Pier

re C

atal

aPi

erre

.Cat

ala@

jouy

.inra

.fr

JRES 2003

INRADISI – Pôle Systèmes Informatiques (PSI)Service Infrastructure et Réseau (SIR)Pôle Sécurité

19/11/2003

JRES

200

319

/11/

2003

Sommaire Contraintes sur le LAN d’un site multi-établissement

Où sont les risques ?

Architectures de cloisonnement du LAN

Evolutions envisageables pour cloisonner le LAN et maîtriser les VPN

Est-ce raisonnable d’utiliser les VLAN 802.1Q pour cloisonner ?

Finalement, quelles évolutions de l’architecture réseau retenir ?

JRES

200

319

/11/

2003

Contraintes sur le LANd’un site multi-établissement

JRES

200

319

/11/

2003

Contraintes surle LAN

d’un site multi-établissement

Serveurs ouverts à l’Internet éparpillés sur le siteDéploiement non-maîtrisé de VPN depuis les postes de travail

JRES

200

3

Contraintes sur le LAN d’un site multi-établissement19

/11/

2003

Serveursouverts à l’Internet éparpilléssur le site

Certaines unités disposent d'applications ouvertesHTTP, SGBD, FTP, SSHContrôle à distance de machines d'acquisition

Impossible de créer une DMZ limitée à un segment réseauCertaines machines ne peuvent être déplacéesDifficulté de gestion d'une salle machine mutualisée

Préférer une modification de l'architecture du LAN

JRES

200

3

Contraintes sur le LAN d’un site multi-établissement19

/11/

2003

Déploiement non-maîtrisé de VPN depuis les

postes de travail

Tendance à un fort déploiement de VPN IPSecVPN imposés par des établissements tiers

Pour sécuriser les communications entre les postes de travail hébergés sur des sites INRA et leurs propres serveurs

VPN cachent de nouvelles possibilités d’intrusionSous l'apparente facilité de déploiement et l'impression d'avoir sécurisé un ExtranetChaque extrémité de VPN sur un poste de travail peut être un point d’entrée non filtré sur le LAN

NécessiteModification de l'architecture du LAN pour intégrer les VPNOu solutions sans VPN mieux adaptées aux besoins

JRES

200

319

/11/

2003

Où sont les risques ?

JRES

200

319

/11/

2003

Où sontles risques ?

Risques liés aux applications WebRisques liés aux postes de travailCombinaison de risques réels

JRES

200

3

Où sont les risques ?19

/11/

2003

Risques liés aux applications

Web

Une part importante d’applications Web "maison"Développées à un instant donné pour répondre à un besoin spécifiqueQui font rarement l’objet d’une programmation rigoureuse et d’un suivi

Les applications Web intègrent souvent de nombreux composants, ce qui impose en terme de sécurité

Un suivi de ces composantsDe pouvoir modifier l'application si un composant qu'elle intègre doit changer de version

Il est donc fort probable qu’un serveur Web héberge une application faillible

JRES

200

3

Où sont les risques ?19

/11/

2003

Risques liés aux postes de travail

Actes malheureux des utilisateursDupés par des serveurs Web ou des emails

e.g., chevaux de Troie, Sobig.F

Failles des postes de travailDifficulté à maintenir les parcsMobilité qui entraîne des changements de périmètre de sécurité

e.g., Blaster

JRES

200

3

Où sont les risques ?19

/11/

2003

Combinaison de risques réels

(1/2)

Difficulté à endiguer une combinaison de risquesPar exemple

Une faille de type "Cross Site Scripting (XSS)", dans une application Web, permet d'essayer d'abuser un utilisateur par des actions provenant d'un autre site que celui auquel il croit accéderSi l'utilisateur est dupé, il peut effectuer une action préjudiciable

JRES

200

3

Où sont les risques ?19

/11/

2003

Combinaison de risques réels (2/2)

(A)(B)

(D)

(C)Attaquant

Utilisateur

Serveur WebServeur interne

JRES

200

319

/11/

2003

Architectures de cloisonnement du LAN

JRES

200

319

/11/

2003

Architectures de cloisonnement

du LAN

Fonction firewall distribuée à toutes les machinesFonction firewall sur les matériels de l’infrastructure réseau

JRES

200

3

Architectures de cloisonnement du LAN19

/11/

2003

Fonctionfirewall

distribuée à toutes les machines

(1/2)

Consiste à isoler chaque machineMaîtrise globale de la sécuritéGrande précision de filtrage indépendamment de la topologie du LANPas d’altération des flux à haut débit car pas de passage par un matériel central de filtrage

Nécessite pour la mise en œuvreOutil d’administration centralisée

Stockage dans un annuaire avec des notions objets pour la manipulation des règles

