pierre catala inra - jres
TRANSCRIPT
Pier
re C
atal
aPi
erre
.Cat
ala@
jouy
.inra
.fr
JRES 2003
INRADISI – Pôle Systèmes Informatiques (PSI)Service Infrastructure et Réseau (SIR)Pôle Sécurité
19/11/2003
JRES
200
319
/11/
2003
Sommaire Contraintes sur le LAN d’un site multi-établissement
Où sont les risques ?
Architectures de cloisonnement du LAN
Evolutions envisageables pour cloisonner le LAN et maîtriser les VPN
Est-ce raisonnable d’utiliser les VLAN 802.1Q pour cloisonner ?
Finalement, quelles évolutions de l’architecture réseau retenir ?
JRES
200
319
/11/
2003
Contraintes sur le LANd’un site multi-établissement
JRES
200
319
/11/
2003
Contraintes surle LAN
d’un site multi-établissement
Serveurs ouverts à l’Internet éparpillés sur le siteDéploiement non-maîtrisé de VPN depuis les postes de travail
JRES
200
3
Contraintes sur le LAN d’un site multi-établissement19
/11/
2003
Serveursouverts à l’Internet éparpilléssur le site
Certaines unités disposent d'applications ouvertesHTTP, SGBD, FTP, SSHContrôle à distance de machines d'acquisition
Impossible de créer une DMZ limitée à un segment réseauCertaines machines ne peuvent être déplacéesDifficulté de gestion d'une salle machine mutualisée
Préférer une modification de l'architecture du LAN
JRES
200
3
Contraintes sur le LAN d’un site multi-établissement19
/11/
2003
Déploiement non-maîtrisé de VPN depuis les
postes de travail
Tendance à un fort déploiement de VPN IPSecVPN imposés par des établissements tiers
Pour sécuriser les communications entre les postes de travail hébergés sur des sites INRA et leurs propres serveurs
VPN cachent de nouvelles possibilités d’intrusionSous l'apparente facilité de déploiement et l'impression d'avoir sécurisé un ExtranetChaque extrémité de VPN sur un poste de travail peut être un point d’entrée non filtré sur le LAN
NécessiteModification de l'architecture du LAN pour intégrer les VPNOu solutions sans VPN mieux adaptées aux besoins
JRES
200
319
/11/
2003
Où sont les risques ?
JRES
200
319
/11/
2003
Où sontles risques ?
Risques liés aux applications WebRisques liés aux postes de travailCombinaison de risques réels
JRES
200
3
Où sont les risques ?19
/11/
2003
Risques liés aux applications
Web
Une part importante d’applications Web "maison"Développées à un instant donné pour répondre à un besoin spécifiqueQui font rarement l’objet d’une programmation rigoureuse et d’un suivi
Les applications Web intègrent souvent de nombreux composants, ce qui impose en terme de sécurité
Un suivi de ces composantsDe pouvoir modifier l'application si un composant qu'elle intègre doit changer de version
Il est donc fort probable qu’un serveur Web héberge une application faillible
JRES
200
3
Où sont les risques ?19
/11/
2003
Risques liés aux postes de travail
Actes malheureux des utilisateursDupés par des serveurs Web ou des emails
e.g., chevaux de Troie, Sobig.F
Failles des postes de travailDifficulté à maintenir les parcsMobilité qui entraîne des changements de périmètre de sécurité
e.g., Blaster
JRES
200
3
Où sont les risques ?19
/11/
2003
Combinaison de risques réels
(1/2)
Difficulté à endiguer une combinaison de risquesPar exemple
Une faille de type "Cross Site Scripting (XSS)", dans une application Web, permet d'essayer d'abuser un utilisateur par des actions provenant d'un autre site que celui auquel il croit accéderSi l'utilisateur est dupé, il peut effectuer une action préjudiciable
JRES
200
3
Où sont les risques ?19
/11/
2003
Combinaison de risques réels (2/2)
(A)(B)
(D)
(C)Attaquant
Utilisateur
Serveur WebServeur interne
JRES
200
319
/11/
2003
Architectures de cloisonnement du LAN
JRES
200
319
/11/
2003
Architectures de cloisonnement
du LAN
Fonction firewall distribuée à toutes les machinesFonction firewall sur les matériels de l’infrastructure réseau
JRES
200
3
Architectures de cloisonnement du LAN19
/11/
2003
Fonctionfirewall
distribuée à toutes les machines
(1/2)
Consiste à isoler chaque machineMaîtrise globale de la sécuritéGrande précision de filtrage indépendamment de la topologie du LANPas d’altération des flux à haut débit car pas de passage par un matériel central de filtrage
Nécessite pour la mise en œuvreOutil d’administration centralisée
Stockage dans un annuaire avec des notions objets pour la manipulation des règles
