Projet Scurit Rseaux

Nom de l'universit : Intitul du cours : Binme : Date :

Universit de Nice Sophia-Antipolis Scurit Rseaux Ferro Luca & Salman Nader 31/01/2006

CONTENU DU SOMMAIRE

INTRODUCTION ....................................................................... 3 RISQUES ET PARADES............................................................ 4 DEFINITION DES CAS DUTILISATION PRINCIPAUX..........5 SUJETS ET OBJETS DU SYSTEME MIS EN CAUSE...........5 RISQUES POTENTIELS ENCOURUS ET RISQUES MAJEURS...............................................................7 SOLUTION DE SECURITE..................................................... 12 STRUCTURE DES RESEAUX DE LENTREPRISE............. 14 EMPLACEMENT DES PRINCIPAUX SERVEURS, COMPOSANTS PHYSIQUES ET LOGIQUES..................... 18 BIBLIOGRAPHIE..................................................................... 25

INTRODUCTION :

Les attaques informatiques constituent aujourdhui lun des flaux de notre civilisation moderne. Il ne se passe plus une semaine sans que lon apprenne que telle entreprise ou tel institut a essuy de lourdes pertes financires en raison dune dficience de la scurit de son systme dinformation. Par consquent les entreprises ne peuvent plus ignorer ces risques et se croire labri de telles preuves. Cest donc pour cela que nous nous sommes penchs sur la scurit de l activit lectronique dune entreprise de loterie comme la Franaise des Jeux. Nous allons donc, pour lever toute ambigut, prsenter le systme tel que nous lavons compris. Nous avons donc une entreprise qui propose de nombreux commerants une franchise qui leur permet denregistrer des paris. Chaque transaction est effectue a laide dun terminal spcifique fournit par lentreprise. Chaque semaine, un tirage au sort lieu sous le contrle dun reprsentant lgal dans les studios de tlvision. Les paris sont centraliss au sige de lentreprise, ainsi que les rsultats du tirage. Les rapports et les statistiques sur les gagnants sont fournis aux diffrents organes de presse ainsi quau contrleur lgal lequel peut exiger un rapport dtaill par Email. Les gagnants se prsentent sur nimporte quel point de vente pour encaisser leur gain ceci implique donc que le commerant devra en tenir informer le sige. Le logiciel des terminaux est quant a lui dvelopp par une quipe de programmeurs oprants en province, on suppose donc que ces derniers sont a distance par rapport au sige. Une autre quipe dadministrateurs dveloppe la base de donne du sige sur leur lieu de travail. Nous commencerons par tudier les principaux cas dutilisation engendrs par notre systme et en tirer les risques potentiels encourus ainsi que les solutions mettre en oeuvre pour limiter les risques majeurs. Puis nous dterminerons la structure des rseaux de lentreprise ainsi que lemplacement des principaux serveurs et composants du systme. Finalement nous localiserons les composants physiques ou logiques du systme de scurit que lon aura mis en ouvre.

RISQUES ET PARADES

Aujourdhui les diffrentes transactions commerciales sappuient de plus en plus sur les rseaux informatiques. Avec la libre circulation des informations et la haute disponibilit de nombreuses ressources, les responsables de rseaux dentreprise, telle que la FDJeux, doivent connatre toutes les menaces susceptibles de compromettre la scurit. Celles-ci prennent de nombreuses formes, mais rsultent toutes en une compromission de la confidentialit un certain degr et en une destruction possible de donnes ou de ressources pouvant conduire a des pertes financires considrables. Il est important de connatre les points de vulnrabilit dun rseau pouvant servir de porte dentre dventuels intrus et de distinguer les diffrentes catgories dattaquants. Le niveau de confiance doit quant lui tre dfini selon les besoins. Il sera donc ncessaire de restreindre lutilisation des quipements et des ressources de linfrastructure de rseau. Limiter laccs uniquement aux personnes qui en ont besoin reprsente un bon moyen de se protger des nombreuses menaces de scurit. Nous allons donc voir dans ce qui suit les principaux acteurs et activits de notre systme ainsi que les diffrents risques pouvant tres encourus pour lesquels nous donnerons une solution a mettre en ouvre.

