Transmission des données

Transcription

1 Transmission des données Stations ti d'acquisition iti (FDE/ISEO), Postes Centraux (POL'AIR, XAIR), Clients internes (Postes de consultation, astreinte,...), Clients externes (Industriels, Etat, collectivités locales,...), Les sites web, ADEME/DSQA/SI JTA Belfort

2 Un bref rappel historique sur les transmissions de données: Stations / Postes centraux: 1991/1992, définition des spécifications techniques sur lesquelles allaient se reposer les échanges de données entre les stations d'acquisition et les Postes Centraux, à savoir: - Un langage de commande le plus standard possible => interopérabilité entre les stations et postes centraux de différents fournisseurs (4 fournisseurs de stations, 5 de postes centraux), - Un fichier de données normalisé (ISO 7168), - Indépendant du support de communication (matériels et protocoles), - Choix du protocole Kermit (standard et indépendant le l'os), - Lisible et facilement évolutif, - RTC/Modem (mise en oeuvre aisée car utilisant le support RTC disponible), Postes centraux / ADEME - Un fichier de données normalisé (ISO 7168), - RTC/Modem (mise en oeuvre aisée car utilisant le support RTC disponible), - Un outil de tranmission scriptable (TERM). ADEME/DSQA/SI JTA Belfort

3 Les évolutions: Stations/Postes Centraux: - Protocole IP, GSM, GPRS, Internet, WAN. : Le langage de commande est conservé. Postes Centraux/ADEME: - Migration du RTC vers le RNIS (via des routeurs), - Migration de RNIS vers l'ip/ftp. Postes Centraux/autres: - Internet, - RTC/modem. Sites Internet. ADEME/DSQA/SI JTA Belfort

4 Interconnexion Stations/PC Tendance vers le tout IP, Utilisation de nouvelles technologies de communication (GSM, ADSL...), Les liaisons modem/rtc restent majoritaires. ADEME/DSQA/SI JTA Belfort

5 La sécurité: Les risques aux niveau des stations: - RTC, modems GSM: Quasiment nuls, - GPRS: Très faibles, - WAN de type IP/VPN: Réseau privé sécurisé, forte sécurité, - Internet: Risques potentiels d'où la nécessité d'être vigilant. On s'en remet au réseau pour lequel il n'y a aucun engagement de service (excepté la liaison fournie par le FAI pour certaines solutions professionnelles), Dénis de services possibles, Intrusions via des ports ouverts (Le port 80 est généralement ouvert, certains autres non utiles et dangereux peuvent avoir été laissés ouverts), Stations à base d'os sous Windows, etc... ADEME/DSQA/SI JTA Belfort

6 Les stations ti connectées à Internet: t Les sécuriser au maximum: - Mettre un firewall, - S'assurer qu'aucun port inutile est ouvert (scan de ports). ADEME/DSQA/SI JTA Belfort

7 Les risques côté système d'information AASQA. Le poste central: Le PC est le coeur du dispositif et doit donc être totalement protégé de l'externe comme de l'interne. Les postes utilisateurs: Peuvent perturber le bonfonctionnement du réseau informatique, Peuvent être utilisés comme relais ou comme point d'entrée entrée, Peuvent altérer les données. ADEME/DSQA/SI JTA Belfort

8 Quelques conseils. Architecture réseau: - Ne pas hésiter à mettre en place des VLAN gérés par les switchs, - Disposer d'adresses ip fixe pour le site central, - Isoler les serveurs de BDD, les serveurs de fichiers dans des DMZ spécifiques, - Les firewall ne vous protégeront pas totalement des attaques, - Si possible compléter avec des firewall applicatifs (type proxy), - Privilégier les accès cryptés (vpn/ssl ou simples accès Internet), - Renforcer les mots de passe (politique de création et gestion), - Eviter de mettre en place des solutions de type VNC, - S'assurer que les postes clients sont bien protégés et ne puissent pas être utilisés comme machine relais, - Une attention particulière sera portée sur les prestataires externes devant intervenir sur site (VLAN, MacAdress par ex.), - Mettre en place des outils de supervision réseau, sondes, et d'analyse de logs. ADEME/DSQA/SI JTA Belfort

9 Quelques conseils. Les accès externes: - Pour les partenaires demander une adresse IP fixe sur laquelle vous pourrez filtrer les entrées, - Pour les accès internet cryptés, utiliser un certificat de type Thawte ou Verisign vous authentifiant. Autres remarques: - Ne pas mettre en place une architecture de type usine à gaz difficilement maintenable, -Ne pas hésiter à faire des tests de vulnérabilité par des prestataires externes ou via des outils de type nessus ou autre, - Attention à la qualité des développements réalisés par des sociétés tierces pouvant créer des failles de sécurité, ADEME/DSQA/SI JTA Belfort

10 Mise en place de VPN: - Du marché (F5,Juniper,checkpoint): solution sécurisée, nombreuses fonctions telles qu'analyse du poste, accès aux ressource en fonction des profils login/type d'ordinateur, bureaux vituels, claviers virtuels, tunnels... - Open source. Hébergement de sites web grand public à l'extérieur, ADEME/DSQA/SI JTA Belfort

11 Merci. ADEME/DSQA/SI JTA Belfort