Scurit

du primtre rseau Alain MOUHLI

bases de la scurit rseau

Scurit informatique
Politique Sensibilisation Et Formation
PROTECTIONPROTECTION PROTECTION niveau ServeurVIRUS niveau PCs
Securit
Plan de Recouvrement Phisyque
Gestion dincident FIREWALLS
Firewalls
Firewall: Composant ou un ensemble de composant utilis
pour contrler les communications entre deux rseaux
Rseaux Interne ou Externe (Internet)
Entre deux segments rseaux internes
Internet Private Network
Terminologie
Firewall:s st e de ot le das et e s st
Firewall base Hte:fi e all logiiel istall e g
es de ofiae et o de ofiae
al pou des s st es de ploitatio

Firewall Appliances: Systmes installables sur des quipement hardware

construit spcifiquement pour les fonctionnalits Firewall
Poitique de scurit: Ensemble de rgle drivant depuis une analyse de
risque de li fastutue seau et lesles des appli atios assoies

Domaine de scurit : collection de systmes qui incorporent des softwares

ou donnes de mme classification de scurit
Zone Demilitarise: Zone rseau sparant les sgments confiance et ceux
non de confiance

Cotle da s: Mechanisme de scurit utilis pour contrler / rguler les

connexions entre des domaines de scurit
Objectifs des Firewalls
Renforcer la poltique de scurit entre diffrents domaines
de scurit.
Les politique de scurit sont spcifique une organisation
Analyse de risque fournit une mesures du niveau de
protection requis pour protger les biens, crer les domaines
de scurit consistent avec des systme sensibles , des
applications et des donnes
Permettre un accs contrl o les rles et les droits sont
prdfinis

Objectifs des Firewalls

Les fi e alls ii set le tau depositios ou attaues seau
Sondage/ Scan du rseau
Accs non authoris
Attaque de dni de service
La suit eui e ue lati it du fi e all est osta et otle et que sa configuration est
rguilirement audite
Politique de Filtrage - Firewall
Il existe deux principes dans les politique de filtrage
A. Tout e ui est epli itee t peis est pohi Whitelist
Le Firewall bloque tout par dfaut
Seulement les services dont on a besoin sont permis
Les utilsateurs ont le minimum de droits
B. Tout e uie est pas epli itee t pohi est peis
Blaklist
Bloquer seulement les services qui prsentent des risque de scurit
Le reste des services est permis
Les utilisateurs peuvent introduire des riques de scurit
Recommendation: Utiliser la mesure A quand ceci est possible.
Politique de filtrage, les critres de choix
Network Address Translation (transparence du rseau)
Les contrles de routage (routage source, redirection ICMP)
Lepositio au Di de se ieTCP YN, Lad, UDP Flood, ICMP Flood
Filt age pa appliatio/ad esse aie selo lahitetue du fie all
Loalisatio ph siue du pauet li t ieu / et ieu du pi te
Adresse source
Adresse destination
Tpe de lappli atio TCP/IP seie, pot
Relation avec les autres paquets
Le contenu applicatif (fonctions GET, PUT)
Payload des dones (ex., Java, ActiveX)
Action/ Rsultat

Accepter: permettre le paquet de passer Dop: e pas peette las pas de

rponse De/Rejet: e pas peette las - rpondre avec un ICMP echo
Authenticate : Logging
Politique de filtrage, les critres Les Applications rseaux
Tous les firewalls doivent avoir les fonctionnalits de
filtrage IP bas su le uo de pot seie/appli atio et ladesse IP
Les Fi e all a as peuet galeet ifie lautheti it de lappli atio
elle e as su daute i foatios oteu das le paquet associ (en-tte
et donnes)
Application de la politique de filtrage Traitement de paquets
Les gles de o tles das so t e ut pa o de
Ue fois ue gle est satisfaite, auue aute gle est appliue (le
paquet est accpt ou rejet selon la rgle)
i auue gle est satisfaite, le pauet est ejet pa dfaut pou la
majorit des firewall)
Un squencement complexe ou pauvre des rgles peuvent
rsulter e ue aeptatio du pauet pohi et la atio due
vulnrabilit de scurit
Packet Flow
Rgles de filtrage
Network Address Translation (NAT)
Technique de recriture des adresses IP dans les entte et
les flux de donnes des applications selon une politique
dfinie
Base su la soue du t affi et/ou lIP de destiatio
IP Masueadig
Rference: RFC 1631, 2071
Implementations du NAT
Firewalls Routeurs Cable/DSL Internet Router/Gateway
Devices (including Wireless Access Points) Windows NT 4
Option Pack Routing and Remote Access Service (RRAS)
Windows 2000/2003 RRAS Internet Connection Sharing
(ICS):
Win98SE/ME
Windows 2000
Windows XP
Avantage du NAT
Peet tout u seau dadessage pi dade Iteet Permet une
connectivit entre les rseaux avec chevauchement dad esses
Plus esoi du hte de uatio ua t o hage de FI ou de sha
dad esse Rduit la charges des adresses IP gres
Conserve les adresses IP registres Les adresses relles des
machines sont caches

