Les RESEAUX

LA SECURITE DES SYSTEMES D'INFORMATION

INTRODUCTION
Nouvelle et indispensable dimension des systmes informatiques :
Extensions des systmes vers tous les partenaires de l'entreprise (employs, cadres, clients, fournisseurs,) et le reste du monde (Internet). Multiplication des points d'accs.

Mais.
Politique coteuse. Parfois incompatible avec les performances.

INTRODUCTION
Les OBJECTIFS
DISPONIBILITE : Garantir dans le temps et l'espace la continuit de fonctionnement de l'ensemble des ressources. INTEGRITE : Maintenir l'intgrit du point de vue physique (sauvegarde) et logique (droits d'accs). CONFIDENTIALITE : Assurer l'accs aux ressources aux seules personnes autorises

INTRODUCTION
Mise en place d'une ORGANISATION
Au niveau Global : La scurit concerne toutes les parties prenantes de l'entreprise. Dfinir un poste de responsable de la scurit et des responsables pour les lments du systme (un responsable par Domaine NT par exemple). Dfinir des procdures (gestion des badges d'accs, de la circulation,etc.). Amnagement des locaux. Sensibilisation du personnel la scurit. Tester les procdures (incendie, sauvegarde)

SOLUTIONS TECHNIQUES

CONTRATS D'ASSURANCE. PROTECTION DES LOCAUX. PROTECTION DES MATERIELS. PROTECTION D'ACCES AU
SYSTEME.

PROTECTION DES DONNES. PROTECTION DES ECHANGES.

PROTECTION DES LOCAUX.

Construction des locaux.
Situation des locaux informatiques (serveurs), tude de la circulation du personnel, sparation des courants forts et faibles, etc...

Protection contre les incendies et les inondations.

Gaine anti-feu pour le cblage, fermeture automatique des portes, armoire anti-feu, etc...

Contrle d'accs.

PROTECTION DES MATERIELS

La protection du matriel a pour objectif de prvoir une dfaillance ou une dtrioration du matriel. Remarque : Se protger de la dfaillance du matriel revient protger les donnes qu'il supporte. Tlsurveillance et/ou protection des locaux contre les infractions.

PROTECTION DES MATERIELS

Protection lectrique
Faible : Onduleur (bloc de prises). Protection sur les cbles vido, rseau... Moyenne : Onduleur + Batteries (maintien de l'alimentation durant quelques minutes) Forte : Onduleur + Batterie + sauvegarde automatique. La protection peut se situer au niveau d'une machine, d'un groupe de machines et intgr l'installation lectrique.

PROTECTION DES MATERIELS

Ordinateur Alimentation Carte

Signal en cas de coupure Onduleur Alimentation + Batteries

Schma d'un onduleur avec sauvegarde automatique

PROTECTION DES MATERIELS

Systmes REDONDANTS
On parle de systme tolrance de pannes Au niveau du systme lui-mme : Redondance de l'ordinateur et de tous ses priphriques ; Si possible les systmes seront situs sur des sites diffrents. Au niveau des disques : On parlera de systme RAID (Redundant Array of Inexpensive Disks)

PROTECTION DES MATERIELS

La technologie RAID Classification en plusieurs niveaux de : RAID0 RAID5 RAID0 ou Agrgat par bande : Les donnes sont rparties en blocs selon un ordre dfini sur tous les disques.

PROTECTION DES MATERIELS

La technologie RAID RAID0 ou Agrgat par bande :
Disque 1 Disque 2 Disque 3 Disque 4

Fichier 1 Fichier 2 Fichier 3 Fichier 4

Avantage : Accs rapide aux donnes Inconvnient : La perte d'un disque entrane la perte de toutes les donnes

PROTECTION DES MATERIELS

La technologie RAID RAID1 : Un ou plusieurs disques sont une copie parfaite d'un disque principal. Il y a deux variantes du RAID1 : Mirroring
Disque principal

Disque Miroir

1 Seul Contrleur

PROTECTION DES MATERIELS

La technologie RAID Duplexing
Disque principal

Disque Miroir

Deux Contrleurs

PROTECTION DES MATERIELS

La technologie RAID RAID1 : Mthode sre et coteuse (2 disques = 1) Il amliore les performances en lecture par des accs simultans aux 2 disques. RAID1 est propos par NT4 Server

PROTECTION DES MATERIELS

La technologie RAID RAID2 : Principe de fonctionnement identique au RAID1. Un seul disque est sollicit lors des oprations de lecture.

PROTECTION DES MATERIELS

La technologie RAID RAID3 ou Agrgat par bande avec parit Il s'agit d'un RAID0 avec un disque de parit. Les donnes sont crites bit bit (ou par octet) sur les diffrents disques, le dernier disque enregistre la parit. Ce dernier permet de continuer fonctionner avec un disque en panne puis de rgnrer ce disque.

PROTECTION DES MATERIELS

La technologie RAID RAID4 : Identique au RAID3 avec une criture par petit bloc et non plus par bit (ou octet). Avantages du RAID3 et 4: Dispositif tolrance de pannes. Inconvnients du RAID3 et 4 : Mobilise un disque (cot). En cas de dfaillance du disque on se retrouve en RAID0.

