Mise en place d une info-structure étendue et sécurisée à base de logiciels libres

Documents pareils
Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Fiche Technique. Cisco Security Agent

Laboratoire de Haute Sécurité. Télescope réseau et sécurité des réseaux

Administration Avancée de Réseaux d Entreprises (A2RE)

Domain Name System Extensions Sécurité

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

Spécialiste Systèmes et Réseaux

Description des UE s du M2

Devoir Surveillé de Sécurité des Réseaux

Jean-Marie RENARD Université Lille2 - octobre 2007

FORMATION CN01a CITRIX NETSCALER

Parcours en deuxième année

Consolidation. Grid Infrastructure avec la 11gR2

Présentation et portée du cours : CCNA Exploration v4.0

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Administration de systèmes

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique

FORMATION WS0803 CONFIGURATION ET DEPANNAGE DE L'INFRASTRUCTURE RESEAU WINDOWS SERVER 2008

Administration de Réseaux d Entreprises

Cloud Computing : Utiliser Stratos comme PaaS privé sur un cloud Eucalyptus

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Projet Sécurité des SI

Vers un nouveau modèle de sécurité

Virtualisation de la sécurité ou Sécurité de la virtualisation. Virtualisation de la sécurité Sécurité de la virtualisation Retour d expérience

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Programme formation pfsense Mars 2011 Cript Bretagne

FILIÈRE TRAVAIL COLLABORATIF

CLOUD CP3S SOLUTION D INFRASTRUCTURE SOUMIS À LA LÉGISLATION FRANÇAISE. La virtualisation au service de l entreprise. Évolutivité. Puissance.

La sécurité n est pas une barrière à la virtualisation

Mise en place d une politique de sécurité

Découverte de réseaux IPv6

Préparation à la certification LPIC-1 "Junior Level Linux Certification"

La citadelle électronique séminaire du 14 mars 2002

Adopter une approche unifiée en matière d`accès aux applications

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Cours 20410D Examen

International Master of Science System and Networks Architect

Groupe Eyrolles, 2004, ISBN :

LES OUTILS DE SÉCURITÉ

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

LAB : Schéma. Compagnie C / /24 NETASQ

Marché Public en procédure adaptée : Infrastructure Informatique régionale hébergée CAHIER DES CHARGES ET DES CLAUSES TECHNIQUES

Sécurité des réseaux Les attaques

Linux sécurité des réseaux

VIRTUALISATION : MYTHES & RÉALITÉS

Virtualisation & Sécurité

Gérer son DNS. Matthieu Herrb. tetaneutral.net. Atelier Tetaneutral.net, 10 février

Chapitre 01 Généralités

PACK SKeeper Multi = 1 SKeeper et des SKubes

Sécurité des réseaux Firewalls

Notions de sécurités en informatique

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

Groupe Eyrolles, 2006, ISBN : X

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Bibliographie. Gestion des risques

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

L'infonuagique, les opportunités et les risques v.1

Architecture distribuée

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Augmenter la disponibilité des applications JEE grâce au clustering : Le projet open source JShaft

Présentation et portée du cours : CCNA Exploration v4.0

Quelques propositions pour une organisation des ressources réseaux prenant en compte les besoins du LACL

Il est recommandé de fermer les serveurs DNS récursifs ouverts

Hébergement de base de données MySQL. Description du service (D après OGC - ITIL v3 - Service Design- Appendix F : Sample SLA and OLA)

Internet Information Services (versions 7 et 7.5) Installation, configuration et maintenance du serveur Web de Microsoft

Fiche produit FUJITSU ETERNUS DX200F Baie de stockage Flash

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

Fiche Technique Windows Azure

Haute disponibilité avec OpenBSD

Introduction. Adresses

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications.

Extrait de Plan de Continuation d'activité Octopuce

Les modules SI5 et PPE2

La protection des données sensibles et confidentielles

Adonya Sarl Organisme de Formation Professionnelle 75 Avenue Niel PARIS, France

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

Windows Server 2012 R2 Administration avancée - 2 Tomes

Formations. «Produits & Applications»

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

But de cette présentation

pfsense Manuel d Installation et d Utilisation du Logiciel

Haka : un langage orienté réseaux et sécurité

Troisième concours d ingénieur des systèmes d information et de communication. «Session 2010»

Sécurité des réseaux sans fil

Technique et architecture de l offre Suite infrastructure cloud. SFR Business Team - Présentation

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

IDEC. Windows Server. Installation, configuration, gestion et dépannage

Sécurisation d un site nucléaire

Evoluez au rythme de la technologie

COTISATIONS VSNET 2015

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et

StormShield v4.0 StormShield - Version 4.0 Presentation OSSIR 10 juillet 2006

Atelier Sécurité / OSSIR

Transcription:

