La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

La sécurisation du réseau

Présentations similaires


Présentation au sujet: "La sécurisation du réseau"— Transcription de la présentation:

1 La sécurisation du réseau

2 Internet La vue simpliste, idéaliste Réseau dentreprise Tout le monde est gentil, évite les erreurs, fait attention, travaille sur place Les matériels et logiciels sont parfaits. En fait NON (plaisantins, vengeance, …) NON (erreur de configuration, …) NON (on clique trop vite, on télécharge, …) NON (maison, déplacement, …), visiteurs, échanges avec les partenaires extérieurs (filiales, sous-traitants, fournisseurs, …) Du chenapan au «criminel » Hackers, pirates, espions, Fraudeurs, Cyber-terroristes, … Contenus dangereux (Virus, vers, sites mystifiés, bombes, Ch.de Troie, Il ny a pas de problème particulier créé par Internet NON (failles, contrôles faibles par défaut, pas dintégration de sécurité par défaut)

3 Internet Réseau dentreprise Que faire? Indépendant de notre volonté, seules des législations contraignantes pourraient faire évoluer les choses ?????? Et peut-être une nouvelle génération de protocoles Internet (des travaux en cours) (1) Contrôler les accès, les flux, … (deux sens) (2) Cloisonner les « populations » Différencier les droits, contrôler les accès (services, ressources) et les flux inter-communautés) (3) Renforcer la capacité des équipements et des applications à contrôler, détecter, alerter, corriger, interdire, protéger, … (4) Surveillance (monitoring), métrologie, traces (logs). (5) Informer guide de bonnes pratiques (6) Contrôle du « nomadisme »

4 Trois domaines dintervention Le réglementaire et juridique (national, international) Le facteur humain –Chartes, –formation, information lexpertise –les guides et recommandations les bonnes pratiques, obligations, … Les technologies

5 L'INTERNET Administration Chercheurs Serveurs Intranet (services purement internes) Étudiants « Visiteurs » Exemple de « cartographie » Réseau dune université Zône de contrôle Serveurs devant être Visibles de lextérieur Personnel, étudiant nomade

6 Les domaines de technologies pouvant servir à sécuriser PKI, EAM, SSO Clients légers Durcissement systèmes Authentification VPN Protection du poste de travail Chiffrement données Antivirus, AntiSPAM Proxy / Cache Analyse de contenu Détection dintrusion Pare-feu Sécurisation du Wi-Fi du nomadisme Communateurs,routeurs (VLAN, filtres) Métrologie, supervision, traces, logs

7 L'INTERNET Administration Chercheurs Serveurs Intranet WiFi Étudiants « Visiteurs » Exemple dune université DMZ Relais mail, Web, DNS, Serveur VPN, … Proxy/cache antivirus centralisé, antiSPAM, analyse de contenu, … Pare-feu (filtrage, NAT, relayage, serveur VPN, …) Routeur filtrant Durcissement de systèmes, filtres, antivirus, analyse de Contenus, supervision, Traces, … Pare-feu personnel antivirus, antispy(mal)ware, … VLAN AUTHENTIFICATION Routeur filtrant VPN Chiffrement des infos

8 L'INTERNET Serveurs Intranet DMZ IDS (Intrusion Detection System) N-IDS Métrologie Supervision Performance, … Honeypot Scanner de vulnérabilités

9 Internet Séparation des communautés Par VLAN Pare-feu Public Intranet PC-Nomades

10 VLAN Objectifs –Possibilité sur une même infrastructure physique de distinguer entre plusieurs ensembles de machines (réseaux logiques ou virtuels) –limiter les domaines de broadcast –optimiser les performances (partage de charge éventuel) –sécuriser les groupes d usagers (contrôle inter-VLAN), les échanges de paquets entre VLAN passent par un élément de filtrage (routeur, …), –Spanning-Tree par VLAN (suivant constructeur) –administration centrale possible de l ensemble du réseau Normalisation : normalisée au travers du protocole 802.q

11 Routeur Internet Contrôle des flux inter segment D1 D2 D3 Les VLANs Communication interne VLAN administration Communication entre VLAN administration et VLAN pédagogie ( avec NetflowSwithing de CISCO possibilité pour les paquets suivants de ne plus remonter au routeur) commutateurs

