Yonel GRUSSON

La SECURITE des SYSTEMES D'INFORMATION et des RESEAUX Yonel GRUSSON

INTRODUCTION Nouvelle et indispensable dimension des systèmes informatiques : Extensions des systèmes vers tous les partenaires de l'entreprise (employés, cadres, clients, fournisseurs,…) et le reste du monde (Internet). Multiplication des points d'accès. Mais…. Politique coûteuse. Parfois incompatible avec les performances. Yonel GRUSSON

INTRODUCTION Les OBJECTIFS DISPONIBILITE : Garantir dans le temps et l'espace la continuité de fonctionnement de l'ensemble des ressources. INTEGRITE : Maintenir l'intégrité du point de vue physique (sauvegarde) et logique (droits d'accès). CONFIDENTIALITE : Assurer l'accès aux ressources aux seules personnes autorisées Yonel GRUSSON

INTRODUCTION Mise en place d'une ORGANISATION Au niveau Global : La sécurité concerne toutes les parties prenantes de l'entreprise. Définir un poste de responsable de la sécurité et des responsables pour les éléments du système (un responsable par Domaine NT par exemple). Définir des procédures (gestion des badges d'accès, de la circulation,etc.…). Aménagement des locaux. Sensibilisation du personnel à la sécurité. Tester les procédures (incendie, sauvegarde…) Yonel GRUSSON

PLAN Ce qu'il faut sécuriser : Les locaux. Les matériels. L'accès au système. Les données. Les échanges d'information. L'interconnexion des réseaux. Yonel GRUSSON

PROTECTION DES LOCAUX. Construction des locaux. Situation des locaux informatiques (serveurs), étude de la circulation du personnel, séparation des courants forts et faibles, etc... Protection contre les incendies et les inondations. Gaine anti-feu pour le câblage, fermeture automatique des portes, armoire anti-feu, etc... Contrôle d'accès. Les assurances (concerne également le matériel) Yonel GRUSSON

PROTECTION DES MATERIELS La protection du matériel a pour objectif de prévoir une défaillance ou une détérioration du matériel. Remarque : Se protéger de la défaillance du matériel revient à protéger les données qu'il supporte. Yonel GRUSSON

PROTECTION DES MATERIELS Télésurveillance et/ou protection des locaux contre les infractions. Ces techniques servent à se prémunir contre les malveillances internes ou externes envers le matériel (vol, détérioration, etc.). D'autres risques ne sont pas obligatoi-rement d'origine malveillante ou humaine (foudre, coupure électrique, erreur de manipulation, etc.) Yonel GRUSSON

PROTECTION DES MATERIELS Protection électrique Faible : Protection contre les surtensions (bloc de prises) + Onduleur (sans batterie). Moyenne : Onduleur + Batteries (maintien de l'alimentation durant quelques minutes) Forte : Onduleur + Batterie + sauvegarde automatique. La protection peut se situer au niveau d'une machine, d'un groupe de machines et intégré à l'installation électrique. Yonel GRUSSON

PROTECTION DES MATERIELS Les appareils de protection électrique peuvent aller du plus simples ou plus importants : Yonel GRUSSON

PROTECTION DES MATERIELS Schéma d'un onduleur avec sauvegarde automatique Onduleur + Batteries Carte Alimentation Signal en cas de coupure qui déclenche éventuellement des sauvegardes puis un "shutdown" du système Ordinateur La connexion peut se faire au travers d'une interface additionnelle ou un port standard (Com, USB) Yonel GRUSSON

PROTECTION DES MATERIELS Systèmes REDONDANTS La redondance permet de répondre rapidement à une défaillance de tout ou partie d'un système On parle de système à tolérance de pannes : Au niveau du système lui-même : Redondance de l'ordinateur et de tous ses périphériques ; Si possible les systèmes seront situés sur des sites différents. Le câblage et l'électronique active d'un réseau local peuvent-être doublés pour faire face à une panne . Yonel GRUSSON

PROTECTION DES MATERIELS Systèmes REDONDANTS Certains de éléments sont doublés sur les serveurs, traditionnellement : L'alimentation Les disques. On parlera de système RAID (Redundant Array of Inexpensive Disks). Les disques peuvent être également "échangeable à chaud" (hot-plug) c'est à dire sans arrêter le serveur. Yonel GRUSSON

PROTECTION DES MATERIELS La technologie RAID Classification en plusieurs niveaux de : RAID0 à RAID5 RAID0 ou Agrégat par bande : Les données sont réparties en blocs selon un ordre défini sur tous les disques. Yonel GRUSSON

PROTECTION DES MATERIELS La technologie RAID RAID0 ou Agrégat par bande : Disque 1 Disque 2 Disque 3 Disque 4 Fichier 1 Fichier 2 Fichier 3 Fichier 4 Avantage : Accès rapide aux données Inconvénient : La perte d'un disque entraîne la perte de toutes les données Yonel GRUSSON

