Memoire de fin de cycle

Mise en place d’une solution de sécurisation du réseau informatique du MEN

2007 -2008

INTRODUCTION A la fin de notre formation formation en ingénierie ingénierie de Télécommunicat Télécommunication, ion, il nous est recommandé d'effectuer un stage de six mois de professionnalisation. Ce stage consiste à concilier la théorie apprise à l’Institut des Technologies & Spécialité (ITES) à la pratique pour compléter les connaissances acquises et toucher du doigt les réalités de la vie professionnelle. C’est pour réaliser cette entreprise que nous avons été reçue au Ministère de l’Education Nationale (MEN). Ainsi, pendant l’étude du réseau informatique au Centre des Ressources Informatique du Ministère de l’Education National(CRIMEN), la structure d’accueille, nous

avons été amenée à réaliser des travaux ayant

pour objectifs de bien faire circuler l’information au sein du MEN et de mieux communiquer avec les les partenaires extérieurs extérieurs par le biais du site intranet intranet et du portail du Ministère. Ainsi, le MEN avec ce système se dote d’un outil majeur de compétitivité et de développement des entreprises. entreprises. Le réseau informatique qui devient du coup indispensable à toute organisation facilitera la transmission, la duplication, le partage des données et des des périphériques. périphériques. Il permettra également le traitement traitement et la consultation consultation des bases de données et une transmission rapide et fiable des données. Il est de ce fait nécessaire de prendre des dispositions visant à assurer la sécurité de ce réseau. Toutefois, il existera toujours quelques failles d’autant plus que la sécurité

ne peut être assurée à cent pourcent ; même si globalement globalement tout semble fonctionner normalement. Cet exposé met en relief l’intérêt de notre thème qui est : Mise en place d’une solution de sécurisation

du réseau

informatique du Ministère de l’Education Nationale 1


2007 -2008

Notre étude porte essentiellement essentiellement sur la mise en place d’un niveau de sécurité élevé d es systèmes d’information du réseau local du MEN, ainsi qu’à assurer le fonctionnement fonctionnement optimal optimal de ses ressources ressources réseaux et garantir garantir à ses membres un accès rapide, sécurisé des informations et un partage facile des données.

2


2007 -2008

PROBLEMATIQUE L’essor des moyens de communication moderne tel qu’Internet a très vite

servi. En côte d'Ivoire, l'avènement de l'informatique dans les secteurs publics et privés a permis, per mis, comme partout ailleurs, d'automatiser et d’accélérer

beaucoup de tâches. En tant que concept novateur, les technologies de l'information et de la communication représentent aujourd'hui un phénomène de masse dépassant un simple effet de mode ; un élément élément central et essentiel constituant le le fondement fondement des entreprises. entreprises. Ainsi donc, une bonne performance performance de toute entreprise passe par l’acquisition d’un réseau informatique. C’est d’ailleurs, pour répondre à cette attente qu’au cours des années 90,

l'environnement de l'entreprise s'est profondément modifié avec une très tr ès forte concurrence. Le Ministère de l'Education Nationale (MEN) a intégré cette technologie dans sa politique de gestion du système d'information. Il a mis en place un Intranet pour centraliser les données, contrôler le flux d'information, et optimiser le travail et la communication communication entre les agents. Les utilisateurs semblent s'adapter difficilement difficilement à ce nouvel outil. Parmi les raisons qui expliquent cela, on n'en citera que quelques unes: - Le manque de formation adaptée à l’utilisation de cette nouve lle technologie - La lenteur dans son utilisation - Les problèmes que pose pos e la sécurité des données échangées sur le réseau. Ce dernier aspect donne l'occasion de rappeler que si l'Intranet du MEN avail, il faut donne beaucoup de satisfactions dans l’accomplissement du tr avail, absolument organiser la sécurité des infrastructures infrastructures et des données qui y circulent. La solution antivirale appliquée ne suffit pas p as à elle seule, s eule, elle peut

3


2007 -2008

au contraire donner une illusion de sécurité si aucun contrôle supplémentaire supplémentaire ne lui est associé. Cette situation pose la problématique suivante: quel type de contrôle peuton implémenter à l'Intranet du MEN pour en sécuriser l'information? l'information? Quelle solution peut-on proposer pour assurer la disponibilité de l'information, son intégrité et sa traçabilité? Pour répondre à ces préoccupations, notre travail va s'articuler comme suit: 1. Présentation de la structure d'accueil, à savoir le Ministère de l’Education Nationale

;

2. Exposition de quelques points contextuels du sujet de réflexion; 3. Etude technique qui permettra de critiquer objectivement objectivement la politique de sécurité des différents sites du MEN ; 4. Solutions envisagées pour combler les insuffisances descellées. 5. Présentation et mise en œuvre de la solution retenue avec les détails financiers.