Mise en place d une info-structure étendue et sécurisée à base de logiciels libres 22 novembre 2007

Plan 1 Organisme : Éof Qu est ce que le libre? Périmètre du mémoire 2 3 Serveur de nom Serveur web Partage de charge Virtualisation 4 Sécurité de la plate-forme Pare-feu 5 Envisageable Envisagé 6 technique du mémoire 7

Remerciements Madame M.-C. Costa Monsieur J.-J Charrière Monsieur P. Jeulin Monsieur D. Skrzypezyk Monsieur A. Mascret Merci également aux nombreux testeurs, contributeurs, relecteurs et à tous ceux qui m ont apporté leur soutien.

L École Ouverte Francophone Organisme : Éof Qu est ce que le libre? Périmètre du mémoire École du Libre, par le Libre et pour le Libre. Organisme de certification professionnelle sur les logiciels libres, qui dispense ses cours via un dispositif complet d enseignement à distance. L école forme non seulement sur les objets techniques, mais également sur le travail collaboratif, à distance, selon les valeurs de la communauté du libre. [Ric07]

Le Logiciel Libre Organisme : Éof Qu est ce que le libre? Périmètre du mémoire Définition des 4 libertés pour l utilisateur Pas de restriction dans l exécution du logiciel (lieu, temps, utilisateur...), disponibilité du code source (sous la forme préférée par l auteur), droit de modification du code, droit de redistribution du logiciel. La gratuité est-elle un droit? Un logiciel libre n est pas obligatoirement gratuit, bien qu il le soit souvent.

Le Logiciel Libre Organisme : Éof Qu est ce que le libre? Périmètre du mémoire Définition des 4 libertés pour l utilisateur Pas de restriction dans l exécution du logiciel (lieu, temps, utilisateur...), disponibilité du code source (sous la forme préférée par l auteur), droit de modification du code, droit de redistribution du logiciel. La gratuité est-elle un droit? Un logiciel libre n est pas obligatoirement gratuit, bien qu il le soit souvent.

Le Logiciel Libre Organisme : Éof Qu est ce que le libre? Périmètre du mémoire Définition des 4 libertés pour l utilisateur Pas de restriction dans l exécution du logiciel (lieu, temps, utilisateur...), disponibilité du code source (sous la forme préférée par l auteur), droit de modification du code, droit de redistribution du logiciel. La gratuité est-elle un droit? Un logiciel libre n est pas obligatoirement gratuit, bien qu il le soit souvent.

Le Logiciel Libre Organisme : Éof Qu est ce que le libre? Périmètre du mémoire Définition des 4 libertés pour l utilisateur Pas de restriction dans l exécution du logiciel (lieu, temps, utilisateur...), disponibilité du code source (sous la forme préférée par l auteur), droit de modification du code, droit de redistribution du logiciel. La gratuité est-elle un droit? Un logiciel libre n est pas obligatoirement gratuit, bien qu il le soit souvent.

Le Logiciel Libre Organisme : Éof Qu est ce que le libre? Périmètre du mémoire Définition des 4 libertés pour l utilisateur Pas de restriction dans l exécution du logiciel (lieu, temps, utilisateur...), disponibilité du code source (sous la forme préférée par l auteur), droit de modification du code, droit de redistribution du logiciel. La gratuité est-elle un droit? Un logiciel libre n est pas obligatoirement gratuit, bien qu il le soit souvent.

Le Logiciel Libre Organisme : Éof Qu est ce que le libre? Périmètre du mémoire Définition des 4 libertés pour l utilisateur Pas de restriction dans l exécution du logiciel (lieu, temps, utilisateur...), disponibilité du code source (sous la forme préférée par l auteur), droit de modification du code, droit de redistribution du logiciel. La gratuité est-elle un droit? Un logiciel libre n est pas obligatoirement gratuit, bien qu il le soit souvent.

Définition Organisme : Éof Qu est ce que le libre? Périmètre du mémoire Une info-structure regroupe les éléments matériels, systèmes et logiciels. C est la base du système d information. Il doit assurer une disponibilité permanente et être imperméable aux attaques intérieures et extérieures afin de pouvoir rendre le service pour lequel il est destiné.

Périmètre Organisme : Éof Qu est ce que le libre? Périmètre du mémoire Ce qui est défendu Une approche globale des couches 2 à 4 du modèle OSI, la vue sur la répartition à travers différentes implémentations de logiciels et de standards, la sécurité par couche du système d information. Ce qui n est pas abordé Les couches hautes du modèle OSI avec les applications pour l utilisateur final, l aspect financier, la formation.