12 VLAN Type de VLAN –statique (par port ou par adresse MAC) numéro de port, (possibilité filtrage des adresses MAC par port) adresse MAC (possibilité associer –dynamique sous-réseau (IP), protocole (IP, IPX, IPv6, …) par authentification de machine(utilisateur) Tous les constructeurs (Cisco, Juniper, Foundry, Extreme, 3COM, HP, …) le proposent, actuellement on ne gère plus un réseau sans utilisation de VLAN, sauf toutes petites configurations à population homogène. L identité du VLAN est traduite par un champs supplémentaire dans la trame Ethernet (le « tag »)

13 VLAN Les commutateurs –configurés afin d identifier les machines et leur affecter un numéro de VLAN –commutent les trames au sein d un même VLAN –Peuvent avoir une certaine connaissance du niveau 3. –Pourront servir (*) de proxy pour une certaine connaissance au niveau du routage. Configurer l adresse gateway sur les machines ne sera pas nécessaire. Les matériels de routage –doivent appartenir à plusieurs VLAN –Sur un même lien physique ils voient plusieurs interfaces logiques. Les serveurs –Pour des raisons de performance appartiendront souvent à plusieurs VLANs évitant ainsi le passage par les routeurs. –Doivent donc être bien protégés (bien administrés).

14 Le filtrage

15 Filtrage IP Contrôler les flux entre « domaines » Avant décrire des filtres une phase détude déterminer/constituer les domaines les flux inter-domaines Tout ceci en prenant en compte la PSSI de lentreprise Produire les filtres et les appliquer Avec un « scanner » vérifier si lobjectif est atteint Un conseil expliciter les filtres au travers de schémas Cela permet de mieux comprendre la politique mise en oeuvre

16 Traitement au niveau 3-4 ISO (IP/TCP) Activé dans un matériel de type « routeur » –A noter que les commutateurs intègrent actuellement de telles fonctionnalités (cartes spéciales, ou en natif) Se base sur les information du paquet IP –adresses source et destination –type de protocole –ports source et destination –QoS, (flux données, vidéo, voix, SNMP, …) –Bits spéciaux : SYN, ACK, RST, … tous les champs de len-tête paquet (ou presque) Filtrage IP

17 Données En-tête TCP En-tête IP En-tête Eth Adresse Mac type de protocole (IP, IPX,...) ---> ne nous concerne pas. Adresse source, destination Type de protocole supérieur (TCP, UDP,ICMP,EGP,...) Options IP (source-routing,...) Ports source et destination (identification de l'application) Les bits ACK, RST, SYN Les informations utiles pour le filtrage Premier paquet --> pas d'ACK tous les autres l'ont, dans les 2 sens SYN sans ACK --> connexion En TCP (mode connecté) pour casser une session il suffit de « droper » le paquet d initialisation

18 Allocation ports TCP Client Serveur x11 Services RPC (ypbind, lock) Services "officiels" (telnetd, ftpd, smtpd, httpd,...) Services Unix (rlogind, rhsd,...) Services RPC "root" (ypserv, status, mountd,...) 111 Portmap 560 Clients RPC "root" (ypserv, status, mountd,...) rcp, rsh, rlogin les clients en général

19 Allocation ports UDP Client Serveur Services RPC (ypbind, lock) Services "officiels" Services Unix Services RPC "root" (ypserv, status, mountd,...) 111 Portmap 560 Clients RPC "root" (ypserv, status, mountd,...) rcp, rsh, rlogin les clients en général 1525 archie RPC(ypbind, lock,) talk,...

20 Paquets ICMP --> Type et Code (information de filtrage) Type: Destination unreachable Time exceeded Parameter Problem Source Squench Redirect Echo ou Echo Reply TimeStamp ou TimeStampReply Information Request ou Information Reply Code: précisions supplémentaires Il y a plus de type voir les rfcs.

21 Informations « hors » paquet IP Interface d'entrée (pour IN et pour OUT) –Interface physique (eth0, …) ou logique (No de VLAN) Paquet : – en transit, – généré en local, – à destination du système local Fréquence même type de paquet –(détection de DoS, attaques, …) Etc.