4


2007 -2008

PREMIERE PARTIE : ENVIRONNEMENT ET CONTEXTE D’EXECUTION

5


2007 -2008

CHAPITRE I : PRESENTATION GENERALE DE LA STRUCTURE D’ACCUEIL.

L’histoire du Ministère de l’Education

Nationale remonte depuis la veille

des indépendances. Créé sous le décret 59-56 du 1 er juin 1959 déterminant les attributions du Ministère de l’Education Nationale, il est chargé de la

formation intellectuelle intellectuelle des citoyens depuis le primaire jusque à leur insertion professionnelle. Depuis donc cette cette date le Ministère Ministère est connu connu sous le nom Ministère de l’Education Nationale et ce jusqu’en 1981 .A partir de 1983,

la dénomination

va changer et devenir Ministère de l’Education Nationale et de la Recherche Scientifique. En 1986, il devient Ministère de l’Educat ion Nationale chargé de l’enseignement secondaire et supér ieur. ieur.

Il faut signaler signaler que le Ministère avait

en charge la gestion de trois entités de l’enseignement à savoir :

- l’enseignement primaire ; - l’enseignement secondaire ; - l’enseignement supérieur ; Mais pour une plus grande efficacité et de dynamisme, le Ministère sera subdivisé en trois(3) Ministères distincts, le 16 octobre 1989 qui sont : 

Le Ministère chargé de l’Enseignement Secondaire et

Supérieur 

Le Ministère de l’Ensei gnement

Primaire



Le Ministère de la Recherche Scientifique Scientifique et de la Culture

Peu de temps après un réaménagement réaménagement technique portant modification de la composition du gouvernement du 16 octobre 1989 les trois Ministères M inistères vont de nouveau fusionner pour donner : le Ministère de l’Education Nationale chargé 6


2007 -2008

de l’Enseignement Secondaire et Supérieur, de la Recherche Scientifique et

de la Culture. Depuis donc le 15 décembre 1993, la dénomination M E N ne va pas changer jusqu’aujourd’hui avec pour mission l’Enseignement Primaire et Secondaire. Jusqu'à ce jour, la Cote d’Ivoire a connu à la tête du Ministère de l’Education

Nationale quinze(15) Ministres dont une femme. Aussi, faut-il le

souligner parmi parmi ces figures figures on peut reconnaître celle du non moins célèbre célèbre d’Ivoire, feu FELIX FELIX HOUPHOUET HOUPHOUET 1er président de la République de Cote d’Ivoire,

BOIGNY. I. 1 Présentation du CRIMEN

L’étude de faisabilité

du

Centre des Ressources Informatiques du

Ministère de l’Education Nationale (CRIMEN), a démarré en

novembre

2007 et s’est s’est étalée sur plusieurs mois ponctuée par des visites d’experts d’experts Coréens en Côte d’Ivoire. En collaboration avec des techniciens du Ministère de l’Education Nationale, ils ont mené des études techniques de faisabilité axées sur l’analyse de l’organisation du travail passant par l’affinement des procédures de travail pour déboucher sur l’analyse des dispositifs informatiques en place. C’est donc à l’issu de cette coopération Ivoiro Coréenne qu’a vu le jour, le 10 Avril 2009 l’Intranet du Ministère de l’Education Nationale.

Le Centre des Ressources Informatiques du MEN

(CRIMEN) a été créé pour en assurer la gestion et en faire la promotion. Il est rattaché au Cabinet du Ministre, travaille en collaboration collaboration avec les équipes de proximité des structures centrales et dé concentrées du Ministère et s’appuie pour assurer sa mission sur les structures de régulation, en parfait système d’information qui gère toutes les activités de l’Education Nationale de Côte d’Ivoire.

