeur commutateurs D1 D3 D2 Les VLANS (réseaux virtuels) vont permettre: Limiter les domaines de broadcast Garantir une meilleure sécurité en permettant à des utilisateurs distants de partager des données Facilité la mobilité des utilisateurs (gestion dynamique de la mobilité) Les VLAN requièrent la couche 3 pour la communication entre eux. Communication interne VLAN administration Communication entre VLAN administration et VLAN pédagogie (avec NetflowSwithing de CISCO possibilité pour les paquets suivants de ne plus remonter au routeur)

12 VLAN Type de VLAN statique (par port ou par adresse MAC) dynamique
numéro de port, (possibilité filtrage des adresses MAC par port) adresse MAC (possibilité associer dynamique sous-réseau (IP), protocole (IP, IPX, IPv6, …) par authentification de machine(utilisateur) L ’identité du VLAN est traduite par un champs supplémentaire dans la trame Ethernet (le « tag ») Par adresse MAC Échange des tables d’adresse MAC entre commutateurs Tous les constructeurs (Cisco, Juniper, Foundry, Extreme, 3COM, HP, …) le proposent, actuellement on ne gère plus un réseau sans utilisation de VLAN, sauf toutes petites configurations à population homogène.

13 VLAN Les commutateurs Les matériels de routage Les serveurs
configurés afin d ’identifier les machines et leur affecter un numéro de VLAN commutent les trames au sein d ’un même VLAN Peuvent avoir une certaine connaissance du niveau 3. Pourront servir (*) de proxy pour une certaine connaissance au niveau du routage. Configurer l ’adresse gateway sur les machines ne sera pas nécessaire. Les matériels de routage doivent appartenir à plusieurs VLAN Sur un même lien physique ils voient plusieurs interfaces logiques. Les serveurs Pour des raisons de performance appartiendront souvent à plusieurs VLANs évitant ainsi le passage par les routeurs. Doivent donc être bien protégés (bien administrés).

14 Le filtrage

15 Contrôler les flux entre « domaines » Avant d’écrire des filtres
Filtrage IP Contrôler les flux entre « domaines » Avant d’écrire des filtres  une phase d’étude déterminer/constituer les domaines  ’ ’ les flux inter-domaines Tout ceci en prenant en compte la PSSI de l’entreprise Produire les filtres et les appliquer Avec un « scanner » vérifier si l’objectif est atteint Un conseil  expliciter les filtres au travers de schémas Cela permet de mieux comprendre la politique mise en oeuvre

16 tous les champs de l’en-tête paquet (ou presque)
Filtrage IP Traitement au niveau 3-4 ISO (IP/TCP) Activé dans un matériel de type « routeur » A noter que les commutateurs intègrent actuellement de telles fonctionnalités (cartes spéciales, ou en natif) Se base sur les information du paquet IP adresses source et destination type de protocole ports source et destination QoS, (flux données, vidéo, voix, SNMP, …) Bits spéciaux : SYN, ACK, RST, … tous les champs de l’en-tête paquet (ou presque)

17 Les informations utiles pour le filtrage
Données En-tête TCP En-tête IP En-tête Eth Ports source et destination (identification de l'application) Les bits ACK, RST, SYN Adresse Mac type de protocole (IP, IPX, ...) ---> ne nous concerne pas. Premier paquet --> pas d'ACK tous les autres l'ont, dans les 2 sens SYN sans ACK --> connexion Adresse source, destination Type de protocole supérieur (TCP, UDP,ICMP,EGP, ...) Options IP (source-routing, ...) En TCP (mode connecté) pour casser une session il suffit de « droper » le paquet d ’initialisation

18 x11 6000 les clients en général 1024 512 Serveur Client
Services RPC (ypbind, lock) les clients en général 1024 rcp, rsh, rlogin Services RPC "root" (ypserv, status, mountd, ...) Clients RPC "root" (ypserv, status, mountd, ...) 560 Services Unix (rlogind, rhsd, ...) 512 Services "officiels" (telnetd, ftpd, smtpd, httpd, ...) Portmap 111 Serveur Client Allocation ports TCP

19 les clients en général Serveur Client Allocation ports UDP
Services RPC (ypbind, lock) 1525 archie RPC(ypbind, lock,) talk, ... 1024 rcp, rsh, rlogin Services RPC "root" (ypserv, status, mountd, ...) Clients RPC "root" (ypserv, status, mountd, ...) 560 Services Unix 512 Services "officiels" Portmap 111 Serveur Client Allocation ports UDP

20 Il y a plus de type  voir les rfcs.
Paquets ICMP --> Type et Code (information de filtrage) Type: Destination unreachable Time exceeded Parameter Problem Source Squench Redirect Echo ou Echo Reply TimeStamp ou TimeStampReply Information Request ou Information Reply Code: précisions supplémentaires Il y a plus de type  voir les rfcs.

