1 / 24

Module 3 Sécurité des Réseaux

Module 3 Sécurité des Réseaux. Architectures sécurisées Juillet 2004 DECID Formation. Définitions (1/2) . Firewall – Pare-feu Composant(s) restreignant l’accès entre un réseau protégé (intérieur) et un autre ensemble de réseaux (extérieur). Bastion

nickan
Download Presentation

Module 3 Sécurité des Réseaux

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Module 3Sécurité des Réseaux Architectures sécurisées Juillet 2004 DECID Formation

  2. Définitions (1/2) • Firewall – Pare-feu • Composant(s) restreignant l’accès entre un réseau protégé (intérieur) et un autre ensemble de réseaux (extérieur). • Bastion • Composant hautement sécurisé constituant le principal point de contact ente les hôtes du réseau protégé et l’extérieur

  3. Définitions (2/2) • Réseau périphérique • Couche supplémentaire de sécurité ajoutée enter un réseau protégé et l’extérieur • Proxy • Serveur mandataire (de proximité) relayant les requêtes et les réponses approuvées entre un client et un serveur. • Filtrage de paquets • Routage sélectif (autorisation/rejet de paquets entre des hôtes internes et externes)

  4. Extérieur (internet) Architecture d’hôte à double réseau (1/2) Hôte à double réseau Réseau interne

  5. Architecture d’hôte à double réseau (2/2) • Basée sur une machine à double interface • Trafic entre les réseaux interne et externe bloqué • Désactivation fonction de routage • Service par mandatement • Connexion des utilisateurs sur la machine • Firewall attaqué avec succès, réseau interne compromis

  6. Extérieur (internet) Architecture d’hôte à écran (1/3) Bastion Firewall Réseau interne Routeur écran

  7. Architecture d’hôte à écran (2/3) • Filtrage de paquets sur routeur écran (principale sécurité) • Renvoi du trafic autorisé de l’extérieur vers le bastion • Seul point de contact entre les réseaux interne et externe • Trafic entre machines internes et routeur écran interdit • Filtrage des connexions entre machines internes et l’extérieur

  8. Architecture d’hôte à écran (3/3) • Avantages • Plus grande souplesse d’utilisation • Plus simple à protéger • Inconvénients • Bastion présent sur le réseau interne • Routeur = point unique de défense • Routeur ou bastion attaqués avec succès, intégralité du réseau interne directement accessible

  9. Extérieur (internet) Architecture de sous-réseaux à écran (1/5) Routeur externe Bastion Réseau périphérique(DMZ) Firewall Routeur interne Réseau interne

  10. Architecture de sous-réseaux à écran (2/5) • Ajout d’une couche supplémentaire de sécurité: • Bastion = machine la plus vulnérable • Réduction impact introduction sur le bastion en isolant complètement le réseau interne • Bastion présent sur la DMZ et séparé du réseau interne par routeur • Partie visible si intrusion pas de circulation d’info sensibles. Trafics liés uniquement au bastion et à l’extérieur

  11. Architecture de sous-réseaux à écran (3/5) • Rôle du bastion • Principal point de contact pour l’extérieur • Utilisé en tant que serveur mandataire • Routeur interne (routeur goulet) • Protection du réseau interne vis à vis de l’extérieur et du réseau périphérique • Permettre à des services sélectionnés de sortir du réseau interne vers l’extérieur (sans mandatement) • Limitation des services autorisés enter le bastion et le réseau interne (routage vers serveurs dédiés)

  12. Architecture de sous-réseaux à écran (4/5) • Routeur extérieur (routeur d’accès) • Rôle: protection du réseau périphérique et du réseau interne • Tend à tout laisser passer depuis le réseau périphérique et filtre les connexions provenant de l’extérieur pour protéger les machines du réseau périphérique (bastion et routeur interne) • Utile pour bloquer les paquets de l’extérieur prétendant venir de l’intérieur (falsification d’adresses)

  13. Architecture de sous-réseaux à écran (5/5) • Variantes possibles: • Utilisation de plusieurs bastions • Fusion routeur interne et externe • Fusion bastion et routeur externe • Fusion bastion et routeur interne (déconseillé) • Utilisation de plusieurs routeurs internes (à éviter, configuration plus complexe) • Utilisation de plusieurs routeurs externes et plusieurs réseaux périphériques

