La sécurisation du réseau [email protected].
-
Upload
percevel-allard -
Category
Documents
-
view
114 -
download
5
Transcript of La sécurisation du réseau [email protected].
![Page 2: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/2.jpg)
InternetInternet
La vue simpliste, idéaliste
Réseau d’entreprise
Tout le monde est gentil, évite les erreurs,fait attention, travaille sur place
Les matériels et logiciels sont parfaits.
En fait
NON (plaisantins, vengeance, …)
NON (erreur de configuration, …)
NON (on clique trop vite, on télécharge, …)
NON (maison, déplacement, …), visiteurs, échanges avec les partenaires extérieurs (filiales, sous-traitants, fournisseurs, …)
Du chenapan au «criminel »Hackers, pirates, espions,Fraudeurs, Cyber-terroristes, …
Contenus dangereux (Virus, vers, sites mystifiés, bombes, Ch.de Troie,
Il n’y a pas de problème particulier créé par Internet
NON (failles, contrôles faibles par défaut, pas d’intégration de sécurité par défaut)
![Page 3: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/3.jpg)
InternetInternet
Réseau d’entreprise
Que faire?
Indépendant de notre volonté,seules des législations contraignantes pourraient faire évoluer les choses ??????Et peut-être une nouvelle génération de protocoles Internet (des travaux en cours)
(1) Contrôler les accès, les flux, … (deux sens)
(2) Cloisonner les « populations » Différencier les droits, contrôler les accès (services, ressources) et les flux inter-communautés) (3) Renforcer la capacité des équipements et des applications à contrôler, détecter, alerter, corriger, interdire, protéger, …
(4) Surveillance (monitoring), métrologie, traces (logs).
(5) Informer guide de bonnes pratiques(6) Contrôle du « nomadisme »
![Page 4: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/4.jpg)
Trois domaines d’intervention
• Le réglementaire et juridique (national, international)
• Le facteur humain – Chartes,– formation, information l’expertise – les guides et recommandations les bonnes pratiques, obligations, …
• Les technologies
![Page 5: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/5.jpg)
L'INTERNET
Administration ChercheursServeursIntranet
(services purement internes)
Étudiants
« Visiteurs »
Exemple de « cartographie »Réseau d’une université
Zône de contrôleServeurs devant êtreVisibles de l’extérieur
Personnel, étudiantnomade
![Page 6: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/6.jpg)
Les domaines de technologies pouvant servir à sécuriser
PKI, EAM, SSO Clients légersDurcissement
systèmes
Authentification VPNProtection du
poste de travailChiffrement données
Antivirus, AntiSPAM Proxy / CacheAnalyse de
contenu
Détectiond’intrusionPare-feu Sécurisation du Wi-Fi
du nomadisme
Communateurs,routeurs(VLAN, filtres)
Métro
log
ie, sup
ervisio
n, traces, lo
gs
![Page 7: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/7.jpg)
L'INTERNET
Administration ChercheursServeursIntranet
WiFi
Étudiants
« Visiteurs »
Exemple d’une université
DMZ
Relais mail, Web, DNS, Serveur VPN, …Proxy/cache
antivirus centralisé, antiSPAM, analysede contenu, …
Pare-feu (filtrage, NAT, relayage, serveur VPN, …)
Routeurfiltrant
Durcissement de systèmes, filtres, antivirus, analyse deContenus, supervision, Traces, …
Pare-feu personnel antivirus, antispy(mal)ware, …
VLAN
AUTHENTIFICATION
Routeurfiltrant
VPN Chiffrementdes infos
![Page 8: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/8.jpg)
L'INTERNET
ServeursIntranet
DMZ
IDS (Intrusion Detection System) N-IDS
MétrologieSupervisionPerformance,…
Honeypot
Scanner de vulnérabilités
![Page 9: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/9.jpg)
Internet
Séparation des communautésPar VLAN
Pare-feu
Public
Intranet
PC-Nomades
![Page 10: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/10.jpg)
VLAN
• Objectifs– Possibilité sur une même infrastructure physique de distinguer
entre plusieurs ensembles de machines (réseaux logiques ou virtuels)
– limiter les domaines de broadcast– optimiser les performances (partage de charge éventuel)– sécuriser les groupes d ’usagers (contrôle inter-VLAN), les
