Un réseau r administratif Par : Michel Biron vraiment sécuritaires Atelier 156
Plan de la présentation Quoi sécuriser? Mot de la fin
Séparer la pédagogie de l administratif Impossible à séparer complètement Professeurs, secrétaires, directeurs Données confidentielles Ressources humaines Dossiers élèves, contribuables
Données Applications Ordinateurs et équipements Réseau Périmètre Sécurité physique Personnes, politiques et processus
Réseau confidentiel Très sécuritaire Réseau privé Sécuritaire Réseau public Moins sécuritaire
Personnes, politiques et processus Mot de passe «Social engineering» L importance de la sécurité physique Salle des serveurs Centre administratif, écoles Architecture centralisée ou décentralisée
Périmètre Pare-feu et DMZ Réseau privé versus réseau public Réseau sans fil Réseau Pédagogique et réseau Administratif Internet Pare-feu
Réseau administratif et pédagogique
Réseau VLAN : Réseau virtuel défini au niveaux des commutateurs Permet de séparer et d organiser en sousréseau Technologie éprouvée et utilisée par tout le monde
VLAN 1 pédagogie 1 administratif 1 gestion 1 téléphonie IP Total de 4 * sous-réseaux Exemple : 4 * 60 = 240 sous-réseaux!
Nomenclature et identification Pont entre les réseaux Routeur, commutateur, serveur avec plusieurs cartes réseaux (multi-homed) Interface et ligne de commandes complexes Règles d accès
Routeur
Décentralisation des serveurs Configuration réseau (routeur) Trafic et délai Nombre de serveurs Gestion à distance Sécurité
Serveur avec plus d une carte réseau à éviter Active Directory DNS
Pare-feu Séparer le réseau par un pare-feu Remplacer le routeur Règles d accès plus facile à créer Tout est bloqué par défaut Filtrage
Réseau Pédagogique Internet
Pare-feu Connaître tous les services Ouvrir tous les bons ports Peut être complexe Période de rodage
Limitation Voisinage réseau séparé RPC et NetBIOS Active Directory Domaine enfant ou forêt séparée
Facile à publier sur un pare-feu Web Courier (OWA, RPC over HTTPS) Bureau à distance Autres VPN
IPSEC Disponible pour Windows XP, 2000, 2003 Recommandé pour les serveurs : 2003 + correctifs Manuel (voir La Source novembre 2001) Blocage des ports versus tunnel
IPSEC Isoler l accès à certains serveurs Transparent aux applications Isoler l accès au domaine Réduire les risques internes
Isoler l accès au domaine Gérer les politiques à travers les GPO Doit être membre du domaine IPSEC à la couche réseau, intégrité et chiffrement des communications
Méthodes d authentification IPSEC Clé partagée simple, manuelle Certificat numérique infrastructure nécessaire Kerberos faire partie du même domaine, aucun lien vers l extérieur
IPSEC Règle de filtrage associée à une règle action Politique composée de plusieurs règles Politique non cumulative Ne pas utiliser la règle par défaut Configuration des routeurs pour support Carte réseau supportant IPSEC pour réduire la charge (serveur)
Isolation domaine Isolation serveurs Isolation serveurs ou domaine RH LAB Internet
Authentification mutuelle Chiffrage et signature des communications Impact sur la performance Protection contre l écoute électronique Dépannage plus difficile
Exceptions Imprimantes SE non compatible IPSEC (W98) Intégration et mise en place Contrôleur de domaine ICMP pour le dépannage
Assistant Configuration de la sécurité Augmenter la sécurité Réduire les services Activer et configurer le pare-feu Normaliser la configuration
SE et applications Correctifs Antivirus
Données Permissions (partage et NTFS) Groupes et appartenance Encrypted File System (EFS) XP et W2003 plusieurs utilisateurs Audit et journalisation
Installer une infrastructure de certificats Gestion des certificats (lifecycle)
Mot de la fin Selon vos besoins et votre expertise Combiner différentes approches meilleure approche!
Pour plus d informationd Internet : www.grics.qc.ca Téléphone : (514) 251-3730 Télécopieur : (514) 251-3920 Courriel : sac@grics.qc.ca