Chapitre 10: Cryptographie et. Sécurité.

Transcription

1 Chapitre 10: Cryptographie et L'objectif de ce chapitre: Sécurité. Décrire les différentes étapes de la définition et de la mise en place d'une politique globale de sécurité d'un réseau. Analyser l'intégration des concepts et protocoles cryptographiques vus aux chapitres précédents. Étapes de mise en place d une politique de sécurité. Identification des menaces. Sécurité Interne. Sécurité Externe. Aspects organisationnels. 1

2 Chap. 10: Cryptographie et Sécurité. Définition d'un réseau type: Environnement client/serveur distribué. Environnement centralisé constitué d'un Mainframe. Interconnexion avec des utilisateurs /réseaux extérieurs (Internet). Accès d'utilisateurs à distance (par exemple: à domicile). Interconnexion avec des réseaux de succursales. 2

3 Chap. 10: Cryptographie et Sécurité. Définition d'un réseau type: Dépt B Dépt A Utilisateur à domicile Succursale Stations de travail Mainframe messagerie Web Utilisateur Web 3

4 Chap. 10: Cryptographie et Sécurité. Mise en place d'une politique de sécurité: Identification des menaces: Internes Externes Mise en place des composants visant à assurer la sécurité Interne Externe Mise en place des outils d'administration, de contrôle et d'audit de la sécurité. 4

5 10.1. Menaces Internes Définition des menaces internes: Les attaques actives dont les buts sont: La modification ou la destruction de données (fichiers, BD, ). L'utilisation d'applications du réseau interne (applications bancaires, ). L'utilisation de la capacité de calcul et de la mémoire distribuée sur le réseau. La congestion du réseau. Les attaques passives dont les buts sont: La collecte et la lecture d'informations sensibles en 'écoutant' les transmissions sur le réseau 5

6 10.1. Menaces Internes Quelles sont les points potentiels d'attaques internes? Les cibles privilégiées des attaques internes sont les mots de passe donnant accès aux différentes ressources du réseau (données, applications, systèmes ). Les communications internes. 6

7 10.2. Menaces externes. Les menaces externes sont définies comme les points d'attaques potentiels du réseau par des utilisateurs nonautorisés (imposteurs ou non) localisés à l extérieur du réseau à protéger. On distingue également: Les attaques actives visant à modifier ou à détruire les données transmises à l'extérieur du réseau ou ayant pour but de s'introduire dans le réseau. Les attaques passives visant à écouter les informations confidentielles transmises à l'extérieur du réseau. 7

8 10.3. Sécurité Interne. Les composants de la politique de sécurité interne sont les suivants: Systèmes de sécurité sur les plates-formes. Outils d authentification des utilisateurs. Définition des utilisateurs Définition des autorisations d'accès (profils). Outils de protection des communications internes sensibles (encryption). Outils de protection contre les Virus. Outils de contrôle et d audit. 8

9 10.3. Sécurité Interne. 1. Définition du réseau interne. Elle consiste à définir la frontière entre le réseau interne et le réseau externe de l organisation. Cette frontière est déterminée en fonction des critères suivants: Droits d administration et de contrôle des machines du réseau interne. Droits d administration et de contrôle des outils de télécoms sur le réseau (routers). Sécurité du réseau de télécommunication (lignes téléphoniques louées) entre les machines du réseau interne. NB: Cas du serveur Web: machine interne qui doit être accessible au public. 9

10 10.3. Sécurité Interne. Dépt A Réseau caractéristique de base - Définition du réseau interne. Dépt B Utilisateur à domicile Succursale Stations de travail Mainframe de messagerie Web Utilisateur Web 10

11 Sécurité Interne. 2. Authentification des utilisateurs: Authentification faible: Nom et mot de passe de l utilisateur. Authentification forte: Via des mécanismes cryptographiques d authentification (signatures digitales). Intégration de cartes à puce. 3. La protection des accès s'effectue à deux niveaux: Au niveau des utilisateurs: Chaque utilisateur possède un compte dans les bases de données d'authentification de chaque plate-forme et ressource.

12 10.3. Sécurité Interne. Une fois authentifié, l'utilisateur hérite des privilèges liés à son compte. Au niveau des ressources: Chaque ressources possède une liste de contrôle des accès (ACL) qui reprend la liste des utilisateurs (ou groupes) dont l'accès est autorisé. A chaque demande d'accès, cette liste est consultée pour vérifier les autorisations d'accès. 12

13 10.3. Sécurité Interne. Dépt B Réseau caractéristique de base (interne): - Définition des comptes et profils des utilisateurs - Protection des accès et définition des permissions Dépt A Réseau externe Smart Card Système de Sécurité (ACL's) Système de Sécurité (ACL's) Système de Sécurité (ACL's) Mainframe de messagerie Web 13

14 Sécurité Interne. 4. Chiffrement de communications internes: Les échanges de données de logon (voir authentification forte). Certains mails internes. Applications spécifiques de chiffrement: S/Mime Le mécanisme cryptographique utilisé par ces applications est similaire à celui du scénario d'authentification forte. Échange d'une clé de chiffrement symétrique entre les deux parties à l'aide d'un cryptosystème à clé publique. Chiffrement des données à l'aide de cette clé.