échanges de paquets entre VLAN passent par un élément de filtrage (routeur, …),
– Spanning-Tree par VLAN (suivant constructeur)
– administration centrale possible de l ’ensemble du réseau
Normalisation : normalisée au travers du protocole 802.q
![Page 11: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/11.jpg)
RouteurInternet Contrôle des
flux inter segment
D1
D2D3
Les VLANs
Communication interne VLAN administration
Communication entre VLAN administration et VLAN pédagogie (avec NetflowSwithing de CISCO possibilité pour les paquets suivants de ne plus remonter au routeur)
commutateurs
![Page 12: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/12.jpg)
VLAN
• Type de VLAN– statique (par port ou par adresse MAC)
• numéro de port, (possibilité filtrage des adresses MAC par port)• adresse MAC (possibilité associer @MAC/@IP)
– dynamique • sous-réseau (IP), • protocole (IP, IPX, IPv6, …)• par authentification de machine(utilisateur)
Tous les constructeurs (Cisco, Juniper, Foundry, Extreme, 3COM, HP, …) le proposent, actuellement on ne gère plus un réseau sans utilisation de VLAN, sauf toutes petites configurations à population homogène.
L ’identité du VLAN est traduite par un champs supplémentaire dans la trame Ethernet (le « tag »)
![Page 13: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/13.jpg)
VLAN
• Les commutateurs– configurés afin d ’identifier les machines et leur affecter un numéro de
VLAN
– commutent les trames au sein d ’un même VLAN
– Peuvent avoir une certaine connaissance du niveau 3.
– Pourront servir (*) de proxy pour une certaine connaissance au niveau du routage. Configurer l ’adresse gateway sur les machines ne sera pas nécessaire.
• Les matériels de routage – doivent appartenir à plusieurs VLAN
– Sur un même lien physique ils voient plusieurs interfaces logiques.
• Les serveurs– Pour des raisons de performance appartiendront souvent à plusieurs
VLANs évitant ainsi le passage par les routeurs.
– Doivent donc être bien protégés (bien administrés).
![Page 14: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/14.jpg)
Le filtrage
![Page 15: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/15.jpg)
Filtrage IP
• Contrôler les flux entre « domaines »
• Avant d’écrire des filtres une phase d’étude déterminer/constituer les domaines ’ ’ les flux inter-domaines Tout ceci en prenant en compte la PSSI de l’entreprise
• Produire les filtres et les appliquer• Avec un « scanner » vérifier si l’objectif est atteint
Un conseil expliciter les filtres au travers de schémasCela permet de mieux comprendre la politique mise en oeuvre
![Page 16: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/16.jpg)
• Traitement au niveau 3-4 ISO (IP/TCP)
• Activé dans un matériel de type « routeur »– A noter que les commutateurs intègrent actuellement de telles
fonctionnalités (cartes spéciales, ou en natif)
• Se base sur les information du paquet IP– adresses source et destination
– type de protocole
– ports source et destination
– QoS, (flux données, vidéo, voix, SNMP, …)
– Bits spéciaux : SYN, ACK, RST, …
tous les champs de l’en-tête paquet (ou presque)
Filtrage IP
![Page 17: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/17.jpg)
Données
En-tête TCP
En-tête IP
En-tête Eth
Adresse Mactype de protocole (IP, IPX, ...)---> ne nous concerne pas.
Adresse source, destinationType de protocole supérieur (TCP, UDP,ICMP,EGP, ...)Options IP (source-routing, ...)
Ports source et destination (identification de l'application)
Les bits ACK, RST, SYN
Les informations utiles pour le filtrage
Premier paquet --> pas d'ACKtous les autres l'ont, dans les2 sensSYN sans ACK --> connexion
En TCP (mode connecté) pour casser une session ilsuffit de « droper » le paquet d ’initialisation
![Page 18: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/18.jpg)
Allocation ports TCPClient Serveur
512
1024
6000 x11Services RPC(ypbind, lock)
Services "officiels"(telnetd, ftpd, smtpd, httpd, ...)
