Administration et sécurité

Transcription

1 Administration et sécurité Problems Management of Large Networks Layers of Management Transmission Management Issues Network Management Systems Network Management Standards 1

2 Les problèmes à résoudre Fautes Les diagnostic peuvent porter sur des milliers de points La correction peut intervenir depuis un site éloigné Exploitation Transmission sur de nombreuses liaisons Economies importantes pour les grand réseaux La complexité croît avec la taille du réseau Aspects système Network Management Console (NMC) Gestion de l ensemble du réseau depuis une station unique Plus réaliste : plusieurs NMC gèrent différentes parties du réseau LAN Network Management Console LAN 2

3 Les composantes Network Management Program (logiciel d admnistration) sur le NMC Management Information Base (MIB) Stockage des informations sur le réseau (au niveau des objets gérés) Stores information about the network Base de données relationnelle description normalisée (ASN1) MIB Network Management Program Les composantes (2) Les objets gérés eprésentent les objets physiques (PC, serveurs, imprimantes, commutateurs, lignes, Hubs, cartes réseau ) Cpmmuniquent avec le logiciel d administration Objets gérés NMP 3

4 Les composantes (3) Network Management Agent dans chaque objet géré Transmet aux NMP le comportement de l objet géré Abrite la MIB de chaque composante NMA NMP MIB Les composantes (3) Sondes RMON (Remote Monitoring) Les agents ne gèrent que des objets locaux aucun objet ne correspond à un réseau La RMON est une station du LAN Collecte les données sur le trafic du LAN envoi à la NMC Sonde RMON NMP LAN 4

5 Le fonctionnement Le NMP envoie des requêtes (commands) interrogation de la MIV, modification de la MIB Le NMA envoie des réponses état de la MIB, exécution d une modification Le NMA peut envoyer de lui-même des alarmes (trap) NMP Response Alarm Request NMA MIB Exemple Network Control Center Network Management Console Site A Site B Objet géré géré (PC) (PC) Objet géré géré (Ligne) Objet géré géré (Routeur) Site C Objet géré géré (10Base-T Hub) 7 5

6 Les normes SNMP (TCP/IP) Simple Network Management Protocol Le plus courant Simplicité : faible coût, fonctions limitées Ne traite que les fautes réseau, extensions possibles MIB propriétaires CMIP/ CMIS OSI Propriétaires SNMP : Structure Agents Network Management System Un ou plusieurs Application GUI Gestion des performances et des problèmes 6

7 Exemple de paramètres gérés par l'agent Nombre et état des circuits virtuels Nombre de messages d'erreurs reçus par type Nombre de paquets entrant/sortant Taille maximale de la file d'attente (routeurs) Message broadcast envoyés et reçus Interface réseau fautif ou hors service et en service Les commandes Emises par le NMS vers le système géré Réponse du système géré Read : Le NMS lit les variables mises à jour par le dispositif Write : Le NMS prend le contrôle du dispositif géré Opérations trannsversales : utilisé par le NMS pour récupérer des tables (ex: routage) et déterminer les variables supportées par le dispositif Traps : permet au dispositif géré d'alerter le NMS 7

8 La représentation des données Objet géré caractéristiques du dispositif géré variable = instance d'un objet description indépendante de la plate forme (ASN1) Regroupement en MIB (Management Information base) Management Information Base (MIB) Enregistrement Table Routeur ID Location Port A etc. 27 JPR ON etc. 31 HQ OFF etc. 126 Seattle On etc. ID Wichita ON etc. Attribut 10Base-T Hub Hub Table Bridge Table PC PC Inventory Table 8

9 MIB Base de données Une table par TYPE d objet géré routeurs, PCs. Dans une table Une enregistrement par instance d objet Chaque colonne est un attribut Structure de la MIB Définie dans le SMI (Structure of Management Information) Spécifiée en ASN.1 type ASN.1 : integer, octet, string et object identifier Types spécifiques Network adress (IP seulement en SNMP V1) Counters ex : nombre d'octets reçus sur une interface (mod n) Gauges ex : longueur maximale d'une file d'attente Time ticks ex : temps depuis lequel un interface est entré dans un certain état Opaque : chaîne spécifique 9