Politique de filtrage Options NAT

Types des adresses tre traduites
Les adresses sources interne
Les adresses sources externe
 Les catggories majeures de traduction

Network Address Translation (NAT): Quelques fois appele NAT-Statique,

utilise les adresses IP uniquement

Network Address and Port Translation (NAPT) appele Port Address

Translation (PAT): utilise les adresse IP et les numro de ports
Source Address Translation
Inside Network Outside Network

SA NAT SA

10.0.0.2 10.0.0.2 192.69.1.1

Internet

10.0.0.3
SA = Source AddressNAT Table
Inside Local

Inside Global
IP Address IP Address
10.0.0.2
192.69.1.1
10.0.0.3 192.69.1.2
Les htes interne utilisent diffrents adresses Ip Registre, vu par le rseau
externe
11
Port Address Translation
Inside Network Outside Network

SA NAT SA

10.0.0.210.0.0.2

192.69.1.1

Internet
10.0.0.3
SA = Source AddressNAT Table
Inside Local
IP Address
 Inside Global IP Address
10.0.0.2 192.69.1.1:5001 10.0.0.3 192.69.1.1:5002
Traduction multiplixe
Toute les machines externe utilisent une seule adresse IP Vue par le rseau
externe
Le NAT
Charge: Une charge additionnelle et une complexit pour les routeurs et les
firewalls
Scurit: e fouit pas ue suit au i eau appli atif ou si le hte sest oe t u se eu
ali ieu, peut sui ue attaue de outage sou e
Require un diteur NAT pour procder
Adresses/Port embarqu: Application avec adresse IP et/ou information
sur le port dans le payload de donnes (e.g., FTP, ping, DirectPlay, PPTP)
Back Plane Channels: Application ncessitant des canaux back plane (e.g.,
H.323/NetMeeting, CUSeeMe, VDO Live, IRC, Xing, Rshell)
Les paquets chiffrs: Plusieurs problmes trouvs avec les VPN L2TP ou
IPsec et autres
types de chiffrements des applications , sauf si le firewall agit en tant que
terminal VPN
Directive pour le filtrage Adresse IP
Cacher les rseau Interne avec du NAT
Rejeter tout paquet subissant un routage source
Rejete ue adesse destiatio i tee ui tetat de passe letieu
Rejete toute adesse etee de destiatio tetat de passe e li tieu
Rejete toute adesse sou e i tee tetat de passe es li tieu
Rejete toute adesse sou e etee tetat de passe es letieu
Rejeter les adresses sources ou destinations 127.0.0.1
Rejeter les adresses sources ou destinations 0.0.0.0
Rejete les ad esses sou es ou destiatios dadesses IP pi es (10., 172.16-31,
192.168)
Utiliser les recommnadation du RFC 2267 pour vous protger des attaques
DDoS

Utilser une rgle de nettoyage pour rejeter et sauvegarder les paquets qui ne
sappliuet ue auue gle
Directives pour le filtrage Applications
Minimiser le traffic des applications travers le firewall (inbound)
Bloquer toutes les applications non ncessaires.

Bloue las etee au se i es tftp, NF, NI, X-Server, SNMP, finger, r-commands,
ICMP (ping, traceroute)
Bloue las etee au pot NBT 135-139, 445 pour les rseaux Windows
Utilser des passerelles applicatives et un filtrage stateful inspection

Mettre le serveur web publique sur un autre systme autre que le firewall
(pour les solution Firewall logiciels)
Placer le DNS interne et le serveur Mail derrire le Firewall
Zone dmilitarsie (DMZ)

Les rseaux DMZ fonctionnent comme un petit rseau isol,plac entre le

rseau non scuris et le rseau priv

Gnralement, les systmes prsents sur le rseau non scuris et certains

systmes du rseau priv peuvent accder un nombre limit de services
disponibles dans la DMZ

