Vous êtes sur la page 1sur 73

Concepts de scurit & rseaux Architecture rseau

Grgoire MOREAU

Architecture rseau

21/11/2012

Architecture rseau

Composants rseau et utilisation courante

Architecture rseau

21/11/2012

Architecture rseau
Cblage Interconnexion de niveau 2 Rpartiteurs Commutateurs Topologies physiques Rseaux IP Routeurs Adressage DHCP Architectures logiques Commutateurs avancs VLANs Scurit du niveau 2

Architecture rseau

21/11/2012

Cblage 1
Cble coaxial me brin(s) de cuivre transportant les donnes isolant empche toute interaction lectrique nfaste blindage protge des parasites gaine protge de l'environnement extrieur

blindage

isolant me gaine

Architecture rseau

21/11/2012

Cblage 2
Paires torsades : 3 types STP (Shielded Twisted Pair) : blindage pour chaque paire de fil S/STP (Screened Shielded Twisted Pair ) : blindage autour de chaque paire et autour du cable S/UTP (Screened Unshielded Twisted Pair ) : aussi appel FTP (Foiled Twisted Pair), blindage uniquement autour du cable entrelacement de brins de cuivre restrictions sur la longueur du cble : environ 100m cbles rseau classiques, avec connecteurs RJ45 Ethernet : 4 paires torsades, 8 fils

Architecture rseau

21/11/2012

Cblage 3
Fibre optique principalement utilise au niveau des backbones performante mais chre peu de problmes d'attnuation ou de dgradation du signal gre les trs hauts dbits Plusieurs modes Rapport entre taille de la gaine et taille du coeur Conditionne l'angle d'introduction de la lumire dans la fibre Multimode : coeur trs large, frquences basses, courte porte Monomode : coeur troit, frquences hautes, longue porte

Architecture rseau

21/11/2012

Matriel rseau
Un rseau informatique repose sur des quipements d'infrastructure spcialiss dans des traitements spcifiques des flux rseau. Ces quipements sont : le plus souvent spcialiss dans le traitement d'une couche OSI optimiss au niveau hardware pour leur fonction dots d'un OS spcifique, souvent minimal L'interconnexion de ces quipements et des diffrentes autres composantes du rseau varie : cble classique (cuivre) fibre optique

Architecture rseau

21/11/2012

Rpartiteur (hub)
Le rpartiteur intervient au niveau 1 du modle OSI : couche physique. Le rpartiteur possde un nombre variable de ports, et rpercute sur chacun le signal qu'il reoit sur un port donn : cela permet de diffuser un mme signal (une mme trame) vers diffrentes machines rattaches aux diffrents ports. Un rpartiteur ne possde pas d'implmentation d'une quelconque pile protocolaire, son action est purement lectrique : il n'y aucune intelligence, aucun systme d'exploitation interne. Ce type d'quipement se rarfie sur les rseaux d'entreprise Cot identique aux commutateurs Performances mauvaises (division de la bande passante) Problmes de scurit : possibilit d'pier le trafic facilement...

Architecture rseau

21/11/2012

Commutateur (switch) 1
Le commutateur intervient au niveau 2 du modle OSI : couche lien. Le commutateur possde galement un nombre de ports variable. Son rle consiste envoyer les trames reues sur un port vers le ou les quipement(s) destinataire(s), et uniquement celui-l, ou ceux-l. Il ralise cela en diffusant la trame reue sur les ports adquats. Broadcast/Unicast Le commutateur dtermine derrire quel port se trouve un quipement grce des tables qui peuvent tre construites : dynamiquement par une configuration statique Le commutateur comprend donc le protocole de niveau 2 (typiquement Ethernet) qu'il gre.

Architecture rseau

21/11/2012

Commutateur (switch) 2
Gnralement, un commutateur possde une srie de ports dbit donn, et un port dbit plus important : l'uplink, qui remonte vers le backbone du rseau. Un commutateur peut proposer des fonctionnalits avances selon le constructeur, l'OS : types d'administration (telnet, ssh, web, snmp) cela se fait sur un port d'administration auquel est donc attribu une adresse, et non sur un port classique fonctionnalits de scurit (blocage de ports) copie de port : possibilit de recopier le trafic passant par un port sur un autre port, pour des raisons de debug ou de scurit Ces quipements sont trs courants sur les rseaux d'entreprise, la baisse des cots a notamment favoris leur utilisation au dtriment des rpartiteurs.