10 Les commandes Get : pour obtenir une valeur de variable (instnce d'objet) Get-response : réponse de l'agent Get-next : pour obtenirla valeur suivante (suivant une table agent ou suivant l'arborescence de la MIB) Set : fixe une valeur de vraiable trap : permet à l'agent d'informer le NMS Les messages Request-id Error status error index Variable Bindings Request-id : permet l'association requête/réponse Error status : type de l'erreur error index : association avec une variable (bindings) Variable Bindings : suite de variables associées à leurs valeurs 10

11 Les traps Entreprise Agent Address Generic trap type Specific trap code Time error index stamp Variable Bindings Entreprise : type d'objet ayant engendré le trap Agent Address : adresse de l'objet ayant généré le trap Generic trap type : type de trap Time stamp : depuis l'initialisation réseau Specific trap code : code spécifique Variable bindings : cf. message Des problèmes Réseau : utilisation d'une méthode de polling données non assurées Sécurité 11

12 Gestion des PC Au delà du réseau, un besoin spécifique : les PCs Distribution des logiciels Diagnostics à distance Gestion des informations de configuration (inventaire logicle et matériel) Gestion des licences (responsabilité pénale) Standards en émergence DMI... Network Management Console NMA Client PC Les paltes formes logicielles Intégrent les informations venant de plusieurs types de normes et d objets. (SNMP, CMIS/CMIP, opérateurs, proprietaires, etc.) ex : IBM s NetView/Tivoli, HP OpenView, Computer Associates TNG, Bull ISM Support de plug ins Plate-forme NMP SNMP Agent Carrier Agent 12

13 Les différents niveaux d administration Administration réseau Lignes, commutateurs, routeurs, etc. Administration de systèmes Pc clients, serveurs... Sauvegarde, autorisation d accès, reprise... Administration des applications Statistiques d usage Sécurité de l application, filtrage des virus... Applicatifs Systèmes Réseau Les principales fonctions Gestion des fautes Diagnostics et correction à distance Gestion des configurations centralisation dans une base (portes routeur, logiciel PC, etc.) Modification à distance Gestion des performances Mesures et planification Gestion des coûts (facturation à l usage) Securité 13

14 Un objectif : La Tour de Contrôle PARC INCIDENTS TRAVAUX SYSTEME RESEAU Manager RESEAU UNIX Mainframe Workgroup EDF DER to internet and RENATER DSA Bull Cray Cray DPS6 DN St.Denis Unix server Network CCNET I B M DPS6 Interconnection Network I B M DPS6 RETINA Renardières Chatou Backbone Clamart 3745 SNA 3174 End user station RETINA LAN/WAN gateway 3174 SNA protocol IP encapsulated SNA routeur IP FDDI Concentrater RETINA (ISO protocol) Bridge 14

15 The needs to satisfy Keep the same organization Reduce the number of different network management tools used by each staff Give appropriate, with communication capabilities, tools to each staff Authorize a global vision of network Status of important elements Trouble ticketting Configuration / inventory A two level organization 15

16 The future Automation of management task New services on the federation platform Simulation Suppression of the federation platform with the use of cooperative first level platforms Les nouveaux enjeux Dispersion de petites entités informatiques bâties autour de serveurs Décentralisation d'une partie des données Complexité croissante Implication croissante de services extérieurs (sous traitance, FM...) Forte croissance des micros à profil "serveur" : capacité et performances disque UC évolutive multitâche Station utilisateur multiprocessus multimédia croissance des sessions télécom 16

