S5L2

Architectures de sécurité – partie 2

Maryline LAURENT

Plan de la leçon

• Objectifs et intérêts d’un réseau d’administration

• Les moyens permettant à un employé de se connecter à distance de façon sécurisée
aux ressources de l’entreprise
• Positionnement des sondes IDS dans une architecture
• Services et applications pouvant supporter le besoin de haute disponibilité

Les objectifs

La deuxième vidéo de présentation des architectures de sécurité vous permettra de

comprendre les objectifs et l’intérêt d’un réseau d’administration, quels sont les moyens
permettant à un employé de se connecter à distance de façon sécurisée aux ressources de
l’entreprise ; à quel endroit il vaut mieux positionner des sondes IDS dans une architecture et
sur quels flux l’attention doit se porter ; et enfin quels services et applications peuvent
supporter le besoin de haute disponibilité.
Dans la leçon précédente, nous avons pris le cas d’une usine de production industrielle pour
illustration et avons abouti à l’architecture présentée ici. Elle repose sur 2 firewalls, un
externe permettant une protection vis-à-vis de l'extérieur, et l'autre interne, par lequel tous les
flux des équipements internes doivent transiter, à partir de leur interface réseau
opérationnelle.

Le réseau d’administration

Pour assurer une administration robuste et fiable de ces équipements, il est nécessaire de
distinguer l’administration des services usuels offerts sur le réseau, en séparant les flux pour
l’administration et les flux pour les services. Chaque serveur ou équipement doit ainsi
disposer d’une connexion réseau dédiée à l’administration et le réseau permettant à
l’administrateur de se connecter depuis son poste d’administration doit être de préférence
physiquement séparé du réseau opérationnel, ou sinon la séparation peut être assurée
logiquement via un vlan dédié.
L’administrateur accède au réseau admin exclusivement depuis un poste d’admin et
interconnecte tous les équipements administrés au travers d’un firewall admin dédié. En outre,
il est important que les flux d'administration utilisent des protocoles sécurisés, disposant d'un
chiffrement, d'un contrôle d'accès et d'une authentification à l'état de l'art (ssh plutôt que
Telnet).

Il est très important de séparer les flux d’administration des flux opérationnels pour permettre,
même en cas de défaillances du reste de l’architecture, de toujours avoir la capacité
d’administrer les systèmes. En effet, s’il n’y avait pas de réseau d’administration, cela
voudrait dire qu’en cas de lien réseau défaillant entre le serveur web et le firewall externe par
exemple, il ne serait pas possible à l’administrateur de se connecter sur le serveur web, alors
que depuis le réseau d’administration, il lui est toujours possible d’administrer le serveur.
Notez également que cette séparation empêche les attaquants, où qu’ils soient sur le réseau
opérationnel, d’accéder en tant qu’administrateur aux serveurs puisque l’administration n’est
strictement possible que depuis le réseau d’administration.

En conclusion, il est important de séparer les accès aux services (qui sont par exemples https,
ftp) des accès pour l’administration sur chaque serveur (qui sont par exemple ssh ou rdp), ce
qui nécessite d’apporter beaucoup de soin à la configuration de chaque équipement.
Pour éviter qu’une faille connue d’une marque de firewall ne serve à déjouer la sécurité de
plusieurs firewalls, il est préférable que le firewall admin soit de marque différente des autres
firewalls. Par ailleurs, il est important que le réseau d’administration fonctionne, à la manière
d’un bunker, en complète autarcie, et donc que l’authentification des administrateurs ne fasse
appel, non pas à l’annuaire du réseau opérationnel, mais à un annuaire dédié au réseau
d’administration. Enfin il est capital de veiller à la protection des comptes d’administration en
exigeant des administrateurs une authentification à double-facteurs, comme la connaissance
d’un mot de passe et la possession d’une clé physique.

Chaque action réalisée par l’administrateur doit être loguée après avoir été authentifiée, de
sorte à garder une trace de toutes les actions réalisées. Pour améliorer la traçabilité des actions
d'administration, il est possible d'installer un bastion dédié à l'administration. Ce dernier
permet de centraliser l'authentification des administrateurs, et de tracer toutes les actions
réalisées sur les serveurs cibles, comme par exemple les commandes shell passées sur des
serveurs Linux. Attention cependant à bien protéger et sécuriser ce bastion, car celui-ci
devient alors un élément critique au sein du SI, il dispose en effet dans son coffre-fort de tous
les secrets d'authentification des administrateurs.

Pour éviter de contaminer le réseau d’administration avec des malwares, il est très important
de limiter les opérations depuis le réseau d’administration aux seules opérations
d’administration. La navigation sur Internet et l'accès à la messagerie interne sont, par
exemple, à proscrire.

Accès distant
Concernant les accès distants des employés en télétravail, depuis un hôtel ou depuis un
cybercafé, la vigilance est de mise. Le terminal d’un employé peut en effet être volé et utilisé
par un tiers, un terminal déconnecté trop longtemps de son réseau peut être vulnérable car il
n’a pas bénéficié des dernières mises à jour, une session laissée ouverte sur un terminal d’un
cybercafé peut fournir un accès à un visiteur curieux à des fichiers sensibles de l’entreprise.
Comme nous l’avions vu dans la première leçon, il est nécessaire de passer par un firewall qui
donne accès à une DMZ dédiée au service de VPN pour les accès distants. Il est préférable
que ce firewall soit séparé des firewalls externes et internes et dispose de sa propre adresse IP.
Il est également préférable que le service VPN soit un équipement dédié, mais il est possible
qu’il soit intégré directement dans le firewall. Le service VPN doit en premier lieu
authentifier l’employé de façon forte à l’aide d’un annuaire extérieur au service VPN.
L’authentification forte fait référence à une authentification à double-facteurs, ici par exemple
la connaissance d’un mot de passe et la possession d’un appareil comme un smartphone ou
une carte à puce.

