1 / 45

Protection des ressources de l'entreprise : périmètre, VPN et réseau local

Protection des ressources de l'entreprise : périmètre, VPN et réseau local. Stanislas Quastana, CISSP Architecte Infrastructure Microsoft France. Agenda. Introduction Protection des ressources grâce au filtrage applicatif Pourquoi le filtrage applicatif est-il nécessaire ?

regis
Download Presentation

Protection des ressources de l'entreprise : périmètre, VPN et réseau local

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP Architecte Infrastructure Microsoft France

  2. Agenda • Introduction • Protection des ressources grâce au filtrage applicatif • Pourquoi le filtrage applicatif est-il nécessaire ? • Présentation d’ISA Server 2004 • Protection des accès aux réseaux • Accès distants (VPN) avec ISA 2004 et NAP • Accès aux réseaux locaux avec NAP (Network Access Protection) • Synthèse • Ressources utiles • Questions / Réponses

  3. Introduction

  4. Quelques chiffres • 95% de toutes les failles évitables avec une configuration alternative (CERT 2002) • Environ 70% de toutes les attaques Web se passent au niveau de la couche Application (Gartner Group) • Sur les 10 attaques les plus répandues, 8 sont effectuées au niveau application (Symantec Corp) • De décembre 2003 à décembre 2004, +80% d’augmentation du nombre de vulnérabilités d’application Web découvertes (Symantec Corp)

  5. Top 10 des attaques : 80% d’attaques au niveau de la couche 7 SQL Server DCOM RPC SMTP HTTP Top attacks (source : Symantec Corporation)

  6. Augmentation des risques avec le développement de la mobilité • Développement du marché des PC portables et du nombre de systèmes non administrés dans les réseaux l’entreprise • Postes personnels mais connectés sur le réseau de l’entreprise • Postes des intervenants externes • Points d’accès Wi-fi non déclarés • Ordinateur portables qui ne sont pas à jour (du fait de leur mobilité) au niveau de correctifs de sécurité, signature anti-virale… • Connexion à des réseaux tiers « inconnus » (hot spot wifi, clients, partenaires…) • Accès VPN nomades • Réseaux sans fils

  7. Impact sur les entreprises Attaques au niveau de la couche application Implications • Usurpation d’identité • Site web défiguré • Accès non autorisés • Modification des données et journaux • Vol d’informations propriétaire • Interruption de service • Mise en conformité • ISO 17799 • Bâle 2 (EU) • Data Protection Act (EU) • HIPAA (US) • Sarbanes Oxley (US) • Litiges • Partage de fichiers illicites • Piratage • Responsabilités juridiques des entreprises et des RSSI • En France le RSSI a obligation de moyens

  8. Défense en profondeur • L’accès à une couche inférieure nécessite de passer au préalable par les couches supérieures. • Tous les éléments constituant la sécurité de la plateforme sont ainsi répartis au sein de cette approche par couche  • La gestion des accès aux réseaux fait partie des premières couches de protection d’une infrastructure • Les pare-feu sont un élément de protection du périmètre et du réseau Défenses du périmètre Défenses du réseau Défenses des machines Défenses des applications Données et Ressources Sécurité physique Politiques de sécurité

  9. Protection des ressources grâce au filtrage applicatif

  10. Un paquet IP vu par un pare-feu « traditionnel » IP Header Source Address,Dest. Address,TTL, Checksum TCP Header Sequence NumberSource Port,Destination Port,Checksum Application Layer Content ???????????????????????????????????????? • La décision de laisser passer est basée sur les numéros de ports • Le trafic légitime et les attaques applicatives utilisent les mêmes ports (ex : 80) Réseau d’entreprise Internet Trafic HTTP attendu Trafic HTTP non prévu Attaques Trafic non-HTTP • Seul l’entête du paquet est analysé • Le contenu au niveau de la couche application est comme une “boite noire”

  11. Le problème • Les pare-feux traditionnels se focalisent sur le filtrage de paquets et le statefull inspection • Aujourd’hui, la plupart des attaques contournent ce type de protection. Quelques exemples : • Code Red & Nimda sur les serveurs IIS 4 et 5 • OpenSSL/Slapper • Blaster, Welchia sur le RPC Endpoint Mapper de Windows • Slammer sur les serveurs SQL (ou MSDE) • Santy-A sur les forums phpBB (Linux et Windows) • Le premier ver dans la nature (in the wild) à exploiter une vulnérabilité d’une application Web • Les ports et protocoles ne permettent plus de contrôler ce que font les utilisateurs Le filtrage de paquets & le statefull inspection ne sont plus suffisants pour se protéger des attaques actuelles