22 Principes pour le filtrage (1) Le filtrage est basé sur les adresses. Il faut qu'elles soient correctes (pas de spoofing). Il faut donc une vérification de cohérence en entrée (depuis l'extérieur comme l'intérieur) Un paquet ne satisfait pas les règles --> "drop" Un message de log si violation des règles –cela peut faire beaucoup de log, qui va regarder? Faut-il renvoyer un ICMP (erreur) ---> NON, cela pourrait aider les "pirates" a comprendre la politique sécurité du site et larchitecture réseau Bien faire attention a différencier IN de OUT de FORWARD et les interfaces dentrée, de sortie, etc.

23 Principes pour le filtrage (2) Faire attention à lordre des règles –Chaque paquet est analysé par rapport aux règles, –Dès quune règle est satisfaite : Elle est appliquée au paquet, Lanalyse sachève, Les règles qui suivent ne sont pas pris en compte, Si aucune règle ne sapplique cest la règle par défaut Faire en sorte que la règle par défaut soit: « Tout interdire, sauf ce qui est explicitement autorisé »

24 Les caractéristiques par protocole Telnet C--->S TCP X> port-s port-d S-->C TCP 23 X Smtp C--->S X> Nntp C--->S X> S--->C 119 X DNS C--->S Tcp/Udp X> S--->S DNS (transfert de zone/primaire --> secondaire) idem. Si filtres mal mis --> secondaire isole NTP C-->S Udp X> NTP S--->S Udp S--->C TCP 25 X

25 Les caractéristiques par protocole port-s port-d Ftp C-->S TCP Y> (session de contrôle) S-->C 21 Y « » S-->C 20 Z>1023 (sessions données) C-->S Z 20 Pb

26 Les caracteristiques par protocoles (suite) port-s port-d Http C-->S TCP X> Proxy-Http " » X> X11 « TCP X> (ou 6001, …) Syslog C-->S UDP X> port-s port-d SNMP UDP X> ,162

27 Les caracteristiques par protocoles (suite) "r-command" TCP X<= (rexec) 513 (rlogin) 514 (rsh,rcp,rdist) Ne pas laisser passer RPC (YP, NIS, NFS,...) TCP/UDP Z alloué par le port mapper Portmapper TCP/UDP 111 Autoriser au compte goutte 111 depuis l extérieur Il reste le P2P qui représente plus de difficulté.

28 Types de filtrage Statique –Les premiers à apparaître –Lensemble des règles est fixe et névolue pas suivant les applications utilisées. Dynamique –Prennent en compte les environnements H323, RTSP, SIP, FTP, … Dynamique avec contrôle des contenus –Idem ci-dessus + vérification des commandes pour les flux SMTP, HTTP, SQLNet, FTP, …

29 Exemple denvironnement de filtrage Netfilter / « iptables» Environnement sous Linux Netfilter : partie opérationnelle intégrée noyau Iptables : partie commande (action admin) Autres environnements « libres » IP Filter pour Unix libres et intégré sour FreeBSD et NetBSD Packet Filter sous OpenBSD

30 Netfilter / « iptables» Des règles classées par « chaîne » –Chaînes par défaut = IN, OUT, FORWARD –Chaînes utilisateur possible Un paquet satisfait une règle action et arrêt chaîne –Les politiques par défaut en fin des règles Prise en compte « état du trafic » pour situer le paquet –NEW, ESTABLISHED, RELATED, INVALID

31 Chaîne utilisateur

32 INTERNET WL_NET (réseau sans fil) « INTER_NET » (réseau dinterco) INTRA_NET (réseau interne) PUBLIC_NET (réseau public) IF_INT IF_EXT IF_WL IF_PUB ROUTER_ADDR (adresse IP routeur) FW_EXT (addresse IP) S_ML S_WEB SERVEUR TOTO AP1000

33 Et ensuite? Du filtrage dynamique (stateful inspection) Un adressage privé interne et du NAT Protéger le service DNS en architecturant correctement Protéger la messagerie (antiSPAM, antiVirus) Contrôler le contenus des flux HTTP entrants et laccès aux sites distants Portables : –Des VPNs pour leur connexion distante –Les contrôler avant leur connexion au réseau local –Protéger les données par du chiffrement …