7


2007 -2008

I.2 Présentation du thème

Notre thème à étudier intitulé « mise en place d’une solution de sécurisation

<

du réseau du Ministère de l’Education Nationale» présente trois (3) grands termes qui sont :

- Solution de sécurisation - Réseau informatique Sécurisation d’un réseau informatique

Nous procéderons à la définition de ces termes afin de mieux appréhender leur contenu. d es Solution de sécurisation cette phase consiste à déployer des moyens et des dispositifs visant à sécuriser le système d'information ainsi que de faire appliquer les règles définies dans la politique de sécurité. matériels et logiciels Un réseau informatique est un ensemble de moyens matériels mis en œuvre pour assurer les communications entre terminaux informatiques. <

La sécurisation d'un réseau informatique consiste donc à garantie que

l'ensemble des machines du réseau fonctionnent de façon optimale et que les utilisateurs desdites machines possèdent uniquement les droits qui leur ont été octroyés. Il peut s'agir : d'empêcher des personnes non autorisées d'agir sur le système de façon malveillante d'empêcher les utilisateurs d'effectuer des opérations involontaires capables de nuire nuire au système de sécuriser les données données en prévoyant les pannes de garantir la non-interruption d'un service.

8


2007 -2008

I.3 Cahier des charges

Dans notre travail de session nous nous donnerons de : Etudier les éléments constitutifs du réseau existant; Découvrir les technologies utilisées ; Apporter des solutions pour renforcer la sécurité dans le cadre de la transmission des données et aussi du matériel ; Veiller à ne pas baisser le niveau de sécurité. CHAPITRE II :

PRESENTATON DU CADRE D’ACCUEIL

Le stage a proprement parlé a débuté le 17Août 2009 par une prise de contact avec le Chef de Service ensuite dans la salle serveur par l’un des

responsables, administrateur du système, mon maître de stage. Il a fait une présentation générale du cadre de travail et nous avons visité certains locaux et sites de la structure. Il faudrait préciser ici que le personnel de cette entreprise est à la fois très accueillant et tout aussi ouvert, ce qui a contribué à faciliter et accélérer notre insertion. II.1 Missions, objectifs et services du CRIMEN II.1.1 Missions L’activité principale du CRIMEN est

:

Mettre en œuvre la politique des systèmes d’informatio n

et des technologies

de l’information et de communication au sein du Ministère ; Consulter un système d’information global et son référentiel dans les domaines de l’enseignement, de la pédagogie, de la gestion des ressources

informatiques au sein du Ministère ; Assurer le bon fonctionnement et développement

de l’environnement

Numérique de travail (intranet) ;

9


2007 -2008

Apporter un appui aux équipes informatiques de proximité des structures du Ministère en matière de réseau et de développement des applications adaptées à chaque domaine dans le respect de leur indépendance ; Assure l’accès à l’information et aux applications notamment

via

l’Environnement Numérique de Travail (ENT) dédié par p ar profil d’usagers ; Garantir la sécurité du travail du système d’information g lobal.

II.1.2 Objectifs et Services

Le Centre de Ressources Informatiques est divisé en plusieurs équipes intervenant dans différents domaines. Les objectifs du Centre des Ressources Informatiques du Ministère de l’Education Nationale sont pas des moindres. Entre autres : Bien faire circuler l’information au sein du Ministère et

Mieux communiquer avec les partenaires extérieurs par le biais du site intranet et le portail. Et comme moyen pour atteindre ses objectifs, les stratégies employées employées sont l’utilisation des serveurs et des postes clients. Démarrage effectif huit huit (8) mois environ, le CRIMEN saura au au fil du temps imposer ses compétences et savoir faire auprès de nombreux utilisateurs. Ainsi, ses services sont regroupés en quatre pôles : Service Infrastructures Infrastructures Systèmes & Réseaux (SISR) Le service Infrastructures Systèmes et Réseaux est chargé d'administrer et de configurer les serveurs de communication, les routeurs et les Switch. Elle assure aussi le suivi des médias de transmission et la gestion rigoureuse des comptes utilisateurs. Ce service assiste également les utilisateurs. Il est assuré par un (1) Ingénieur Informaticien, un (1) Ingénieur Techniques informatiques informatiques assisté par quatre (4) stagiaires. Ils sont issus des centres centres de formation en télécommunications, télécommunications, informatique. Il assure également la maintenance des équipements et des postes clients du réseau et leurs périphériques (imprimante, scanner). Chaque intervention est 10


2007 -2008

consignée dans une fiche d'intervention (voir annexe) remplie et signée par l'utilisateur et l’intervenant.