Lojetif est dephe la tasissio de tafi dieteet ete le rseau non scuris et le
rseau priv
TTPS
BD Serveur
dapplication
Stratgies DMZ
Switching en utilisant les technologies Vlan, quand possible, est la topologie
DMZ prfre
Les Hubs doivent tre bannis
Implmentation de Vlan doit tre soigneusement conues pour:
Protger le traffic de contrle (VLAN control channel (802.10q) )
Miminiser les possibilits de flood de packets
Fournir des capacit de troubleshooting

Fournir des fonctionnalits de dpannage laide dun miroir des

ports doit tre configure afin dagrger toutes DMZ sur un seul port se
at e tat uu e itefae autoise iffe

Utilise les outeu etat uu outil pliiiae de ot le/dpistage de pauets

Utiliser les serveurs proxy prendre en charge les tches les plus lourdes sur
les firewalls primaires
Deux constructeurs
DiffrentsServeur En sriedapplication
BD
Load Balancing ou en fail-over
BD
Serveur
dapplication27 Serveur
dapplication BD
Segmentation de
Rseau
 Filtre de Paquets Serveur Proxy Cache Passerelle Proxy
au niveau du circuit Passeelle Po au ieau de lappliatio
Moteur Stateful inspection Firewall Applicatif Hybride
Filtre de paquets
Accepter/ Rejeter les paquets en se basant sur la valeur
nominale du contenu des champs entte Ne elie pas les i
foatios du pauet u aute
Les fonctionnalits de filtrage de paquet sont
communment i opo es das les outeus et les s stes deploitatio
Wido s 2000, 2K3, Linux
Utilisent typiquement les donnes trouves dans les enttes
TCP/IP et IP (transport et rseau), fondement de tousles
architecture firewall
APPLICATION

Source Destination Protocol Application Action All All UDP All Deny, Log 200.12.34.254 UDP All Deny,Log
PRESENTATION

123.45.67.89 200.12.34.56 TCP Telnet (23) Allow, Log

SESSION

All All TCP All Deny, Log 123.45.67.89200.12.34.254

Telnet Client
TRANSPORT
NETWORK PACKET FILTER
DATA LINK PHYSICAL

Access Control Lists (Filters)

InternetPacket Allowed
Filter

200.12.34.56 Telnet Server

Other Denied FIREWALL

External
Network
Hosts
Filtre par Paquet Firewalls Proxy
Logiciel qui agit au nom de lutilisateu p o
Lutilisateu se oete au po e tat uue
application , mais ne ncessite pas dade so s st e deploitatio

Internal Server Internal

User
Proxy (optional)
Client
Internal
Network

Router
Proxy Firewall Server(s)

Suite la connexion initiale, le

po agit due fao
transparent pour tendre la session

External Server Router

Internet

External User
Serveur Proxy Cache
Utilit primaire pour Optimiser les performances (cache)

Les Technologies proxy sont utilises pour les firewalls avancs,

robuste(passerelle applicative)
Utilis pour prendre en charge des fonctionnalits lourdes comme la censure,
lauthe tifi atio des utilisateu s, ifi atio du oteu ali ieu Eploits des navigateurs
web, Java, ActiveX)

Le serveur proxy peut avoir des fonctionnalits qui ressemblent celle du

firewall mais qui ne peut jamais tre considrs comme firewall.

i le filtage est applius, les se eu po utilise t les e i foatios de let te que les
filtre de paquet
Ope g aleet au dessus du s ste deploitatio
Firewall-Proxy au niveau du circuit
U Po g iue ui ispete pas li tgit de lappli atio pas de ot le au i eau de lappli
atio
Ne ncessite pas de proxy spcial pour chaque service (FTP,HTTP,
Telnet,etc)
Ce u i uit et e le liet et le se eu sas uil soit essai e de dispose de oaissaes
propos du service
I opoe des tales d tat pou opae les does de sessios elati es ta es les pauets
Utilise les e i foatio de let te de pauets ue les filt e pa pauets, ais plus de
does (numro de squence, tats de flags)
Rcrit les paquets
Ne route pas les paquets entre interface au niveau routage
Ope g aleet su u s st e de ploitatio
Exemple: Serveur SOCKS