Services Unix (rlogind, rhsd, ...)
Services RPC "root"(ypserv, status, mountd, ...)
111 Portmap
560Clients RPC "root"(ypserv, status, mountd, ...)
rcp, rsh, rlogin
les clients en général
![Page 19: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/19.jpg)
Allocation ports UDPClient Serveur
512
1024
Services RPC(ypbind, lock)
Services "officiels"
Services Unix
Services RPC "root"(ypserv, status, mountd, ...)
111 Portmap
560Clients RPC "root"(ypserv, status, mountd, ...)
rcp, rsh, rlogin
les clients en général1525 archie
RPC(ypbind, lock,) talk, ...
![Page 20: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/20.jpg)
Paquets ICMP --> Type et Code (information de filtrage)
Type:
• Destination unreachable• Time exceeded• Parameter Problem• Source Squench• Redirect• Echo ou Echo Reply• TimeStamp ou TimeStampReply• Information Request ou Information Reply
Code: précisions supplémentaires
Il y a plus de type voir les rfcs.
![Page 21: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/21.jpg)
Informations « hors » paquet IP
• Interface d'entrée (pour IN et pour OUT)– Interface physique (eth0, …) ou logique (No de VLAN)
• Paquet :– en transit, – généré en local, – à destination du système local
• Fréquence même type de paquet – (détection de DoS, attaques, …)
• Etc.
![Page 22: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/22.jpg)
Principes pour le filtrage (1)
• Le filtrage est basé sur les adresses. Il faut qu'elles soient correctes (pas de spoofing). Il faut donc une vérification de cohérence en entrée (depuis l'extérieur comme l'intérieur)
• Un paquet ne satisfait pas les règles --> "drop"• Un message de log si violation des règles
– cela peut faire beaucoup de log, qui va regarder?
• Faut-il renvoyer un ICMP (erreur) ---> NON, cela pourrait aider les "pirates" a comprendre la politique sécurité du site et l’architecture réseau
• Bien faire attention a différencier IN de OUT de FORWARD et les interfaces d’entrée, de sortie, etc.
![Page 23: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/23.jpg)
Principes pour le filtrage (2)
• Faire attention à l’ordre des règles– Chaque paquet est analysé par rapport aux règles,– Dès qu’une règle est satisfaite :
• Elle est appliquée au paquet,• L’analyse s’achève,• Les règles qui suivent ne sont pas pris en compte,
• Si aucune règle ne s’applique c’est la règle par défaut
Faire en sorte que la règle par défaut soit:« Tout interdire, sauf ce qui est explicitement autorisé »
![Page 24: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/24.jpg)
Les caractéristiques par protocole
Telnet C--->S TCP X>1023 23
port-s port-d
S-->C TCP 23 X Smtp C--->S X>1023 25
Nntp C--->S X>1023 119 S--->C 119 X
DNS C--->S Tcp/Udp X>1023 53 S--->S 53 53
DNS (transfert de zone/primaire --> secondaire) idem. Si filtres mal mis --> secondaire isole
NTP C-->S Udp X>1023 123
NTP S--->S Udp 123 123
S--->C TCP 25 X
![Page 25: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/25.jpg)
Les caractéristiques par protocole
port-s port-d
Ftp C-->S TCP Y>1023 21 (session de contrôle)
S-->C 21 Y « » S-->C 20 Z>1023 (sessions données)
C-->S Z 20
Pb
![Page 26: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/26.jpg)
Les caracteristiques par protocoles (suite)
port-s port-d
Http C-->S TCP X>1023 80 Proxy-Http " » X>1023 8080
X11 « TCP X>1023 6000 (ou 6001, …)
Syslog C-->S UDP X>1023 514 port-s port-d
SNMP UDP X>1023 161,162
![Page 27: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/27.jpg)
Les caracteristiques par protocoles (suite)
"r-command" TCP X<=1023 512 (rexec)
513 (rlogin)
514 (rsh,rcp,rdist)
Ne pas laisser passer
RPC (YP, NIS, NFS, ...) TCP/UDP Z alloué par le port mapper
Portmapper TCP/UDP 111
Autoriser au compte goutte 111 depuis l ’extérieur
Il reste le P2P qui représente plus de difficulté.