Architecture rseau

21/11/2012

10

Commutateur (switch) 3
Les cartes rseau sont connects en full duplex : les communications entrantes et sortantes se font de faon indpendante. Cas des hubs : half duplex Le canal qui relie une carte rseau au switch est ddi Parfois les constructeurs jouent sur l'aspect full duplex : par exemple, annonce d'un dbit max de 200 Mb/s pour un switch Fast Ethernet (en fait 100Mb/s dans chaque sens de communication) Les performances sont bien meilleures : pas de division de la bande passante entre les ports Sauf si plusieurs ports sont rpliqus sur un seul (trunking), on a alors une limitation la bande passante disponible sur le port de trunk

Architecture rseau

21/11/2012

11

Point d'accs WiFi (access point) 1


Le point d'accs WiFi intervient au niveau radio. Il s'agit d'un quipement grant le protocole 802.11, configur pour fonctionner en mode infrastructure (par opposition au mode ad hoc) et plus prcisment fonctionnant comme matre. Les clients WiFi viennent ensuite s'y associer. Bien que l'essentiel des fonctions faisant la particularit de cet quipement se situent sur les couches basses du systme OSI, il intgre le plus souvent des fonctionnalits de commutateur ou de pont ( bridge), et ventuellement de routage. Pont : commutation de paquets entre diffrentes interfaces rseau spares On peut galement trouver sur ces quipements des fonctionnalits telles que : serveur DHCP serveur de nom (relais) mcanismes de filtrage rseau

Architecture rseau

21/11/2012

12

Point d'accs WiFi (access point) 2


Problme: canal radio= atteintes disponibilit, confidentialit, intgrit Mcanismes de protection: WEP: wired equivalent privacy clef sur 40 ou 104 bits, attaques crypto sur les vecteurs d'initialisation, rejeu et injection de trafic pour acclrer les attaques WPA-TKIP= un clef par paquet, meilleur mcanisme de contrle d'intgrit, mais attaques de rinjection ARP possible WPA2-AES/CCMP= crypto moderne pour chiffrement et contrle intgrit Modes de fonctionnement WPA personnel: clef pr-partage entreprise: authentification radius

Architecture rseau

21/11/2012

13

Autres quipements
Rpteur sur de trop grandes distances de cble, le signal a tendance s'affaiblir : le rpteur sert corriger cet affaiblissement. le rpteur fonctionne au niveau 1 du modle OSI : couche physique. Pont (bridge) le pont fonctionne au niveau 2 du modle OSI : couche lien. le pont est comparable un commutateur 2 ports : il permet aux trames d'tre transmises d'un brin rseau un autre en se basant sur les adresses physiques, les 2 brins appartenant au mme rseau. il est principalement intressant lorsque la couche physique diffre. on trouve ce principe implment dans nombre de points d'accs pour permettre aux clients sans fils d'accder au rseau filaire.

Architecture rseau

21/11/2012

14

Topologies physiques 1
On distingue 5 types de topologie rseau physique en bus en toile en anneau en arbre maille Ces topologies sont troitement lies au type d'quipement utilis pour relier les machines et aux protocoles des couches basses associs. Les 3 premires peuvent tre considres comme obsoltes.

Architecture rseau

21/11/2012

15

Topologies physiques 2
Topologie en Bus
poste poste poste BUS

Topologie en toile
poste poste poste poste

rpartiteur

Topologie en anneau associe au Token Ring

poste poste

poste
Architecture rseau 21/11/2012 16

Topologies physiques 3
Topologie en arbre base sur une arborescence de commutateurs topologie la plus couramment rencontre classique sur les rseaux Ethernet
commutateur

commutateur

commutateur

commutateur poste poste poste

commutateur poste poste

commutateur poste

Architecture rseau

21/11/2012

17

Topologies physiques 4
Topologie maille reprend le principe de la topologie en arbre mais des liens supplmentaires assurent une redondance

commutateur

commutateur

commutateur

commutateur poste poste poste

commutateur poste poste

commutateur poste

Architecture rseau

21/11/2012

18

Topologies physiques 4
Topologie maille : full mesh Chaque quipement est reli tous les autres

Architecture rseau

21/11/2012

19

Routeur 1
Le routeur intervient au niveau 3 du modle OSI : couche rseau. Le routeur possde un nombre de ports variable. Ces ports sont en ralit des interfaces configures avec des adresses de niveau 2 (MAC) et 3 (IP). Le routeur achemine les paquets IP qu'il reoit vers leurs adresses de destination, en transmettant le paquet sur l'interface correspondante. Cette interface peut tre dtermine statiquement par des protocoles de routage dynamique

Architecture rseau

21/11/2012

20

Routeur 2
Le paquet n'est pas transmis tel quel, il est modifi pour respecter les RFC, notamment : les adresses ethernet sont modifies le champ TTL (time to live) IP est dcrment (s'il vaut 0, le paquet n'est pas transmis) On retrouve la notion d'uplink au niveau du routeur. En fonction du constructeur, de l'OS, du modle, diffrentes fonctionnalits sont disponibles : type d'administration (telnet, ssh, web, snmp, ftp, tftp...) filtrage rseau (ACL : Acces Control Lists) gestion d'IPsec La fonction de routage simple peut cependant tre assure par d'autres types d'quipements vocation de scurit comme un pare-feu par exemple.
Architecture rseau 21/11/2012 21