17 L'organisation Rapprocher de l'organisation géographique et humaine niveau du réseau, du bâtiment, du groupe,... Identifier les points de contact correspondants utilisateurs groupe administration établir un annuaire animer Définir les responsabilités La gestion Matériels et logiciels Tenue d'un journal de bord Gestion des incidents Maintenance préventive Documentation Surveillance du fonctionnement 17

18 Matériels et logiciels Recours à un progiciel Inventaire matériel pour tous les éléments actifs (n de série, fournisseur, date d'achat, maintenance, logiciels, localisation...) Inventaire logiciel date d'achat, version, maintenance et garanties, licence... Maintenance préventive Collecte de statistiques Taux de collision, taux d'erreurs, charge LAN, répartition de la charge par protocole... Anticipation informations relevées, périodicité, période,... usage de logiciels, graphiques 18

19 Structuration génération automatique Documentation Plans du réseau fonctionnels géographiques (recollement avec plan d'adressage, de nommage...) Surveillance du fonctionnement Etat de fonctionnement détection des incidents transmission des alarmes vers les responsables tenue du journal de bord Détection des incidents plainte utilisateur alarme automatique (traps) réseau de secours (RTC, Numéris...) 19

20 Détection des incidents Méthodologie Prise en charge Recueil des informations Affectation d'une priorité Résolution Mémorisation Recueil des informations Localisation identification de la plainte utilisateur, symptômes (précision), étendue du problème (station, groupe de stations, sous réseau...) Nature du problème intermittent, permanent Historique date d'apparition 20

21 Classification des problèmes Câble ou connectique éléments actifs matériels et logiciels de base : station, télécom applicatifs réseaux utilisation externe au réseau local Securité Threats Policies Encryption Authentication Firewalls 21

22 Menace : interception confidentialité : l intercepteur ne peut lire les données intégrité : les données ne peuvent être modifiées sans que cela ne soit détecté Menace : imposture L imposteur prétend être une personne autorisée réponse : authentification 22

23 Menace : déni de service Surcharge du système par une inondation de message Envoi d un message qui paralyse la machine Menace : les applicatifs Problèmes liés aux applicatifs Virus Ce sont aujourd hui les plus dangereux Accès à une application non protégée, pui envoi de messages à des applications non autorisées Nécessite un examen de la PDU application 23

24 La politique de sécurité Acces Connectivité Performance Transparence Sécurité Fiabilité Confidentialité Intégrité Chiffrement Chiffrement : brouilage du message le rendant illisible lorsqu il est intercepté Méthode : algorithme ne peut être tenu secret la clé doit être tenue secrète IBM HAL IBM original chiffrement chiffré déchiffrement original Méthode Clé Transmis Méthode Clé 24

25 Méthodes à clé secrète La même clé est utilisée des deux côtés pour le chiffrement et le déchiffrement La clé unique doit être secrète Toute personne connaissant la clé peut lire le message La protection est proportionelle à la longueur dela clé n bits peuvent être découverts en 2 n essais sécurité faible 40 bits, forte 128 bits A B Clé unique DES Norme la plus utilisée (origine IBM) devenue norme ANSI X3.92 (DEA) Clés de 56 bits Peuvent être cassées par des ordinateurs puissants (objectif du gouvernement US) Utilisation du tripe DES 2 clés, trois chiffrement DES DES -1 DES K1 K2 K1 25

26 Le problème de la distribution La distribution des clés doit être secrète Les clés doivent être différentes pour chaque partenaire Key A A Key B B Méthodes à clés publiques Des clés différentes sont utilisées pour le chiffrement et le déchiffrement Chiffrage par la clé publique du récepteur Déchiffrage par la clé privée du récepteur Seule la clé publique (res : privée) peut décrypter un message cryptée avec la clé privée (publique) correspondante IBM IBM original chiffrement chiffré déchiffrement original Clé publique Clé privée 26