Service Système et Développement Développement Applicatif (SSDA) Définir une politique de gestion optimale et de sécurisation des données. Gère les serveurs d'application et de Base de données en mettant en place différentes politiques en matière de sauvegarde, de planification et de la gestion des incidents. Ce service est assuré par un administrateur de base de données. Service Gestion du Changement et Planification Planification Stratégique (SGCPS) logiciels Ce service assure la formation des utilisateurs à l’utilisation des logiciels

développés et à la confection de guide utilisateur. Faire la promotion de l’Intranet, assure la mise à jour des connaissances des utilisateurs de la

nouvelle technologie et la veille technologique. Il procède à l’initiation des utilisateurs aux matériels informatiques et à l’utilisation du système installé au sein du Ministère.

Service de gestion administrative (SGA) Ce service est chargé de l’administration du CRIMEN. Il s’assure du bon

fonctionnement des différents pôles. Il définit la politique de la gestion globale du réseau informatique en fonction des besoins exprimés par toutes les structures centrales ; manage tous les équipements du réseau (routeurs, Switch, serveurs) pour s'assurer de leur disponibilité. Cette mission est accomplie par le chef de service et l’un de ses collaborateurs.

II.2 Organigramme (voir Annexe2) II.3 Les ressources de la structure II.3.1 Ressources matérielles

Concernant ce point-ci, nous avons un stock de matériels au sein des locaux du ministère ministère reçu reçu des mains mains de la république Coréenne Coréenne suite à la 11


2007 -2008

coopération Ivoiro-coréenne. Plusieurs ont été mis à la disposition des utilisateurs toujours dans le cadre de suivi du dit projet intranet ; d’autres encore, dans une sale fermé permettrons d’étendre soit le réseau ou soit servirons à remplacer certaines machines en cas de panne. Pour la sécurité de la dite structure naissante nous avons préféré taire le nombre exact de kits d’équipements réseaux reçu.

II.3.2 Ressources logicielle

Comme ressources logicielles on peut citer : Le système d’exploitation

: Windows Server2008

Anti virus : Norton (poste client), Ahnlab v3 Net (serveur) ; Applications : Groupware, Men Messenger, Portail II.3.3 Ressources Humaines Le personnel du CRIMEN est constitué d’une équipe de huit personnes dynamiques qui sont en majorité d’anciens enseignants reconvertis au métier de l’informatique. Notons tout de même que ce personnel comprend

également des consultants spécialisés dans les différents domaines de l'informatique à savoir la maintenance des équipements, les réseaux, le multimédia, la bureautique, le et l'informatique de gestion. CHAPITRE III : E TUDE DE L’EXISTANT <<

Il y a dans l’époque moderne de globalisation presqu’une nécessité pour les d es entreprises d’accroître leur taille encore et toujours. Les progrès constants des moyens de communication arrivent inévitablement. L ’administration scolaire qui se veut plus performante, c’est à dire plus accessible, plus transparente et plus efficace, s’est dotée d’un outil de bonne gouvernance

du système

d’information, l’intranet. Tout d’abord, il serait intéressant de faire l’état des lieux de l’existant.

<

12


2007 -2008

III.1 Présentation de l’existant

Pour mieux satisfaire ses besoins, le MEN a procédé dans un premier temps par l’élaboration de

cinq (5) sites. Nous avons Ainsi, le site de la tour

D qui constitue la station de base, la salle Server où sont logés plusieurs servers, et autres autres équipements équipements réseaux; réseaux; il ya ensuite, les les sites des Tour A et B, la DECO et de la DREN1. DREN1. Ils sont tous interconnectées interconnectées à la Tour Tour D par Faisceaux Hertzien ; aussi, pour éviter éviter les coupures coupures de connexion connexion dues aux intempéries, intempéries, les Tours A et B ont été reliées à la Tour D par fibres optiques. . La SNDI, le fournisseur d’accès à internet, est également relié au réseau

central du MEN par fibre optique (voir Annexe3). III.2 Présentation du système d’information III.2.1 Présentation du site central

Le programme de modernisation du MEN voulu par Monsieur le ministre ne peut se faire outre les éléments techniques nécessaires à la mise en œuvre de l’intranet.