Rseaux IP 1
En IPv4, on distingue des types d'adresses particuliers, rpertoris dans la RFC 3330. Les principales singularits : la RFC 1918 dfinit les adresses suivantes comme prives : 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 la boucle locale : interface lo 127.0.0.0/8 (on se contente souvent de dfinir 127.0.0.1) lien local, adresses utilises dans des phases d'autoconfiguration 169.254.0.0/16 adresses de multicast 224.0.0.0/4

Architecture rseau

21/11/2012

22

Rseaux IP 2
Dans la perspective d'un rseau d'entreprise, on s'intressera principalement aux spcificits des classes d'adresses prives dfinies par la rfc 1918. Dans un rseau, on peut distinguer 3 catgories de machines celles ne ncessitant aucun accs Internet celles ncessitant un accs Internet pour un ou des services pouvant tre mandats (via l'utilisation d'un proxy) celles ncessitant un accs direct Internet Les 2 premires catgories peuvent s'inclure dans un plan d'adressage priv, la troisime dans un plan d'adressage public. Les adresses prives ne doivent pas tre visibles sur/depuis Internet pas de routage de ces adresses pas d'entres pour ces machines dans les enregistrements DNS publis l'extrieur

Architecture rseau

21/11/2012

23

Rseaux IP 3
Exemple
Internet

Priv #2 Public

172.16.0.0/24

193.51.24.0/24 pare-feu

Priv #1

192.168.1.0/24
Architecture rseau 21/11/2012 24

Rseaux IP 4
Bonnes pratiques La dfinition d'une architecture rseau ncessite une certaine rigueur, notamment dans le cadre de rseaux de grande ampleur, c'est pourquoi il est bon de garder certains points l'esprit : sur des sous-rseaux diffrents, des machines jouant le mme rle auront une adresse IP se terminant par les mmes 8 octets la passerelle par dfaut de X.Y.Z.0/24 est gnralement X.Y.Z.254 l'utilisation de plages d'adresses prives doit tre contrle : mme si ces rseaux ne sont pas routs, viter d'utiliser plusieurs fois la mme plage penser l'ventuelle utilisation de VPN dans des rseaux multi-sites : problmatique du chevauchement des adresses bien sr, un grand rseau plat est rarement justifiable : dcoupage en sous-rseaux selon des critres varis : fonctionnalits, populations, OS

Architecture rseau

21/11/2012

25

Adressage statique ou dynamique


Il existe deux mthodes d'attribution de l'adresse IP une machine sur un rseau : adresse statique : l'adresse IP est configure en dur dans le systme, et directement attribue l'interface par l'OS (au boot, par exemple). exemple d'un fichier /etc/network/interfaces sous Linux iface eth0 inet static adresse dynamique : l'adresse IP attribuer l'interface est a priori inconnue du systme ; une requte DHCP est mise sur le rseau, et le serveur y rpond avec une adresse IP pouvant tre utilise par la machine. Cas particulier Sous Windows, lorsqu'une interface configure pour utiliser DHCP ne reoit aucune rponse, ou qu'elle est configure en automatique, une adresse du rseau 169.254.0.0/16 lui est assigne.

Architecture rseau

21/11/2012

26

Le protocole DHCP 1
Ce protocole a pour but de permettre une machine sans adresse IP de rcuprer une configuration rseau : RFC 2131 il se base sur UDP les ports utiliss sont le 67 ct client et le 68 ct serveur Principe de l'change le client met une requte (dhcpdiscover) pour trouver un serveur ; son adresse source est nulle : 0.0.0.0 le serveur rpond (dhcpoffer) avec une adresse pouvant tre utilise par le client le client renvoie une requte (dhcprequest) au serveur qu'il a choisi pour complter sa configuration le serveur rpond (dhcpack)

Architecture rseau

21/11/2012

27

Le protocole DHCP 2
Configurations de DHCP statique ou dynamique ? statique : une adresse MAC donne se verra toujours attribuer la mme adresse IP dynamique : une mme adresse MAC pourra recevoir des adresses IP diffrentes au cours de requtes successives Informations fournies par DHCP les paramtres de configuration fournis par le serveur DHCP sont dtermins par des options dfinies dans la RFC 2132 On trouve notamment : masque de rseau : 1 passerelle par dfaut : 3 hostname : 12 des serveurs divers : de nom, ntp... des paramtres rseau divers...
Architecture rseau 21/11/2012 28

Architecture
Au niveau des mthodes de communication des quipements, on distingue diffrentes catgories, selon la nature de la couche physique dans certains cas les quipements utiliss les services (applicatifs) souhaits Ces mthodes de communication sont indpendantes de la topologie physique du rseau (indpendance des couches dans le modle OSI) On distingue le modle client(s)/serveur le modle distribu