DEFINITION DES CAS D'UTILISATION PRINCIPAUX SUJETS ET OBJETS DU SYSTEME MIS EN CAUSE Notre interprtation du systme comporte les acteurs suivants : a) Commerant b) Studios de tlvision c) Sige d) Reprsentant lgal e) Organes de presse f) Equipe des programmeurs g) Equipe des administrateurs On peut alors constater que le joueur/gagnant n'est pas prsente. Cela est du au fait qu'il n'interagit pas directement avec le "systme". Certains acteurs identifient un groupe de sujets ayant exactement le mme rle dans un cas donn (par exemple "Organes de presse"). Les cas d'utilisations remarquables sont : A) Enregistrer un pari (transaction) B) Signaler un encaissement du gain (transaction), comportant l'identification stricte du gagnant C) Communiquer les rsultats des tirages D) Envoyer les rapports et les statistiques par email E) Mise--jour du logiciel des terminaux F) Mise--jour de la BD Le schma la page suivante montre les "relations" entre les diffrentes acteurs et cas d'utilisations.

RISQUES POTENTIELS ENCOURUS ET RISQUES MAJEURS A tout moment le sige (et le SGBD) peut subir des intrusions illgales et des dnis de service (DoS). Si on exclut temporairement les DoS, on peut alors gnraliser les risques existants sous trois catgories : accs, stockage des donnes, transit des donnes. Si l'ensemble des donnes est parpill sur diffrentes machines et il n'est pas centralis nous devons alors multiplier inutilement les efforts pour protger les informations (par exemple, il serait absurde de garder localement dans un terminal les paris effectus chez un certain commerant). Cependant, centraliser ne signifie pas "concentrer" toutes les programmes et les donnes sur une seule machine! Il faut videmment prvoir des backups pour les donnes ainsi qu'une subdivision des services en diffrentes couches. La scurisation du transport des donnes est principalement ralisable au travers de couches logicielles visant chiffrer les changes. Le dploiement d'un accs chiffr global de type "Virtual Private Network" (VPN) peut constituer une solution intressante mais elle requiert des moyens considrables.

Les risques potentiels encourus au sein de cette activit lectronique sont plus nombreuses et bien plus complexes par rapport aux problmatiques qui peuvent concerner un utilisateur isol. Par exemple, le risque d'intrusion et d'espionnage des donnes prives peut ne pas tre consistant pour une seule personne, mais il s'avre crucial pour notre activit. Le tableau suivant prsente les types de menaces possibles, en associant chaque menace ses consquences, ses parades et les cas qui peuvent en tre concerns. Le tableau ressemble diffrentes catgories de risques, ces derniers pouvant se ramener deux origines : environnementale et humaine. De plus, les risques peuvent tre classifis

comme "hardware" (physiques) o "software". Les lignes du tableau en jaune indiquent les risques majeurs ncessitant une solution importante.

Type de Menace Incendie

Consquences Indisponibilit / Destruction des quipements. Indisponibilit totale ou partielle du rseau.

Parades

Cas et objets concerns

Systme de dtection Sige. et/o protection contre l'incendie avec retour d'alarme vers un poste permanent. Vrifications priodiques. Informations spcifiques pour chaque locale.

Dgts des eaux

Indisponibilit / Destruction des quipements.

Etude approfondie pralable du risque eau.

Sige.

Indisponibilit totale Systme de prvention ou partielle du rseau. / sonde avec retour d'alarme vers un poste permanent. Systme de coupure automatique de l'lectricit. Schma des canalisations. Panne lectrique / surtension Indisponibilit / Destruction des quipements. Alimentation secourue Sige. (groupe lectrogne) et stabilise (onduleur). Rgulateur de tension, parafoudre, terres normalises. Double pntration lectrique (ventuellement). Coupure de courant Perte de donnes. Dysfonctionnements. Alimentation rgle et Sige, mais aussi secourue. terminaux (transactions depuis Indisponibilit totale Pour le sige : les terminaux, envoi / ou partielle du rseau. remontes d'alarmes rception des

Indisponibilit totale ou partielle du rseau. Schma de cblage.

Type de Menace

Consquences

Parades vers un poste permanent. Pour les transactions : contrles d'exceptions bien soigns, codages et dtections de la consistance des transactions, "commits" et "rollbacks", ...

Cas et objets concerns donnes)

Erreurs de manipulation

Indisponibilit des quipements et du rseau.