State Tables
APPLICATION
PRESENTATION
SESSION
CIRCUIT GATEWAY TRANSPORT

123.45.67.89 Telnet Client

NETWORK

Filters
&
Connection State
DATA LINK PHYSICAL

Internet

Circuit Allowed Proxy

200.12.34.56 Telnet Server

Other
External Denied Network

FIREWALL
Hosts
Firewall-Proxy au niveau du circuit
Propose le niveau de scurit le plus levs, car il permet le meilleur niveau de contrle
Utilise un proxy different pour chaque application authorise alloue travers le firewall
Fournit des informations sur le type et le volumes de trafic
Peut ipliue ue authetifiatio de lutilisateu pou haue se ie

Iopoe des tales d tat pou opae les sessio de does t a es les pauets au i eau appliatio, transport/session

Inspecte les donnes des en-tte des couches Rseaux, Transport, Application et parfois des payload de donnes
Rcrit les paquets
Ne route pas les paquets entre les interfaces au niveau routage
Peut impacter les performances du rseau, car doit analyser les paquets et prendre des dcisions en matire de
otole das
Ope su u s ste deploitatio
Technologie implmente au niveau des firewalls personnels

Peut foui plusieus ieau dispetio pofodes pou les appliatios e, Eplaeet idal pou rechercher des codes mobiles et des
virus dans les contenus
Eeple FTP: atios des utilisateus liites la seule letue du fihie utilisatio de la oade GET ou galeet leitue du
fihie utilisatio de la oade PUT
State Tables
APPLICATION APPLICATION GATEWAY PRESENTATION
SESSION
TRANSPORT

123.45.67.89 Telnet Client

NETWORK

Filters,
Connection State, & Application State
DATA LINK PHYSICAL

Internet

Telnet Allowed Proxy

FTP Proxy
Web Proxy
Other
External Denied
Network
Hosts

FIREWALL

200.12.34.56 Telnet Server

Separate Proxy for Each

Application
Passeelle Po au i eau de lappli atio Coposats due ahitetue Fi
e all Moteur de Stateful Inspection

Les paquets ou trames de donnes transmis sont capturs et analyss au niveau de toutes les couches de communications
Les does d tat et otetuelle so t stokes et ises jou d aiueet?

Fournissent des informations pour suivre les protocoles sans connexion comme RPC (Remote Procedure Call) et les
applications bases sur UDP par exemple.
Mthode suise daal se de pauets de does
Plae das u e tale, des i fo atios tedues elati es du pauet de does.
Pou pe ette l talisse e t du e sessio , les i foatios elati e u e oeio doi e t oespod e celle enregistres dans la table.

Eaie ke oteu de haue pauet selo u i eau de dtails ait ai e. Pa e eple, il est possile dassoie des rponse UDP entrantes avec
une ancienne demande UDP sortante
Frquemment implment dans les solutions Appliances(e.g., Cisco PIX, Nokia Firewall)
State Tables
APPLICATION
PRESENTATION
SESSION
TRANSPORT
123.45.67.89 Telnet Client
NETWORK
STATEFUL PACKET FILTER

Filters
Connection State, & Application State
DATA LINK

Allowed
PHYSICAL Stateful

Internet

Inspection
Engine

200.12.34.56 Telnet Server

Other External Network
Hosts

Denied FIREWALL
Stateful Inspection
Comparatif - Pile de protocole
APPLICATION
APPLICATION GATEWAY
PRESENTATION
SESSION CIRCUIT GATEWAY
TRANSPORT
NETWORK PACKET FILTER STATEFUL INSPECTION DATA LINK
PHYSICAL
Comparatif Traitement des donnes
Packet Filter
Data Link Header
Network (IP)
Header Transport Header ApplicationDATAHeader
Circuit Gateway
Data Link Header
Network (IP)
Header Transport Header
Application
DATA Header
Connection State
Application Gateway
Data Link Header
Network (IP)
Header Transport Header Application
DATAHeader

Connection & Application State

Stateful Inspection
Data Link Header
Network (IP)
Header Transport Header Application
DATAHeader

Connection & Application State

Architecture de firewall traitement des donnes
Filtre de Paquet: Entte transport + Numro de port
Passerelle cot Circuit: Entte transport , utilise les drapeaux et autres
controles sur les et te de does u o de sue e pou foui la gestio d tat.
Passerelle cot application: Typiquement, le firewall le plus robuste
utilisant la couche application et les donnes

