Jean-Luc Archimbaud CNRS/UREC

Slides:



Advertisements
Présentations similaires
Nomadisme: contextes Dans son établissement
Advertisements

25/07/2011.
Act Informatik SERVICES INFORMATIQUES ET RESEAUX POUR LES PROFESSIONNELS
TRANSFER HCMV – Notion de sécurité Jean Christophe André - Nicolas Larrousse Mars Les bases Sécurité du système : Sauvegardes (dd, dump, cpio, tar,
ACCUEIL DES NOUVEAUX UTILISATEURS DES RÉSEAUX INFORMATIQUES
Botnet, défense en profondeur
Sécurité du Réseau Informatique du Département de l’Équipement
Introduction aux réseaux informatiques
DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
Conception de la sécurité pour un réseau Microsoft
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
PROJET DU RECTORAT DE TOULOUSE LE SITE ACACIA
TCS – CCNA École Duhamel Année
Les risques Mascarade d'identité & Rebonds
Les réseaux informatiques
Cours d'administration Web - juin Copyright© Pascal AUBRY - IFSIC - Université de Rennes 1 Mandataires, caches et filtres Pascal AUBRY IFSIC - Université
Sécurisation du sans fil et du nomadisme
Introduction aux réseaux locaux
La haute disponibilité
Assistance à distance Parfois on se sent bien seul face à un problème informatique surtout si on n’est qu’un simple utilisateur. Lorsqu'un problème survient.
Département de physique/Infotronique
Vente, réparation, évolution de PC toutes marques Prise en charge matériel – 30 Coût horaire – 60.
ManageEngine ADSelfService Plus
SECURITE DU SYSTEME D’INFORMATION (SSI)
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Domaine IT Heure-DIT L'heure-DIT
Le filtrage IP Ahmed Serhrouchni ENST’Paris CNRS.
UTILISATION DE LOGMEIN Prise de contrôle à distance
Mise en place du routeur DLINK MODELE: DSL-G604T.
BitDefender Enterprise Manager. BitDefender Enterprise Manager – protection centralisée pour votre réseau Principales fonctions Fonctions spéciales (WMI)
Module 3 : Création d'un domaine Windows 2000
Module 2 : Configuration de l'environnement Windows 2000.
RE161 IDS : Intrusion Detection System Le trafic habituel qui entre dans votre réseau sert à : Résoudre des requêtes DNS Accéder à des pages web La messagerie.
Environnement et architecture informatique
Novembre – Décembre 2005 Version Conclusion État de lart de la sécurité informatique Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE.
Sécurisation d’un réseau Chariot Nicolas Rémi Jean-François.
Audit de réseau. Audit réseau Responsable : Jean-François RODRIGUEZ Objectif : tester les failles d’une machine ou d’un réseau Outil : nessus Audit réseau.
AMPIGNY Christophe - 10/12/2001
Introduction La technique des VLANs (Virtual Local Area Network) permet de donner au réseau l’architecture logique souhaitée par l’administrateur, en le.
PROJET AssetFrame IT ASSET MANAGEMENT Demo.
SOLUTION DE VIDEOSURVEILLANCE SUR IP
Institut Supérieur d’Informatique
Cité Scolaire Robert Schuman réinstallation de nouveaux postes
Groupe 3 De Greef Didier Oozeer Tommy Piette Marc Renard Guy
PROJET EQUIPEMENTS Choix d’equipements pour les visiteurs.
Module 3 : Création d'un domaine Windows 2000
AFPA CRETEIL 14-1 Windows NT Environnement des utilisateurs Chapitre 14.
Ministère de la Fonction Publique et de la Modernisation de l’Administration Rencontre mensuelle avec les responsables informatiques des départements ministériels.
LE PARE-FEU AMON. MAI 2002.
Equipe d’experts grands comptes en audit de sécurité et en refonte d’architecture. Février 2003 Création Juin 2005 Dépôt de brevet de la technologie MAP.
VOIX / DONNÉES / INTERNET INFORMATIQUE & RÉSEAUX
15/12/98J-L Archimbaud et N. Dausque1 Opérations sécurité au CNRS Nicole Dausque ingénieur UREC Jean-Luc Archimbaud UREC, chargé de mission sécurité réseaux.
1 Rôle de la technologie dans la diffusion et l’utilisation des données du recensement _______________________________.
3.3 Communication et réseaux informatiques
Sécurité : Architecture et Firewall
JeanDo Lénard – Fondamentaux de l'Internet – Hetic –30 Janvier 2007 page 1 Fondamentaux de l'Internet (FDI) JeanDo Lénard
1 INFRASTRUCTURE NECESSAIRE POUR UN INTRANET PEDAGOGIQUE DANS UNE UNIVERSITE CUME - 7 décembre 2000 Jacques ALLO Université d'Angers.
Liste des activités Professionnels
État de l'art et fonctionnement des firewalls applicatifs compatibles avec les protocoles "multimédia" H323 et SIP FI Option RIO le 28/09/2004 Claire.
V- Identification des ordinateurs sur le réseau
ACCUEIL DES NOUVEAUX UTILISATEURS DES RÉSEAUX INFORMATIQUES.
Présentation du Produit WAN-FAI L.KHIMA S.ZEKRI V.BACHMAN
LE SERVEUR PROXY Un serveur proxy (traduction française de «proxy server», appelé aussi «serveur mandataire») est à l'origine une machine faisant fonction.
Lellouche Aaron ITIC Paris
WEBER Max - BACHER Adrien - DRIEUX Lucas - GAUTHIER Robin.
Nicolas HO.  Installation, intégration et administration des équipements et des services informatiques  Maintien de la qualité des services informatiques.
M2.22 Réseaux et Services sur réseaux
CEGID et environnement réseau Groupe PGI Académie de Grenoble.
SOLUTION DE VIDEOSURVEILLANCE SUR IP. Premier serveur de vidéosurveillance en réseau, CamTrace possède une architecture innovante qui permet d’isoler.
Transcription de la présentation:

