Une architecture de réseau sécurisée avec filtrages



Documents pareils
Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

M1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015

Point de situation et plan d'action du SITEL. Présentation de A. Mokeddem, devant la Commission informatique le 2 octobre 2000

LAB : Schéma. Compagnie C / /24 NETASQ

Sécurité des réseaux Firewalls

Commission informatique du 29 janvier Activités 2001 et plan d action 2002 A. Mokeddem

Administration réseau Firewall

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Le filtrage de niveau IP

Figure 1a. Réseau intranet avec pare feu et NAT.

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

Sécurité des Réseaux et d internet. Yves Laloum

TCP/IP, NAT/PAT et Firewall

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Sécurité et Firewall

TP4 : Firewall IPTABLES

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Sécurité des réseaux Les attaques

Devoir Surveillé de Sécurité des Réseaux

Quelques propositions pour une organisation des ressources réseaux prenant en compte les besoins du LACL

Date : NOM Prénom : TP n /5 ET ADMINISTRATION D'UN

VPN. Réseau privé virtuel Usages :

Aperçu technique Projet «Internet à l école» (SAI)

Audits Sécurité. Des architectures complexes

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

z Fiche d identité produit

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

PROGRAMME DETAILLE. Parcours en première année en apprentissage. Travail personnel CC + ET réseaux

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Tendances de la sécurité informatique à l IN2P3. Actions pour renforcer la sécurité. Sécurité Cargèse 2001 Bernard Boutherin 1

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Projet Système & Réseau

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Plan de cours. Fabien Soucy Bureau C3513

RÉCAPITULATIF DES ENJEUX ET DE LA MISE EN PLACE POLITIQUE DE SÉCURITÉ DANS UN RÉSEAU

Internets. Informatique de l Internet: le(s) Internet(s) Composantes de l internet R3LR RENATER

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

Indicateur et tableau de bord

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

GENERALITES. COURS TCP/IP Niveau 1

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Projet Sécurité des SI

Le protocole IPv6 sur le Réseau Académique Parisien

Détection d'intrusions et analyse forensique

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Fiche Technique. Cisco Security Agent

Lyon, mardi 10 décembre 2002! "#$%&"'"# &(

Logiciel 7.0. Système de Base TELMATWEB 7.0 Logiciel Telmatweb V7.0 comprenant les fonctionnalités suivantes en standard : TARIFS PUBLICS

Services Réseaux - Couche Application. TODARO Cédric

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

CONFIGURATION FIREWALL

SECURITE. Figure 1. Incident réseau, source CERT. Nombre. Sécurité

25/08/2013. Vue Nagios. Vue Nagios. Le réseau du lycée

Retour d expérience sur Prelude

L3 informatique Réseaux : Configuration d une interface réseau

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

Présentation du modèle OSI(Open Systems Interconnection)

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Licence professionnelle Réseaux et Sécurité Projets tutorés

Présentation Internet

Sauvegarde des données au LAAS

Point de situation et plan d'action du SITEL 04/ /2001

PACK SKeeper Multi = 1 SKeeper et des SKubes

Logiciels de détection d intrusions

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Programme formation pfsense Mars 2011 Cript Bretagne

Constat. Nicole DAUSQUE, CNRS/UREC

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

MISE EN PLACE DU FIREWALL SHOREWALL

ADMINISTRATION DE RESEAUX SOUS LOGICIEL «OPEN SOURCE»

ClariLog - Asset View Suite

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Nouvellement recruté au sein de l entreprise STEpuzzle, Vous êtes stagiaire administrateur réseau et système.

Catalogue «Intégration de solutions»

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Administration de systèmes

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas

Mandataires, caches et filtres

Etat des lieux sur la sécurité de la VoIP

Couche application. La couche application est la plus élevée du modèle de référence.

Prise en main d un poste de travail sous Windows sur le réseau du département MMI de l'upemlv. d après M. Berthet et G.Charpentier

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Security and privacy in network - TP

Spécialiste Systèmes et Réseaux

acpro SEN TR firewall IPTABLES

INTRUSION SUR INTERNET

Live box et Nas Synology

DSI - Pôle Infrastructures

Cours Linux. Cours en ligne Administrateur Systèmes Linux. Académie Libre

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

DIR-635 : Serveur virtuel

DenyAll Detect. Documentation technique 27/07/2015

Dr.Web Les Fonctionnalités

FILTRAGE de PAQUETS NetFilter

Transcription:

Une architecture de réseau sécurisée avec filtrages UREC/CNRS - LAAS/CNRS Mai 2000

L internet a changé... Réseau académique LE réseau (universel) Nombre de machines connectées en France : 1990 3 000 1994 7 000 1997 30 000 Fév 2000 1 264 000 De plus en plus de problèmes de sécurité : Nombre mensuel d incidents traités par le CERT Renater : 97 : 10-98 : 20 99 : 100-01/2000 : 190-06/2000 : 280 Nos réseaux et nos accès à Renater conçus en 94-95 pour un Internet académique familial Rester totalement ouvert : inconscience 1

Les systèmes n ont pas changé... Défauts de sécurité dans certains protocoles, Windows 9x/NT n est pas mieux qu Unix (pour la sécurité) Tous les systèmes ont des vulnérabilités (securityfocus.com 1999) : Windows NT4SP4 29 Solaris 7 27 RedHat Linux 6.1 20 Ils sont toujours livrés ouverts par défaut Avec des services réseaux inutiles mais activés Les administrateurs doivent faire le ménage De plus en plus de stations dans les labos et sur les campus... On ne peut pas maintenir la totalité de son parc sans trou de sécurité 2