  12. Réseau public Pare-feu traditionnel Pare-feu niveau Application Quel pare-feu utiliser ? Les pare-feu applicatif sont aujourd’huinécessaires pour se protéger des attaques évoluées car ils permettent une analyse approfondie du contenu des paquets réseaux. Comprendre ce qu’il y a dans la partie données est désormais un pré requis Néanmoins, le remplacement n’est pas forcément la meilleure solution Vers réseau interne, DMZ, …

  13. Quand pare-feu te bloquera HTTP tu utiliseras…

  14. Http : le protocole universel… • … pour outrepasser un pare-feu ou un proxy • Aujourd’hui, de nombreuses applications utilisent HTTP comme méthode d’encapsulation des protocoles propriétaires afin de s’affranchir des ouvertures de ports spécifiques sur les équipements filtrants : • Messageries instantanées : MSN Messenger, Yahoo Messenger, ICQ… • Logiciels P2P : Kazaa, Emule, Bitorrent, Exeem… • Messagerie : Outlook 2003 (RPC sur HTTP)… • Adware, Spyware : Gator… • Chevaux de Troie

  15. Plus fort que http : https  • Une fois la session SSL établie, les proxies ou les pare-feu sont incapables de voir les données échangée. • De nombreuses logiciels utilisent déjà cette solution. • Exemple : Outlook 2003 (RPC over https) • Comment réduire le risque ? • Limiter les accès https : utilisation de listes blanches • Bloquer les requêtes dans la phase de négociation • Déchiffrer le SSL en sortie au niveau du proxy/firewall (Man In The Middle) • Concept intéressant en terme de sécurité mais pas vraiment en terme de confidentialité

  16. ISA Server 2004 en quelques mots • 2ème génération de pare-feu de Microsoft • Pare-feu multicouches (3,4 et 7) • Capacité de filtrage extensible • Proxy applicatif • Nouvelle architecture • Intégration des fonctionnalités de VPN

  17. La vue d’un paquet IP par ISA IP Header Source Address,Dest. Address,TTL, Checksum TCP Header Sequence NumberSource Port,Destination Port,Checksum Application Layer Content <html><head><meta http- quiv="content-type" content="text/html; charset=UTF-8"><title>MSNBC - MSNBC Front Page</title><link rel="stylesheet" • Les décisions de laisser passer sont basées sur le contenu • Seul le trafic légitime et autorisé est traité Réseau d’entreprise Internet Trafic HTTP Attendu Trafic HTTP non attendu Attacks Trafic non HTTP • Les entêtes du paquet et le contenu sont inspectés • Sous réserve de la présence d’un filtre applicatif (comme le filtre HTTP)

  18. Architecture d’ISA Server 2004 Application layer filtering PolicyStore Web Filter API (ISAPI) Web Proxy Filter Protocol layer filtering 3 2 Kernel mode data pump: Performance optimization 4 Packet layer filtering 1 Policy Engine Web filter Web filter SMTP Filter RPC Filter DNSFilter AppFilter Application FilterAPI Firewallservice User Mode Firewall Engine TCP/IP Stack Kernel Mode NDIS

  19. ISA Server 2004 : un produit évolutif • Filtrage applicatif • Haute disponibilité • Antivirus • Détection d’intrusion • Reporting • Accélérateurs SSL • Contrôle d’URLs • Authentification + d’une trentaine de partenaires !!! Plus de partenaires sur : http://www.microsoft.com/isaserver/partners/default.asp

  20. Modèle réseau ISA Server 2004 VPN VPN Quarantaine Internet DMZ_1 CorpNet_1 DMZ_n Toutes topologies / stratégies • Nombre de réseaux illimité • Type d’accès NAT/Routagespécifique à chaque réseau • Les réseaux VPN sont considérés comme des réseaux à part entière • La machine ISA est considéré comme un réseau (LocalHost) • Stratégie de filtrage par réseau • Filtrage de paquet sur toutes les interfaces Local AreaNetwork CorpNet_n ISA 2004

  21. Structure des règles de pare-feu ISA actionsurtrafficpourutilisateurdepuissourceversdestinationavec conditions • Ensemble de règles ordonnées • Règles systèmes puis règles utilisateur • Plus logique et plus facile à comprendre (versus ISA Server 2000 notamment) • Réseau(x) • Adresse(s) IP • Machine(s) • Utilisateur(s) • Groupe(s) • Autoriser • Interdire • Serveur publié • Site Web publié • Planning • Filtre applicatif • Réseau(x) • Adresse(s) IP • Machine(s) • Protocole IP • Port(s) TCP/UDP