Architecture rseau

21/11/2012

29

Architecture client(s)/serveur 1
C'est une architecture centralise un serveur met disposition une ressource (donnes, service) la ressource n'est pas ncessairement disponible sur un unique serveur : notions de redondance et d'quilibrage de charge les clients voulant utiliser cette ressource en font la demande au serveur Le serveur est donc l'lment cl de cette architecture ncessit d'une bonne scurisation la disponibilit est souvent cruciale sauvegarde, redondance, tolrance aux pannes Spcificits d'administration hardware systme d'exploitation outils/applications installs comptes utilisateurs

Architecture rseau

21/11/2012

30

Architecture client(s)/serveur 2
Cas typique : services TCP ou UDP le serveur coute sur un port donn cf /etc/services sous Unix pour les ports bien connus le client envoie une requte (niveau applicatif) sur ce port sauf cas particuliers, le port source est un port > 1023 le serveur rpond en accord avec le protocole applicatif concern

Serveur
port n

requte
rponse

client

Exemples : mail, DNS, web...

Architecture rseau

21/11/2012

31

Architecture distribue
Par opposition l'architecture clients/serveur, dans une architecture distribue, tous les lments sont sur un pied d'galit : pas de serveur unique tous les lments sont aptes fournir la fonctionnalit souhaite tous les lments sont galement des clients potentiels On retrouve ce principe dans des cas varis d'utilisation calcul parallle technologies distribues type CORBA peer-to-peer rseaux WiFi en mode ad hoc Implications fiabilit des lments ? plus de point central reprsentant la cl de vote de l'architecture problmatique pour l'administration !

Architecture rseau

21/11/2012

32

Les VLANs 1
VLAN : Virtual LAN Les VLANs permettent de crer des rseaux logiques indpendants au sein d'un mme rseau physique L'implmentation passe par le protocole 802.1Q (niveau 2) les commutateurs peuvent associer un port un VLAN donn les paquets sont tagus pour identifier leur VLAN sur un brin regroupant plusieurs VLANs (trunk), on peut ainsi les identifier Avantages : rduit le domaine de broadcast rduit les besoins en terme de matriel (sparation logique) facilite certains aspects de l'administration rseau

Architecture rseau

21/11/2012

33

Les VLANs 2
Plusieurs critres peuvent servir regrouper les machines au sein d'un mme VLAN le protocole de niveau 3 (IP, IPv4 ou IPv6, Appletalk) peu voire plus utilis notion d'authentification avec le protocole 802.1x adresse MAC port associ sur le commutateur Dans la pratique un VLAN est souvent associ un sous-rseau IP possibilit de le distribuer (logiquement) sur un vaste rseau (physique) possibilits de filtrages selon l'appartenance un VLAN

Architecture rseau

21/11/2012

34

Scurit niveau 2 (1)


Mcanisme d'apprentissage du commutateur Table des correspondances @MAC port physique (table CAM) Construction sur base des trames provenant des machines, apprentissage des adresses MAC source Lors de l'envoi destination d'une adresse MAC donne, consultation table CAM, si prsence de l'adresse dans la table, envoi direct, sinon, envoi sur tous les ports (comportement d'un rpartiteur) Port Security Problme : une station peut gnrer des trames ethernet avec des adresses fictives pour saturer la table CAM du commutateur Solution : Limiter le nombre d'adresses MAC mmoriser sur chaque VLAN Activer le mcanisme de port security pour limiter le nombre d'adresses MAC source par port

Architecture rseau

21/11/2012

35

Scurit niveau 2 (2)


Dynamic Trunking Protocol (DTP) Ngotiation automatique du trunking mode Configure chaque port en trunking ou accs simple Problme : une station peut muler le protocole DTP Solution : configurer statiquement les ports des stations Spanning Tree Protocol Dtection des boucles dans les rseaux Cration automatique d'une structure d'arbre pour l'envoi des trames Problme : une station peut muler le protocole STP Pour forcer un recalcul de la structure de l'arbre (DoS) Pour intercepter le trafic en devenant la racine Solution : refuser le trafic STP sur les ports des stations

Architecture rseau

21/11/2012

36

Scurit niveau 2 (3)


Hot Standby Router Protocol Autorise la configuration de routeurs multiples en redondance 1 routeur actif, les autres en standby Election automatique en cas de panne du routeur actif Problme : une station peut tenter de devenir le routeur actif Dtournement du trafic Dni de service si la station ne retransmet pas les paquets Solution : Dsactiver le protocole HSRP sur les ports des stations DHCP Snooping Problme : Serveur DHCP illgitime Solution : Activation du DHCP snooping Dfinition du port sur lequel se trouve le serveur DHCP Refus des communications provenant d'adresses IP diffrentes de celles attribues par le serveur DHCP

Architecture rseau

21/11/2012

37

Scurit niveau 2 (4)