Schma de cblage. Information et formation du personnel. Cahier d'intervention. Matriel de secours.

Sige.

Intrusion

Dtrioration / Dgts Accs scuris avec des quipements. au besoin un enregistrement des Vol de matriel. accs. Pose de sonde Alarmes et systmes d'coute. de dtection d'ouverture. Identification des quipements (diffrents moyens).

Sige.

Piratage : coute

Perte de confidentialit. Lecture illicite des informations.

Pour le sige et les terminaux : orienter les matriels de faon empercher l'observation. Pour le sige : sensibiliser le personnel (conomiseurs d'crans avec mot de passe, ...).

Sige, terminaux chez les commerants.

Piratage : vol d'information

Perte de confidentialit. Lecture et utilisation illicites des informations.

Chiffrement, Encryptage.

Transactions.

Communication des Minimiser la dure des rsultats. transactions. Envoi des rapports et

Type de Menace

Consquences Triche.

Parades

Cas et objets concerns statistiques. Mise--jour en ligne.

Piratage : dtournement / falsification emails

Perte de confidentialit.

Messagerie scurise, PGP, S/MIME.

Envoi des rapports et statistiques.

Engendrer le dsordre. Chiffrements coupls avec des certificats. Lecture illicite des informations. Privation des services! Indisponibilit totale ou partielle du rseau et du systme. Test de la taille des paquets, test des adresses source et destination (ainsi que loop-back, unicast, multicast...), test de la fragmentation, utilisation d'adresses IP virtuelles pour validation de sessions et ACK (contre attaques TCP), test du nombre de SYN (contre attaques TCP), NAT d'adresses locales vers IP virtuelles bases sur IP globales, contrles de flux, contrles de contenus (port, tag, url, extensions de fichiers), autres fonctions de firewall, le tout bas sur du load-balancing et de la redondance, ... Les contre-mesures sont gnralement compliqus et trs cibles vis--vis du type de deni. "Full scalability". Sige. Transactions. Communication des rsultats.

Piratage : dni de service (DoS)

Piratage : intrusion sur le rseau

Rcupration, modification d'informations. Dgts et dnis de

Firewall. IPS. Cloisonnement,

Sige.

Type de Menace

Consquences service. Triche.

Parades filtrage. Authentification forte. Anti-virus. Filtrage.

Cas et objets concerns

Piratage : utilisation d'un terminal / introduction virus

Dgts et dnis de service sur le rseau.

Empcher l'accs Engendrer le dsordre. distant un terminal. Mot de passe et authentification forte.

Terminaux, transactions et mise-jour en ligne.

Branchement "pirate"

Ecoute, rcupration, modification d'informations. Triche.

Protection des chemins des cbles. Vrifications visuelle et physique des chemins de cble pour la partie prive du rseau. Surveillance des flux. Chiffrement des informations.

Transactions. Communication des rsultats. Envoi des rapports et statistiques. Mise--jour en ligne.

Perturbation des liaisons

Brouillage du signal. Modification / Perte d'informations.

Matriel rpondant aux normes prcises dans la directive Europenne 89/336/CEE. Passage du cble sous gaines dans les endroits " risques".

Sige (rseau interne). Transactions.