Ensuite, le service VPN doit vérifier la conformité du système et de l’anti-virus vis-à-vis

d’une base de référence locale. De la sorte, en cas de non conformité, l’utilisateur est placé en
zone de remédiation pour que son système soit mis à jour.
A partir du moment où le système est conforme, l’utilisateur se voit donner accès à un sous-
ensemble des applications internes et à la navigation Internet. Le service VPN ou le firewall
associé peut effectuer un filtrage précis et peut de la sorte limiter les accès. Le poste
utilisateur en télétravail ne doit pas pouvoir accéder à Internet directement. Tous les flux
doivent impérativement transiter par le tunnel VPN vers le SI de l'entreprise, et bénéficier des
protections offertes par les firewalls et le proxy web de l'entreprise avant d'accéder à Internet.

Les sondes IDS

Pour aider l’administrateur à détecter et réagir à des tentatives d’intrusions dans son système
d’information, il est indispensable de positionner dans l’architecture réseau plusieurs sondes
de détection d’intrusions ou IDS. Ces sondes ont pour objectif de détecter et analyser des
tentatives d’intrusion dans le réseau. On peut se focaliser sur les flux qui proviennent d’une
zone fortement exposée comme Internet car on estime le risque d’attaques important. Dans ce
cas, on placera une sonde IDS sur les flux entrants vers le serveur web par exemple, soit sur
un équipement à part, soit sur le firewall, si problème de budget.
Ainsi, si le serveur web se fait attaquer - il reçoit en effet parmi un ensemble de flux, des flux
malveillants en provenance d’un attaquant - alors la sonde détectera l’attaque et enregistrera
cet évènement dans ses logs.

Si maintenant, c’est un poste interne qui télécharge un malware, la sonde IDS placée sur le
flux entrant vers le proxy pourra détecter le malware et lancer une alerte.
On peut aussi craindre des exfiltrations de données confidentielles de certaines zones
critiques, comme du serveur de fichiers dans notre cas. Dans ce cas, on placera une sonde
IDS, soit sur le serveur de fichiers, soit sur le réseau sur le flux sortant, pour détecter les
exfiltrations de données. Les alertes émises par les sondes doivent être collectées, analysées et
corrélées par un SIEM en charge de la gestion des évènements dans un système
d’informations. Le SIEM est localisé dans le réseau d’administration uniquement. Il est
préférable que les sondes aient une double connectivité aux réseaux opérationnel et
d’administration de sorte à transmettre les alertes au SIEM via le réseau d’administration ; si
ce n’est pas le cas, il est fortement recommandé que les sondes envoient les alertes à un
collecteur sur le réseau opérationnel via une connexion chiffrée par TLS par exemple, le
collecteur se chargera alors de les transmettre au SIEM, via le réseau d’administration.

La haute disponibilité

La moindre défaillance d’un réseau ou de services pouvant avoir des implications fortes en
termes de pertes financières, et éventuellement de dommages matériels, il est très souvent
primordial pour une entreprise de bénéficier de la haute disponibilité, c’est-à-dire d’une
continuité de services, de niveaux réseau, serveurs et services. Au niveau réseau, cela se
traduit par redonder un firewall, c’est-à-dire placer deux firewalls côte à côte et les relier par
deux câbles de type RJ45 ou RS232, ce qui leur permet de synchroniser leurs états et de
détecter une défaillance grâce au protocole Heartbeat. L’un des firewalls joue le rôle du
maître et l’autre le rôle de l’esclave. Ainsi le firewall maître assure les services de firewall et
en cas de défaillances de celui-ci, c’est le firewall esclave qui devient le maître et prend le
relais en assurant la continuité du service. On crée ainsi un cluster de firewalls.
Le réseau local comprend aussi un commutateur qui doit être connecté à chaque firewall. Pour
assurer la haute disponibilité et donc une bonne connectivité au travers de ce commutateur, il
est utile d’une part de redonder les liens réseau de ce commutateur vers le firewall et d’autre
part de redonder le commutateur maître avec un commutateur esclave. Les deux
commutateurs doivent être parfaitement synchronisés, d’où le câblage direct entre eux, et ils
doivent être tous deux connectés aux deux firewalls, ce qui explique la présence des 4 câbles
réseau RJ45.

Enfin le serveur doit être connecté aux deux commutateurs par des liens réseau redondants.
Au niveau serveur, la haute disponibilité se traduit par la capacité à redonder des services
grâce à la virtualisation de sorte qu’en cas de défaillances, les services soient démarrés sur un
autre hôte de machine virtuelle. Ainsi, au niveau service, la haute disponibilité est mise en
œuvre en garantissant qu’une indisponibilité d’un service conduira à basculer sur un service
équivalent situé sur un équipement différent. Une règle est donc de rendre les services le
moins dépendant possible des équipements.