Dynamic ARP inspection (DAI) Problme : attaques par ARP spoofing Solution : DAI associe les adresses IP aux adresses MAC Dtection immdiate d'un changement de couple IP/MAC Blocage des paquets ARP anormaux Possibilit de fermer le port incrimin VLAN Hopping (saut de VLAN) Problme : Possibilit pour une station de communiquer avec un autre VLAN que le sien Solution : configurer les ports des stations en accs simple Attention galement au Dynamic Trunking Private VLAN Ide : restreindre les communications au sein d'un VLAN Les stations d'un VLAN ne peuvent communiquer que vers le port du routeur Reprend l'ide du cloisonnement entre stations en WiFi

Architecture rseau

21/11/2012

38

Architecture rseau

Architecture, cloisonnement et redondance

Architecture rseau

21/11/2012

39

Architecture, cloisonnement et redondance


Architecture Dcoupage du rseau Firewalls, proxies, DMZ Cloisonnement Pare-feu Redondance

Architecture rseau

21/11/2012

40

Architecture rseau
Architecture au sens large : comment organiser son rseau pour en tirer le meilleur parti en terme de fonctionnalits de performances d'administration de scurit L'architecture ainsi dtermine n'est pas restreinte un niveau du systme OSI mais au contraire influera sur l'architecture logique l'architecture physique Cependant elle est conditionne par des critres financiers : l'architecture idale peut tre trs onreuse matriels : quipements disponibles, dimension du site... humains : technicit, difficults d'exploitation
Architecture rseau 21/11/2012 41

Principes d'une architecture rseau


Un rseau prsente des machines aux rles et aux fonctionnements divers : pourquoi toutes les laisser sur le mme plan ? Plutt qu'une architecture plat (ie une seule plage d'adresse, pas de routage interne), on prfrera un agencement prenant en compte ces diversits. Ce type d'architecture facilite ensuite l'administration exemple : les administrateurs des stations ne seront pas les mmes que ceux des serveurs de base de donnes la mise en place de mesures de scurit contrle des flux entre les zones Mais il est plus complexe plus d'quipements grer ces architectures peuvent rapidement devenir trs compliques

Architecture rseau

21/11/2012

42

Dcoupage en sous-rseaux
La base de l'architecture va tre un dcoupage du rseau global en zones, le plus souvent associes un sous-rseau ou un ensemble de sous-rseaux IP. Les critres de dcoupage sont multiples accessibilit de la zone fonctions des machines population de la zone autres : systmes d'exploitation, flux spciaux L'implmentation est possible via des sous-rseaux IP mais aussi des VLANs spcifiques, gnralement calqus sur le dcoupage effectu au niveau 3 des outils de filtrage et de routage adapts

Architecture rseau

21/11/2012

43

Dcoupage selon l'accessibilit


Dans un rseau, toutes les machines n'ont pas les mmes besoins en terme d'accessibilit : pour une machine donne, on se posera les questions suivantes : doit-elle tre accessible depuis l'extrieur ? (serveurs publics) doit-elle tre accessible pour les autres machines du rseau local ? (serveurs internes, intranets) a-t-elle besoin d'accder Internet ? ou d'autres zones extrieures au rseau ? a-t-elle besoin d'accder des services spcifiques du rseau local ? des prcautions particulires doivent-elles tre considres pour sa scurit ? De ces rponses vont dcouler des contraintes techniques adressage spcifique : public ou priv ? positionnement derrire un proxy, un pare-feu, un reverse-proxy ? Ces besoins sont tre troitement lis la fonction de la machine.

Architecture rseau

21/11/2012

44

Dcoupage selon la fonction 1


La premire distinction considrer concerne : les serveurs d'une part les stations d'autre part On peut cependant ajouter d'autres catgories les quipements rseau (routeurs, commutateurs...) les quipements de scurit (pare-feu, proxies...) Les serveurs peuvent (doivent !) galement tre distingus serveurs d'authentification (NIS, kerberos, radius...) serveurs de fichiers (NFS, samba...) serveurs mail, DNS internes publics serveurs de sauvegarde : souvent une architecture spcifique !

Architecture rseau

21/11/2012

45

Dcoupage selon la fonction 2


Au niveau stations, une discrimination plus fine peut tre tablie en fonction des populations d'utilisateurs, ce qui n'est pas le cas des autres machines, qui de par leur fonction mme sont dj restreintes un type d'administrateur. Pour les quipements rseau et de scurit, on trouvera souvent une architecture spcifique avec une ou plusieurs interfaces (ou ports) en prise directe avec le rseau classique une interface d'administration sur un rseau ddi notion de VLAN d'administration fonctionnalits non disponibles sur les autres interfaces serveur ssh interface web d'administration... Tant pour les serveurs que pour ces quipements spcifiques, il est souhaitable que l'architecture permette un bon contrle des accs.