En étroite collaboration avec la république de la Corée, le MEN

et les experts Coréens ont pu mettre en place pour le bon fonctionnement de la dite plate- forme l’intranet, le site de la salle serveur dont l’architecture architecture est la suivante: DMZ Routeur Mail Server Switch

Firewall

Web Server Backbone APC Switch

Test Server

Backup Server BD Server

Figure1 : Schéma synoptique de la station de base, Tour D 13


2007 -2008

Aussi, dans la salle serveur, ces différents équipements sont montés en cascades dans deux armoires. Une armoire où sont montés les équipements réseaux et une autre où sont montés les équipements systèmes (voir figure 2). On y trouve dans ces montages un ensemble d’équipements en réseau sur lequel repose toute la sécurité de l’intranet. Au-delà de cette première vision que présente notre architecture, il y a toute une structure hiérarchisée qui se présente comme suite : De la SNDI (Société Nationale de Développement Informatique), entreprise semi- Etatique, qui évolue dans la commercialisation de la connexion internet, viennent les fibres optiques. Elles sont reçues dans un premier temps depuis la salle Serveur à la Tour D dans l’armoire des

équipements réseaux dans deux répartiteurs ; ensuite, deux brins de ces fibres optiques sont tirés dans un troisième répartiteur pour les connecter au convertisseur de données qui à son tour est connecté au backbone. Du routeur, avec un câble UTP C6, de façon respective on arrive au Firewall où deux voies sont choisies. D’une D’une part, pour la sécurité des données internes,

les

serveurs Test, BD backup sont connectés à un Switch lui-même connecté au Backbone. Et d’autre part, du Switch DMZ sont connectés le Mail Server et le Web Server. Nous avons utilisé pour le câblage du réseau dans son ensemble, du routeur, au firewall, firewall, et du Backbone Backbone au Switch les câbles UTP C6 ; du Switch aux aux

Servers les câbles câbles UTP UTP C5. Pour la suite du câblage, un

quelconque changement changement de câble sera signalé. signalé. Tout ce travail abattu est la somme d’une architecture client-serveur avec interface web.

14


2007 -2008

Figure 2 : Equipements montés en Rack 1 Routeur Web server

2

Mail Server

3 4 Test Server DB Server

5

Back up Server

Figure3 : Schéma synoptique du réseau des des serveurs serveurs de la station de base

15


2007 -2008

N°

SERVEUR

CARACTERISTIQUE

OS

1

2IIS, SQL server

IBM System x3650 Biprocesseur 6Gb (RAM) 32-bit Operating System

2008 Server

2

Zmail

2008 Server

3

2IIS, SQL Server

4

SQL Server 2005

5

SQL Server2005

IBM System x3650 Biprocesseur 6Gb (RAM) 32-bit Operating System IBM System x3650 Biprocesseur 6Gb (RAM) 32-bit Operating System IBM System x3650 Biprocesseur 6Gb (RAM) 32-bit Operating System IBM System x3650 Biprocesseur 6Gb (RAM) 32-bit Operating system

2008 Server 2008 Server 2008 server

Tableaux 1 : serveurs et caractéristiques III.2.2 Présentation des sites distants

Voyons à présent les représentations représentations des sites de la DECO, la DREN1, les TOURS TOURS A et et B, stations réceptrices réceptrices en perpétuel perpétuel communication avec celle de la tour D, station centrale émettrice émettrice / réceptrice. réceptrice. La DECO, Direction Direction des Examens Examens et Concours est l’une des directions centrales du MEN rattaché au cabinet par une liaison FH. Elle est équipée d’une station de base FH, d’un Switch L3 et L2, puis de points d’accès et de PC. Bat F AP

AP Switch L3

Bat H

Bat C

Switch L2 AP

AP

AP AP AP

Bat B

Bat A

Figure4 : Schéma synoptique du site de la DECO A l’image l’image des composants composants de l’architecture l’architecture de la la DECO, nous signalons d’emblé que ceux-ci sont les mêmes pour : 16


2007 -2008

la DREN, Direction Régionale de l’Education Nationale.