SOLUTION DE SECURITE

Nous allons aborder dans cette partie linfrastructure physique du rseau, ceci inclus donc une multitude de composants physiques ou logiques ncessaires au bon fonctionnement de notre entreprise. Linfrastructure physique du rseau englobe le choix dun type de mdia approprie et un chemin de cblage (la topographie du rseau). On doit sassurer quaucun intrus ne puisse capturer les donnes traversant le rseau au moyen dune coute clandestine et que tous les systmes vitaux offrent un haut degr de disponibilit. Dun point de vue purement physique, le type de cble choisi pour les diffrentes parties du rseau peut dpendre de la sensibilit des informations qui doivent circuler sur le rseau. Sachant que lentreprise pour laquelle nous assurons la scurit a un chiffre daffaire assez colossal (millions deuros), il serait intressant (mais coteux ) dutiliser la fibre optique en tant que support. Compare aux cbles coaxiaux et aux paires torsades, la fibre optique est plus utilise lorsque lon a une large bande passante ou que lon ai a travailler sur des espaces tendus (distance slevant a plusieurs Km entre le Sige et les terminaux dans cette architecture). Contrairement aux deux autres types de cbles, la fibre optique ne produit pas de rayonnement lectromagntique parasite et bnficie par consquent dun haut degr de protection contre la capture (elle est aussi insensible aux interfrences). Dun autre coter, il est difficile pour un cyber-criminel dy greffer un dispositif dinterception clandestine. On pourrai introduire dans le rseau de notre entreprise un outil permettant de mesurer la qualit du signal. On utilise en gnral un rflectomtre a balayage temporel (cble coaxial) ou rflectomtre optique (fibre optique). Nous nous attarderons pas plus sur ce genre doutils bien trop compliques a expliquer. Il est galement indispensable de prendre en considration la topographie du rseau tale par lentreprise (FDJeux) car elle a une influence sur la disponibilit du rseau et des quipements connects ainsi que sur la fiabilit et scurit de linfrastructure. Un point de dpart serait davoir une structure de cblage qui minimiserait les risques dimmobilisation massive (voir schma 1 et 2). On remarquera que dans le schma1 une rupture de segment provoquerait une panne touchant plusieurs filiales et donc plusieurs terminaux, alors que dans le schma2 la rupture de nimporte quel cble ne touche quun terminal.

Schma 1 : rseau ntant pas en toile

Schma 2 : topographie en toile

STRUCTURE DES RESEAUX DE L'ENTREPRISE (RACCORDEMENTS AU RESEAU PUBLIC)

Il faut imaginer un circuit de connexion entre le monde extrieur et le rseau de l'entreprise, incluant des moyens de scurisation pour accder chaque couche rseau. La rapidit des changes sera un lment important garantissant la ractivit d'ventuelles interventions distantes. Dans le cas d'un programmeur (o encore plus important, d'un administrateur), on peut imaginer comme complment de scurit un systme de "call back" qui permet de rappeler automatiquement le numro de tlphone de la personne concerne (enregistr au pralable) : l'authentification de la ligne sera ainsi assure et l'accs limit.

Une sparation physique du rseau d'administration informatique du rseau d'entreprise est conseille, au travers d'interfaces spcifiques et ddies. Une solution idale peut etre d'avoir trois sries d'interfaces pour chacun des serveurs, afin de sparer les trois flux suivants : i. interface publique : flux destination des terminaux et des organes qui attendent les rapports

ii. interface priv : flux d'administration et de prise de contrle distance iii. interface de sauvegarde : flux de sauvegarde (BD) des donnes

Pour rduire le cot global, il est possible de coupler les deux dernires pour n'obtenir au final que deux interfaces : publique et priv.

L'image la page suivante identifie un rseau d'interconnexion simplifi entre les serveurs et les administrateurs (o programmeurs, dans le cas du(des) serveur(s) pour le logiciel des terminaux).

Rseau d'interconnexion simplifi

Ici le trafic est concentr autour d'un point de routage unique. En cas de prise de contrle d'un serveur (par un "cyber-criminel" quelconque), le risque est maximal, la fois pour les autre serveurs dont le trafic d'administration n'est pas isol et pour les donnes extranet de l'entreprise qui circulent sur ce mme rseau.

Il serait prfrable de concevoir une structure comme celle qui suit :

Dans ce cas les serveurs ont d'interfaces rseau (logiques ou physiques) diffrencies pour le trafic destin Internet et pour celui destin l'entreprise. On voit aussi que le contact avec le point de "routage INTRANET" est double : l'un est ddi l'administration distante des serveurs (de la part des administrateurs ou des programmeurs pour certains serveurs uniquement), l'autre est ddi au rseau de sauvegardes. L'accs Internet du personnel (s'il a lieu) ou celui pour l'envoi des rapports (si ces derniers sont grs par le personnel) sera diffrenci de celui permettant l'accs aux serveurs hbergs :

Accs Internet

Probablement la meilleure solution pour effectuer cet accs ddi serait d'utiliser un fournisseur d'accs Internet diffrent du fournisseur d'hbergement afin de mieux tester l'accs aux infrastructures "publiques". Si cela n'est pas possible, il faudra imprativement obtenir cette isolation des types de trafic par le moyen des rgles de routage.

