Évolution de l architecture de réseau avec garde-barrière, VPN, accès distants

JRES 2003 Lille, 20 novembre 2003 Évolution de l architecture de réseau avec garde-barrière, VPN, accès distants Marie-Claude QUIDOZ & Catherine GRENET CNRS/UREC Évolution de l architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC 1

Introduction Situation actuelle Évolutions Attaques Besoins Nouvelle architecture réseau Réalisations «pratiques» VPN Des problèmes encore en suspens Point de vue d un laboratoire du CNRS Évolution de l architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC 2

Situation des années 2000 Nous sommes totalement dépendants De la disponibilité des équipements informatiques Du réseau interne et de la connexion à Internet «Notre» Internet a changé Réseau académique -> Réseau universel Malheureusement nos réseaux et nos accès à Renater ont été conçus en 94-95 pour un Internet académique «familial» Recommandations d architecture de réseau avec filtrages pour améliorer la sécurité Évolution de l architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC 3

Architecture réseau recommandée : rappel Entité 1 Internet R1 WEB MAIL DNS. Base de données publique R2 Entité N Administration Serveurs internes Zone semi-ouverte Zone interne Utile si et seulement si des mécanismes de filtrage sont mis en place Évolution de l architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC 4

Situation actuelle Mise en place progressive Au niveau du laboratoire, institut, campus, Avec un routeur, un garde-barrière, avec ipchains, Avec un nombre de zones variables (au minimum 2) Avec une politique de contrôle d accès de + en + stricte De nombreux points positifs Limiter le nombre de piratages et leurs conséquences Prendre en compte plus facilement de nouveaux besoins Améliorer le dialogue au sein du laboratoire Mais la situation évolue Évolution de l architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC 5

Évolutions des attaques Au niveau contrôle d accès But : profiter des faiblesses du contrôle d accès mis en place Exemple : installation de chevaux de troie sur un port non filtré ; forger une trame avec SYN=1 et RST=1 Moyen de protection : limiter les ports ouverts et considérer les connexions dans leur contexte Au niveau application But : contourner les politiques de contrôle d accès Exemple : exploitation d une vulnérabilité d un service (buffer overflow) ; utilisation «non conforme» d un service Moyen de protection : appliquer les correctifs, intercepter les connexions et examiner le contenu des paquets Évolution de l architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC 6

Modes de filtrage Filtre de paquets sans état Proxy Filtre de paquets à états Passerelle applicative Simple examen d entête IP, TCP, UDP - pour : simple et rapide - contre : laisse de nombreux ports ouverts Réécriture des paquets - 2 connexions - pour : bon niveau de sécurité - contre : 1 «proxy» par application ; lourd Mémorisation de l état des connexions - pour : moins de ports ouverts - FTP, H.323, - contre : application spécifique Analyse approfondie du contenu du paquet - pour : bonne protection / virus, P2P, - contre : technologie très récente - pas de recul Évolution de l architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC 7

Quelques conseils pour faire un choix Pas de réponse unique Dépend principalement des applications utilisées Cependant un consensus existe Certaines faiblesses pour les filtres de paquets statiques Corrigées avec les filtres de paquets dynamiques Actuellement le «must» semble être le filtrage applicatif Apporte une protection beaucoup plus fine / applications C est LA réponse aux attaques actuelles Est-ce que ce sera la réponse aux attaques de demain? Attention aux effets de modes! Évolution de l architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC 8

Évolutions des besoins Segmentation Pour sécurité, performance, administration 802.1Q Nomadisme Déplacement physique des machines, accès à distance SSL/TLS, SSH VPN 802.1X Interconnexion de sites distants Création d un réseau privé sur une infrastructure publique VPN Translation d adresses Pour pallier le manque d adresses IP Pour faciliter l écriture du routage et du filtrage NAT, PAT Évolution de l architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC 9

Nouvelle architecture réseau Zone semi-ouverte (services externes) Réseau administration I N T E R N E T X R BD publiques LDAP SMTP SMTP/TLS IMAPS POPS LDAPS GB FTP anonyme DNS externe HTTP SMTP POP IMAP SSH (relais) X C FTP interne Entité 1 Entité N Salles de TP Visiteurs (portables, ) Serveur fichiers Serveur NIS Serveur de calcul Serveur de domaine NT Services communs HTTPS STUNNEL Serveur calcul ou d applications Serveur sauvegardes HTTP interne Serveur de log DNS interne Zone semi-ouverte authentifiée (services accessibles par authentification forte) Zone interne (services internes) Évolution de l architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC 10

