module 3 sécurité des réseaux
DESCRIPTION
Module 3 Sécurité des Réseaux. Architectures sécurisées Juillet 2004 DECID Formation. Définitions (1/2). Firewall – Pare-feu Composant(s) restreignant l’accès entre un réseau protégé (intérieur) et un autre ensemble de réseaux (extérieur). Bastion - PowerPoint PPT PresentationTRANSCRIPT
Module 3Sécurité des Réseaux
Architectures sécurisées
Juillet 2004
DECID Formation
Définitions (1/2)
Firewall – Pare-feu– Composant(s) restreignant l’accès entre un
réseau protégé (intérieur) et un autre ensemble de réseaux (extérieur).
Bastion– Composant hautement sécurisé constituant le
principal point de contact ente les hôtes du réseau protégé et l’extérieur
Définitions (2/2)
Réseau périphérique– Couche supplémentaire de sécurité ajoutée enter un
réseau protégé et l’extérieur
Proxy– Serveur mandataire (de proximité) relayant les requêtes
et les réponses approuvées entre un client et un serveur.
Filtrage de paquets– Routage sélectif (autorisation/rejet de paquets entre des
hôtes internes et externes)
Architecture d’hôte à double réseau (1/2)
Hôte à double réseau
Réseau interne
Extérieur (internet)
Architecture d’hôte à double réseau (2/2) Basée sur une machine à double interface Trafic entre les réseaux interne et externe
bloqué– Désactivation fonction de routage– Service par mandatement– Connexion des utilisateurs sur la machine
Firewall attaqué avec succès, réseau interne compromis
Architecture d’hôte à écran (1/3)
Bastion
Réseau interne
Extérieur (internet)
Routeur écran
Firewall
Architecture d’hôte à écran (2/3)
Filtrage de paquets sur routeur écran (principale sécurité)– Renvoi du trafic autorisé de l’extérieur vers le
bastion– Seul point de contact entre les réseaux interne
et externe– Trafic entre machines internes et routeur écran
interdit– Filtrage des connexions entre machines internes
et l’extérieur
Architecture d’hôte à écran (3/3)
Avantages– Plus grande souplesse d’utilisation
– Plus simple à protéger
Inconvénients– Bastion présent sur le réseau interne
– Routeur = point unique de défense
– Routeur ou bastion attaqués avec succès, intégralité du réseau interne directement accessible
Architecture de sous-réseaux à écran (1/5)
Extérieur (internet)
Routeur externe
Routeur interne
Bastion
Réseau périphérique
(DMZ)Firewall
Réseau interne
Architecture de sous-réseaux à écran (2/5) Ajout d’une couche supplémentaire de
sécurité:– Bastion = machine la plus vulnérable– Réduction impact introduction sur le bastion en
isolant complètement le réseau interne– Bastion présent sur la DMZ et séparé du réseau
interne par routeur– Partie visible si intrusion pas de circulation
d’info sensibles. Trafics liés uniquement au bastion et à l’extérieur
Architecture de sous-réseaux à écran (3/5) Rôle du bastion
– Principal point de contact pour l’extérieur
– Utilisé en tant que serveur mandataire
Routeur interne (routeur goulet)– Protection du réseau interne vis à vis de l’extérieur et
du réseau périphérique
– Permettre à des services sélectionnés de sortir du réseau interne vers l’extérieur (sans mandatement)
– Limitation des services autorisés enter le bastion et le réseau interne (routage vers serveurs dédiés)
Architecture de sous-réseaux à écran (4/5) Routeur extérieur (routeur d’accès)
– Rôle: protection du réseau périphérique et du réseau interne
– Tend à tout laisser passer depuis le réseau périphérique et filtre les connexions provenant de l’extérieur pour protéger les machines du réseau périphérique (bastion et routeur interne)
– Utile pour bloquer les paquets de l’extérieur prétendant venir de l’intérieur (falsification d’adresses)
Architecture de sous-réseaux à écran (5/5) Variantes possibles:
– Utilisation de plusieurs bastions– Fusion routeur interne et externe– Fusion bastion et routeur externe– Fusion bastion et routeur interne (déconseillé)– Utilisation de plusieurs routeurs internes (à
éviter, configuration plus complexe)– Utilisation de plusieurs routeurs externes et
plusieurs réseaux périphériques
Bastions (1/2)
Hôte le plus exposé vis à vis de l’extérieur donc hôte le plus fortifié