Stateful Inspection: Les bnfices de performance peuvent tre

compenss par la failesse ou lieistee de ae iiitieu de la ouhe appli atio ou
du contenu de donnes
HTTP Port 80U gad tou de suit
Firewall
Application
Server HTTP Traffic
Web Web Database Client ServerApplication Port 80
Deep Inspection Firewall
Fi e all a e des fotioalits suppl etai e daal se daplpli atio Chek Point Web
Intelligence features)

Quelques version de deep inspection firewall peuvent assurer les

fonctionnalits antivirus, intrusion prevention, content filtering, anti-
spam and VoIP

Peut tre dploy dans des architecture stateful inspection ou firewall-proxy

Deade oissa te daal se de oteu des appli atios e
Le i eau daal se des appli atio aie selo le tpe du fi e all stateful firewall po
et le petise et pioit du edeu

Peut pse te des pol es de pefoae, aut toujous ieu listalle su un serveur spar
We http/https est pas uiueet le seul poi t di t et de fi e all det epise
Web Firewall
Fournit un niveau lev de garnularit de protection des systmes et des
applications
Quelques fonctionnalits
Decrypte et normalise le payload HTTP
Chehe des epei tes dattaues spifiue
Chehe des lasses g iues didi ateus dattaue
Idetifie les aat istiues dop atio haituel/odiai e
Verouille les ressources sensibles
Bloque et log/alerte les activitits suspectes
Design Conceptuel des web Firewall
Network Firewalls vs. Application Firewalls
Network Deep Inspection Application
Network Access Control Yes Yes No
Inspect IP/TCP Headers Yes Yes No
Inspect Packet Payload Limited Yes Yes
Understands non-HTTP traffic Varies Varies No
Understand HTTP traffic No Limited Yes
Understanding of HTTP Session semantics No No Yes
Understand Encrypted/Encoded Data(SSL/TLS) No No Yes
Web Server Cloaking No No Yes
Prevent Injection-based Web attacks (XSS, SQL Injection, etc.)
No Limited Yes
Prevent Buffer Overflow attacks No Limited Varies
Scurit des firewalls - Conecpts
Policies and procedures People and Process Environmental Architecture Controls
Data Link Cabling and Switching
OS- OS Controls Application Layer fw configuration
Scurit du Firewall Environnement
Documenter et communiquer clairement qui est autoris
- installer dsinstaller et dplacer les firewalls
- excuter la maitenance matrielle et modifier la configuration physique
- tablir des connexions physiques au firewall
Dfinir les procdures
- Pou leplaeet et listallatios des fi e all pa zoe
- De suisatio de las ph siue la osole
- De rcupration en cas de dommage physique
- Desalage e as de odifi atio o autoise des fi e alls
Scurit du Firewall Liaison de donnes
Utiliser avec modration des VLAN sur les firewalls
critiques i essai es, eisage dutilise des tehiues de
virtualisation de firewall (VSX, par exemple)

Scurit du Firewall ste deploitatio

Veifie ue les s stes deploitatio ot t o eteet efo s Vrifier
que les services inutilies ont t dsactiv Ati e les aises de
joualisatio des s stes deploitatio Utiliser les contrles
doubles intervention pour les fonctions critiques as lO pa
e eple

Dtetio di tusio P etio et dtetio di tusio

ste de p etio di tusio IP empche les intrusions
ste de dtetio di tusio ID Dtete les tetati es di tusio et
toutes les atios isa t otei u accs non authoris Audit des
tetati es di tusio e teps utile

stes de p etio di tusio IP

Capacit bloquer les attaques en temps rel
Intercepte et retransmet les paquets de manire active
Cosid oe o tle das et appli atio de la politiue alos uu ID
est u oe supeisio du seau et s ste daudit
Contrle prventif
ste de d tetio di tusio
Tete didetifie et disole les attaues
- Ose atio des jouau de tafi et daute does daudit
2 piipau tpe dID
- IDS rseaux (NIDS): dtecte les attaques en capturant et en analysant les
paquets du rseau
- ID hte HID: i te ie t su les i foatios oll etes au sei e du systme
informatique
IDS rseau (NIDS)
Surveille les paquets du rseau et le trafic en temps rel sur
les voies de communication
Analyse les protocoles et toute autre information
pertienente sur les paquets Peut envoyer des alertes ou
mettre fin une connexion litigeuse Peut si tge u fi e all
et dfi de ouelles gles
Le cryptage perturbe ma supervision des donnes