Tout système doit intégrer un firewall évoluéAuthentification des machines par certificats X.509Communications au travers de VPN IPSec

Mais actuellement, c'est une architecture théorique

JRES

200

3

Architectures de cloisonnement du LAN19

/11/

2003

Fonction firewall distribuée à toutes les machines (2/2)

Serveur interne

Console d’administration

des firewalls

Serveur externe

Routeur sans fonction firewall

Poste de travail

VPN des communications du poste de travailVPN d’administration des firewalls

JRES

200

3

Architectures de cloisonnement du LAN19

/11/

2003

Fonctionfirewall sur les

matériels de l’infrastructure

réseau(1/2)

Consiste à répartir le filtrage sur des points névralgiquesMaîtrise globale de la sécuritéFiltrage au plus près pour limiter les flux parasitesPrécision moyenne du filtrage car lié à la topologieFiltrage sur les flux plus que sur les machines

Réplication difficile d’un même type de filtrage à plusieurs machines sur différents segments

Nécessite pour la mise en œuvreOutil d’administration centraliséeUne infrastructure de LAN constituée

Switchs niveau 3 et/ou de routeursIntégrant des fonctions de filtrageSupportés par l'outil d'administration

Mais tous les LAN ne disposent pas de tels équipements

JRES

200

3

Architectures de cloisonnement du LAN19

/11/

2003

Fonction firewall sur les matériels de l’infrastructure réseau (2/2)

Serveur externe

Poste de travail

Serveur interne

Routeur avec fonction firewall

Switch avec fonction firewall

JRES

200

319

/11/

2003

Evolutions envisageablespour cloisonner le LAN et maîtriser les VPN

JRES

200

319

/11/

2003

Evolutionsenvisageables

pour cloisonner le LAN

et maîtriserles VPN

Objectifs et concepts pour le cloisonnement du LANet la maîtrise des VPNInfrastructure réseau actuelle des sites INRACloisonnement du LAN au moyen de VLANMaîtrise du déploiement des VPN

JRES

200

3

Evolutions envisageables pour cloisonner le LAN et maîtriser les VPN19

/11/

2003

Objectifs et concepts pour le

cloisonnement du LAN

et la maîtrisedes VPN

Renforcer la sécurité par une meilleure maîtrise globaleStructurer la politique de filtrage selon l’organisationRendre cohérente la politique de filtrage entre les sitesCloisonner le LAN selon des zones non topologiques mais définies par classe de risque

Faire abstraction de l’infrastructure réseauIntégrer le filtrage aux extrémités des VPN IPSecRendre lisible le filtrage au niveau global et machine

Simplifier les filtres pour les généraliser

Pour la mise en œuvreAdministrer de manière centraliséeLimiter le déploiement à quelques équipementsAffiner le cloisonnement par étapes

JRES

200

3

Evolutions envisageables pour cloisonner le LAN et maîtriser les VPN19

/11/

2003

Infrastructure réseau actuelle des sites INRA

Filtrage uniquement à la périphérie du LAN

Infrastructure LAN constituée de switchs de niveau 2Supportent les VLAN 802.1Q par ports

Evolution en cours de la solution de filtrage périphériqueAdministration centraliséeMéthodologie de déploiement structurant la politique de filtrage en fonction de l'organisation

Extension du filtrage de périphérie au filtrage interne car satisfait aux objectifs du cloisonnement

JRES

200

3

Evolutions envisageables pour cloisonner le LAN et maîtriser les VPN19

/11/

2003

Cloisonnement du LAN au

moyen de VLAN(1/2)

Prolonger et démultiplier virtuellement les interfaces dufirewall central

Recours aux VLAN 802.1QCréation des VLAN par étapes

Selon des zones par classe de risqueUne attention doit être portée aux flux volumineux

Support des VLAN 802.1Q par le firewallUne seule interface interconnecte plusieurs VLANEvite de revoir le plan d'adressage en mode "bridge"

Usage des VLAN déconseillé à des fins de sécuritéToutefois, c'est un premier niveau de cloisonnement

Renforce tout de même la sécuritéRend plus lisible le filtragePeut évoluer par l'ajout de firewalls internes

JRES

200

3

Evolutions envisageables pour cloisonner le LAN et maîtriser les VPN19

/11/

2003

Cloisonnement du LAN au moyen de VLAN (2/2)

Serveur externe

Poste de travail

Firewall central avec VLAN

Switch avec VLAN

Communications Poste de travail – Serveur externeCommunications Poste de travail – Serveur Web en DMZ

