vraiment sécuritaires Atelier 156

Transcription

1 Un réseau r administratif Par : Michel Biron vraiment sécuritaires Atelier 156

2 Plan de la présentation Quoi sécuriser? Mot de la fin

3 Séparer la pédagogie de l administratif Impossible à séparer complètement Professeurs, secrétaires, directeurs Données confidentielles Ressources humaines Dossiers élèves, contribuables

4 Données Applications Ordinateurs et équipements Réseau Périmètre Sécurité physique Personnes, politiques et processus

5 Réseau confidentiel Très sécuritaire Réseau privé Sécuritaire Réseau public Moins sécuritaire

6 Personnes, politiques et processus Mot de passe «Social engineering» L importance de la sécurité physique Salle des serveurs Centre administratif, écoles Architecture centralisée ou décentralisée

7 Périmètre Pare-feu et DMZ Réseau privé versus réseau public Réseau sans fil Réseau Pédagogique et réseau Administratif Internet Pare-feu

8 Réseau administratif et pédagogique

9 Réseau VLAN : Réseau virtuel défini au niveaux des commutateurs Permet de séparer et d organiser en sousréseau Technologie éprouvée et utilisée par tout le monde

10 VLAN 1 pédagogie 1 administratif 1 gestion 1 téléphonie IP Total de 4 * sous-réseaux Exemple : 4 * 60 = 240 sous-réseaux!

11 Nomenclature et identification Pont entre les réseaux Routeur, commutateur, serveur avec plusieurs cartes réseaux (multi-homed) Interface et ligne de commandes complexes Règles d accès

12 Routeur

13 Décentralisation des serveurs Configuration réseau (routeur) Trafic et délai Nombre de serveurs Gestion à distance Sécurité

14 Serveur avec plus d une carte réseau à éviter Active Directory DNS

15 Pare-feu Séparer le réseau par un pare-feu Remplacer le routeur Règles d accès plus facile à créer Tout est bloqué par défaut Filtrage

16 Réseau Pédagogique Internet

17

18 Pare-feu Connaître tous les services Ouvrir tous les bons ports Peut être complexe Période de rodage

19 Limitation Voisinage réseau séparé RPC et NetBIOS Active Directory Domaine enfant ou forêt séparée

20 Facile à publier sur un pare-feu Web Courier (OWA, RPC over HTTPS) Bureau à distance Autres VPN

21 IPSEC Disponible pour Windows XP, 2000, 2003 Recommandé pour les serveurs : correctifs Manuel (voir La Source novembre 2001) Blocage des ports versus tunnel

22 IPSEC Isoler l accès à certains serveurs Transparent aux applications Isoler l accès au domaine Réduire les risques internes

23 Isoler l accès au domaine Gérer les politiques à travers les GPO Doit être membre du domaine IPSEC à la couche réseau, intégrité et chiffrement des communications

24 Méthodes d authentification IPSEC Clé partagée simple, manuelle Certificat numérique infrastructure nécessaire Kerberos faire partie du même domaine, aucun lien vers l extérieur

25 IPSEC Règle de filtrage associée à une règle action Politique composée de plusieurs règles Politique non cumulative Ne pas utiliser la règle par défaut Configuration des routeurs pour support Carte réseau supportant IPSEC pour réduire la charge (serveur)

26

27

28 Isolation domaine Isolation serveurs Isolation serveurs ou domaine RH LAB Internet

29 Authentification mutuelle Chiffrage et signature des communications Impact sur la performance Protection contre l écoute électronique Dépannage plus difficile

30 Exceptions Imprimantes SE non compatible IPSEC (W98) Intégration et mise en place Contrôleur de domaine ICMP pour le dépannage

31 Assistant Configuration de la sécurité Augmenter la sécurité Réduire les services Activer et configurer le pare-feu Normaliser la configuration

32 SE et applications Correctifs Antivirus

33 Données Permissions (partage et NTFS) Groupes et appartenance Encrypted File System (EFS) XP et W2003 plusieurs utilisateurs Audit et journalisation

34 Installer une infrastructure de certificats Gestion des certificats (lifecycle)

35 Mot de la fin Selon vos besoins et votre expertise Combiner différentes approches meilleure approche!

36 Pour plus d informationd Internet : Téléphone : (514) Télécopieur : (514) Courriel : sac@grics.qc.ca