Périmètre Organisme : Éof Qu est ce que le libre? Périmètre du mémoire Ce qui est défendu Une approche globale des couches 2 à 4 du modèle OSI, la vue sur la répartition à travers différentes implémentations de logiciels et de standards, la sécurité par couche du système d information. Ce qui n est pas abordé Les couches hautes du modèle OSI avec les applications pour l utilisateur final, l aspect financier, la formation.

Architecture Un laboratoire pour expérimenter : les services basiques essentiels (dns, web, ssh) les services et protocoles en devenir (honeypot, virtualisation, pki, IPv6) la sécurisation (pare-feu, journalisation, répartition de charge, la disponibilité) Un laboratoire basé sur les logiciels libres et les standards ouverts.

DNS Serveur de nom Serveur web Partage de charge Virtualisation Le DNS est le gardien de la connectivité d Internet. L économie mondiale s écroulerait en l absence d une journée des TLD [ICA07]. Un protocole prudent Redondance inclus dans le protocole par distribution et par répartition (maître esclave) Un protocole sécurisable Par une liste d accès maîtrisée (ACL), Par la confidentialité du transport d échange (TSIG), Par l intégrité des données (DNSSEC).

DNS Serveur de nom Serveur web Partage de charge Virtualisation Le DNS est le gardien de la connectivité d Internet. L économie mondiale s écroulerait en l absence d une journée des TLD [ICA07]. Un protocole prudent Redondance inclus dans le protocole par distribution et par répartition (maître esclave) Un protocole sécurisable Par une liste d accès maîtrisée (ACL), Par la confidentialité du transport d échange (TSIG), Par l intégrité des données (DNSSEC).

DNS Serveur de nom Serveur web Partage de charge Virtualisation Le DNS est le gardien de la connectivité d Internet. L économie mondiale s écroulerait en l absence d une journée des TLD [ICA07]. Un protocole prudent Redondance inclus dans le protocole par distribution et par répartition (maître esclave) Un protocole sécurisable Par une liste d accès maîtrisée (ACL), Par la confidentialité du transport d échange (TSIG), Par l intégrité des données (DNSSEC).

Serveur Web Serveur de nom Serveur web Partage de charge Virtualisation Un serveur Web met à disposition du réseau une ressource locale. Celle-ci peut être brute, sous forme statique (html), ou calculée, sous forme dynamique (php, cgi,...). Toute introduction de dynamisme accroît la complexité du partage des données en temps réel. On en appelle souvent à la notion d architecture n-tiers. Dans ce cas, le frontal web n est plus qu un squelette qui garde cependant le devoir d affichage. Le processus de recopie peut s effectuer : d un serveur de développement vers les frontaux, d un frontal maître vers les autres serveurs.

de charge Serveur de nom Serveur web Partage de charge Virtualisation Définition Le principe premier de la répartition de charge consiste à distribuer le travail à effectuer sur plusieurs machines. Cela permet de faire face plus efficacement aux grosses variations d activité. Un choix d algorithme Dix algorithmes sont proposés initialement par le noyau Linux. Ils vont de la simple bascule séquentielle à de la gestion par table de condensat ou de minimisation du délai.

Serveur de nom Serveur web Partage de charge Virtualisation L intérêt de la virtualisation pour la répartition de charge La durée de vie des disques durs Le mythe des 140 ans [EP07][eGAG07] de vie ne trompe plus personne. Le matériel devient jetable, il faut donc trouver des solutions dans le logiciel. Des avantages : de coût (espace mutualisé), de maintenance (un système maître pour plusieurs esclaves), de portabilité (possibilité de migrer vers un environnement physique ultra rapide).

Serveur de nom Serveur web Partage de charge Virtualisation L intérêt de la virtualisation pour la répartition de charge La durée de vie des disques durs Le mythe des 140 ans [EP07][eGAG07] de vie ne trompe plus personne. Le matériel devient jetable, il faut donc trouver des solutions dans le logiciel. Des avantages : de coût (espace mutualisé), de maintenance (un système maître pour plusieurs esclaves), de portabilité (possibilité de migrer vers un environnement physique ultra rapide).