Architecture rseau

21/11/2012

46

Dcoupage selon la population


Il peut tre directement li la fonction (serveurs, quipements rseau, de scurit). La distinction selon la population d'utilisateurs prend son sens au niveau des stations. On diffrencie alors : les administrateurs rseau systme de scurit les utilisateurs classiques le personnel administratif (secrtaires...) utilisation souvent restreinte aux suites bureautiques les stagiaires, thsards, prestataires A chacune de ces populations peut donc tre attribu un sous-rseau, avec accs aux serveurs et applications ncessaires leur fonction.
Architecture rseau 21/11/2012 47

Dcoupage selon des critres divers


La segmentation du rseau en zones peut se faire de manire totalement progressive, en enchanant les critres de dcoupage prcdemment voqus pour ramifier le rseau. De nouveaux critres peuvent ensuite tre invoqus pour rsoudre ou faciliter des problmes d'administration : systme d'exploitation Windows, Unix flux distincts administration diffrente ! besoin de flux spcifiques IPsec zones exprimentales accueil de personnels extrieurs postes ddis Hot spots WiFi
Architecture rseau 21/11/2012 48

Firewalls, proxies 1
Un dcoupage logique bas sur des sous-rseaux IP, renforc par l'utilisation de VLANs, est un bon dpart pour dfinir une architecture. L'utilisation adapte de pare-feu (firewalls) et de mandataires (proxies) apporte un plus pour la scurit les performances Le pare-feu permet de contrler les flux entrant et sortant d'une ou plusieurs zones d'implmenter de la translation d'adresse (NAT) possibilit pour un rseau non rout d'atteindre l'extrieur le mandataire permet de donner accs certains services rseau d'implmenter du contrle au niveau applicatif (http par exemple) d'amliorer les performances (cache...)

Architecture rseau

21/11/2012

49

Firewalls, proxies 2
Utilisation avec des rseaux privs

pare-feu : travaille au niveau rseau

Priv

192.168.1.0/24

brin priv

pare-feu

brin public

Routeur

Internet

NAT
Adresse prive: 192.168.1.X Adresse publique : 79.16.23.18

Architecture rseau

21/11/2012

50

DMZ : zone dmilitarise 1


Au sein du rseau, certains serveurs (mail, DNS, web) doivent tre accessibles depuis l'extrieur pour offrir un service sur Internet. Ils occupent une place particulire dans la politique de scurit du rseau : la zone qui leur est rserve est appele DMZ (DeMilitarized Zone). On reprsente alors le rseau comme suit :

Internet

pare-feu

Rseau interne

DMZ

Architecture rseau

21/11/2012

51

DMZ : zone dmilitarise 2


La politique de scurit dfinit traditionnellement, et succinctement, les rgles sur les flux comme suit : Depuis le rseau interne vers l'extrieur : autoris, ou soumis restrictions (proxy...) vers la DMZ : autoris Depuis l'extrieur vers la DMZ : autoris vers le rseau interne : interdit Depuis la DMZ vers le rseau interne : interdit vers l'extrieur : interdit Le fait que les serveurs en DMZ soient exposs au monde extrieur ncessite qu'ils soient renforcs au niveau scurit blindage systme surveillance (IDS, logs)

Architecture rseau

21/11/2012

52

Cloisonnement : motivations
Le dcoupage du rseau en zones distinctes a de nombreux avantages, notamment en termes de scurit. Parmi les rles de la politique de scurit d'un rseau, ou peut citer : la dfinition du rle de chaque zone les flux qui peuvent transiter entre chaque zone (cf DMZ) les moyens mettre en place pour assurer ce cloisonnement (pare-feu, ACLs...) vrifier son bon fonctionnement (outils de supervision rseau) Le cloisonnement permet de restreindre les accs et donc les risques de compromission de limiter les risques de propagation de malware entre les zones de dfinir des politiques plus fines selon chaque zone accs aux services surveillance

Architecture rseau

21/11/2012

53

Cloisonnement : principes
Les grands principes de scurisation d'un systme d'information sont applicables au cas particulier du rseau et de son cloisonnement en zones. Principe de l'unicit des rles une machine assure une fonction et une seule serveurs ddis une zone rseau est constitue de machines ayant des rles similaires des besoins comparables en terme de flux Principe du moindre privilge les flux strictement ncessaires entre les zones sont autoriss tous les autres sont interdits

Architecture rseau

21/11/2012

54

Pare-feu 1
Du point de vue fonctionnel, on distingue deux types de pare-feu : stateless : pas de notion d'tat, les paquets sont tous traits indpendamment les uns des autres. stateful : gestion (plus ou moins prcise selon l'implmentation) des tats : connexions TCP, certains protocoles bass sur UDP, fragmentation IP... Du point de vue stratgie, on distingue deux types de politique : Permis par dfaut : on autorise tout par dfaut, on interdit simplement ce que l'on sait tre dangereux. Interdit par dfaut : on interdit tout par dfaut, on autorise ensuite explicitement ce dont on a besoin. En pratique on utilise un pare-feu stateful avec une politique de type interdit par dfaut

Architecture rseau

21/11/2012

55

Pare-feu 2
Classiquement, le filtrage de paquet s'effectue aux niveaux 3 et 4 du systme OSI. Les rgles prennent ds lors en compte des paramtres tels que : une interface rseau les adresses IP source/destination (machines ou rseaux) un protocole (TCP, UDP, ICMP, voire dans certains cas un numro de protocole) les ports source/destination (pour TCP et UDP) C'est le minimum que l'on est en droit d'attendre d'un filtre de paquet. On trouve assez souvent des paramtres plus spcifiques : champ IP (fragmentation, TTL...) flags ou options TCP type ICMP Egalement, on dispose de possibilits de logger les flux bloqus ou autoriss... On peut alors contrler les paquets reus, mis, ou routs.