![Page 28: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/28.jpg)
Types de filtrage
• Statique– Les premiers à apparaître
– L’ensemble des règles est fixe et n’évolue pas suivant les applications utilisées.
• Dynamique– Prennent en compte les environnements H323, RTSP, SIP, FTP,
…
• Dynamique avec contrôle des contenus– Idem ci-dessus + vérification des commandes pour les flux SMTP,
HTTP, SQLNet, FTP, …
![Page 29: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/29.jpg)
Exemple d’environnement de filtrage Netfilter / « iptables»
• Environnement sous Linux
• Netfilter : partie opérationnelle intégrée noyau
• Iptables : partie commande (action admin)
Autres environnements « libres »
IP Filter pour Unix libres et intégré sour FreeBSD et NetBSDPacket Filter sous OpenBSD
![Page 30: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/30.jpg)
Netfilter / « iptables»
• Des règles classées par « chaîne »– Chaînes par défaut = IN, OUT, FORWARD
– Chaînes utilisateur possible
• Un paquet satisfait une règle action et arrêt chaîne– Les politiques par défaut en fin des règles
• Prise en compte « état du trafic » pour situer le paquet– NEW, ESTABLISHED, RELATED, INVALID
![Page 31: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/31.jpg)
Chaîneutilisateur
![Page 32: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/32.jpg)
INTERNET
WL_NET(réseau sans fil)
« INTER_NET » (réseau d’interco)
INTRA_NET(réseau interne)
PUBLIC_NET(réseau public)
IF_INT
IF_EXT
IF_WLIF_PUB
ROUTER_ADDR(adresse IP routeur)
FW_EXT(addresse IP)
S_ML
S_WEB
SERVEUR TOTO
AP1000
![Page 33: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/33.jpg)
Et ensuite?
• Du filtrage dynamique (stateful inspection)
• Un adressage privé interne et du NAT• Protéger le service DNS en architecturant
correctement• Protéger la messagerie (antiSPAM, antiVirus)• Contrôler le contenus des flux HTTP entrants et
l’accès aux sites distants• Portables :
– Des VPNs pour leur connexion distante– Les contrôler avant leur connexion au réseau local– Protéger les données par du chiffrement
• …
![Page 34: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/34.jpg)
Filtrage dynamique (stateful inspection de CheckPoint)
• Certaines application utilisent des ports dynamiques– Il faudrait autoriser tous ces ports en permanence trop dangereux
• Filtrage dynamique (CheckPoint, CBAC cisco, …)– Filtrage basé sur le contexte d’une connexion (application),
– Examen du contenu d’un flux détection de demande d’ouverture sur un(des) port(s) dynamique(s),
– On ajoute pour un instant des règles dans les listes de règles,
– Elles seront supprimées après fermeture de la connexion ou Time-out.
• Les protocoles concernés :– FTP (passive), H323, ToIP, RCMD, …
![Page 35: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/35.jpg)
Le NAT (Network Address Translation)
• Traduction d’adresses; privées <--> publiques machines internes non accessibles directement Rend la vie plus difficile aux pirates
• Un atout pour la sécurité certes, mais en complément de sérieux filtrages et autres contrôles.