21 Informations « hors » paquet IP
Interface d'entrée (pour IN et pour OUT) Interface physique (eth0, …) ou logique (No de VLAN) Paquet : en transit, généré en local, à destination du système local Fréquence même type de paquet (détection de DoS, attaques, …) Etc.

22 Principes pour le filtrage (1)
Le filtrage est basé sur les adresses. Il faut qu'elles soient correctes (pas de spoofing). Il faut donc une vérification de cohérence en entrée (depuis l'extérieur comme l'intérieur) Un paquet ne satisfait pas les règles --> "drop" Un message de log si violation des règles cela peut faire beaucoup de log, qui va regarder? Faut-il renvoyer un ICMP (erreur) ---> NON, cela pourrait aider les "pirates" a comprendre la politique sécurité du site et l’architecture réseau Bien faire attention a différencier IN de OUT de FORWARD et les interfaces d’entrée, de sortie, etc.

23 Principes pour le filtrage (2)
Faire attention à l’ordre des règles Chaque paquet est analysé par rapport aux règles, Dès qu’une règle est satisfaite : Elle est appliquée au paquet, L’analyse s’achève, Les règles qui suivent ne sont pas pris en compte, Si aucune règle ne s’applique  c’est la règle par défaut Faire en sorte que la règle par défaut soit: « Tout interdire, sauf ce qui est explicitement autorisé »

24 Les caractéristiques par protocole
port-s port-d Telnet C--->S TCP X> S-->C TCP X Smtp C--->S X> S--->C TCP X Nntp C--->S X> S--->C X DNS C--->S Tcp/Udp X> S--->S DNS (transfert de zone/primaire --> secondaire) idem. Si filtres mal mis --> secondaire isole NTP C-->S Udp X> NTP S--->S Udp

25 Les caractéristiques par protocole
port-s port-d Ftp C-->S TCP Y> (session de contrôle) S-->C Y «  » S-->C Z> (sessions données) C-->S Z Pb

26 Les caracteristiques par protocoles (suite)
port-s port-d Http C-->S TCP X> Proxy-Http "  » X> X «  TCP X> (ou 6001, …) Syslog C-->S UDP X> port-s port-d SNMP UDP X> ,162

27 Il reste le P2P qui représente plus de difficulté. 
Les caracteristiques par protocoles (suite) "r-command" TCP X<= (rexec) 513 (rlogin) 514 (rsh,rcp,rdist) Ne pas laisser passer RPC (YP, NIS, NFS, ...) TCP/UDP Z alloué par le port mapper Portmapper TCP/UDP Autoriser au compte goutte 111 depuis l ’extérieur Il reste le P2P qui représente plus de difficulté. 

28 Types de filtrage Statique Dynamique
Les premiers à apparaître L’ensemble des règles est fixe et n’évolue pas suivant les applications utilisées. Dynamique Prennent en compte les environnements H323, RTSP, SIP, FTP, … Dynamique avec contrôle des contenus Idem ci-dessus + vérification des commandes pour les flux SMTP, HTTP, SQLNet, FTP, …

29 Exemple d’environnement de filtrage Netfilter / « iptables»
Environnement sous Linux Netfilter : partie opérationnelle intégrée noyau Iptables : partie commande (action admin) Autres environnements « libres » IP Filter pour Unix libres et intégré sour FreeBSD et NetBSD Packet Filter sous OpenBSD

30 Netfilter / « iptables»
Des règles classées par « chaîne » Chaînes par défaut = IN, OUT, FORWARD Chaînes utilisateur possible Un paquet satisfait une règle  action et arrêt chaîne Les politiques par défaut en fin des règles Prise en compte « état du trafic » pour situer le paquet NEW, ESTABLISHED, RELATED, INVALID

31 Chaîne utilisateur

32 « INTER_NET » (réseau d’interco) S_ML
ROUTER_ADDR (adresse IP routeur) FW_EXT (addresse IP) « INTER_NET » (réseau d’interco) S_ML S_WEB AP1000 IF_EXT IF_PUB IF_WL WL_NET (réseau sans fil) PUBLIC_NET (réseau public) IF_INT Positionner le serveur DHCP Idem serveur DNS Idem serveur OPENVPN SERVEUR TOTO INTRA_NET (réseau interne)