PROTECTION DES MATERIELS La technologie RAID RAID1 : Un ou plusieurs disques sont une copie parfaite d'un disque principal. Il y a deux variantes du RAID1 : Mirroring Disque principal Miroir 1 Seul Contrôleur = Yonel GRUSSON

PROTECTION DES MATERIELS La technologie RAID Duplexing Disque principal Miroir Deux Contrôleurs = Yonel GRUSSON

PROTECTION DES MATERIELS La technologie RAID RAID1 : Méthode sûre et coûteuse (2 disques = 1) Il améliore les performances en lecture par des accès simultanés aux 2 disques. Yonel GRUSSON

PROTECTION DES MATERIELS La technologie RAID RAID2 : Principe de fonctionnement identique au RAID1. Un seul disque est sollicité lors des opérations de lecture. Yonel GRUSSON

PROTECTION DES MATERIELS La technologie RAID RAID3 ou Agrégat par bande avec parité Il s'agit d'un RAID0 avec un disque de parité. Les données sont écrites bit à bit (ou par octet) sur les différents disques, le dernier disque enregistre la parité. Ce dernier permet de continuer à fonctionner avec un disque en panne puis de régénérer ce disque. Yonel GRUSSON

PROTECTION DES MATERIELS La technologie RAID RAID4 : Identique au RAID3 avec une écriture par petit bloc et non plus par bit (ou octet). Avantages du RAID3 et 4: Dispositif à tolérance de pannes. Inconvénients du RAID3 et 4 : Mobilise un disque (coût). En cas de défaillance du disque on se retrouve en RAID0. Yonel GRUSSON

PROTECTION DES MATERIELS La technologie RAID RAID3 et 4 Disque 1 Disque 2 Disque 3 Disque 4 Parité Fichier 1 Fichier 2 Fichier 3 Fichier 4 Bloc 1 Bloc 4 Bloc 2 Bloc 3 etc.. Écriture d'un fichier Yonel GRUSSON

PROTECTION DES MATERIELS La technologie RAID RAID5 : Le disque de parité est réparti sur l'ensemble des disques de données Disque 1 Disque 2 Disque 3 Disque 4 Fichier 1 Fichier 2 Fichier 3 Le segment de parité est décalé Yonel GRUSSON

PROTECTION DES MATERIELS La technologie RAID RAID5 Il améliore les performances en lecture et en écriture. Avec des disques "HotPlug" ce mode permet l'échange de disques à chaud et sa régénération. Appelé aussi "Agrégat par bandes avec parité" Yonel GRUSSON

PROTECTION DES MATERIELS La technologie RAID Il existe d'autre mise en œuvre qui dérivent des précédentes : ORTHOGONAL RAID5 : Technique logicielle créé par IBM identique au RAID 5 mais utilise un contrôleur par disque comme en "duplexing". RAID6 : Identique au RAID 5 mais utilise 2 codes de redondance. Ce qui permet de continuer de fonctionner après la panne de 2 disques simultanément. Yonel GRUSSON

PROTECTION DES MATERIELS La technologie RAID Il existe d'autre mise en œuvre qui dérivent des précédentes : RAID7 : Met en jeu une carte microprocesseur qui contrôle et calcule la parité, la gestion du cache ainsi que la surveillance des disques. Ce mode supporte la perte de plusieurs disques simultanément. RAID10 : Combinaison entre l'agrégat et la miroir. Yonel GRUSSON

PROTECTION DES MATERIELS La technologie RAID Depuis NT4 Server, Les systèmes serveurs de Microsoft permettent le RAID0 et le RAID5. Il s'agit d'une solution logicielle, c'est à dire prise en charge par le SE et le processeur du serveur (utilisation de ressources). Les systèmes RAID matériels s'appuient sur un contrôleur intelligent qui prend en charge la redondance et la régénération des données sur les disques en RAID (pas d'utilisation des ressources du SE) Yonel GRUSSON

PROTECTION D'ACCES AUX SYSTEMES Avec l'importance prise par l'architecture Client/Serveur la sécurisation des accès des clients aux serveurs passent toujours par un processus d'authentification. Cette opération se fait traditionnellement avec un login et un mot de passe. D'autres techniques sont possibles : Authentification par carte à puce, Reconnaissance d'empreinte digitale, Reconnaissance vocale, Reconnaissance oculaire. Yonel GRUSSON

PROTECTION D'ACCES AUX SYSTEMES Le développement des applications serveurs (Web, Ftp, Messagerie, SGBD, Samba, etc.) augmentent le nombre d'authentifications. Ainsi ces applications serveurs peuvent : S'appuyer sur le système d'exploitation qui les font tourner (Windows Server, Linux, Unix, etc..) ou Demander une authentification supplémentaire (SGBD) Ainsi, IIS s'appuie sur Windows 200x alors que SQL-Server peut gérer ses propres connexions Yonel GRUSSON