PROTECTION DES MATERIELS

La technologie RAID RAID3 et 4
Disque 1 Disque 2 Disque 3 Disque 4 Parit

Fichier 1 Fichier 2 Fichier 3 Fichier 4

Bloc 1 Bloc 4 Bloc 2 etc.. Bloc 3 Parit criture d'un fichier

PROTECTION DES MATERIELS

La technologie RAID RAID5 : Le disque de parit est rparti sur l'ensemble des disques de donnes
Disque 1 Disque 2 Disque 3 Disque 4
Fichier 1

Fichier 2 Fichier 3

Le segment de parit est dcal

PROTECTION DES MATERIELS

La technologie RAID RAID5 Il amliore les performances en lecture et en criture. Avec des disques "HotPlug" ce mode permet l'change de disques chaud et sa rgnration. Ce mode correspond l'agrgat par bandes avec parit sous NT4 Server.

PROTECTION DES MATERIELS

La technologie RAID Il existe d'autre mise en uvre qui drivent des prcdentes :
ORTHOGONAL RAID5 : Technique logicielle cr par IBM identique au RAID 5 mais utilise un contrleur par disque comme en "duplexing". RAID6 : Identique au RAID 5 mais utilise 2 codes de redondance. Ce qui permet de continuer de fonctionner aprs la panne de 2 disques simultanment.

PROTECTION DES MATERIELS

La technologie RAID Il existe d'autre mise en uvre qui drivent des prcdentes :
RAID7 : Met en jeu une carte microprocesseur qui contrle et calcule la parit, la gestion du cache ainsi que la surveillance des disques. Ce mode supporte la perte de plusieurs disques simultanment. RAID10 : Combinaison entre l'agrgat et la miroir.

PROTECTION D'ACCES AU SYSTEME

La protection de l'accs au systme peut prendre plusieurs formes (cf. cours NT) : Nom d'accs + Mot de passe (minimum)
Avec des contrles sur les mots de passe modifiables par les utilisateurs (longueur, nature des caractres et priodicit).

Horaires d'accs. Machines d'accs. Contrle de l'accs depuis l'extrieur.

Utilisation du Call-back

PROTECTION DES DONNES

Contrle d'accs aux donnes
Par le systme d'exploitation : Droits aux ressources et sur les fichiers. Par le S.G.B.D : Certains SGBD grent leur propre base de comptes. D'autres s'appuient sur les comptes du systme d'exploitation.

Sauvegardes
Journalires, hebdomadaires et/ou mensuelles. Le rythme dpend de la priodicit des modifications et de la valeur des donnes.

PROTECTION DES DONNES

Sauvegardes 5 Types de sauvegardes : NORMALE : Copie de tous les fichiers slectionns. Le bit darchivage est dsactiv.
Fichiers faciles retrouver car ils sont situs sur la dernire sauvegarde. Mais, ncessite plus de temps en sauvegarde et les fichiers non modifis sont redondants sur les bandes. Note : A chaque fois qu'un fichier est modifi son bit d'archivage est modifi.

PROTECTION DES DONNES

Sauvegardes PAR DUPLICATION : Copie de tous les fichiers slectionns. Le bit d'archivage n'est pas modifi. INCREMENTIELLE : Copie uniquement les fichiers dont le bit d'archivage est activ c'est dire les fichiers crs ou modifis depuis la dernire sauvegarde incrmentielle ou normale. Le bit d'archivage est dsactiv.
Lespace bande est moindre, la sauvegarde est plus rapide. Mais difficult pour retrouver les fichiers.

PROTECTION DES DONNES

Sauvegardes DIFFERENTIELLE : Copie uniquement les fichiers dont le bit d'archivage est activ c'est dire cres ou modifis depuis la dernire sauvegarde incrmentielle ou normale. Le bit d'archivage n'est pas modifi. QUOTIDIENNE : Copie de tous les fichiers slectionns ayant t crs ou modifis le jour de la sauvegarde. Le bit d'archivage n'est pas modifi.

PROTECTION DES DONNES

Sauvegardes Les mthodes les plus utilises sont les sauvegardes : - INCREMENTIELLE - NORMALE Exemple de sauvegarde sur 12 semaines :

PROTECTION DES DONNES

Lundi Mardi Bande 2 Mercredi Bande 3 Jeudi Bande 4 Vendredi Bande 5

Semaine 1
Bande 1

Semaine 2
Bande 6 Bande 7 Bande 8 Bande 9 Bande 10 Bande 5 - Hors site Bande 2 Bande 3 Bande 4 Bande 5 Bande 10 - Hors site Reprise Bande 5 Bande Sauvegarde incrmentielle Bande Sauvegarde normale

Semaine 3
Bande 1

Au bout de 12 semaines le cycle recommence avec un nouveau jeu de bandes

PROTECTION DES DONNES

Logiciel Antivirus
Protection des serveurs et des postes contre les virus connus et inconnus. Une protection parfois intgre au BIOS. Sur un rseau, mise jour automatique des postes lors de leur connexion. Logiciel toujours associ la dernire mise jour des signatures de virus.

PROTECTION DES ECHANGES

Conception minutieuse des tables de routage.
viter par exemple le routage par dfaut.

Serveur de scurit : Pare-feu (firewall)

Sur un rseau, contrle des entres en provenance de lInternet.

Mise en place de journaux daudit Authentification par nom et mot de passe Sur les donnes changes :
Code de contrle (checksum) Cryptage (cl prive/publique, signature lectronique,
tiers de confiance).