La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Présentations similaires


Présentation au sujet: "Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France."— Transcription de la présentation:

1 Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France

2 Agenda Introduction Protection des ressources grâce au filtrage applicatif Pourquoi le filtrage applicatif est-il nécessaire ? Présentation dISA Server 2004 Protection des accès aux réseaux Accès distants (VPN) avec ISA 2004 et NAP Accès aux réseaux locaux avec NAP (Network Access Protection) Synthèse Ressources utiles Questions / Réponses

3 IntroductionIntroduction

4 Quelques chiffres 95% de toutes les failles évitables avec une configuration alternative (CERT 2002) Environ 70% de toutes les attaques Web se passent au niveau de la couche Application (Gartner Group) Sur les 10 attaques les plus répandues, 8 sont effectuées au niveau application (Symantec Corp) De décembre 2003 à décembre 2004, +80% daugmentation du nombre de vulnérabilités dapplication Web découvertes (Symantec Corp)

5 Top 10 des attaques : 80% dattaques au niveau de la couche 7 DCOM RPC HTTP SQL Server SMTP Top attacks (source : Symantec Corporation)

6 Développement du marché des PC portables et du nombre de systèmes non administrés dans les réseaux lentreprise Postes personnels mais connectés sur le réseau de lentreprise Postes des intervenants externes Points daccès Wi-fi non déclarés Ordinateur portables qui ne sont pas à jour (du fait de leur mobilité) au niveau de correctifs de sécurité, signature anti-virale… Connexion à des réseaux tiers « inconnus » (hot spot wifi, clients, partenaires…) (hot spot wifi, clients, partenaires…) Accès VPN nomades Réseaux sans fils Augmentation des risques avec le développement de la mobilité

7 Attaques au niveau de la couche application Usurpation didentité Site web défiguré Accès non autorisés Modification des données et journaux Vol dinformations propriétaire Interruption de service Implications Mise en conformité ISO Bâle 2 (EU) Data Protection Act (EU) HIPAA (US) Sarbanes Oxley (US) Litiges Partage de fichiers illicites Piratage Responsabilités juridiques des entreprises et des RSSI En France le RSSI a obligation de moyens Impact sur les entreprises

8 Défense en profondeur Données et Ressources Défenses des applications Défenses des machines Défenses du réseau Défenses du périmètre Laccès à une couche inférieure nécessite de passer au préalable par les couches supérieures. Tous les éléments constituant la sécurité de la plateforme sont ainsi répartis au sein de cette approche par couche La gestion des accès aux réseaux fait partie des premières couches de protection dune infrastructure Les pare-feu sont un élément de protection du périmètre et du réseau Sécurité physique Politiques de sécurité

9 Protection des ressources grâce au filtrage applicatif

10 Application Layer Content ???????????????????? Un paquet IP vu par un pare-feu « traditionnel » Seul lentête du paquet est analysé Le contenu au niveau de la couche application est comme une boite noire IP Header Source Address, Dest. Address, TTL, Checksum TCP Header Sequence Number Source Port, Destination Port, Checksum La décision de laisser passer est basée sur les numéros de ports Le trafic légitime et les attaques applicatives utilisent les mêmes ports (ex : 80) Internet Trafic HTTP attendu Trafic HTTP non prévu Attaques Trafic non-HTTP Réseau dentreprise

11 Le problème Le filtrage de paquets & le statefull inspection ne sont plus suffisants pour se protéger des attaques actuelles Les pare-feux traditionnels se focalisent sur le filtrage de paquets et le statefull inspection Aujourdhui, la plupart des attaques contournent ce type de protection. Quelques exemples : Code Red & Nimda sur les serveurs IIS 4 et 5 OpenSSL/Slapper Blaster, Welchia sur le RPC Endpoint Mapper de Windows Slammer sur les serveurs SQL (ou MSDE) Santy-A sur les forums phpBB (Linux et Windows) Le premier ver dans la nature (in the wild) à exploiter une vulnérabilité dune application Web Les ports et protocoles ne permettent plus de contrôler ce que font les utilisateurs

12 Plateforme Web classique et risques associés 2 zones réseau (Front End et Back End) + 2 pare-feu …mais toujours des risques en cas dabsence de filtrage applicatif Le risque ici est principalement lattaque applicative. Par exemple : injections HTML injections SQL Injections PHP …. TCP 80 (HTTP) TCP 443 (HTTPS) TCP 1433 (MS-SQL)