15 10.3. Sécurité Interne. 5. Protection Anti-Virus. Un virus est un programme pirate activé lors de l'exécution du programme auquel il est attaché et dont le but est d'en corrompre l'exécution. Certains virus possèdent également la faculté de se répliquer sur d'autres programmes exécutables stockés sur le PC ou le serveur infecté. On distingue deux lignes de protections internes contre les virus: Au niveau des stations de travail: pour éviter l'infection via des disquettes. Au niveau des serveurs: pour éviter la prolifération de virus au sein d'un réseau. 15

16 10.3. Sécurité Interne. Dépt B Anti-virus (sur stations de travail) Réseau caractéristique de base (interne): - Protection anti-virus sur les serveurs et les stations de travail. Anti-virus (sur serveurs) Dépt A Réseau externe Smart Card Système de Sécurité (ACL's) Système de Sécurité (ACL's) Mainframe Système de Sécurité (ACL's) de messagerie Web 16

17 10.4. Sécurité externe. Les composants de la politique de sécurité externe sont les suivants: Installation d'un Pare-feu (FireWall) à la frontière entre le réseau interne et externe. Outils d'authentification forte sur le FireWall. Encryption des communications sensibles de/vers l'extérieur (Virtual Private Network/ SSL). Protection Anti-virus. 17

18 10.4. Sécurité externe. 1. Un FireWall a pour but de filtrer toutes les communications de type TCP/IP entrant ou sortant du réseau interne. Le filtrage s'effectue à deux niveaux: Au niveau des paquets IP, des critères de filtrage peuvent être définis en fonction de différents paramètres: Adresse IP source et destination. Numéro du port source et destination. Protocole de la couche supérieure. 18

19 10.4. Sécurité externe. Au niveau applicatif, où certaines applications, les proxys permettent de filtrer les paquets IP en fonction du contenu des couches supérieures. Les proxy permettent également l authentification des utilisateurs. Architecture du FireWall. Installé entre le réseau interne et le réseau externe. Deux interfaces réseau (ou routers) supportant les règles de filtrage des paquets IP Un Bastion Host supportant les proxys. 19

20 10.4. Sécurité externe. Un réseau tampon (zone démilitarisée) où sont localisés les serveurs accessibles à partir de l extérieur du réseau interne. 20

21 10.4. Sécurité externe. Dépt B Anti-virus (sur stations de travail) Réseau caractéristique de base: - Mise en place d'un Firewall (+ DMZ) Anti-virus (sur serveurs) Dépt A Utilisateur à domicile (membre de l'organisation) FireWall Succursale Stations de travail Smart Card Système de Sécurité (ACL's) Système de Sécurité (ACL's) Système de Sécurité (ACL's) DMZ Mainframe de messagerie Web Utilisateur Web 21

22 10.4. Sécurité externe. 2. Authentification des utilisateurs distants: Authentification via des mécanismes de signature digitale. De type applicatif Utilisation de cartes à puce. 3. Chiffrement des communications externes: Via SSL pour le trafic HTTP Via des VPN's pour les autres types d'accès distants. 22

23 10.4. Sécurité externe. Réseau caractéristique de base (extérieur): - Sécurisation des communications (VPN's/ SSL) - Authentification forte sur le Firewall Client VPN Réseau Public Utilisateur à domicile (membre de l'organisation) DB d'authentifi cation FireWall VPN FireWall VPN d'authentification Succursale Réseau interne DMZ Réseau Public Client SSL Web SSL Utilisateur Web Smart Card 23

24 10.4. Sécurité externe. 3. Protection anti-virus: Toutes les de communications de/vers l'extérieur impliquant l'échange de fichiers à risques doivent être scannées au niveau du FireWall: Exemples: Communications en HTTP: pour le Web browsing Communications en FTP: pour le transfert de fichiers sur Internet. Communications SMTP: pour les fichiers attachés à des s.. 24

25 10.4. Sécurité externe. Dépt marketing (Liège) Anti-virus (sur stations de travail) Réseau caractéristique de base: - Anti-virus du FireWall => Architecture globale des composants d'une politique de sécurité Anti-virus (sur serveurs) Client VPN Dépt IS (BXL) DB d'authentifi cation FireWall Utilisateur à domicile (membre de l'organisation) d'authentification Anti-Virus VPN Succursale Stations de travail Smart Card Système de Sécurité (ACL's) Système de Sécurité (ACL's) Système de Sécurité (ACL's) DMZ Client SSL Smart Card Mainframe de messagerie Web SSL Utilisateur Web 25

26 10.5. Aspects organisationnels. L'efficacité de tous les éléments de la politique de sécurité envisagés dépend de la qualité de leur administration. Composants de la sécurité interne: Authentification des utilisateurs: Administration de la DB d'authentification, des smart-cards, des clés publiques/privées (distribution), gestion des certificats. Encryption: gestion et distribution des clés, des certificats. Systèmes de sécurité: Administration des comptes, des profils et des permissions (ACL's) sur chaque plate-forme et ressource. Protection anti-virus: Mise à jour des DB de recensement des virus, contrôle des détection des infection. 26

27 10.5. Aspects organisationnels. Composants de la sécurité externe: > FireWall: Administration des règles de filtrage. > Authentification des utilisateurs: voir ci-dessus. > Chiffrement: voir ci-dessus. > Protection anti-virus: voir ci-dessus. 27