33 Et ensuite? Du filtrage dynamique (stateful inspection)
Un adressage privé interne et du NAT Protéger le service DNS en architecturant correctement Protéger la messagerie (antiSPAM, antiVirus) Contrôler le contenus des flux HTTP entrants et l’accès aux sites distants Portables : Des VPNs pour leur connexion distante Les contrôler avant leur connexion au réseau local Protéger les données par du chiffrement

34 Filtrage dynamique (stateful inspection de CheckPoint)
Certaines application utilisent des ports dynamiques Il faudrait autoriser tous ces ports en permanence  trop dangereux Filtrage dynamique (CheckPoint, CBAC cisco, …) Filtrage basé sur le contexte d’une connexion (application), Examen du contenu d’un flux  détection de demande d’ouverture sur un(des) port(s) dynamique(s), On ajoute pour un instant des règles dans les listes de règles, Elles seront supprimées après fermeture de la connexion ou Time-out. Les protocoles concernés : FTP (passive), H323, ToIP, RCMD, …

35 Le NAT (Network Address Translation)
Traduction d’adresses; privées <--> publiques machines internes non accessibles directement Rend la vie plus difficile aux pirates Un atout pour la sécurité certes, mais en complément de sérieux filtrages et autres contrôles.

36 Groupe de Travail NAT CNRS
Aperçu de NAT Interne Extérieur SA SA Internet Table NAT Adresses IP locales Vision globale des adresses Groupe de Travail NAT CNRS

37 Différentes catégories de NAT:
Statique (une adresse privée pour une publique)  peu d’intérêt, atouts pour la sécurité à démontrer. Dynamique une adresse privée pour une publique mais partage des adresses publiques par plusieurs adresses privées suivant les flux Surcharge adresses internes Une adresse publique pour plusieurs privées On traduit un couple adressePrivée-Source/portSource1 en adressePubliqueSource/portSource2 pour un certain temps. « Overlapping » distribution de charge TCP Autres objectifs que la sécurité

38 Protection du DNS Questions: Réponses conduisent à :
Qui a le droit d’utiliser le DNS? Pour quel type de résolution? Réponses conduisent à : Une architecture cible séparant les différents services DNS Une politique limitant les accès et donc les risques. Menaces sur le DNS : fuite d’information par canaux cachés corruption de résolution DNS permettant d’abuser les utilisateurs  diriger les utilisateurs à leur insu vers des sites pirates pour leur dérober des informations sensibles.  limiter au strict minimum l’usage des requêtes récursives s’assurer de l’intégrité des transactions. déni de services par l’acceptation de requêtes illégales ou par corruption de données dans les zones hébergées par les serveurs internes.  seuls les IPS peuvent quelque chose sur ce type d’attaque; il faut aussi restreindre les transferts de zones interdire les récursions contrôler les requêtes simples restreindre les notifications

39 INTERNET DNS interne DNS Externe DNS cache DMZ DMZ Internet DMZ production Proxy HTTP Serveur SMTP DNS cache DHCP

40 INTERNET DNS interne DNS Externe DNS cache DMZ DMZ Internet
DMZ production un poste quelconque du réseau interne ne pourra pas résoudre un domaine externe, car le DNS cache interne Ne transmettra pas (forward) la requête au DNS cache en DMZ. De cette façon il n’y aura pas de risque de canaux cachés DNS. Proxy HTTP Serveur SMTP DNS cache DHCP

41 Authentification des accès HTTP (antiSpyware, Antivirus, …)
Contrôle des contenus (antiSpyware, Antivirus, …) INTERNET 4 3 DNS interne DNS Externe DNS cache DMZ DMZ Internet DMZ production Proxy HTTP Annuaire d’authentification Le proxy HTTP peut très bien faire partie du système pare feu. L’authentification des usagers est optionnelle suivant la politique de l’entreprise Cette architecture oblige à configurer la « passerelle HTTP » sur les navigateurs des postes.  il est préférable d’utiliser les capacités des matériels de routage à dérouter les paquets vers le proxy sans que les utilisateurs ne voient rien (il faut cependant les prévenir) 1 2 5

42 Lutte antiSpam Ce n’est plus une option
C’est un élément de la politique de sécurité Mettre en œuvre et prévenir les utilisateurs