Architecture rseau

21/11/2012

56

Pare-feu 3
Depuis le noyau 2.4, Linux intgre Netfilter Netfilter est la partie Kernel du firewall Iptables est l'outil de configuration en espace utilisateur Quelques caractristiques : firewall stateful (en IPv4) gestion du NAT (Network Address Translation) architecture modulaire possibilit de ne compiler/charger que les composants utiles possde de nombreuses extensions disponibles via patch-o-matic possibilit de passer les paquets en user space pour un traitement quelconque systme de log volu

Architecture rseau

21/11/2012

57

Pare-feu 4
Architecture : Netfilter se dcoupe en 3 tables filter : traite les paquets mis vers ou depuis la machine, ou pour lesquels la machine effectue du routage (IP forwarding) nat : gre la translation d'adresse (source, ou SNAT, et port forwarding) mangle : permet la modification de paquets Chaque table est ensuite divise en chanes les chanes builtins correspondent des hooks dans le noyau : un moment de son traitement par le kernel, le paquet est pass Netfilter pour inspection il est possible de crer ses propres chanes, pour structurer son firewall Chaque chane possde une srie de rgles : pour un paquet donn, la premire rgle lui correspondre dcide de son destin une politique par dfaut appliquer aux paquets n'ayant rencontr aucune rgle adquate

Architecture rseau

21/11/2012

58

Pare-feu 5
Commandes utiles iptables -t table -L -n -v -L pour lister les rgles d'une table (affiche toutes les chanes) -n pour ne pas rsoudre les noms, -v pour verbose iptables -t table -F [chane] -F pour flusher une table entire, une seule chane si elle est prcise iptables -t table -P chane cible -P pour attribuer la chane en argument une politique par dfaut dfinie par la cible (target) ; une cible peut valoir ACCEPT, DROP, REJECT... iptables -t table -A chane <rgle> -j cible -A pour ajouter la rgle dfinie en fin de chane (-I chane rang permet d'insrer la rgle la position dfinie par le rang) iptables -t table -D chane rang -D pour supprimer la rgle la position dfinie par rang dans la chane donne man iptables est votre ami
Architecture rseau 21/11/2012 59

Pare-feu 6
Packet Filter, communment appel PF, est le firewall intgr OpenBSD depuis la version 3.0 PF est contrl en espace utilisateur par la commande pfctl PF offre : du filtrage stateful de la translation d'adresse de la normalisation de trafic de la qualit de service (QoS) un systme de rgles dynamiques Contrairement Netfilter, PF a une structure monolithique ne rentre pas dans les dtails de protocoles applicatifs

Architecture rseau

21/11/2012

60

Pare-feu 7
La configuration se dfinit classiquement dans /etc/pf.conf possibilit de dfinir des variables
interface_interne=''rl0'' interface_externe=''rl1''

normaliser le trafic entrant


scrub in all

exemples de rgles de filtrage


block in on $interface_externe all pass in quick on $interface_externe proto tcp from any \ to $interface_externe port {80, 443} flags S/SA keep state

positionnement d'une ancre pour des rgles dynamiques


anchor dyn-rules

Utilisation de pfctl activation du pare-feu et chargement du fichier de configuration


pfctl -e pfctl -f /etc/pf.conf

chargement d'un fichier de rgles dynamiques


pfctl -a dyn-rules:all -f /etc/pf/dyn-rules.conf
21/11/2012 61

Architecture rseau

Pare-feu 8
PF offre de riches possibilits au niveau grammaire variables tables d'htes modifiables dynamiquement Le parcours des rgles pour savoir laquelle appliquer : quand on rencontre une rgle correspondant au paquet trait elle est applique si elle contient le mot-cl quick sinon, elle est conserve comme rgle appliquer par dfaut si aucune rgle adquate n'est rencontre par la suite Les rgles dynamiques (systme d'ancres) PF permet de laisser des points d'entre dans le jeu de rgles principal on peut ensuite manipuler dynamiquement des rgles au sein de cet espace rserv (par exemple les charger dans des circonstances particulires, cf authpf)

Architecture rseau

21/11/2012

62

Pare-feu 9
Quelques pare-feu commerciaux : Cisco Pix Checkpoint Firewall-1 Netasq Juniper Ils intgrent souvent de nombreuses fonctionnalits supplmentaires IPS interfaces diverses fonctions de filtrage applicatif ou possibilits d'ajouts de modules Le plus souvent on les trouve sous forme d'appliance