Switch avec VLAN

Serveur FTP en DMZ

Client externe

Poste sur VLAN 1 par défautServeurs en DMZ sur VLAN 5

Lien trunk sur VLAN 9pour VLAN 1 et 5

Communications Client externe – Serveur FTP en DMZ Liaisons externes

Serveur Weben DMZ

JRES

200

3

Evolutions envisageables pour cloisonner le LAN et maîtriser les VPN19

/11/

2003

Maîtrise du déploiement des

VPN(1/2)

Filtrage intégré aux extrémités des VPN IPSecLimite les flux indésirables et le re-routage au moyen du "split-tunneling"La sécurité obtenue est à relativiser

Tunnels possibles avec SSH, HTTP, telnetRécursivité de l'usage des tunnels

Intégration des VPN dans le LANContrôler les VPN pour maîtriser le LAN(empêcher du routage sur les postes et limiter les flux)

Isolement des postes clients VPN au moyen de VLANRelais de VPN à la périphérie du LAN

Parfois, solutions sans VPN plus adaptées aux besoinsEspace de documents en HTTPS, POPS, IMAPS

JRES

200

3

Evolutions envisageables pour cloisonner le LAN et maîtriser les VPN19

/11/

2003

Maîtrise du déploiement des VPN (2/2)

Serveur Extranet 2Poste de travail

Firewall central avec VLAN et

VPN

Switch avec VLAN

Serveur Extranet 1

Lien trunk sur VLAN 9 pour VLAN 1 et 3

Poste de travail avec client VPN

Poste sur VLAN 1 par défaut et VPN entre firewallsVPN depuis Poste client VPN sur VLAN 3

JRES

200

319

/11/

2003

Est-ce raisonnable d’utiliser les VLAN 802.1Q pour cloisonner ?

JRES

200

319

/11/

2003

Est-ce raisonnable d’utiliser les

VLAN 802.1Q pour

cloisonner ?

Quelles sont les failles sur les switchs ?Quelles sont les failles sur les VLAN 802.1Q ?Limites et conditions d’usage des VLAN 802.1Q

JRES

200

3

Est-ce raisonnable d’utiliser les VLAN 802.1Q pour cloisonner ?19

/11/

2003

Quelles sont les failles sur les

switchs ?

Attaques visant l’intégrité de la configuration du switchConfiguration via des protocoles non sécurisésPorte dérobéePerturbation de leur fonctionnement

Attaques visant à dérouter certains fluxSurcharge de la table des adresses MAC par port

Ainsi tout le trafic est envoyé sur tous les portsFausses déclarations ARP pour usurper les adresses IP de deux machines communiquant

Ainsi le trafic souhaité est envoyé sur le port de la machine de l'attaquant

JRES

200

3

Est-ce raisonnable d’utiliser les VLAN 802.1Q pour cloisonner ?19

/11/

2003

Quelles sont les failles sur les

VLAN 802.1Q ?

Failles inhérentes à la conception des VLAN 802.1QPerformances de commutation privilégiéesPermettent le passage forcé par la trame entre deux VLAN, autrement appelé "saut de VLAN"Vérifications omises

Réception de trames marquées devrait être limitée aux ports de type "trunk" (liens entre switchs)Les trames marquées devraient être analysées entre deux ports d'un même switch et du même VLAN

Le risque de l'attaque par "saut de VLAN" est à relativiserPermet l'envoi des trames dans un sens mais le retour nécessite une erreur dans le filtrage inter-VLANNe concerne que deux machines connectées à deux switchs différentsLe port de la machine attaquante doit être dans le même VLAN que les ports de type "trunk"

JRES

200

3

Est-ce raisonnable d’utiliser les VLAN 802.1Q pour cloisonner ?19

/11/

2003

Limites et conditions

d’usage des VLAN 802.1Q

Configuration des switchsSécuriser l'administration à distanceLeur dédier un VLAN d'administrationMettre à jour leur firmware

Configuration des VLANDédier un VLAN aux ports de type "trunk"Ne pas attribuer une même machine à plusieurs VLAN

Limitation du risque de détournement de fluxProtection de la table des adresses MAC par port

Nécessite une table statique ou un seul apprentissage par port

Difficile de contrer l’attaque à base de fausses déclarations ARP

Nécessite des équipements réseaux émettant une alerte sur des déclarations conflictuelles

JRES

200

319

/11/

2003

Finalement, quelles évolutionsde l’architecture réseau retenir ?

JRES

200

3

Finalement, quelles évolutions de l’architecture réseau retenir ?19

/11/

2003

Evaluer les niveaux de

sécurité

***

Relativiser

En fonction des risques par zone de risque ou par unitéPermet de définir quelques VLANPeut conduire pour certaines entités à mettre en œuvre un firewall dédié

La sécurité doit être appréhendée globalement, pour un cloisonnement fort, il est nécessaire de mettre en oeuvre

Protection des installationsProtection physique des baies réseauxProcédures d’accréditation des personnes