IDS Hte
Agent Rsidant sur hte qui dtecte les intrusions apparente
- ute les jouau d ee ts, les fihies s st es itiues et toute aute ressource pouvant
tre audite
- Recherche les modifications non autorises ou les profils de comportement
ou datiit suspets
LID hte peut e o e des aletes sil d tete des ee ts ihaituels Le HIDS
multi-hte rcupre les alertes de plusieurs htes
Mthode de oteu daal se IDS par reconnaissance de forme
Rehehe das les pauets etats des suees dotets spifiue sigatues stokes das ue
ase de does dattaues oues
Identifie les attaques connues
Fouit des i foatios spifiues daal se et de pose
Peut dclencher de faux positifs
Ncessite de frquentes mises jour des signatures
IDS par reconnaissance de squence
dynamique (Stateful)
Rehehe les sigatues dattaues das le ade du flu de tafi et o plus
dans des paquets individuels
Identifie les attaques connues
Dtecte les signatures rparties sur plusieurs paquets
Fouit des i foatios spifiues daal se et de pose
Peut dclencher de faux positifs
Ncessite de frquentes mises jour des signatures
IDS bas sur les anomalies statistiques
D loppe des aleus de f ee de latiit et du dit e tafi oal et alerte en cas de
dviation par rapport ces valeurs
Peut identifier des attaques inconnues et des vagues de dni de service (DoS)
Peut se rvler difficile rgler correctement
Nvessite une bonne connaissance des caractristique du trafic normal
IDS bas sur les anomalies de protocole
Recherche les carts par rapport aux standars tablis dans le RFC
Peut identifier les attaques sans signature
Rduit le nombre de faux positifs avec les protocoles bien matriss
Peut conduire de faux positifs et de faux ngatifs avec des protocoles
complexe ou peu matriss
Le dploiee t des odules daal se de p otoole est plus log hez les lie ts que les
signatures
IDS bas sur les anomalies de trafic
u eille les atiits ihaituelles du tafi,telles ue liodatio de
pauets UDP ou lappaitio du oueau seie su le seau Peut
identifier les attaques inconnues et les vagues de dni de
service DoS Peut se rvler difficile rgler correctement
Nessite ue oe oaissa e de lei oee t du taffi oal

Anomalies
On entend par anomalie: Plusieurs tentatives infructueuses
de connexion La oeio dutilisateus des heues izae Les
odifi atios ieplius dologe s ste Des essages deeu ihaituels
Des arrts ou redmarrage inexpliqus du systme

Rponse aux intrusions

Exemple de rponse: - Abandon des paquets de donnes
suspects au niveau du firewall - Refus das au essoues u
utilisateus psetat ue atiit suspecte - igalee t de latiit es les
htes du site - Mise jour des configurations dans le systme
IDS

Alaes et sigau di tusios

Coet le s ste a etitil due i tusio? LID e oie ue alete, ia ue
i tefae utilisateur Les essages dalete peu et te du tpe
- Message instantan
- Email
- Message sur pager
- Message sonore
Gestio de lID
Pou gaati leffi ait du s ste de dtetio di tusio , il oiet deplo e ue
personne disposant des connaissances techniques pour selectionner, insatller,
configurer oprer et maintenir le systme IDS
Laal ste doit tei le s ste jou des ou elles sigatues dattaues et doit
dterminer les profils de comportement attendus
LID peut te ul ale au attaues sui ates
- Les intrus tentent de dsactiver les systme ou de surcharger avec de fausses
informations
- Lattaue du ID peut te ue siple di esio
Solution Antivirale
Solutions pour htes Solution Client / Serveur (Symantec Corporate
Edition) olutio essageie pou se eu ail, pou Lotus Solutions Passerelle
antivirales
Potetio Co t e les odes aliieu Ve s, Che al de T oie, Rootkit
Intgration de fonctionnalits antispyware Peut intgrer des
fonctionnalits Host IDS ou IPS a et Test taspa e t lutilisateus Forte
intgration clients (Authentification pour administration) Mises jour
Automatiques Gestion Centralise du serveur et des clients (pour les
solutions serveurs) Blocage du contenu web futile
Quelques Solution Antivirale
Kaspersky Antivirus McAfee F-Secure Nod-32
Symantec Antivirus Trend-Micro Sophos Avira AVG

Gestion des vulnrabilits

Solution avec application hirarchise (echelle de priorit) de contre-
mesures
Cot les de oteu tedus et test de ul ailits de li f ast tutue sea
Identification des nouvelles menaces et mise en corrlation