PROTECTION D'ACCES AUX SYSTEMES L'accès sécurisé à un système peut avoir plusieurs caractéristiques (cf. cours) : Login + Mot de passe (minimum) Avec des contrôles sur les mots de passe modifiables par les utilisateurs (longueur, nature des caractères, périodicité, etc.). Horaires d'accès. Machines d'accès. Contrôle de l'accès depuis l'extérieur. Utilisation du Call-back Note : Parfois ce que le système n'assure pas peut être pris en charge par des programmes (scripts) Yonel GRUSSON

PROTECTION D'ACCES AUX SYSTEMES Le nombre important de serveurs et l'hétérogénéité des systèmes amènent : Des authentifications multiples et donc La circulation des logins et des mots de passe (même cryptés) Les solutions proposées sont actuellement : L'utilisation d'un serveur d'authentification L'authentification basée sur un système de tiers de confiance (cf. cours Kerberos) Yonel GRUSSON

PROTECTION D'ACCES AUX SYSTEMES Logiciel Antivirus Protection des serveurs et des postes contre les virus connus et inconnus. Mise à jour automatique des postes lors de leur connexion pour les associés à la dernière mise à jour des signatures de virus. Les Logiciels antivirus doivent être compléter avec une protection à l'entrée du réseau (FireWall) Yonel GRUSSON

PROTECTION DES DONNES A coté de la sécurisation du support des données (redondance) et de l'accès aux systèmes serveurs de ces données, il faut garantir l'intégrité et le maintien des données dans le temps. Les techniques Traditionnellement la protection des données s'appuie sur des sauvegardes sur bandes magnétiques. Yonel GRUSSON

PROTECTION DES DONNES Les techniques Actuellement la sauvegarde des données est envisagée dans le cadre plus général du stockage avec les notions de NAS (Network Attached Storage) et de SAN (Storage Area Network). Attention : "Sauvegarde" et "Système RAID" sont complémentaires et répondent à des problèmes différents. NAS & SAN Yonel GRUSSON

PROTECTION DES DONNES Sauvegarde sur bandes Cette opération est : Obligatoire, elle correspond à une tâche spécifique affectée à un ou plusieurs informaticiens, Elle doit être régulière, la périodicité des sauvegardes (journalières, hebdomadaires et/ou mensuelles) dépend de la périodicité des modifications et de la valeur des données. Yonel GRUSSON

PROTECTION DES DONNES Quelques exemples de sauvegarde chez HP : Lecteur Hp 12/24 GB Dat HP StorageWorks DAT 72x6 Autoloader (6 bandes DAT de 72 GB) HP StorageWorks DAT 72 Tape Drive Yonel GRUSSON

PROTECTION DES DONNES Quelques exemples de sauvegarde chez HP : HP StorageWorks Ultrium 230i Format : interne Compatibilité lecture/écriture : LTO Ultrium Compatibilité lecture : LTO Ultrium Capacité native : 100 Go Capacité avec compression : 200 Go Taux transfert natif : 15 Mo/s Taux transfert avec compression : 30 Mo/s Interface : Wide Ultra SCSI-2 LVD Yonel GRUSSON

PROTECTION DES DONNES Quelques exemples de sauvegarde chez HP : Cartouche HP Ultrium Capacité 100 Go (200 avec compression) Technologie LTO (Linear Tape Open) Compatible avec tous les lecteurs Ultrium HP Cartouche DDS : 4 mm Longueur : 170 M Capacité : 72 Go Cartouche DLT IV Compatibilité : Avec les lecteurs DLT HP SureStore et tous les lecteurs du marché Capacité : 40 Go (80 Go avec compression) Yonel GRUSSON

PROTECTION DES DONNES Quelques définitions (Extraites de http://www.osinet.fr) DAT Digital Audio Tape - (1987) Cartouche audionumérique adaptée au stockage de données dans les formats DDS, de façon comparable à l'adaptation du Compact Disc au stockage de données aux formats CD-ROM. DDS Digital Data Storage - Utilisation des médias DAT pour l'archivage et les sauvegardes. LTO Linear Tape Open - (Fin des années 90) Dans les versions Ultrium, il s'agit d'une version standardisée du principe du DLT par HP, IBM et Seagate. Les premiers lecteurs LTO ont été mis sur le marché par IBM en Septembre 2000, avec des capacités de 100Go par cartouche et un débit de 15 Mo/s. Variante Capacité Taux de transfert Longueur Vitesse Native Compressée Défilement 1 100 Go 200 Go 20 Mo/s 580 m 2,7 à 5,4 m/s 2 40 Mo/s 3,75 à 7,5 m/s 3 400 Go 80 Mo/s 4 800 Go 160 Mo/s Yonel GRUSSON