Tout système doit intégrer un firewall évoluéAuthentification des machines par certificats X.509Communications au travers de VPN IPSec
Mais actuellement, c'est une architecture théorique
JRES
200
3
Architectures de cloisonnement du LAN19
/11/
2003
Fonction firewall distribuée à toutes les machines (2/2)
Serveur interne
Console d’administration
des firewalls
Serveur externe
Routeur sans fonction firewall
Poste de travail
VPN des communications du poste de travailVPN d’administration des firewalls
JRES
200
3
Architectures de cloisonnement du LAN19
/11/
2003
Fonctionfirewall sur les
matériels de l’infrastructure
réseau(1/2)
Consiste à répartir le filtrage sur des points névralgiquesMaîtrise globale de la sécuritéFiltrage au plus près pour limiter les flux parasitesPrécision moyenne du filtrage car lié à la topologieFiltrage sur les flux plus que sur les machines
Réplication difficile d’un même type de filtrage à plusieurs machines sur différents segments
Nécessite pour la mise en œuvreOutil d’administration centraliséeUne infrastructure de LAN constituée
Switchs niveau 3 et/ou de routeursIntégrant des fonctions de filtrageSupportés par l'outil d'administration
Mais tous les LAN ne disposent pas de tels équipements
JRES
200
3
Architectures de cloisonnement du LAN19
/11/
2003
Fonction firewall sur les matériels de l’infrastructure réseau (2/2)
Serveur externe
Poste de travail
Serveur interne
Routeur avec fonction firewall
Switch avec fonction firewall
JRES
200
319
/11/
2003
Evolutions envisageablespour cloisonner le LAN et maîtriser les VPN
JRES
200
319
/11/
2003
Evolutionsenvisageables
pour cloisonner le LAN
et maîtriserles VPN
Objectifs et concepts pour le cloisonnement du LANet la maîtrise des VPNInfrastructure réseau actuelle des sites INRACloisonnement du LAN au moyen de VLANMaîtrise du déploiement des VPN
JRES
200
3
Evolutions envisageables pour cloisonner le LAN et maîtriser les VPN19
/11/
2003
Objectifs et concepts pour le
cloisonnement du LAN
et la maîtrisedes VPN
Renforcer la sécurité par une meilleure maîtrise globaleStructurer la politique de filtrage selon l’organisationRendre cohérente la politique de filtrage entre les sitesCloisonner le LAN selon des zones non topologiques mais définies par classe de risque
Faire abstraction de l’infrastructure réseauIntégrer le filtrage aux extrémités des VPN IPSecRendre lisible le filtrage au niveau global et machine
Simplifier les filtres pour les généraliser
Pour la mise en œuvreAdministrer de manière centraliséeLimiter le déploiement à quelques équipementsAffiner le cloisonnement par étapes
JRES
200
3
Evolutions envisageables pour cloisonner le LAN et maîtriser les VPN19
/11/
2003
Infrastructure réseau actuelle des sites INRA
Filtrage uniquement à la périphérie du LAN
Infrastructure LAN constituée de switchs de niveau 2Supportent les VLAN 802.1Q par ports
Evolution en cours de la solution de filtrage périphériqueAdministration centraliséeMéthodologie de déploiement structurant la politique de filtrage en fonction de l'organisation
Extension du filtrage de périphérie au filtrage interne car satisfait aux objectifs du cloisonnement
JRES
200
3
Evolutions envisageables pour cloisonner le LAN et maîtriser les VPN19
/11/
2003
Cloisonnement du LAN au
moyen de VLAN(1/2)
Prolonger et démultiplier virtuellement les interfaces dufirewall central
Recours aux VLAN 802.1QCréation des VLAN par étapes
Selon des zones par classe de risqueUne attention doit être portée aux flux volumineux
Support des VLAN 802.1Q par le firewallUne seule interface interconnecte plusieurs VLANEvite de revoir le plan d'adressage en mode "bridge"
Usage des VLAN déconseillé à des fins de sécuritéToutefois, c'est un premier niveau de cloisonnement
Renforce tout de même la sécuritéRend plus lisible le filtragePeut évoluer par l'ajout de firewalls internes
JRES
200
3
Evolutions envisageables pour cloisonner le LAN et maîtriser les VPN19
/11/
2003
Cloisonnement du LAN au moyen de VLAN (2/2)
Serveur externe
Poste de travail
Firewall central avec VLAN
Switch avec VLAN
Communications Poste de travail – Serveur externeCommunications Poste de travail – Serveur Web en DMZ
Switch avec VLAN
Serveur FTP en DMZ
Client externe