  22. Pare feu de périmètre Multi réseaux DMZ Protection des applications et réseaux internes Passerelle de filtrage applicatif Serveurs Web Serveurs de messagerie Protection des réseaux internes Accès sécurisé et optimisé à Internet Stratégies d’accès Cache Web Réseaux multi sites Sécurisation sites distants Intégration du VPN IPSec en mode Tunnel Scénarios de mise en œuvre d’ISA Server 2004

  23. Protection des serveurs Web SSL SSL SSL or HTTP Internet Pare-feu traditionnel Web ISA Server 2004 Filtrage avancé de HTTP Délégation d’authentification ISA pré authentifie les utilisateurs, éliminant les boites de dialogues redondantes et n’autorise que le trafic valide à passer …ce qui permet aux attaques applicatives, virus ou autres vers de se propager sans être détectés… ISA peut déchiffrer et inspecter le trafic SSL L’analyse des URL par ISA 2004 peut stopper les attaques Web au périmètre du réseau, y compris en cas d’utilisation de SSL Si le serveur Web fait une demande d’authentification - tout utilisateur sur Internet peut accéder à cette demande Analyse HTTP (URL, contenu…) Client Certificat « Privé » + sa clé privée Certificat « Public » + sa clé privée SSL passe au travers des pare-feu traditionnels sans contrôle du fait du chiffrement… …et d’infecter les serveurs internes ! Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair.

  24. Protection des accès sortants ISA Server 2004 Pare feu traditionnel Analyse HTTP (URL, entêtes, contenu…) IM P2P MS RPC… HTTP IM, P2P, MS RPC… HTTP, https, FTP… Internet http, https, FTP IM, P2P, MS RPC… Client Exemples de signature d’applications : http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/commonapplicationsignatures.mspx

  25. Les versions d’ISA Server 2004

  26. Disponible en appliance • RimApp ROADBLOCKFirewallhttp://www.rimapp.com/roadblock.htm • HP ProLiant DL320 Firewall/VPN/Cache Serverhttp://h18004.www1.hp.com/products/servers/software/microsoft/ISAserver/index.html • Network Engines NS Applianceshttp://www.networkengines.com/sol/nsapplianceseries.aspx • Celestix Application-Layer Firewall, VPN and Caching Appliance http://www.celestix.com/products/isa/index.htm • Pyramid Computer ValueServer Security 2004http://www.pyramid.de/e/produkte/server/isa_2004.php • Avantis ISAwall http://www.avantisworld.com/02_securityappliances.asp • Corrent http://www.corrent.com/Products/products_sr225.html

  27. Protection des accès aux réseaux de l’entreprise (VPN et Locaux) Gestion des accès distants et des équipements connectés

  28. Les attaques viennent aussi de l’interne Étude et statistiques sur la sinistralité informatique en France (2002)

  29. Les attaques internes ne sont pas toujours déclenchées de manière intentionnelle • Le meilleur exemple est la propagation d’un ver comme Blaster (exploitation d’une faille RPC) ou Sasser.

  30. Les connexions distantes peuvent également compromettre la sécurité • Le même exemple de propagation d’un ver comme Blaster ou Sasser au travers d’un VPN

  31. Une approche de la segmentation • En terme de sécurité, les pare-feux sont couramment utilisés pour protéger les réseaux d’entreprise des réseaux publics comme Internet • Aujourd’hui, il est devenu nécessaire de procéder à un découpage du réseau d’entreprise et d’aller au-delà de la simple segmentation réseau (VLANs) • La segmentation des réseaux internes revient à implémenter le principe du pare-feu au cœur du réseau de l’entreprise en intégrant l’analyse (jusqu’au niveau de la couche application) des flux

  32. Principes de la segmentation Classification Le découpage des réseaux consiste à définir des zones de confiances dans lesquelles des ressources peuvent être placées. Ce découpage nécessite au préalable la définition d’une classification adaptée aux besoins et contraintes de l’entreprise.

  33. Contrôle et mise en conformité des postes lors des connexions Les connexions distantes & les connexions au réseau local

  34. Sécuriser les connexions VPN (1/2) • Exiger une authentification forte à 2 voire 3 facteurs : • Ce que je sais : mot de passe, code PIN • Ce que je possède : SmartCard, jeton, calculette… • Ce que je suis : reconnaissance biométrique • Augmenter le niveau de chiffrement des communications • 3DES • AES • Journaliser, surveiller et analyser l’activité des utilisateurs connectés en VPN