Schéma classique d attaque sur Internet 1. Scan du réseau pour découvrir les stations 2. Vérification des versions des démons et des services actifs 3. Attaque des versions avec trous de sécurité 4. Passage en mode administrateur et : création de nouveaux utilisateurs modification d exécutables portes dérobées installation d un sniffer : récupération des mots de passe installation d outils de déni de service distribués Protection : bloquer ou limiter la portée de 2 et 3 3

Les Gardes-barrière (Firewalls) Internet Firewall Intranet Niveau application (relais applicatifs/proxys) Niveau réseau (filtrage IP, VPs,...) Niveau physique (VLans,...) Zone Démilitarisée (DMZ) 4

Architecture d un site : principes Segmentation du réseau avec des routeurs Entrée du site : zone semi-ouverte serveurs réseau Un segment (ou VLAN) par laboratoire / service... Flux des applications : controlés par filtrage définir une politique Où mettre les filtres? en entrée du site entre segments (laboratoire/salles de cours/gestion) 5

Politique de filtrage dans le sens sortant : peu de limitations, toutes les stations peuvent être clientes (sauf exceptions : salles de formation...). dans le sens entrant : Tout interdire par défaut, Limiter l accès aux services connus et bien administrés. à l intérieur : segmenter les différentes communautés si nécessaire. séparation des machines qui offrent des services sur l internet du reste du réseau. 6

Architecture : schéma simplifié Internet R1 WEB Mail DNS FTP News... Annuaire R2 Labo 1... Labo n administration 7

Architecture : schéma détaillé Architecture : schéma détaillé Réseau administration Internet Routeur R1 Mail sans sh DNS IPtrafic ou Détecteur d intrusions RTC Cache Web Backbone R2 Equipe de recherche / labo A Equipe de recherche / labo B S Equipe de recherche / labo X Salles de TP WEB News Portables FTP anonyme Mail avec sh Services communs internes Relais telnet et ftp Serveur calcul ou d applications Serveur Serveur WEB sauvegardes interne Serveur logs Zone semi-ouverte 8

Services dans la zone semi-ouverte Web, FTP, DNS, mail (SMTP), News, base de données publiques, accès RTC, Machines dédiées à ces fonctions : pas de comptes utilisateurs ni d applications inutiles Traces du traffic par tcp wrappers dirigées vers une machine interne Mail : serveur SMTP redirige les messages vers les BALs à l intérieur. Option : relais applicatifs telnet, POP/Imap,... 9

Architecture : filtres Architecture : filtres Réseau administration Salle TP Portables Equipe de recherche / labo X I N T E R N E T Service non reconnu Mail WEB FTP Telnet Routeur R1 Mail sans sh WEB FTP anonyme Relais telnet et ftp Zone semi-ouverte IPtrafic ou Détecteur d intrusions Backbone R2 Administration Salle TP 10

Filtrage IP Sur R1 : Dans le sens entrant : tout interdire sauf services de la zone semi-ouverte autorise quelques services (SSH) vers la zone interne. Cacher des sous-réseaux à protéger complètement de l internet Sur R2 : R2 peut avoir des fonctionnalités plus primaires. Rôle : protection des entités internes entre elles : restreindre les accès à l administration Possibilité de faire du NAT sur un réseau 11

Bénéfices de l architecture L attaque type décrite précédement : ne testera que les services de la zone semi-ouverte, ne pourra attaquer : les démons sendmail... des Unix internes, les services ou les chevaux de Troie NT. Administration des stations Internes (très nombreuses) : laxisme tolérable Zone semi-ouverte (une poignée) : avec beaucoup de soins versions à jour, correctifs, gestion utilisateurs,... Évolutions possibles sans remise en cause de l architecture : Nouveaux services réseau, Garde-barrière applicatif... 12

Alternatives à cette architecture NAT Pourquoi pas? Avantages : oblige à faire un inventaire des services utilisés, rend les stations clientes inaccessibles. Mais si bon inventaire et bon filtrage en place : NAT n apporte pas de fonction de sécurité supplémentaire, incompatible avec certains protocoles (UDP). Garde-barrière applicatif Goulot d étranglement débit. Coût : il faut l acheter et l administrer. Mais solution envisageable sur certains sites. 13

Mise en place de l architecture Ceci est un modèle à adapter Faut-il posséder son routeur? On peut ouvrir si besoin particulier Où? Porte du campus - du labo? Définir une méthodologie pour la définitiion et la mise en place Concertation avec les utilisateurs Ce modèle ne restreint pas l utilisation de l Internet Un utilisateur a les mêmes services qu avant 14

Bilan Réduction du nombre de machines/services visibles de l internet réduction du nombre de vulnérabilités. Connaître et maîtriser les flux dans le réseau. Évolution possible par ajout de fonctions. Il faut ensuite un suivi : journaux,... 15

Exemple : au LAAS remip 195.220.53.164 195.83.132.129 INTERNET 195.83.132.128 serveurs/proxys VLAN 2 195.83.132.130 195.83.132.65 P550 140.93.0.75 195.83.132.64 OLC VLAN 3 140.93.0.0 LAAS VLAN 4 16

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back