![Page 36: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/36.jpg)
Groupe de Travail NAT CNRS 36
Aperçu de NAT
Internet
Interne10.4.4.5
10.1.1.1
Extérieur
Adresses IP locales
10.1.1.110.4.4.5
Vision globaledes adresses
192.2.2.2192.3.3.6
Table NAT
SA192.2.2.2SA
10.1.1.1
![Page 37: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/37.jpg)
Différentes catégories de NAT: • Statique (une adresse privée pour une publique)
peu d’intérêt, atouts pour la sécurité à démontrer.• Dynamique
• une adresse privée pour une publique mais partage des adresses publiques par plusieurs adresses privées suivant les flux
• Surcharge adresses internes•Une adresse publique pour plusieurs privées•On traduit un couple adressePrivée-Source/portSource1 en adressePubliqueSource/portSource2 pour un certain temps.
• « Overlapping »• distribution de charge TCP
Autres objectifs que la sécurité
![Page 38: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/38.jpg)
Protection du DNS
• Questions:– Qui a le droit d’utiliser le DNS?– Pour quel type de résolution?
• Réponses conduisent à :– Une architecture cible séparant les différents
services DNS– Une politique limitant les accès et donc les risques.
![Page 39: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/39.jpg)
INTERNET
DMZ InternetDMZ production
DNS interne
DHCP
Serveur SMTP
DNS Externe
DNS cache DMZ
DNS cacheProxy HTTP
![Page 40: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/40.jpg)
INTERNET
DMZ InternetDMZ production
DNS interne
DHCP
Serveur SMTP
DNS Externe
DNS cache DMZ
DNS cacheProxy HTTP
![Page 41: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/41.jpg)
INTERNET
DMZ InternetDMZ production
DNS interne DNS Externe
DNS cache DMZ
Annuaired’authentification
Proxy HTTP1
2
3 4
5
Authentification des accès HTTP Contrôle des contenus
(antiSpyware, Antivirus, …)
![Page 42: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/42.jpg)
Lutte antiSpam
• Ce n’est plus une option
• C’est un élément de la politique de sécurité
• Mettre en œuvre et prévenir les utilisateurs
![Page 43: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/43.jpg)
![Page 44: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/44.jpg)
INTERNET
DMZ InternetDMZ
Routeur sortant
MXMSA
Annuaired’authentification
Serveur De boîte aux lettres
Exemple d’architecture de messagerie
IMAPS
Mail entrant
Mail sortant
authentification
FiltrageantiSPAMantiVirus
![Page 45: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/45.jpg)
Et ensuite ? Surveiller, …
• Détecter les intrusions et alerter:– Outils de type IDS
• Mieux les contrecarrer si l’on en détecte– Outils de type IPS
• Mettre en place de la métrologie– Détecter les anomalies de trafic, des flux étranges, des variations
anormales, …
• Utiliser des outils de supervision tels NAGIOS– Détecter des anomalies de fonctionnement des applications,– Identifier des utilisations anormales de ressources, – …
![Page 46: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/46.jpg)
IDS / IPS • Détection les attaques classiques :
– Basée sur des signatures d’attaques connues.
• Et surtout analyser les contenus HTTP :– Protection contre l’exploitation des failles navigateurs– Détection de spyware, malware, contenus avec virus
• On peut également d’office bloquer certains type/format de contenus
– Et repérer dans l’autre sens les commandes douteuses• Machine infectée ou « chenapan » interne
• L’IDS se contente de poster une alerte• L’IPS va de plus dropper les paquets et couper la session.• L’un et l’autre peuvent être intégrés dans un produit pare-feu
ou être des modules séparés.
![Page 47: La sécurisation du réseau Jean-Paul.Le-Guigner@cru.fr.](https://reader030.fdocument.pub/reader030/viewer/2022020122/551d9d8d497959293b8c31a6/html5/thumbnails/47.jpg)
Métrologie• Utilité :
– Connaître le profil d’utilisation du réseau • Cartographie des flux. A quoi sert le réseau? Comprendre!
• Aider à prévoir la stratégie d’évolution des infrastructures
– Détecter d’éventuels incidents • Flux « non habituels », pics de trafic bizarres, …
• Types d’environnement– « sniffer » sur le réseau : NTOP, …
– En accès direct (ou via SNMP) sur les logs routeurs : Mrtg, NetMet, …
D’après Renater 90% des incidents pourraient être détectés par la métrologie