Règles:– Le moins de services possibles avec le moins de
privilèges
– Prêt à être compromis
– Confiance limitée du réseau interne vis à vis du bastion• Mécanisme de contrôle d’accès
• Filtrage des paquets entre bastion et réseau interne
– Eviter tout compte utilisateur sur le bastion
Bastions (2/2) Réalisation du bastion
– Sécuriser la machine• Ex: N’autoriser de sessions SSH que d’une machine spécifique
– Désactiver tous les services non requis• NFS, RPC (commandes de contrôle à distance), outils
d’administration réseau
– Installer ou modifier les services à fournir• Ex: TCPWrapper/serveur mandataire
– Reconfigurer la machine– Lancer un audit de sécurité– Connecter la machine au réseau
Filtrage de paquetsDéfinition (1/2) Autoriser ou refuser le transfert de données
sur la base:– De l’adresse IP source– De l’adresse IP destination– Des protocoles utilisés
Pas de décision basée sur les données Pas de filtrage sur un utilisateur ou un
fichier particulier
Filtrage de paquetsDéfinition (2/2) Avantages
– Un routeur écran
– Pas de collaboration/compétence des utilisateurs
– Disponible dans la plupart des routeurs
Inconvénients– Difficulté de configurer les règles de filtrage et de les
tester
– Bugs possibles => tout paquet accepté
– Restriction au niveau des ports et non des applications
Serveur mandataireDéfinition Proxy: serveur mandataire relayant requêtes/réponses
approuvées enter un client et un serveur.
Avantages:– Possibilités d’autoriser/refuser la connexion à un service– Transparence pour le client et le serveur– Bonne trace des action réalisées
Inconvénients– Nouveaux services n’ont pas forcément de mandatement– Modifications parfois nécessaires des clients/procédures– Ne protège pas contre toutes les faiblesses des protocoles
Serveur mandataireMise en place (1/2) Côté client:
– Logiciel client capable de contacter le serveur mandataire à la place du serveur réel.
– Procédures client spécialisées permettant à un client standard de demander au serveur mandataire de se connecter sur un serveur particulier au lieu de communiquer avec ce dernier
Serveur mandataireMise en place (2/2) Types de serveurs mandataires:
– Mandataire niveau applicatif (mandataire dédié):• Connaît l’application pour laquelle il est mandaté
• Ne sert qu’un ensemble de protocoles définis
• Meilleur contrôle d’accès
– Mandataire niveau circuit (mandataire générique):• Crée un circuit entre le client et le serveur sans interpréter le
protocole d’application (logiciels client spécialisés)
• Fournit ses services à un grand nombre de protocoles
Choix filtrage de paquets ou mandatement
Protocole Filtrage Mandatement
SMTP X
FTP X
Telnet
HTTP X
NNTP X
Réseaux P2P X
NAT et la sécurité (1/3) NAT (RFC 3022); technique de translation
d’adresse– Très courante– Pallie à la pénurie d’adresses IP (IPv4)– Remplacement à la volée des champs
d’adresses dans les paquets entrant et sortant
PrivéInternet
Client NAT Serveur
Dst @S – Src @C =>
<= Dst @C – Src @S
Dst @S – Src @X =>
<= Dst @X – Src @S
NAT et la sécurité (2/3) Techniques de NAT:
– NAT de base: correspondance statique des adresses IP Privées et publiques
– NAT dynamique: correspondance dynamique des adresses IP Privées et publiques
– NAPT MASQ: association adresse privée et publique suivant le contexte
– NAPT redirect: redirection du flux d’un service particulier vers la machine adéquate
– Twice-NAT: double tranlsation d’adresses permettant de cacher à la fois les adresses des machines internes et externes
– NAT avec serveurs virtuels: optimisation de NAT.
NAT et la sécurité (3/3) Avantage sécurité:
– Processus transparent (pas de collaboration/compétence requises des utilisateurs)
– Protection des machines du réseau privé contre des attaques directes
– Protection contre l’écoute du réseau de l’extérieur Inconvénient sécurité:
– Modification des adresses IP par NAT => contrôle d’intégrité impossible au niveau Ip et TCP (inclus dans les checksums)
– IPSec partiellement incompatible avec NAT (intégrité impossible, confidentialité difficile pour NAPT)