Architecture Reseau Securisee

ARCHITECTURE DE
RESEAU SECURISEE
avec filtrages
http://www.urec.cnrs.fr/securite/articles/archi.reseau.pdf
http://www.urec.cnrs.fr/securite/articles/archi.reseau. pdf
17/5/2000
Jean-Luc Archimbaud
Architecture sécurisée – Jean-Luc Archimbaud CNRS/UREC 1
L’Internet a changé …
§ Réseau académique à LE réseau (universel)
• Nombre de machines connectées en France
– 1990 : 3 000
– 1994 : 70 000
– 1997 : 300 000
– Fév 2000 : 1 264 027
§ De plus en plus de problèmes de sécurité

• Equipes sécurité
– CERT-Renater ½ p -> 3 p ½ - UREC ½ p -> 2 p ½
• Nombre mensuel d’incidents traités par le CERT-Renater
– 97 : 10 - 98 : 20 - 99 : 100 - 01/2000 : 190
• Réunion du G8
§ Nos réseaux et nos accès à Renater

• Conçus en 94-95 pour un Internet académique « familial »
Rester totalement ouvert : inconscience
Page
Les systèmes n’ont pas changés …
§ Les Windows (NT …) ne sont pas mieux qu’Unix
(pour la sécurité)
§ Tous les systèmes ont des bogues (de sécurité)

• 1/1 – 31/3/00 : CERT-Renater 48 vulnérabilités et 6 alertes
§ Ils sont toujours livrés ouverts par défaut

• Avec des démons ou services réseaux actifs et inutiles qui
sont autant de points d’attaques
• Les administrateurs doivent « faire le ménage »
§ De plus en plus de stations dans les labos et campus
On ne peut pas maintenir la totalité de son parc

informatique sans trou de sécurité
Outil classique d’attaque sur Internet

1. Scan du réseau pour découvrir les stations
2. Vérification des versions des démons et services

réseaux démarrés
3. Attaque des versions avec des trous de sécurité
4. Passage en mode administrateur

• Enregistrement de nouveaux utilisateurs
• Modification des exécutables : portes dérobées
• Installation de sniffers : récupération de mots de passe
• Installation de zombies, agents, … : dénis de service
Protection :
Bloquer ou limiter la portée des étapes 2 et 3
Page
Architecture d’un site : principes
§ Segmentation du réseau avec des routeurs
• Entrée de site : zone semi-ouverte
– Serveurs réseau
• Un segment (ou VLAN …) par laboratoire / service / …
§ Flux des applications : contrôlés par filtrage

• Dans le sens sortant : peu de limitations : toutes les stations
peuvent être clientes (sauf salles de formation ?)
• Dans le sens entrant :
– Tout interdire par défaut
– Ne laisser passer que les applications utilisées vers des serveurs
identifiés et bien administrés
• Où (mettre des filtres) ?
– En entrée de site
– Entre segments (laboratoires ou services)
Architecture : schéma simplifié
Labo A
WEB
MAIL
DNS
Internet
R1 R2 Labo N
Base de
données
publique Administration
…
Salle TP
Zone
semi-ouverte
Page
Architecture : schéma détaillé
Réseau administration
IPtrafic ou Equipe de recherche / labo A

Détecteur
d’intrusions Equipe de recherche / labo B
Routeur
Backbone
Internet R1
R2 S
RTC
Mail Equipe de recherche / labo X
sans sh
Cache Web Salles de TP
DNS
Portables …
WEB News
Mail
FTP avec sh
anonyme Services communs internes
Relais
telnet et ftp Serveur Serveur Serveur WEB Serveur
calcul ou sauvegardes interne logs
d’applications
Zone semi-ouverte
Architecture : filtres
Réseau administration
Salle TP
Portables
Equipe de recherche / labo X

IPtrafic ou
Détecteur
I d’intrusions
N Service
T non
E reconnu
Mail
R Mail sans sh
N
E Backbone
T WEB R2 Administration
WEB
FTP
anonyme
FTP
Relais
telnet et ftp
Telnet
Routeur Zone semi- ouverte Salle TP
R1
Page
Bénéfices de l’architecture
§ L’attaque décrite avant
• Ne testera que les services de la zone semi-ouverte
• Ne pourra pas attaquer
– Les démons sendmail … des Unix internes
– Les services ou les chevaux de Troie NT
§ Administration des stations
• Internes (très nombreuses) : laxisme tolérable
• Zone semi-ouverte (une poignée) : avec beaucoup de soin
– Chgt version, correctifs, gestion utilisateurs, …
§ Evolutions possibles sans remise en cause de
l’architecture :
• Nouveau service réseau
• Garde-barrière applicatif …
Mise en place de l’architecture

§ C’est un modèle à adapter
• Ajouts : NAT, GB applicatif, …
§ Faut il posséder «son» routeur ?
§ On peut ouvrir quand besoin particulier
§ Où ? Porte du campus – de l’Institut – du labo ?
§ Définir une méthodologie pour la définition et la mise
en place :
• Concertation obligatoire avec les utilisateurs et les
administrateurs
Ce modèle ne restreint pas l’utilisation de l’Internet

Un utilisateur a les mêmes services qu’avant
Il faut ensuite un suivi : journaux, …

Page

Architecture Reseau Securisee

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Architecture Reseau Securisee

Transféré par

Droits d'auteur :

Formats disponibles

ARCHITECTURE DE

Architecture sécurisée – Jean-Luc Archimbaud CNRS/UREC 1

§ De plus en plus de problèmes de sécurité

§ Nos réseaux et nos accès à Renater

Rester totalement ouvert : inconscience

Architecture sécurisée – Jean-Luc Archimbaud CNRS/UREC 2

§ Tous les systèmes ont des bogues (de sécurité)

§ Ils sont toujours livrés ouverts par défaut

§ De plus en plus de stations dans les labos et campus

On ne peut pas maintenir la totalité de son parc

Outil classique d’attaque sur Internet

2. Vérification des versions des démons et services

3. Attaque des versions avec des trous de sécurité

4. Passage en mode administrateur

§ Flux des applications : contrôlés par filtrage

Architecture sécurisée – Jean-Luc Archimbaud CNRS/UREC 5

Architecture : schéma simplifié

Architecture sécurisée – Jean-Luc Archimbaud CNRS/UREC 6

IPtrafic ou Equipe de recherche / labo A

Architecture sécurisée – Jean-Luc Archimbaud CNRS/UREC 7

Equipe de recherche / labo X

Architecture sécurisée – Jean-Luc Archimbaud CNRS/UREC 8

Architecture sécurisée – Jean-Luc Archimbaud CNRS/UREC 9

Mise en place de l’architecture

Ce modèle ne restreint pas l’utilisation de l’Internet

Il faut ensuite un suivi : journaux, …

Vous aimerez peut-être aussi