  35. Sécuriser les connexions VPN (2/2) • Vérifier lors de la connexion la conformité du poste client VPN: • Mécanisme d’analyse • Mise en quarantaine • Limiter les accès autorisés pour les sessions VPN • Seules les ressources nécessaires sont accessibles • L’ensemble du réseau interne ne devrait pas être accessible • Utiliser du filtrage applicatif pour analyser les communications à destination des ressources internes. • Possibilité de faire de l’analyse antivirale • Filtrage des flux RPC, http, FTP, SMTP, CIFS, DNS…

  36. VPN et quarantaine avec ISA 2004

  37. Network Access Protection (NAP) • Network Access Protection (NAP) est une plateforme destinée à contrôler la mise en conformité par rapport à la politique IT de l’entreprise (Ex : politique de mise à jour des OS et des antivirus) des machines Windows connectés aux réseaux de l’entreprise • Les mécanismes de NAP vont permettre de restreindre l’accès au réseau de l’entreprise pour les postes non conformes tant qu’ils ne respectent pas la stratégie imposée. • La première version de NAP sera disponible dans Windows Server "Longhorn" la prochaine version du système d’exploitation Windows Server. • La plateforme NAP (Network Access Protection) n’est pas la même technologie que la mise en quarantaine réseau (Network Access Quarantine Control), qui est une fonctionnalité déjà disponible avec Windows 2003 pour les connexions VPN nomades

  38. NAP : principe de fonctionnement System Health Servers (défini les pré requis du client) Réseau de l’entreprise Réseau restreint (quarantaine) Remediation Servers (antivirus, système de maj de correctifs…) Les voici Puis je avoir les mises à jour ? Mise à jour du serveur IAS avec les politiques en cours Demande d’accès ? Voici mon nouveau status Puis je avoir accès ? Voici mon status actuel Est ce que le client doit être restreint en fonction de son status? En accord avec la politique, le client est à jour Accès autorisé En accord avec la politique, le client n’est pas à jour. Mise en quarantaine et demande au client de se mettre à jour Vous avez droit à un accès restreint tant que vous n’êtes pas à jour Client Network Access Device (DHCP, VPN) IAS Policy Server System Health Agents Microsoft et 3rd Parties (AV/Patch/FW/Other) System Health Validators Microsoft et 3rd Parties Quarantine Agent Quarantine Server Quarantine Enforcement Client Microsoft et 3rd Parties DHCP/VPN/IPsec/802.1x Le Client obtient l’accès complet à l’Intranet

  39. Scénarios d’utilisation de NAP Validation de la politique réseau Mise en conformité Avec la politique Isolation réseau Accès au réseau local (LAN) Machine de l’entreprise Comme un portable ou un PC de bureau de la compagnie Machine non compatible NAP ou à un visiteur Comme le PC portable d’un intervenant externe Connexion à des réseaux distants Machine de l’entreprise Comme un portable de la compagnie Machine non managée ou non compatible NAP Comme la machine personnelle d’un employé

  40. Bénéfices de NAP • Focus sur la mise en conformité des politiques d’entreprise • Les professionnels IT définissent les stratégies de sécurité • Le système NAP isole les clients qui ne respectent pas ces stratégies • Les clients isolés ont un accès restreint à des services leur permettant de revenir en conformité • Architecture extensible • Extensible via des solutions d’éditeurs tierces • Basée sur des standards ouverts (DHCP, IPSec, Radius…) • Possibilité d’utilisation de scripts personnalisés pour faire des tests complémentaires • Fonctionne avec les infrastructures réseau existantes • Réduit le risque de compromission du réseau

  41. Les partenaires NAP http://www.microsoft.com/windowsserver2003/partners/nappartners.mspx

  42. Synthèse Contrôle des flux applicatifs ISA Server 2004 est une solution répondant à ce besoin de filtrage au niveau de la couche Application devenu nécessaire pour protéger les infrastructures Microsoft et non Microsoft. Contrôle des connexions distantes VPN Déjà disponible avec ISA Server 2004 et Windows 2003. Filtrage applicatif et mise en quarantaine Contrôle des accès à tous les réseaux (LAN, distants) Avec Network Access Protection disponible avec Windows Longhorn Server

  43. Ressources utiles • Site Web Microsoft • www.microsoft.com/isaserver • www.microsoft.com/france/isa • www.microsoft.com/nap • Webcast et séminaires TechNet(Gratuits) • Sites externes • www.isaserver.org • www.isaserverfr.org • isatools.org • Newsgroup français • Microsoft.public.fr.isaserver • Kits de déploiement • Blogs • Blogs.msdn.com/squasta • Kits d’évaluation ISA Server • Version d’évaluation (120 jours) • CD (livres blancs et guide déploiement)

  44. Questions / Réponses

  45. Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com

More Related