  14. Bastions (1/2) • Hôte le plus exposé vis à vis de l’extérieur donc hôte le plus fortifié • Règles: • Le moins de services possibles avec le moins de privilèges • Prêt à être compromis • Confiance limitée du réseau interne vis à vis du bastion • Mécanisme de contrôle d’accès • Filtrage des paquets entre bastion et réseau interne • Eviter tout compte utilisateur sur le bastion

  15. Bastions (2/2) • Réalisation du bastion • Sécuriser la machine • Ex: N’autoriser de sessions SSH que d’une machine spécifique • Désactiver tous les services non requis • NFS, RPC (commandes de contrôle à distance), outils d’administration réseau • Installer ou modifier les services à fournir • Ex: TCPWrapper/serveur mandataire • Reconfigurer la machine • Lancer un audit de sécurité • Connecter la machine au réseau

  16. Filtrage de paquetsDéfinition (1/2) • Autoriser ou refuser le transfert de données sur la base: • De l’adresse IP source • De l’adresse IP destination • Des protocoles utilisés • Pas de décision basée sur les données • Pas de filtrage sur un utilisateur ou un fichier particulier

  17. Filtrage de paquetsDéfinition (2/2) • Avantages • Un routeur écran • Pas de collaboration/compétence des utilisateurs • Disponible dans la plupart des routeurs • Inconvénients • Difficulté de configurer les règles de filtrage et de les tester • Bugs possibles => tout paquet accepté • Restriction au niveau des ports et non des applications

  18. Serveur mandataireDéfinition • Proxy: serveur mandataire relayant requêtes/réponses approuvées enter un client et un serveur. • Avantages: • Possibilités d’autoriser/refuser la connexion à un service • Transparence pour le client et le serveur • Bonne trace des action réalisées • Inconvénients • Nouveaux services n’ont pas forcément de mandatement • Modifications parfois nécessaires des clients/procédures • Ne protège pas contre toutes les faiblesses des protocoles

  19. Serveur mandataireMise en place (1/2) • Côté client: • Logiciel client capable de contacter le serveur mandataire à la place du serveur réel. • Procédures client spécialisées permettant à un client standard de demander au serveur mandataire de se connecter sur un serveur particulier au lieu de communiquer avec ce dernier

  20. Serveur mandataireMise en place (2/2) • Types de serveurs mandataires: • Mandataire niveau applicatif (mandataire dédié): • Connaît l’application pour laquelle il est mandaté • Ne sert qu’un ensemble de protocoles définis • Meilleur contrôle d’accès • Mandataire niveau circuit (mandataire générique): • Crée un circuit entre le client et le serveur sans interpréter le protocole d’application (logiciels client spécialisés) • Fournit ses services à un grand nombre de protocoles

  21. Choix filtrage de paquets ou mandatement

  22. Privé Internet NAT et la sécurité (1/3) • NAT (RFC 3022); technique de translation d’adresse • Très courante • Pallie à la pénurie d’adresses IP (IPv4) • Remplacement à la volée des champs d’adresses dans les paquets entrant et sortant Client NAT Serveur Dst @S – Src @C => <= Dst @C – Src @S Dst @S – Src @X => <= Dst @X – Src @S

  23. NAT et la sécurité (2/3) • Techniques de NAT: • NAT de base: correspondance statique des adresses IP Privées et publiques • NAT dynamique: correspondance dynamique des adresses IP Privées et publiques • NAPT MASQ: association adresse privée et publique suivant le contexte • NAPT redirect: redirection du flux d’un service particulier vers la machine adéquate • Twice-NAT: double tranlsation d’adresses permettant de cacher à la fois les adresses des machines internes et externes • NAT avec serveurs virtuels: optimisation de NAT.

  24. NAT et la sécurité (3/3) • Avantage sécurité: • Processus transparent (pas de collaboration/compétence requises des utilisateurs) • Protection des machines du réseau privé contre des attaques directes • Protection contre l’écoute du réseau de l’extérieur • Inconvénient sécurité: • Modification des adresses IP par NAT => contrôle d’intégrité impossible au niveau Ip et TCP (inclus dans les checksums) • IPSec partiellement incompatible avec NAT (intégrité impossible, confidentialité difficile pour NAPT)

More Related