module 3 sécurité des réseaux

Module 3Sécurité des Réseaux

Architectures sécurisées

Juillet 2004

DECID Formation

Définitions (1/2)

Firewall – Pare-feu– Composant(s) restreignant l’accès entre un

réseau protégé (intérieur) et un autre ensemble de réseaux (extérieur).

Bastion– Composant hautement sécurisé constituant le

principal point de contact ente les hôtes du réseau protégé et l’extérieur

Définitions (2/2)

Réseau périphérique– Couche supplémentaire de sécurité ajoutée enter un

réseau protégé et l’extérieur

Proxy– Serveur mandataire (de proximité) relayant les requêtes

et les réponses approuvées entre un client et un serveur.

Filtrage de paquets– Routage sélectif (autorisation/rejet de paquets entre des

hôtes internes et externes)

Architecture d’hôte à double réseau (1/2)

Hôte à double réseau

Réseau interne

Extérieur (internet)

Architecture d’hôte à double réseau (2/2) Basée sur une machine à double interface Trafic entre les réseaux interne et externe

bloqué– Désactivation fonction de routage– Service par mandatement– Connexion des utilisateurs sur la machine

Firewall attaqué avec succès, réseau interne compromis

Architecture d’hôte à écran (1/3)

Bastion

Réseau interne

Extérieur (internet)

Routeur écran

Firewall

Architecture d’hôte à écran (2/3)

Filtrage de paquets sur routeur écran (principale sécurité)– Renvoi du trafic autorisé de l’extérieur vers le

bastion– Seul point de contact entre les réseaux interne

et externe– Trafic entre machines internes et routeur écran

interdit– Filtrage des connexions entre machines internes

et l’extérieur

Architecture d’hôte à écran (3/3)

Avantages– Plus grande souplesse d’utilisation

– Plus simple à protéger

Inconvénients– Bastion présent sur le réseau interne

– Routeur = point unique de défense

– Routeur ou bastion attaqués avec succès, intégralité du réseau interne directement accessible

Architecture de sous-réseaux à écran (1/5)

Extérieur (internet)

Routeur externe

Routeur interne

Bastion

Réseau périphérique

(DMZ)Firewall

Réseau interne

Architecture de sous-réseaux à écran (2/5) Ajout d’une couche supplémentaire de

sécurité:– Bastion = machine la plus vulnérable– Réduction impact introduction sur le bastion en

isolant complètement le réseau interne– Bastion présent sur la DMZ et séparé du réseau

interne par routeur– Partie visible si intrusion pas de circulation

d’info sensibles. Trafics liés uniquement au bastion et à l’extérieur

Architecture de sous-réseaux à écran (3/5) Rôle du bastion

– Principal point de contact pour l’extérieur

– Utilisé en tant que serveur mandataire

Routeur interne (routeur goulet)– Protection du réseau interne vis à vis de l’extérieur et

du réseau périphérique

– Permettre à des services sélectionnés de sortir du réseau interne vers l’extérieur (sans mandatement)

– Limitation des services autorisés enter le bastion et le réseau interne (routage vers serveurs dédiés)

Architecture de sous-réseaux à écran (4/5) Routeur extérieur (routeur d’accès)

– Rôle: protection du réseau périphérique et du réseau interne

– Tend à tout laisser passer depuis le réseau périphérique et filtre les connexions provenant de l’extérieur pour protéger les machines du réseau périphérique (bastion et routeur interne)

– Utile pour bloquer les paquets de l’extérieur prétendant venir de l’intérieur (falsification d’adresses)

Architecture de sous-réseaux à écran (5/5) Variantes possibles:

– Utilisation de plusieurs bastions– Fusion routeur interne et externe– Fusion bastion et routeur externe– Fusion bastion et routeur interne (déconseillé)– Utilisation de plusieurs routeurs internes (à

éviter, configuration plus complexe)– Utilisation de plusieurs routeurs externes et

plusieurs réseaux périphériques

Bastions (1/2)

Hôte le plus exposé vis à vis de l’extérieur donc hôte le plus fortifié

Règles:– Le moins de services possibles avec le moins de

privilèges

– Prêt à être compromis

– Confiance limitée du réseau interne vis à vis du bastion• Mécanisme de contrôle d’accès