13 Réseau public Vers réseau interne, DMZ, … Pare-feu niveau Application Pare-feu traditionnel Quel pare-feu utiliser ? Les pare-feu applicatif sont aujourdhui nécessaires pour se protéger des attaques évoluées car ils permettent une analyse approfondie du contenu des paquets réseaux. Comprendre ce quil y a dans la partie données est désormais un pré requis Néanmoins, le remplacement nest pas forcément la meilleure solution

14 Quand pare-feu te bloquera HTTP tu utiliseras…

15 Http : le protocole universel… … pour outrepasser un pare-feu ou un proxy Aujourdhui, de nombreuses applications utilisent HTTP comme méthode dencapsulation des protocoles propriétaires afin de saffranchir des ouvertures de ports spécifiques sur les équipements filtrants : Messageries instantanées : MSN Messenger, Yahoo MSN Messenger, Yahoo Messenger, ICQ… Messenger, ICQ… Logiciels P2P : Kazaa, Emule, Bitorrent, Exeem… Bitorrent, Exeem… Messagerie : Outlook 2003 (RPC sur HTTP)… Adware, Spyware : Gator… Chevaux de Troie

16 Une fois la session SSL établie, les proxies ou les pare-feu sont incapables de voir les données échangée. De nombreuses logiciels utilisent déjà cette solution. Exemple : Outlook 2003 (RPC over https) Exemple : Outlook 2003 (RPC over https) Comment réduire le risque ? Limiter les accès https : utilisation de listes blanches Bloquer les requêtes dans la phase de négociation Déchiffrer le SSL en sortie au niveau du proxy/firewall (Man In The Middle) Concept intéressant en terme de sécurité mais pas vraiment en terme de confidentialité Plus fort que http : https Plus fort que http : https

17 2 ème génération de pare-feu de Microsoft Pare-feu multicouches (3,4 et 7) Capacité de filtrage extensible Proxy applicatif Nouvelle architecture Intégration des fonctionnalités de VPN ISA Server 2004 en quelques mots

18 La vue dun paquet IP par ISA Les entêtes du paquet et le contenu sont inspectés Sous réserve de la présence dun filtre applicatif (comme le filtre HTTP) Application Layer Content MSNBC - MSNBC Front Page

19 PolicyEngine NDIS TCP/IP Stack Architecture dISA Server 2004 Firewall Engine Firewallservice Firewall service Application Filter API App Filter Web Proxy Filter Web Filter API (ISAPI) Web filter Web filter User Mode Kernel Mode SMTPFilterRPCFilter DNS Filter Policy Store Packet layer filtering 1 Protocol layer filtering 2 Application layer filtering 3 Kernel mode data pump: Performance optimization 4

20 ISA Server 2004 : un produit évolutif Filtrage applicatif Haute disponibilité Antivirus Détection dintrusion Reporting Accélérateurs SSL Contrôle dURLs Authentification Plus de partenaires sur : + dune trentaine de partenaires !!!

21 DMZ_1 Modèle réseau ISA Server 2004 Nombre de réseaux illimité Type daccès NAT/Routage spécifique à chaque réseau Les réseaux VPN sont considérés comme des réseaux à part entière La machine ISA est considéré comme un réseau (LocalHost) Stratégie de filtrage par réseau Filtrage de paquet sur toutes les interfaces Internet VPN ISA 2004 Toutes topologies / stratégies CorpNet_1 DMZ_n Local Area Network CorpNet_n VPN Quarantaine

22 action traffic utilisateur source destination conditions action sur traffic pour utilisateur depuis source vers destination avec conditions Structure des règles de pare-feu ISA Autoriser Interdire Protocole IP Port(s) TCP/UDP Réseau(x) Adresse(s) IP Machine(s) Réseau(x) Adresse(s) IP Machine(s) Serveur publié Site Web publié Planning Filtre applicatif Utilisateur(s) Groupe(s) Ensemble de règles ordonnées Règles systèmes puis règles utilisateur Plus logique et plus facile à comprendre (versus ISA Server 2000 notamment)

23 Scénarios de mise en œuvre dISA Server 2004 Pare feu de périmètre Multi réseaux DMZ Protection des applications et réseaux internes Passerelle de filtrage applicatif Serveurs Web Serveurs de messagerie Protection des réseaux internes Accès sécurisé et optimisé à Internet Stratégies daccès Cache Web Réseaux multi sites Sécurisation sites distants Intégration du VPN IPSec en mode Tunnel