27 Distribution des clés asymétriques Chacun possède deux clés la clé privée est gardée secrète Les clés publiques peuvent être distribuées librement Clé publique Clé privée Clé publique Usage des clés Le système complet nécessite quatre clés Chiffrement avec la clé publique du destinataire Déchiffrement avec la clé privée par le destinataire A B Clé publique B Clé privée B A privée A publique 27

28 Clé publique ou clé privée? Clé privée Calcul rapide, distribution complexe Clé publique calculs complexes, distribution simple Fréquemment utilisées conjointement début avec clé publique (authentification) un côté génère une clé privée aléatoire chiffrée avec la clé publique et envoyée au destinataire La communication continue avec la clé privée utilisée pour une seule session (clé de session) Authentification Objectif : prouver l identité de l'émetteur Méthodes Mot de passe: faible Biométrie Emprunte digitale, analyse de l iris : conraignant Clé publique L émetteur prouve qu il détient sa clé privée : seule la clé publique permet le décodage Permet la non-répudiation l'émetteur ne peut nier avoir émis le message 28

29 Authentification par Challenge et Réponse 1. Demande de Service User User 2. Challenge Message chiffré avec la clé publique du demandeur 3. Message déchiffré avec la clé privée du demandeur et renvoyé (éventuellement chiffré) Server or or Host Host Authentification à clé publique (1) Envoi d un signature numérique sur chaque paquet Création d un digest du message (MD) message raccourci calculé par fonction de hachage Calcul Message Message Digest Création de la signature Chiffrement du digest avec la clé privée de l émetteur Le message est court et le déchiffrage par la clé publique aisé Chiffrement par clé privée Message Digest Digital Signature 29

30 Authentification à clé publique (2) Envoi de l ensemble signature+message crypté avec une clé unique de session Digital Signature Message Chiffrement avec clé de session Le récepteur déchiffre le message avec la clé unique de session et la signature avec la clé publique de l émetteur de façon à obtenir le digest. Digital Signature Clé publique de l émetteur Message Digest Authentification à clé publique (3) Le récepteur recalcule le digest. Si concordance : l émetteur est authentifié le message est bien celui qu a envoyé l émetteur Message Digest obtenu à partir de la Digital Signature Message Digest calculé à partir du Message 30

31 Les certificats Créés et gérés par une organisation indépendante l émetteur s enregistre auprès de l organisme (authentification) Autorité de de certification Certificat Entité authentifiée Le certificat est ajouté à l ensemble message+signature Signature Certificat Message Un processus sécurité Mise en communication géré par les pilotes de communçication Négociation des méthodes employées Authentification Chifrement Authentification mutuelle Echgange des clés de session Mise en relation 31

32 Kerberos 5 Kerberos 5 Serveur Authentification Serveur d accès Clé de session Host Garde barrière (Firewalls) Placé entre le réseau interne et le réseau externe Empêche les accès externes non autorisés Contrôle (et facilite) les accès internes vers l extérieur OK Firewall Non Authentification préalable 32

33 Firewalls Filtrage de paquets Examine les adresses IP des paquets entrants Autorise les paquets provenant des machines autorisées Peuvent être contournés en modifiant le champ adresse du paquet IP (spoofing) IP Firewalls Garde barrière applicatif (proxy) Basé sur le comportement de l application exemple HTTP : on refuse une réponse sauf si une requête a été émise vers le serveur Application 33

34 Masquage des adresses internes Proxy Le client envoie une requête HTTP Le proxy remplace l adresse du client par une adresse conventionnelle La réponse est envoyée à l adresse de remplacement et transmise par le garde barrière au client Le proxy remplace le client pour les échanges externes HTTP Request Substitution d adresse HTTP Response Réponse à l adresse de substitution Firewalls Application (Proxy) Firewalls Webserver sends response to proxy server, to false IP address HTTP proxy server sends the IP packet to the originating host Proxy program acts on behalf of internal user HTTP Response Response to False IP Address 34

35 Bastion et zone démilitarisée Firewall Internet Firewall Filtrage de s paquets Protection des ressources internes Logging des violations 35