• Filtrage des paquets entre bastion et réseau interne

– Eviter tout compte utilisateur sur le bastion

Bastions (2/2) Réalisation du bastion

– Sécuriser la machine• Ex: N’autoriser de sessions SSH que d’une machine spécifique

– Désactiver tous les services non requis• NFS, RPC (commandes de contrôle à distance), outils

d’administration réseau

– Installer ou modifier les services à fournir• Ex: TCPWrapper/serveur mandataire

– Reconfigurer la machine– Lancer un audit de sécurité– Connecter la machine au réseau

Filtrage de paquetsDéfinition (1/2) Autoriser ou refuser le transfert de données

sur la base:– De l’adresse IP source– De l’adresse IP destination– Des protocoles utilisés

Pas de décision basée sur les données Pas de filtrage sur un utilisateur ou un

fichier particulier

Filtrage de paquetsDéfinition (2/2) Avantages

– Un routeur écran

– Pas de collaboration/compétence des utilisateurs

– Disponible dans la plupart des routeurs

Inconvénients– Difficulté de configurer les règles de filtrage et de les

tester

– Bugs possibles => tout paquet accepté

– Restriction au niveau des ports et non des applications

Serveur mandataireDéfinition Proxy: serveur mandataire relayant requêtes/réponses

approuvées enter un client et un serveur.

Avantages:– Possibilités d’autoriser/refuser la connexion à un service– Transparence pour le client et le serveur– Bonne trace des action réalisées

Inconvénients– Nouveaux services n’ont pas forcément de mandatement– Modifications parfois nécessaires des clients/procédures– Ne protège pas contre toutes les faiblesses des protocoles

Serveur mandataireMise en place (1/2) Côté client:

– Logiciel client capable de contacter le serveur mandataire à la place du serveur réel.

– Procédures client spécialisées permettant à un client standard de demander au serveur mandataire de se connecter sur un serveur particulier au lieu de communiquer avec ce dernier

Serveur mandataireMise en place (2/2) Types de serveurs mandataires:

– Mandataire niveau applicatif (mandataire dédié):• Connaît l’application pour laquelle il est mandaté

• Ne sert qu’un ensemble de protocoles définis

• Meilleur contrôle d’accès

– Mandataire niveau circuit (mandataire générique):• Crée un circuit entre le client et le serveur sans interpréter le

protocole d’application (logiciels client spécialisés)

• Fournit ses services à un grand nombre de protocoles

Choix filtrage de paquets ou mandatement

Protocole Filtrage Mandatement

SMTP X

FTP X

Telnet

HTTP X

NNTP X

Réseaux P2P X

NAT et la sécurité (1/3) NAT (RFC 3022); technique de translation

d’adresse– Très courante– Pallie à la pénurie d’adresses IP (IPv4)– Remplacement à la volée des champs

d’adresses dans les paquets entrant et sortant

PrivéInternet

Client NAT Serveur

Dst @S – Src @C =>

<= Dst @C – Src @S

Dst @S – Src @X =>

<= Dst @X – Src @S

NAT et la sécurité (2/3) Techniques de NAT:

– NAT de base: correspondance statique des adresses IP Privées et publiques

– NAT dynamique: correspondance dynamique des adresses IP Privées et publiques

– NAPT MASQ: association adresse privée et publique suivant le contexte

– NAPT redirect: redirection du flux d’un service particulier vers la machine adéquate

– Twice-NAT: double tranlsation d’adresses permettant de cacher à la fois les adresses des machines internes et externes

– NAT avec serveurs virtuels: optimisation de NAT.

NAT et la sécurité (3/3) Avantage sécurité:

– Processus transparent (pas de collaboration/compétence requises des utilisateurs)

– Protection des machines du réseau privé contre des attaques directes

– Protection contre l’écoute du réseau de l’extérieur Inconvénient sécurité:

– Modification des adresses IP par NAT => contrôle d’intégrité impossible au niveau Ip et TCP (inclus dans les checksums)

– IPSec partiellement incompatible avec NAT (intégrité impossible, confidentialité difficile pour NAPT)