EMPLACEMENT DES PRINCIPAUX SERVEURS, COMPOSANTS PHYSIQUES ET LOGIQUES La premire tape essentielle consiste dterminer quel "public" s'adresse un service donn, en subdivisant les ressources selon plusieurs catgories (interne l'entreprise, externe l'entreprise et anonyme, externe l'entreprise et authentifi). L'isolation des trafics est un moyen de protection adapt pour la scurisation de l'administration, une fois que la nature du trafic (metteur, rcepteur) a t identifie. Dans notre cas spcifique l'entreprise ne devrait accepter aucun trafic (en entre) provenant d'une "source" diffrente des terminaux ou des administrateurs (ou programmeurs). La gestion des droits d'accs sera facilite par le regroupement des diffrents serveurs en zones "dmilitarises" (DMZ) : au sein d'une mme zone se trouveront des serveurs accessibles par le mme type de "public". Des rgles spcifieront que l'ensemble du trafic en provenance d'Internet pourra accder la zone Internet / extranet alors que seules les IP non routables en provenance de l'intranet pourront atteindre la DMZ intranet ou les interfaces d'administration de l'extranet.

Schma gnral de la structure du rseau

Schma du rseau interne de l'entreprise

Le router Puisque le rseau de notre entreprise est reli Internet (liaison spcialise permanente), la socit se voit attribuer une plage d'adresses IP publique uniques. La mise en place d'un routeur en frontal de ce point d'accs Internet permet de canaliser les flux (TCP-IP) sur les machines et d'ouvrir ou fermer les accs. Pour mettre en oeuvre ce cloisonnement, il faut : 1. Dcouper notre rseau priv en domaines de scurit 2. Dterminer les flux entre nos diffrents domaines 3. Dfinir une politique de scurit sur ces flux (qui a le droit ou pas de passer) 4. Appliquer ces rgles de flux sur les quipements de cloisonnement (router, parefeu, ...)

Le pare-feu Ce filtrage n'est, pour autant, pas suffisant pour protger le rseau car les trames transmises ne sont pas analyses en profondeur. Par exemple, des attaques de type "IP spoofing" (usurpation d'adresse IP) ou "Land Attack" (trame IP avec mme source et destinataire), simulant un trafic interne, peuvent djouer la scurit des routeurs autorisant uniquement le trafic interne vers une ressource de l'entreprise (laboration des rsultats et statistiques, etc.). Il est donc prfrable de faire appel une (ou plusieurs) infrastructure filtrante plus puissante : le "firewall" (pare-feu). Malheureusement, quelle que soit la solution de filtrage mise en oeuvre, si celle-ci est prise en dfaut, un pirate aura accs aux machines internes de notre activit lectronique!

DMZ Il est ncessaire de choisir une topologie de rseau qui se prte la scurit et d'appliquer des principes d'isolation. En sparant le rseau en sous-rseaux, on pourra mieux grer chacune des plates-formes indpendamment. Il est donc ncessaire de crer un nouvel espace distinct du rseau public et du rseau interne, afin de ne pas mettre en pril la scurit et de garantir la confidentialit des donnes. Le schma gnrale qui prcde montre une dcoupage pour une configuration de base : un premier rseau comporte l'ensemble des machines de la FDJeux qui n'ont aucun service fournir l'extrieur, un deuxime rseau (la zone "dmilitarise", ou DMZ) regroupe les machines qui fournissent un service vis--vis de l'extrieur (Serveur Web, Applications et Interfaces spcialises pour les terminaux, ...). Les serveurs situs dans la DMZ seront renforcs en termes de scurit : des authentifications et une gestions des droits plus forte, des mcanismes de surveillance comme les sondes d'intrusion, des fausses failles ("pots de miel") pour faire perdre leur temps aux pirates / hackers, etc. Si un serveur de la DMZ (appel aussi "bastion") tombe et que le pirate "coute" le rseau, il ne pourra rcuprer rien de confidentiel. Cette DMZ se construit autour d'une ou plusieurs infrastructures filtrantes (comme reprsent dans le schma prcdent) qui possdent au moins deux interfaces rseau.