43 Composants de l’architecture
MX = Mail eXchanger Concentre bonne partie des fonctions antiSPAM, notamment le Greylist de même y mettre des fonctions antiVirus. Soit sur ce serveur, ou sur un serveur appelé (via API milter de sendmail)  y mettre ces fonctions permet de rejeter le message tout de suite sans générer un accusé. MDA = Mail Delivery Agent MUA = Message User Agent MSA = Message Soumission Agent  y forcer l’authentification SMTP. Empêche les botnets (stupides encore). Mais force à tout configurer.  faire un traitement anti virus car des virus peuvent se propager en interne. Le routage sortant

44 Exemple d’architecture
de messagerie Mail entrant INTERNET Mail sortant authentification Routeur sortant MX MSA Filtrage antiSPAM antiVirus DMZ Internet DMZ Serveur De boîte aux lettres Annuaire d’authentification Des solutions antiSPAM (logiciels libres) peuvent par exemple être : JcheckMail ou encore SpamAssassin pour l’antivirus on pensera à ClamAV par exemple. IMAPS

45 Et ensuite ? Surveiller, …
Détecter les intrusions et alerter: Outils de type IDS Mieux les contrecarrer si l’on en détecte Outils de type IPS Mettre en place de la métrologie Détecter les anomalies de trafic, des flux étranges, des variations anormales, … Utiliser des outils de supervision tels NAGIOS Détecter des anomalies de fonctionnement des applications, Identifier des utilisations anormales de ressources,

46 IDS / IPS Détection les attaques classiques :
Basée sur des signatures d’attaques connues. Et surtout analyser les contenus HTTP : Protection contre l’exploitation des failles navigateurs Détection de spyware, malware, contenus avec virus On peut également d’office bloquer certains type/format de contenus Et repérer dans l’autre sens les commandes douteuses Machine infectée ou « chenapan » interne L’IDS se contente de poster une alerte L’IPS va de plus dropper les paquets et couper la session. L’un et l’autre peuvent être intégrés dans un produit pare-feu ou être des modules séparés.

47 Métrologie Utilité : Types d’environnement
Connaître le profil d’utilisation du réseau Cartographie des flux. A quoi sert le réseau? Comprendre! Aider à prévoir la stratégie d’évolution des infrastructures Détecter d’éventuels incidents Flux « non habituels », pics de trafic bizarres, … Types d’environnement « sniffer » sur le réseau : NTOP, … En accès direct (ou via SNMP) sur les logs routeurs : Mrtg, NetMet, … D’après Renater 90% des incidents pourraient être détectés par la métrologie

Télécharger ppt "La sécurisation du réseau"

Présentations similaires

Sécurité informatique

Sécurité informatique
Page d accueil.

Page d accueil.
Sécurisez votre information Quelle sécurité pour votre cabinet comptable?

Sécurisez votre information Quelle sécurité pour votre cabinet comptable?
Botnet, défense en profondeur

Botnet, défense en profondeur
Client Mac dans un réseau Wifi d’entreprise sécurisé

Client Mac dans un réseau Wifi d’entreprise sécurisé
1re STG COMMUNICATION ET RESEAU INFORMATIQUE

1re STG COMMUNICATION ET RESEAU INFORMATIQUE
Sécurité du Réseau Informatique du Département de l’Équipement

Sécurité du Réseau Informatique du Département de l’Équipement
ADMINISTRATION RESEAU

ADMINISTRATION RESEAU
– VLAN et VTP. Sommaire 1)VLAN* 1)VTP** *Virtual Local Area Network **VLAN Trunk Protocol.

– VLAN et VTP. Sommaire 1)VLAN* 1)VTP** *Virtual Local Area Network **VLAN Trunk Protocol.
- Couche 4 - Couche transport. Sommaire 1) Caractéristiques de la couche transport 2) Les protocoles TCP & UDP 3) Méthode de connexion TCP.

- Couche 4 - Couche transport. Sommaire 1) Caractéristiques de la couche transport 2) Les protocoles TCP & UDP 3) Méthode de connexion TCP.
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.

- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
Firewall sous Linux Netfilter / iptables.

Firewall sous Linux Netfilter / iptables.
DUDIN Aymeric MARINO Andrès

DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000

Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
Les Firewall DESS Réseaux 2000/2001

Les Firewall DESS Réseaux 2000/2001
TCS – CCNA 2.1.2 École Duhamel Année 2004-2005.

TCS – CCNA École Duhamel Année
Cours d’initiation au réseau IP :

Cours d’initiation au réseau IP :
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.

Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec

Présentations similaires

Annonces Google