Poste sur VLAN 1 par défautServeurs en DMZ sur VLAN 5
Lien trunk sur VLAN 9pour VLAN 1 et 5
Communications Client externe – Serveur FTP en DMZ Liaisons externes
Serveur Weben DMZ
JRES
200
3
Evolutions envisageables pour cloisonner le LAN et maîtriser les VPN19
/11/
2003
Maîtrise du déploiement des
VPN(1/2)
Filtrage intégré aux extrémités des VPN IPSecLimite les flux indésirables et le re-routage au moyen du "split-tunneling"La sécurité obtenue est à relativiser
Tunnels possibles avec SSH, HTTP, telnetRécursivité de l'usage des tunnels
Intégration des VPN dans le LANContrôler les VPN pour maîtriser le LAN(empêcher du routage sur les postes et limiter les flux)
Isolement des postes clients VPN au moyen de VLANRelais de VPN à la périphérie du LAN
Parfois, solutions sans VPN plus adaptées aux besoinsEspace de documents en HTTPS, POPS, IMAPS
JRES
200
3
Evolutions envisageables pour cloisonner le LAN et maîtriser les VPN19
/11/
2003
Maîtrise du déploiement des VPN (2/2)
Serveur Extranet 2Poste de travail
Firewall central avec VLAN et
VPN
Switch avec VLAN
Serveur Extranet 1
Lien trunk sur VLAN 9 pour VLAN 1 et 3
Poste de travail avec client VPN
Poste sur VLAN 1 par défaut et VPN entre firewallsVPN depuis Poste client VPN sur VLAN 3
JRES
200
319
/11/
2003
Est-ce raisonnable d’utiliser les VLAN 802.1Q pour cloisonner ?
JRES
200
319
/11/
2003
Est-ce raisonnable d’utiliser les
VLAN 802.1Q pour
cloisonner ?
Quelles sont les failles sur les switchs ?Quelles sont les failles sur les VLAN 802.1Q ?Limites et conditions d’usage des VLAN 802.1Q
JRES
200
3
Est-ce raisonnable d’utiliser les VLAN 802.1Q pour cloisonner ?19
/11/
2003
Quelles sont les failles sur les
switchs ?
Attaques visant l’intégrité de la configuration du switchConfiguration via des protocoles non sécurisésPorte dérobéePerturbation de leur fonctionnement
Attaques visant à dérouter certains fluxSurcharge de la table des adresses MAC par port
Ainsi tout le trafic est envoyé sur tous les portsFausses déclarations ARP pour usurper les adresses IP de deux machines communiquant
Ainsi le trafic souhaité est envoyé sur le port de la machine de l'attaquant
JRES
200
3
Est-ce raisonnable d’utiliser les VLAN 802.1Q pour cloisonner ?19
/11/
2003
Quelles sont les failles sur les
VLAN 802.1Q ?
Failles inhérentes à la conception des VLAN 802.1QPerformances de commutation privilégiéesPermettent le passage forcé par la trame entre deux VLAN, autrement appelé "saut de VLAN"Vérifications omises
Réception de trames marquées devrait être limitée aux ports de type "trunk" (liens entre switchs)Les trames marquées devraient être analysées entre deux ports d'un même switch et du même VLAN
Le risque de l'attaque par "saut de VLAN" est à relativiserPermet l'envoi des trames dans un sens mais le retour nécessite une erreur dans le filtrage inter-VLANNe concerne que deux machines connectées à deux switchs différentsLe port de la machine attaquante doit être dans le même VLAN que les ports de type "trunk"
JRES
200
3
Est-ce raisonnable d’utiliser les VLAN 802.1Q pour cloisonner ?19
/11/
2003
Limites et conditions
d’usage des VLAN 802.1Q
Configuration des switchsSécuriser l'administration à distanceLeur dédier un VLAN d'administrationMettre à jour leur firmware
Configuration des VLANDédier un VLAN aux ports de type "trunk"Ne pas attribuer une même machine à plusieurs VLAN
Limitation du risque de détournement de fluxProtection de la table des adresses MAC par port
Nécessite une table statique ou un seul apprentissage par port
Difficile de contrer l’attaque à base de fausses déclarations ARP
Nécessite des équipements réseaux émettant une alerte sur des déclarations conflictuelles
JRES
200
319
/11/
2003
Finalement, quelles évolutionsde l’architecture réseau retenir ?
JRES
200
3
Finalement, quelles évolutions de l’architecture réseau retenir ?19
/11/
2003
Evaluer les niveaux de
sécurité
***
Relativiser
En fonction des risques par zone de risque ou par unitéPermet de définir quelques VLANPeut conduire pour certaines entités à mettre en œuvre un firewall dédié
La sécurité doit être appréhendée globalement, pour un cloisonnement fort, il est nécessaire de mettre en oeuvre
Protection des installationsProtection physique des baies réseauxProcédures d’accréditation des personnes