34 Filtrage dynamique (stateful inspection de CheckPoint) Certaines application utilisent des ports dynamiques –Il faudrait autoriser tous ces ports en permanence – trop dangereux Filtrage dynamique (CheckPoint, CBAC cisco, …) –Filtrage basé sur le contexte dune connexion (application), –Examen du contenu dun flux détection de demande douverture sur un(des) port(s) dynamique(s), –On ajoute pour un instant des règles dans les listes de règles, –Elles seront supprimées après fermeture de la connexion ou Time-out. Les protocoles concernés : –FTP (passive), H323, ToIP, RCMD, …

35 Le NAT (Network Address Translation) Traduction dadresses; privées publiques – machines internes non accessibles directement – Rend la vie plus difficile aux pirates Un atout pour la sécurité certes, mais en complément de sérieux filtrages et autres contrôles.

36 Groupe de Travail NAT CNRS36 Aperçu de NAT Internet Interne Extérieur Adresses IP locales Vision globale des adresses Table NAT SA SA

37 Différentes catégories de NAT: Statique (une adresse privée pour une publique) peu dintérêt, atouts pour la sécurité à démontrer. Dynamique une adresse privée pour une publique mais partage des adresses publiques par plusieurs adresses privées suivant les flux Surcharge adresses internes Une adresse publique pour plusieurs privées On traduit un couple adressePrivée-Source/portSource1 en adressePubliqueSource/portSource2 pour un certain temps. « Overlapping » distribution de charge TCP Autres objectifs que la sécurité

38 Protection du DNS Questions: –Qui a le droit dutiliser le DNS? –Pour quel type de résolution? Réponses conduisent à : –Une architecture cible séparant les différents services DNS –Une politique limitant les accès et donc les risques.

39 INTERNET DMZ Internet DMZ production DNS interne DHCP Serveur SMTP DNS Externe DNS cache DMZ DNS cache Proxy HTTP

40 INTERNET DMZ Internet DMZ production DNS interne DHCP Serveur SMTP DNS Externe DNS cache DMZ DNS cache Proxy HTTP

41 INTERNET DMZ Internet DMZ production DNS interneDNS Externe DNS cache DMZ Annuaire dauthentification Proxy HTTP Authentification des accès HTTP Contrôle des contenus (antiSpyware, Antivirus, …)

42 Lutte antiSpam Ce nest plus une option Cest un élément de la politique de sécurité Mettre en œuvre et prévenir les utilisateurs

43

44 INTERNET DMZ Internet DMZ Routeur sortant MX MSA Annuaire dauthentification Serveur De boîte aux lettres Exemple darchitecture de messagerie IMAPS Mail entrant Mail sortant authentification Filtrage antiSPAM antiVirus

45 Et ensuite ? Surveiller, … Détecter les intrusions et alerter: –Outils de type IDS Mieux les contrecarrer si lon en détecte –Outils de type IPS Mettre en place de la métrologie –Détecter les anomalies de trafic, des flux étranges, des variations anormales, … Utiliser des outils de supervision tels NAGIOS –Détecter des anomalies de fonctionnement des applications, –Identifier des utilisations anormales de ressources, –…

46 IDS / IPS Détection les attaques classiques : –Basée sur des signatures dattaques connues. Et surtout analyser les contenus HTTP : –Protection contre lexploitation des failles navigateurs –Détection de spyware, malware, contenus avec virus On peut également doffice bloquer certains type/format de contenus –Et repérer dans lautre sens les commandes douteuses Machine infectée ou « chenapan » interne LIDS se contente de poster une alerte LIPS va de plus dropper les paquets et couper la session. Lun et lautre peuvent être intégrés dans un produit pare- feu ou être des modules séparés.

47 Métrologie Utilité : –Connaître le profil dutilisation du réseau Cartographie des flux. A quoi sert le réseau? Comprendre! Aider à prévoir la stratégie dévolution des infrastructures –Détecter déventuels incidents Flux « non habituels », pics de trafic bizarres, … Types denvironnement –« sniffer » sur le réseau : NTOP, … –En accès direct (ou via SNMP) sur les logs routeurs : Mrtg, NetMet, … Daprès Renater 90% des incidents pourraient être détectés par la métrologie


Télécharger ppt "La sécurisation du réseau"

Présentations similaires


Annonces Google