Audit des stratgies et valuations de la conformit aux normes et statndard de

scurit

Autre fonctions offertes : inventaire des actifs, gestion, analyse et gnration

de rapports.
Qualys , Foundstone sont les solutions les plus connues
Opium pour les solutions open source
Autres lments Importants
Authentification Annuaire: LDAP, Active Directory P otoole
dauthetifi atio: Radius, Taas, Taas+, Diaete P otetio de las distat: VPN
: Virtual Private Network
Sauvegarde: Essentiels en cas de panne, attaques, ou de problmes
critiques Exemple: Sauvegarde de la Base de donnes Symantec
Veritas
Data Loss Prevention P etio de la fuite des do es Hte et seau opie es
UB, Ipod, Eail Mcafee DLP
Mises jours Serveur WSUS pour les plateformes Microsoft Autres
mesures artisanales pour les solutions Linux/Unix
Autres lments Importants
Journalisation Asurer une traabilit de tous les vnements rseau et
systme Prvenir et combler tous les types de problmes*
NTP : Network Time Protocol Serveur de Temps Synchroniser les
horloges
DNS Allger le trafic Rseau

Proxy ServeurLog Sauvegarde

dauthentification ServerFirewall Applicatif HTTP/H WSUS TTPS
NTP
DNS
Serveur BD dapplication
Administration
Ladiistatio doit te e talise La )oe dadiistatio doit te isole seget idpedat
Suivi des vnements et alertes Dtection et prvention des anomalies
Suivi du trafic rseau
Automatiser au maximum les tches effectuer ladiistateu est l seuleet
pou soude les ps

ServeurLog Proxy dauthentification ServerFirewall Applicatif HTTP/H WSUS SauvegardeTTPS

DNS
Serveur BD dapplication
Points importants
T aspaee pou lutilisateu fial Failit de ise e u e de la politiue de suit
Ne pas provoquer de pertes de performance (patte GB pour le serveur de
Log) Indpendance totale vis--vis des logiciels utiliss par les
utilisateurs (cot client et serveur)
Points Importants
Un systme doit tre install toujours de faon minimale (limiter les
risques et comprendre les problmes)
Leduisseet des s stes deploitatio est oligatoi e su tous les serveurs
Chaque personne doit avoir un identifiant unique

Une faille dans un lments met en pril le rseau entier

Techniques de disponibilit Rseau
Cbles
Les les utiliss auot u i pat su la siliee du seau e as de dfaillance
Teste et etifie tous les les a at lutilisatio su le seau
ege te les zoes de pol es laides des s iths
Utiliser les fibres pour viter les interfrences lectromagntiques
Limiter la longueur des cbles
Topologie
Cetaies topologies so t plus effi aes ue daut es e tee de
rcupration suite des problmes rseau.
Losuil est utilis a e des les pai e tosade, Etheet peut te
extrmement rsistant aux problmes de cblage.
Token Ring a t conu pour tre insensible aux dfaillances, mais sera
fagilis pa des ates di tefae seau dfetueuses.
i elle est iplete a e des aeau otaotatifs doules, li tefae
FDDI (interface de donnes distribues sur fibre optique) est
particulirement fiable.
Points de dfaillance uniques
Les liges loues sot suseptiles di todui e u poi t faile uiue igle point of
failure).
Le relais de trames fournit une connectivit de rseau tendu sur un rseau
puli out patag. i lu uel oue des sege ts du uage de elais de
taes psete ue dfaillae, le tafi est d i su dautes liges. La liaiso entre le
fournisseur et le client reste un point faible unique.
Points de dfaillance uniques Contre-mesures
La meilleure mthode pour rduire au minimum le risque
de dsastre rseau consiste identifier les points faibles
uniques et favoriser la redondance.
Le fait de crer des points faibles uniques est une erreur
classique en matire de conception de rseaux.
Etre vigilant concernant les quipements consolids tels
que routeurs ou commutateurs.
Dployer des quipements redondants.
Points de dfaillance uniques Contre-mesures (suite)
Tirer parti des routes LAN redondantes
Connexions de secours la demande pour les liaisons WAN
Construire des systmes de :

- Disponibilit de base intgrant un nombre suffisant de composants pour

satisfaire aux exigences fonctionnelles du systme.
- Haute disponibilit intgrant un niveau suffisant de redondance.
- Disponibilit continue i tg at galeet des oposats peettat deffetue des
interruptions planifies (pour mise niveau, sauvegarde).
Enregistrement des fichiers de configuration

Lorsque des dispositifs rseau tombent en panne, il est probable que les
configurations locales seront perdues.