24 Certificat « Privé » + sa clé privée Certificat « Public » + sa clé privée Lanalyse des URL par ISA 2004 peut stopper les attaques Web au périmètre du réseau, y compris en cas dutilisation de SSL Protection des serveurs Web Pare-feu traditionnel Web Client Si le serveur Web fait une demande dauthentification - tout utilisateur sur Internet peut accéder à cette demande SSLSSL SSL passe au travers des pare- feu traditionnels sans contrôle du fait du chiffrement… …ce qui permet aux attaques applicatives, virus ou autres vers de se propager sans être détectés… …et dinfecter les serveurs internes ! ISA Server 2004 Délégation dauthentification ISA pré authentifie les utilisateurs, éliminant les boites de dialogues redondantes et nautorise que le trafic valide à passer Filtrage avancé de HTTP SSL or HTTP SSLSSL ISA peut déchiffrer et inspecter le trafic SSL Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair. Analyse HTTP (URL, contenu…) Internet

25 Protection des accès sortants Client ISA Server 2004 Pare feu traditionnel Internet HTTP http, https, FTP IM, P2P, MS RPC… HTTP, https, FTP… IM P2P MS RPC… IM, P2P, MS RPC… Analyse HTTP (URL, entêtes, contenu…) Exemples de signature dapplications :

26 Les versions dISA Server 2004 Édition Standard Inclus toutes les fonctionnalités de : Pare-feu (niveaux 3,4,7) Pare-feu (niveaux 3,4,7) Passerelle VPN Passerelle VPN Proxy cache Proxy cache sur un même serveur Disponible depuis Mai licence par processeur physique Également disponible sous la forme dappliance Édition Entreprise Ajoute la haute disponibilité et la tolérance de panne Ajoute la capacité à monter en charge en utilisant plusieurs serveurs (groupes) Ajoute ladministration centralisée au niveau entreprise Disponible depuis Mars licence par processeur physique

27 Nouveautés de la version Entreprise Groupes de serveurs Un ensemble de serveurs (entité dadministration) configurés de la même façon Jusquà 31 serveurs !!! Stratégies dEntreprise Équilibrage de charge réseau Assistant de configuration dans la console dISA 2004 Surveillance des services NLB (Network Load Balancing) Cache Web distribué Support de CARP (Cache Array Routing Protocol) Deux nouveaux rôles dadministration Au niveau entreprise 5 au total (dont 3 au niveau groupe) Supervision centralisée et globale Serveur de configuration Configuration Storage Server (CSS)

28 Disponible en appliance RimApp ROADBLOCK Firewall HP ProLiant DL320 Firewall/VPN/Cache Server microsoft/ISAserver/index.html microsoft/ISAserver/index.html microsoft/ISAserver/index.html Network Engines NS Appliances spx spx spx Celestix Application-Layer Firewall, VPN and Caching Appliance Pyramid Computer ValueServer Security Avantis ISAwall Avantis ISAwall Corrent Corrent

29 Protection des accès aux réseaux de lentreprise (VPN et Locaux) Gestion des accès distants et des équipements connectés

30 Les attaques viennent aussi de linterne Étude et statistiques sur la sinistralité informatique en France (2002)

31 Le meilleur exemple est la propagation dun ver comme Blaster (exploitation dune faille RPC) ou Sasser. Les attaques internes ne sont pas toujours déclenchées de manière intentionnelle

32 Le même exemple de propagation dun ver comme Blaster ou Sasser au travers dun VPN Les connexions distantes peuvent également compromettre la sécurité

33 Une approche de la segmentation En terme de sécurité, les pare-feux sont couramment utilisés pour protéger les réseaux dentreprise des réseaux publics comme Internet Aujourdhui, il est devenu nécessaire de procéder à un découpage du réseau dentreprise et daller au-delà de la simple segmentation réseau (VLANs) La segmentation des réseaux internes revient à implémenter le principe du pare-feu au cœur du réseau de lentreprise en intégrant lanalyse (jusquau niveau de la couche application) des flux

34 Classification Principes de la segmentation Classification Le découpage des réseaux consiste à définir des zones de confiances dans lesquelles des ressources peuvent être placées. Ce découpage nécessite au préalable la définition dune classification adaptée aux besoins et contraintes de lentreprise.