AP Switch L3

AP

Switch L2

Figure5 : Schéma synoptique du site de la DREN I

La Tour A AP AP AP SWITCH L3

AP

SWITCH

AP

L2

AP

SWITCH AP

AP

AP

L2 AP

AP

AP

SWITCH L2 AP SWITCH L2

AP AP

AP SWITCH L2

AP

AP AP

Figure6 : Schéma synoptique du site de la Tour A La Tour B SWITCH L3

AP

SWITCH L2 AP

AP

Figure7 : Schéma synoptique du site de la Tour B III.2.3 Architecture du réseau Informatique général

Le MEN dispose de plusieurs sites repartis au sein du plateau. Ces sites sont connectés à la station de base avec laquelle elles se partagent les informations. Il a une connexion internet haut débit en vu de lui permettre de s’ouvrir au monde extérieur afin d’assurer pleinement

sa mission assignée

(voir Annexe4). 17


2007 -2008

En revanche, notre architecture globale, nous aidera à mieux nous orienter dans la suite de notre travail. travail. Ainsi, compte tenu de la complexité complexité du réseau que nous avons, il nous sera plus plus facile de procéder à la mise place place dune sécurité répondant au besoin du réseau. Au total cinq sites à sécuriser dont la station de base à la Tour D. Nous allons étudier les sites de la DECO, de la DREN I et des Tours A et B en premier puis la station de base, en second où nous avons beaucoup plus poussé notre réflexion.

18


2007 -2008

DEUXIEME PARTIE : ETUDE TECHNIQUE

19


2007 -2008

CHAPITRE IV : LES VULNERABILITE DU PROTOCOLE IP ET LES ATTAQUES IV.1 Aperçu du réseau existant

Le MEN a déployé un réseau réseau hybride hybride : une liaison faisceau faisceau hertzienne (FH), filaire et le sans fil Wifi, Wifi, et à la question de savoir savoir les raisons ayant ayant favorisé ce choix, il nous a été répondu répondu par plusieurs points. Notamment, le MEN disposera de divers services en ligne au profit des acteurs internes et des partenaires de l’école.

Ceci, afin d'éviter un câblage fastidieux nécessitant des

percées de trous dans les murs, sans oublier les distances considérables séparant les sites à interconnecter. interconnecter. Toutefois, ces raisons montrent qu’il faut passer par une étude détaillée des solutions architecturales, architecturales, matérielles, logicielles et sécuritaires sécuritaires existantes. Tout réseau informatique informatique de nature est à l’origine vulnérable vulnérable aux attaques.

Du coup, il est nécessaire de se protéger afin d’éviter d’endommager le système de l’information. Nous avons de ce faite décidé de commencer notre travail, par sécuriser les sites distants afin d’offrir une sécurité robuste

à la station de base. Etant

donné que ces sites sites ne communiquent communiquent pas entre eux, chacun chacun seulement seulement avec la station centrale et vis versa. Notons que nous adopterons les mêmes mesures de sécurités aussi bien aux sites distants qu’à la station de base. Mais

plus particulièrement, une sécurité supplémentaire sera ajoutée au réseau c œur vu l’importance des équipements

et leur contenus à préservés pour ne pas

baiser le niveau de sécurité. Ceci étant, nous passons à la phase proprement dite de l’élaboration de notre travail.