Configuration type Réseau du laboratoire Réseau de l opérateur : - Réseau de campus - Réseau métropolitain - Réseau régional - Zone semi-ouverte Zone interne Entité 1 R GB C/R Entité N Serveurs internes Zone semi-ouverte authentifiée Évolution de l architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC 11

Réseau non segmenté connecté par un commutateur Ethernet Sans garde-barrière INTERNET Laboratoire Avec un garde-barrière INTERNET Garde-barrière Commutateur Ethernet Commutateur Ethernet serveur client serveur client Évolution de l architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC 12

Réseau non segmenté connecté par un routeur IP à 2 ports Sans garde-barrière INTERNET Avec un garde-barrière INTERNET Laboratoire Garde-barrière Commutateur Ethernet Commutateur Ethernet serveur client serveur client Évolution de l architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC 13

Réseau segmenté connecté par un routeur IP multiport (1) Sans garde-barrière INTERNET IP 1 Laboratoire Avec un garde-barrière (mode pont) INTERNET IP 1 Garde-barrière IP 2 IP 2 IP α IP α IP β IP β Serveurs Internet Serveurs internes s clients Serveurs Internet Serveurs Internes s clients Évolution de l architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC 14

Réseau segmenté connecté par un routeur IP multiport (2) Sans garde-barrière INTERNET Avec un garde-barrière (mode routeur) INTERNET Laboratoire IP α IP 1 IP 2 IP α IP 1 IP 2 Garde-barrière IP A IP B IP β IP β Serveurs Internet Serveurs internes s clients Serveurs Internet Serveurs internes s clients Évolution de l architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC 15

Réseau segmenté connecté par un commutateur Ethernet Sans garde-barrière INTERNET Avec un garde-barrière (mode pont) INTERNET Laboratoire Transport de VLAN 802.1Q Garde-barrière Commutateur Ethernet VLAN 1 VLAN 2 Commutateur Ethernet VLAN 1 VLAN 2 serveur client serveur client Évolution de l architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC 16

Et les VPN? Réseau du laboratoire Réseau de l opérateur : - Réseau de campus - Réseau métropolitain - Réseau régional - Zone semi-ouverte Zone interne Entité 1 R GB C/R Entité N Serveurs internes Zone semi-ouverte authentifiée Évolution de l architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC 17

Architecture réseau avec VPN : les questions Adressage Quelles adresses IP pour le site ou la machine distante? Sous-réseau distinct, plage d adresses dans le réseau du labo Contrôle d accès Veut-on faire du contrôle d accès entre le site ou la machine distante et le réseau interne? Dépend du niveau de confiance accordé aux machines distantes Problème différent pour les sites distants et les itinérants Accès Internet Le site ou la machine distante accède-t-il à Internet par l intermédiaire du laboratoire ou par son propre accès? Évolution de l architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC 18

VPN : accès Internet Internet Serveur VPN Réseau du laboratoire Internet Serveur VPN Réseau du laboratoire Évolution de l architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC 19

VPN : une proposition d architecture Adressage : sous-réseau IP distinct Contrôle d accès : Se réserver la possibilité d en faire Ne peut se faire qu en sortie du tunnel, après déchiffrement Accès Internet : Sites distants : Choisir plutôt l accès indépendant (par le réseau public) Itinérants : Choisir plutôt l accès par le laboratoire (à travers le tunnel) Évolution de l architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC 20

VPN : choix du type d équipement, garde-barrière ou équipement dédié? ou garde-barrière : Simplification du routage Le contrôle d accès en sortie du tunnel est fait par le même équipement Équipement dédié : Où le placer dans le réseau? Évolution de l architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC 21

Nouvelle architecture réseau avec boîtier VPN Réseau de l opérateur Réseau du laboratoire Serveurs accessibles de l Internet R GB Vers réseau interne VPN Évolution de l architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC 22

Des problèmes encore en suspens Grilles de calcul Applications spécifiques Multicast Visioconférence Application typique / ports Matériel dédié / visio sur poste de travail Borne sans fil «Hot spot», extension d un réseau, Problème de sécurité et d architecture Une nouvelle architecture de réseau en 2004? Évolution de l architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC 23