35 Contrôle et mise en conformité des postes lors des connexions Les connexions distantes & les connexions au réseau local

36 Sécuriser les connexions VPN (1/2) Exiger une authentification forte à 2 voire 3 facteurs : Ce que je sais : mot de passe, code PIN Ce que je possède : SmartCard, jeton, calculette… Ce que je suis : reconnaissance biométrique Augmenter le niveau de chiffrement des communications 3DESAES Journaliser, surveiller et analyser lactivité des utilisateurs connectés en VPN

37 Sécuriser les connexions VPN (2/2) Vérifier lors de la connexion la conformité du poste client VPN: Mécanisme danalyse Mise en quarantaine Limiter les accès autorisés pour les sessions VPN Seules les ressources nécessaires sont accessibles Lensemble du réseau interne ne devrait pas être accessible Utiliser du filtrage applicatif pour analyser les communications à destination des ressources internes. Possibilité de faire de lanalyse antivirale Filtrage des flux RPC, http, FTP, SMTP, CIFS, DNS…

38 VPN et quarantaine avec ISA 2004

39 Network Access Protection (NAP) Network Access Protection (NAP) est une plateforme destinée à contrôler la mise en conformité par rapport à la politique IT de lentreprise (Ex : politique de mise à jour des OS et des antivirus) des machines Windows connectés aux réseaux de lentreprise Les mécanismes de NAP vont permettre de restreindre laccès au réseau de lentreprise pour les postes non conformes tant quils ne respectent pas la stratégie imposée. La première version de NAP sera disponible dans Windows Server "Longhorn" la prochaine version du système dexploitation Windows Server. La plateforme NAP (Network Access Protection) nest pas la même technologie que la mise en quarantaine réseau (Network Access Quarantine Control), qui est une fonctionnalité déjà disponible avec Windows 2003 pour les connexions VPN nomades

40 Demande daccès ? Voici mon nouveau status Est ce que le client doit être restreint en fonction de son status? En accord avec la politique, le client nest pas à jour. Mise en quarantaine et demande au client de se mettre à jour Puis je avoir accès ? Voici mon status actuel En accord avec la politique, le client est à jour Accès autorisé NAP : principe de fonctionnement IAS Policy Server Client Network Access Device (DHCP, VPN) Remediation Servers (antivirus, système de maj de correctifs…) Mise à jour du serveur IAS avec les politiques en cours Vous avez droit à un accès restreint tant que vous nêtes pas à jour Puis je avoir les mises à jour ? Les voici Réseau de lentreprise Réseau restreint (quarantaine) Le Client obtient laccès complet à lIntranet System Health Servers (défini les pré requis du client) System Health Validators Microsoft et 3 rd Parties Quarantine Server System Health Agents Microsoft et 3 rd Parties (AV/Patch/FW/Other) Quarantine Agent Quarantine Enforcement Client Microsoft et 3 rd Parties DHCP/VPN/IPsec/802.1x

41 Scénarios dutilisation de NAP Machine de lentreprise Comme un portable ou un PC de bureau de la compagnie Machine de lentreprise Comme un portable de la compagnie Accès au réseau local (LAN) Machine non compatible NAP ou à un visiteur Comme le PC portable dun intervenant externe Connexion à des réseaux distants Machine non managée ou non compatible NAP Comme la machine personnelle dun employé Validation de la politique réseau Mise en conformité Avec la politique Isolation réseau

42 Bénéfices de NAP Focus sur la mise en conformité des politiques dentreprise Les professionnels IT définissent les stratégies de sécurité Le système NAP isole les clients qui ne respectent pas ces stratégies Les clients isolés ont un accès restreint à des services leur permettant de revenir en conformité Architecture extensible Extensible via des solutions déditeurs tierces Basée sur des standards ouverts (DHCP, IPSec, Radius…) Possibilité dutilisation de scripts personnalisés pour faire des tests complémentaires Fonctionne avec les infrastructures réseau existantes Réduit le risque de compromission du réseau

43 Les partenaires NAP

44 Synthèse Contrôle des flux applicatifs ISA Server 2004 est une solution répondant à ce besoin de filtrage au niveau de la couche Application devenu nécessaire pour protéger les infrastructures Microsoft et non Microsoft. Contrôle des connexions distantes VPN D é j à disponible avec ISA Server 2004 et Windows Filtrage applicatif et mise en quarantaine Contrôle des accès à tous les réseaux (LAN, distants) Avec Network Access Protection disponible avec Windows Longhorn Server

45 Ressources utiles Site Web Microsoft Webcast et séminaires TechNet (Gratuits) Sites externes Newsgroup français Microsoft.public.fr.isaserver Kits de déploiement BlogsBlogs.msdn.com/squasta Kits dévaluation ISA Server Version dévaluation (120 jours) CD (livres blancs et guide déploiement)

46 Questions / Réponses

47 Microsoft France 18, avenue du Québec Courtaboeuf Cedex


Télécharger ppt "Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France."

Présentations similaires


Annonces Google