La politique gnralement adopt entre Internet, le rseau interne et la seule DMZ est la suivante :

Les DMZ et les solutions filtrantes offrent un mcanisme de protection du rseau interne vis--vis des menaces externes tout en offrant des services l'extrieur. Ainsi, toutes les DMZ ne sont pas forcment "visibles" du monde public. On peut retrouver des DMZ frontales avec des serveurs publics (surtout le serveur Web dans notre cas), des DMZ invisibles de l'extrieur avec des serveurs protgs (surtout le serveur BD dans notre cas).

Nous avons partant prfr pour notre FDJeux une architecture deux DMZ, dont la politique correspondante est reprsente par le schma qui suit :

Cette configuration nous semblait pertinente car elle permet de saffranchir de la problmatique douverture du rseau interne en crant une seconde DMZ pour les serveur dapplications et les serveur de bases de donnes. Ce deuxime rseau permet de scuriser de manire assez autonome ces serveurs vis--vis de la premire DMZ publique et du rseau interne. Nous avons choisi cette solution, malgr son cot lev (ayant en tte quune entreprise comme la FDJeux a un colossal chiffre daffaires) , car on y retrouve un "traablilit" des changes vis--vis de la base de donne, une segmentation des rseaux en fonction de leur niveau de scurit, sans laisser de portes ouvertes sur le rseau interne de lentreprise.

Le VPN Une solution de PKI ("Public Key Infrastructure") assure la confidentialit et l'intgrit des donnes, ainsi que l'authentification. Elle permet d'assurer (plus ou moins!) qu'une information n'est pas lisible ni identifiable pendant son transport. Les techniques de chiffrement des donnes sont souvent utilises pour les donnes stockes. Nous avons prvu imprativement d'exploiter un chiffrement des changes (aussi) pour notre FDJeux. Une telle technique est aussi mise en oeuvre pour les rseaux privs virtuels ou VPN. Puisque toutes les transactions (et les mises--jour) des terminaux se font au travers du Web, nous avons prvu de "ressembler" ces terminaux dans un VPN mulant une liaison scurise entre les premiers et le sige, via un rseau non scuris tel que Internet. Au sein d'un tunnel VPN, les donnes sont cryptes pendant la transmission. Ce VPN ne doit absolument pas tre interprt comme un contournement des systmes de scurit et de filtrage dcrits prcdemment (qui sont donc toujours utiliss!).

Les diffrents serveurs Larchitecture Web de notre entreprise est compose au minimum de trois lments : le serveur Web (plus couramment appel serveur http), le serveur dapplication et le serveur de base de donnes dans lequel on stocke tous les paris. Il est donc logique que chacun de ces lments ce verra attribuer un niveau diffrent de scurit. Le serveur Web de notre entreprise se verra oblige d'tre accessible par tous les utilisateurs. En revanche, les internautes ainsi que les intranautes naurons pas laccs au code de lapplication ou lapplication proprement parler, tout comme il nest pas utile quils puissent interroger la base de donnes en direct, car la base de donne au sige ne sera accessible que par les administrateurs ! Le serveur dapplication doit donc tre accessible seulement par le serveur Web et le serveur de donnes par le serveur dapplication. Ce seront donc que les administrateurs de notre entreprise qui auront le droit d'accder aux machines de production (on veut dire par la les Serveur dapplication, donnes et Web). Les quipes de dveloppement se situant en province doivent uniquement interagir avec les serveurs de dveloppement, permettant ainsi la programmation de diffrentes mises jour des terminaux (voir schmas la page suivante).

Interaction administrateur-serveurs

Connaissant ces rgles il nous est donc possible dadopter une politique de scurit du rseau par la mise en place dun firewall dont nous avons expliqu lutilit et le mode de fonctionnement auparavant, ainsi que de zones dmilitarises.

BIBLIOGRAPHIE

"Scurit des Rseaux", Merike Kaeo, Cisco Press, 2000 "Scurisez vos applications Internet", Christope Camborde, Dunod, 2004 "Optimiser et scuriser son trafic IP", Francis Ia & Olivier Mnager, Eyrolles, 2004 "Les VPN", Rafael Corvalan & Ernesto Corvalan & Yoann Le Corvic, Dunod, 2003 La totalit des schmas ont t fait par nous en utilisant le logiciel gratuit "Diagram Studio". Merci Madame L. Pierre et Monsieur J. P. Lips pour la gentillesse de nous avoir prt des ressources.