Jean-Luc Archimbaud CNRS/UREC ARCHITECTURE DE RESEAU SECURISEE avec filtrages http://www.urec.cnrs.fr/securite/articles/archi.reseau.pdf 24/3/2000 Jean-Luc Archimbaud CNRS/UREC

Rester totalement ouvert : inconscience L’Internet a changé … Réseau académique  LE réseau (universel) Nombre de machines connectées en France 1990 : 3 000 1994 : 70 000 1997 : 300 000 Fév 2000 : 1 264 027 De plus en plus de problèmes de sécurité Equipes sécurité CERT-Renater ½ p -> 4 p - UREC ½ p -> 2 p ½ Nombre mensuel d’incidents traités par le CERT-Renater 97 : 10 - 98 : 20 - 99 : 100 - 01/2000 : 190 Nos réseaux et nos accès à Renater Conçus en 94-95 pour un Internet académique « familial » Rester totalement ouvert : inconscience

Les systèmes n’ont pas changés … Les Windows (NT …) ne sont pas mieux qu’Unix (pour la sécurité) Tous les systèmes ont des bogues (de sécurité) 1/1 – 24/3/00 : CERT-Renater 45 vulnérabilités et 6 alertes Ils sont toujours livrés ouverts par défaut Avec des démons ou services réseaux actifs et inutiles qui sont autant de points d’attaques Les administrateurs doivent « faire le ménage » De plus en plus de stations dans les labos / campus On ne peut pas maintenir la totalité de son parc informatique sans trou de sécurité

Outil classique d’attaque sur Internet 1. Scan d’un réseau pour découvrir les stations 2. Vérification des versions des démons et services réseaux démarrés 3. Attaque des versions avec des trous de sécurité 4. Passage en mode administrateur Enregistrement de nouveaux utilisateurs Modification des exécutables : portes dérobées Installation de sniffers : récupération de mots de passe Installation de zombies, agents, … : dénis de service Protection : Bloquer ou limiter la portée des étapes 2 et 3

Architecture d’un site : principes Segmentation du réseau avec des routeurs Entrée de site : zone semi-ouverte Serveurs réseau Un segment (ou VLAN …) par laboratoire / service / … Filtres entre les segments Flux des applications : contrôles Dans le sens sortant : peu de limitations : toutes les stations peuvent être clientes (sauf étudiants ?) Dans le sens entrant : Tout interdire par défaut Ne laisser passer que les applications utilisées vers des serveurs identifiées et bien administrées Où (mettre des filtres) ? En entrée de site Entre segment (laboratoires ou services)

Architecture : schéma simplifié

Architecture : schéma détaillé

Architecture : filtres au point d’accès

Bénéfices de l’architecture L’attaque décrite avant Ne testera que les services de la zone semi-ouverte Ne pourra pas attaquer Les démons sendmail … des Unix internes Les services ou les chevaux de Troie NT Administration des stations Internes (très nombreuses) : laxisme tolérable Zone semi-ouverte (une poignée) : avec beaucoup de soin Chgt version, correctifs, gestion utilisateurs, … Evolutions possibles sans remise en cause de l’architecture : Nouveau service réseau Garde-barrière applicatif …

Alternatives à cette architecture Pourquoi pas ? Avantages : Oblige à faire un inventaire des services utiles Rend inaccessibles les stations clientes Mais si bon inventaire et bon filtrage en place NAT n’apporte pas de fonction de sécurité supplémentaire Garde-barrière applicatif Goulot d’étranglement en débit Coût : il faut l’acheter et l’administrer CNRS = 1300 laboratoires : Matériel : 30 000 F x 1300 = 190 MF ? Personnel : 1300 ITA ? Mais solution envisageable sur certains sites Petites entités sans serveur Internet Adressage local - privé Proxy : messagerie – Web

Mise en place de l’architecture C’est un modèle à adapter On peut ouvrir quand besoin particulier Où ? Porte du campus – de l’université – de l’UFR – du laboratoire ? Définir une méthodologie pour la définition et la mise en place : concertation obligatoire avec les utilisateurs et les administrateurs Ce modèle ne restreint pas l’utilisation de l’Internet Un utilisateur a les mêmes services qu’avant Il faut ensuite un suivi : journaux, …