PROTECTION DES DONNES DLT Digital Linear Tape - (Années 90) Stockage sur bande 1/2 pouce en cartouche à un seul axe, l'autre étant dans le lecteur. Lecture linéaire et non hélicoïdale comme sur la plupart des autres systèmes de stockage des années 80/90. Dérivé d'une technologie DEC, acquise par Quantum dans les années 90. Variante Capacité Débit maximum Native Compressée Natif Compressé DLT 3000 15 Go 30 Go DLT 4000 20 Go 40 Go DLT 7000 35 Go 70 Go 5 Mo/s 10 Mo/s DLT 8000 80 Go 6 Mo/s 12 Mo/s SuperDLT 1 SDLT 220 110 Go 220 Go 11 Mo/s SDLT 320 160 Go 16 Mo/s SuperDLT 2 (SDLT 640) 320 Go 32 Mo/s SuperDLT 3 (SDLT 1200) 640 Go 50 Mo/s SuperDLT 4 (SDLT 2400) 1,2 To ≥ 100 Mo/s Yonel GRUSSON

PROTECTION DES DONNES Sauvegardes sur bandes 5 Types de sauvegardes : NORMALE : Copie de tous les fichiers sélectionnés. Le bit d’archivage est désactivé. Fichiers faciles à retrouver car ils sont situés sur la dernière sauvegarde. Mais, nécessite plus de temps en sauvegarde et les fichiers non modifiés sont redondants sur les bandes. Note : A chaque fois qu'un fichier est modifié son bit d'archivage est modifié. Yonel GRUSSON

PROTECTION DES DONNES Sauvegardes sur bandes PAR DUPLICATION : Copie de tous les fichiers sélectionnés. Le bit d'archivage n'est pas modifié. INCREMENTIELLE : Copie uniquement les fichiers dont le bit d'archivage est activé c'est à dire les fichiers créés ou modifiés depuis la dernière sauvegarde incrémentielle ou normale. Le bit d'archivage est désactivé. L’espace bande est moindre, la sauvegarde est plus rapide. Mais difficulté pour retrouver les fichiers. Yonel GRUSSON

PROTECTION DES DONNES Sauvegardes sur bandes DIFFERENTIELLE : Copie uniquement les fichiers dont le bit d'archivage est activé c'est à dire crées ou modifiés depuis la dernière sauvegarde incrémentielle ou normale. Le bit d'archivage n'est pas modifié. QUOTIDIENNE : Copie de tous les fichiers sélectionnés ayant été créés ou modifiés le jour de la sauvegarde. Le bit d'archivage n'est pas modifié. Yonel GRUSSON

PROTECTION DES DONNES - INCREMENTIELLE - NORMALE Sauvegardes sur bandes Les méthodes les plus utilisées sont les sauvegardes : - INCREMENTIELLE - NORMALE Exemple de sauvegarde sur 12 semaines : Yonel GRUSSON

PROTECTION DES DONNES Semaine 1 Semaine 2 Semaine 3 Bande 1 Bande 5 Bande 2 Bande 3 Bande 4 Semaine 1 Bande 6 Bande 10 Bande 7 Bande 8 Bande 9 Semaine 2 Semaine 3 Bande Sauvegarde incrémentielle Sauvegarde normale Lundi Mardi Mercredi Jeudi Vendredi Bande 5 - Hors site Bande 10 - Hors site Reprise Bande 5 Au bout de 12 semaines le cycle recommence avec un nouveau jeu de bandes Yonel GRUSSON

PROTECTION DES ECHANGES La protection des échanges et la confidentialité de l'information sur un réseau peut se situer à différents niveaux : La couche transmission (contrôle polynomial par exemple) La couche session (protocoles SSL et SSH par exemple) La couche présentation (cryptage) Yonel GRUSSON

INTERCONNEXION DES RESEAUX Le problème n'est plus ici de sécuriser l'information en elle-même (confidentialité) mais de contrôler le trafic sur des réseaux interconnectés. Évidemment ces problèmes se posent essentiellement lorsqu'un réseau d'entreprise s'ouvre sur le monde avec l'Internet ; mais ils peuvent également se présenter avec l'interconnexion de réseaux locaux. Yonel GRUSSON

INTERCONNEXION DES RESEAUX Les techniques Le Virtual Local Area Network (VLAN) Le Virtual Private Network (VPN) Les techniques du filtrage Le routage filtrant Le pare-feu (Firewall) Le serveur NAT (Network Adress Translation) Le serveur Proxy Notion de "Zone Démilitarisée" (DMZ) Yonel GRUSSON