Journalisation du terminal peet de egiste les fi hies de ofiguatio e

consignant ce qui apparat sur le terminal, le dispositif tant programm
localement.

Protocole TFTP (Trivial File Transfer Protocol) ped e hage le egistee t ou la

rcupration des informations de configuration. Un serveur unique peut
archiver les fichiers de configuration de tous les dispositifs du rseau.
Techniques de disponibilit rseau Sections Prvention des
dsastres rseau
- stes dali etatio sas oupue UP - Matrice redondante de
disques (RAID) - Serveurs redondants - Mise en grappe
(Clustering) - Techniques de sauvegarde - Rcupration de
serveur

UPS,RAID et MAID
st es dalie tatio sas oupu e UP
Fouisse t ue sou e dali e tatio p ope et stailise.
Matrice redondante de disques indpendants (RAID) Redundant Array of Independent Disks

Augmenter la capacit de stockage: Permet de mettre bout bout des disques durs, pour accrotre la taille du volume.

Amliorer les performances : Les donnes sont crites sur plusieurs disques la fois. Ainsi, chacun des disques na
quune partie des donnes inscrire.

Intgre une tolrance aux pannes contre les dfaillances de disque dur et peut amliorer les performances systme.
Matrice massive de disques inactifs (MAID)
e lale RAID, ho is ue les disues estet e so eil jusu e uils soiet de oueau utiles.

En rduisant le nombre de disques actifs en mme temps, il est possible de rduire sensiblement les couts lis au
contrleur de disque.

RAID0: Le principe est de rpartir les donnes sauvegarder sur plusieurs disques. Lcriture et la lecture de
donnes se font grande vitesse puisquon agit en parallle sur toutes les units
RAID1: Les donnes sont crites de faon redondante et en mme temps sur deux disques en miroir afin de
prserver les donnes en cas de panne physique
RAID3:Cette technique utilise plusieurs disques pour rpartir les donnes la manire RAID 0 et un disque
supplmentaire pour stocker les bits de parits.
RAID 5: Il sagit cette fois de dcouper les fichiers en paquets doctets de la taille dun cluster de disque dur, puis
de rpartir sur n disques (et non plus n -1 comme en RAID 3 ou 4).
Serveurs redondants
Conserver un ordinateur inactif redondant disponible pour la
rcupration des dfaillances - - tolrances aux pannes de serveur
Fournir un ou plusieurs systmes complets disponibles au cas o le
systme principal tombe en panne.
Mise en grappe (Clustering)
Semblable aux serveurs redondants, hormis que tous les systmes
participent au traitement des demandes de service.
La grappe(cluster) agit comme une unit intelligente unique pour
quilibrer la charge de trafic.
Plus intressant que la solution de redondance serveur, car les systmes
secondaires fournissent effectivement du temps de traitement.
Augmente sensiblement la disponibilit et les performances.
Sauvegardes
Protgent les informations stockes sur le serveur.
Trois types: Sauvegarde complte : excute un archivage complet de
chaque fichier. Sauvegarde diffrentielle : copie uniquement les fichiers
modifis depuis la dernire sauvegarde complte. Sauvegarde
incrmentielle : copie uniquement les fichiers ajouts ou modifis
rcemment depuis la dernire sauvegarde, complte ou incrmentielle.
Matrice de bandes
Matrice de bandes
Matrice redondante de bandes indpendantes (RAIT)-semblable la
technique RAID
Autres techniques: SCSI NAS (Stockage en rseau NAS) Network
Attached Storage

SAN (Stockage Area Network)

S-ATA(Serial-Adanced Technology Architecture) Autres

Sauvegarde en ligne
Sauvegarde en ligne continue avec un logiciel de gestion hirarchique du
stockage (HSM)

attribue aux donnes les plus rcentes ou les plus importantes les systmes de
stockages les plus performants, et inversement,

Coie ue tehologie de disue du a e lutilisatio de jukeo es optiues ou

bande, plus lents et moins coteux.
Progiciel de sauvegarde en ligne continue Rseau de stockage (SAM).
Rseau partag qui connecte des htes des dispositifs de stockage.
Souvent utilis pour implmenter des sauvegardes sans serveur.