Architecture rseau

21/11/2012

63

Monitoring et Surveillance
Monitoring systme et rseau Objectif principal : donner aux administrateurs un aperu de l'tat de la protection du systme d'informations Diffrent de la dtection d'intrusions Primtre plus large incluant la disponibilit et les performances La surveillance des paramtres de base systmes et rseau est importante mme pour des administrateurs de scurit Exemples de paramtres de base : espace disque, bande passante, uptime, temps de rponse des services, etc. La disponibilit peut tre un paramtre trs important Dtection des anomalies : Dtection des changements de comportement d'un systme ... mais galement des changement de configuration ... ou des changement d'utilisation

Architecture rseau

21/11/2012

64

Objet de la surveillance
Exemples d'outils : BigBrother, HPOV, Nagios, etc. Surveillance de base Ce sont les indicateurs que l'on doit toujours surveiller Charge machine, accessibilit rseau, espace disque, etc. Les lments surveiller dpendent galement de la finalit du systme et de ce qui est vital pour l'entreprise Pour un site web de commerce lectronique, on s'intressera par exemple l'utilisation de la bande passante, au nombre de hits par seconde, au pourcentage d'achat raliss, etc. Si la messagerie est un outil de travail important, le service doit tre surveill tous les niveaux Les outils de surveillance peuvent galement tre spcialiss en fonction des services Simulation du parcours d'un client pour un site web Envois de mails echo@... ...
Architecture rseau 21/11/2012 65

Intgration de la surveillance dans le SI


En principe, la surveillance locale reste simple Veiller toutefois ce que les processus de surveillance ne consomment pas trop de ressources des systmes surveills Problme des remonts d'informations ou d'alertes Cloisonnement rseau Authentification Confidentialit des informations Scurit intrinsque des outils de monitoring

Architecture rseau

21/11/2012

66

Rponse aux incidents


Diffrents moyens pour alerter Envoi de mails ou de SMS, pager, etc. Quels sont les garanties que les alertes soit livres ? Qui sont les destinataires ? Grer les problmes de communication en cas de crise Souplesse gnrale du mcanisme Horaires diffrents, week-end, congs, etc. Centralisation des envois La rponse aux incidents doit tre documente dans la politique de scurit de l'entreprise Qui doit traiter les alertes, quelles sont les diffrents niveaux en cas d'escalade, quelles sont les premires actions faire par les diffrents niveaux, etc.

Architecture rseau

21/11/2012

67

Rponse aux incidents


Prparer Entraner les gens : formation, documentation, etc. Identifier Indicateurs, messages, analyse Maitriser (containment) Ne pas oublier les preuves Eradiquer Rparer Poursuivre

Architecture rseau

21/11/2012

68

Redondance
Objectif : amliorer la disponibilit d'un service La redondance peut tre assure divers niveaux : redondance lectrique pour un serveur sensible 2 alimentations chaque alimentation relie un rseau lectrique distinct redondance du service en soi plusieurs serveurs assurent la mme fonctionnalit ce sont quasiment des clnes La redondance ne doit pas tre confondue avec la rpartition de charge mme si l'implmentation peut tre proche, le but est diffrent !

Architecture rseau

21/11/2012

69

Exemples de redondance
Redondance lectrique n'est possible que sur certains matriels ne doit pas tre nglige, c'est le premier niveau du systme Redondance rseau infrastructure : rseaux de backup redondance des routeurs protocole VRRP et assimils Redondance de serveurs certains services fonctionnent avec des notions de matre/esclave exemple : DNS lorsque le matre ne peut fournir l'information, un esclave est interrog

Architecture rseau

21/11/2012

70

CARP, la redondance au sein de PF


Le pare-feu PF d'OpenBSD intgre un mcanisme de redondance : CARP, ou Common Address Redundancy Protocol. Grce ce mcanisme, plusieurs machines peuvent tre places en redondance pour assurer le filtrage, et assurer un systme failsafe. Le protocole est similaire VRRP lection d'un Master machines en backup protocole d'lection via une adresse multicast pfsync assure la transmission des tats pour que ceux-ci soient cohrents d'une machine l'autre en cas de bascule.

Architecture rseau

21/11/2012

71

Architecture Rseau

Conclusion

Architecture rseau

21/11/2012

72

Conclusion
Diffrents types de cablage et d'interconnexion Cuivre / Fibre : cots trs diffrents Transpondeurs, botiers TAP Commutateurs : premier niveau de cloisonnement VLAN : cloisonnement inter-commutateurs Attribution des adresses IP Regroupement des ressources similaires (serveurs, stations) Adresses statiques / dynamiques Cloisonnement par la configuration du routage Architectures rseau Sparation en zones logiques = identification des flux rseau Meilleur dcoupage = rgles de filtrage simples Mise en place de serveurs proxy = suppression du routage Bien tudier son rseau !
Architecture rseau 21/11/2012 73