Sécurité globale Sécurité de la plate-forme Pare-feu Chausse-trappe Les chiffres que l on retient 100% des administrateurs vont ou se sont fait pirater, 80% des problèmes de sécurité sont internes à l entité, 70% des attaques sont concentrées sur les applications web. Ceux que l on oublie Les cinq premières menaces concernent des applications/sites Internet a les cinq premières menaces concernent des applications mal programmées a http://www.owasp.org/index.php/top_10_2007

Sécurité globale Sécurité de la plate-forme Pare-feu Chausse-trappe Les chiffres que l on retient 100% des administrateurs vont ou se sont fait pirater, 80% des problèmes de sécurité sont internes à l entité, 70% des attaques sont concentrées sur les applications web. Ceux que l on oublie Les cinq premières menaces concernent des applications/sites Internet a les cinq premières menaces concernent des applications mal programmées a http://www.owasp.org/index.php/top_10_2007

Sécurité des flux Sécurité de la plate-forme Pare-feu Chausse-trappe Le pare-feu est assimilable à un poste de douane. On ne peut peut-être pas contrôler chaque paquet finement, mais on limite l accès dans les grands axes. Certain groupement 1 préconisent la suppression du pare-feu. À défaut d être un élément complet et suffisant, il accentue la sécurité par couche, comme le préconise l histoire militaire [GdbB05]. Une politique par défaut On bloque tous les accès et on ouvre au cas par cas! 1 http ://www.opengroup.org/jericho/

Pot de Miel Sécurité de la plate-forme Pare-feu Chausse-trappe Une surveillance améliorée Une surveillance interactive qui permet d attirer les intrus vers un point d engluement, ou à défaut, de détection. L avènement des pots de miels est étroitement liée à l avancée de la virtualisation et surtout du containment. Des résultats rapide, mais La législation française ne statue rien au sujet de ce type de logiciel. L exploitation des résultats n est donc à envisager qu en préventif et pas pour des poursuites.

Pot de Miel Sécurité de la plate-forme Pare-feu Chausse-trappe Un outil puissant... Une alternative ou une extension à la détection d intrusion. La technologie est absente du monde de l entreprise, cependant, la présence de la détection d intrusion ne brille pas par ses résultats ou sa portée. Seule l introduction d expert technique du domaine permettra une avancée dans cet usage.... à maîtriser Nous sommes dans un système à la disposition d intrus. Si le système à faible interaction limite le code à vérifier, un système à forte interaction reste, à ce jour, une épée de Damocles.

Évolution Envisageable Envisagé Architecture n-tiers, Détection d intrusion avancée (autre que décisionnel d achat), Haute-disponibilité avancée.

Vers IPv6 Envisageable Envisagé Pénurie d adresse IPv4 d ici deux à quatre ans (RIPE 55) Redéfinition des espaces Intégration du nomadisme Sécurisation des transferts au niveau 3

Ce qu il ne faut pas oublier technique du mémoire Haute dispo, redondance,... La haute disponibilité a été inventée pour assurer une sécurité d accès au contenu. Cependant, comme tout logiciel, des comportements inattendus peuvent s être glissé dans l implémentation. Sécurité, oui mais... Le maillon le plus faible restera toujours l utilisateur qui, de par sa volonté propre, ne souhaite pas s informer, apprendre, comprendre les enjeux de la sécurité informatique. [Ran06]

Vers une conclusion... technique du mémoire Le métier de base de l ingénieur consiste à résoudre des problèmes de nature technologique, concrets et souvent complexes, liés à la conception, à la réalisation et à la mise en oeuvre de produits, de systèmes ou de services. Cette aptitude résulte d un ensemble de connaissances techniques d une part, économique, social et humain d autre part, reposant sur une solide culture scientifique.

I Bianca Schroeder et Garth A. Gibson. Disk failures in the real world : What does an mttf of 1,000,000 hours mean to you? In 5th USENIX Conference on File and Storage Technologies. FAST 07, Février 2007. http://www.pdl.cmu.edu/pdl-ftp/failure/ CMU-PDL-06-111.pdf. Wolf-Dietrich Weber et Luiz André Barroso Eduardo Pinheiro. Failure trends in a large disk drive population. In 5th USENIX Conference on File and Storage Technologies. FAST 07, Février 2007. http://labs.google.com/papers/disk_failures.pdf.

II MBE Général de brigade Bayley. Le combat dans la profondeur 1914-1941 : la naissance d un style de guerre moderne. Les cahiers du Retex n o 15, Avril 2005. http: //www.cdef.terre.defense.gouv.fr/publications/ cahiers_drex/cahier_retex/retex15.pdf. ICANN. Root server attack on 6 february 2007, Mars 2007. http://www.icann.org/announcements/ factsheet-dns-attack-08mar07.pdf.

III Marcus J. Ranum. Point/counterpoint : User education. Information Security Magazine, Avril 2006. http://www.ranum.com/security/computer_security/ editorials/point-counterpoint/users.html. Olivier Ricou. Apprendre par les logiciels libres. 1re soumission à Environnements Informatiques pour l apprentissage Humain, Janvier 2007.

Questions Questions?

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back