20


2007 -2008

IV.2 L'importance d'une politique de sécurité

Plus que partout ailleurs, définir une politique de sécurité dans le domaine des réseaux est avant tout un gage de cohérence et donc, d'une réelle protection. Sans cela, le développement anarchique des moyens de sécurité, ajoutés comme des surcouches au-dessus des réseaux, peut conduire à une complexité telle, qu'elle entrave la circulation circulation de l'information. l'information. Trop souvent, les responsables sécurité imposent sans discernement des contraintes drastiques : un firewall par-ci, un autre point de coupure par-là, parce que tel type d'attaque est toujours possible. Et, ne sait-on jamais, tel autre cas de figure peut toujours se produire : il faut donc ajouter un autre mécanisme de protection. Ces réflexes sécuritaires proviennent à la fois d’une responsabilisation

excessive des personnes en charge de la sécurité et d'une méconnaissance technique des réseaux qu'ont ces mêmes personnes. Le réseau est alors perçu comme un organisme tentaculaire échappant à tout contrôle. Il est le vecteur de tous les maux réels ou imaginaires, Ne connaissant pas ou pire, croyant savoir, ces responsables brandissent des menaces qui conduisent à une surenchère permanente, attisée en cela par les sociétés de conseil et les éditeurs qui vivent de ce commerce. Ne voulant prendre aucun risque, ils entretiennent la culture du secret et empilent des barricades. Afin d'éviter ce cauchemar, il convient donc de ne pas faire de la sécurité pour la sécurité, mais de connaître la valeur de ce que l'on protège et contre quoi l'on se protège. À la suite de quoi, une réflexion technique permet de mettre en place les moyens de protection appropriés. En fin de compte, c'est le bon sens qui nous amène à ne pas utiliser le même type de clé pour la porte de son coffre-fort, pour la porte d'entrée de sa maison et pour celles des autres pièces. La définition d'une politique de sécurité passe donc par : 21


2007 -2008

• une analyse de la valeur des informations à protéger et une analyse des

menaces ; •

L'application de règles et de procédures par les utilisateurs internes à

l'entreprise ; • la mise à jour permanente des logiciels de protection (firewalls, anti -

virus...) et des correctifs pour les systèmes d'exploitation et les applications tels que les navigateurs Web; •

La surveillance du réseau (enregistrement des événements, audits, outils

de détection) ; •

La définition d'une architecture permettant de limiter les possibilités

d'attaques et la portée d'éventuels dégâts causés par les pirates. Les sections qui suivent traitent de ce dernier point en commençant par exposer les vulnérabilités, puis en présentant les différents types d'attaques. IV.3 Les vulnérabilités des protocoles IP Le protocole IP tel qu’il est utilisé aujourd’hui est la clé de voûte de l’Internet. Il réalise des tâches telles que le routage des da tagrammes

sur le

réseau ainsi que leur fragmentation et leur réassemblage. Il est conçu dans une un e approche d’inter -réseaux, -réseaux,

permettant au protocole de "faire de son mieux"

(Best Effort) pour acheminer les datagrammes d’un point source à un point de

destination appartenant à un même réseau ou non. La famille des protocoles IP présente des failles de sécurité intrinsèques, car ils n'ont pas été conçus dans une optique de sécurité, mais plutôt dans une optique de résilience et de performance. performance. Il n'y a notamment : • aucun chiffrement des données (les données et souvent les mots de passe

circulent en clair) ; • aucun contrôle d'intégrité (les données peuvent

être modifiées par un

tiers) ;

22


2007 -2008

• aucune authentification de l'émetteur (n'importe qui peut émettre des

données en se faisant passer pour un autre) ; Les sections suivantes décrivent quelques-uns des protocoles les plus courants qui cumulent ces lacunes.

a) Telnet

L'identifiant et le mot de passe Telnet circulant en clair sur le réseau, il faut demander aux utilisateurs d'employer des mots de passe différents de ceux utilisés pour se connecter à des applications utilisant des protocoles mieux sécurisés interceptés, l'identifiant et le mot de passe pourront, en effet, être utilisés par un intrus pour se connecter à des applications dont les mots de passe sont, en ce qui les concerne, chiffrés. De plus, les données sont véhiculées sous une forme non structurée, tâche qui est laissée à l'initiative de l'application. II est donc très facile de transférer toutes sortes de données en profitant d'une session Telnet. Client >1023

TCP

Serveur

>1023

23 23

Ces deux caractéristiques font de Telnet un protocole très dangereux à utiliser entre une entreprise et Internet. Il doit donc être interdit. Sur le plan interne, son usage peut être autorisé, réglementé ou interdit, selon l'architecture de votre réseau, les mécanismes de sécurité mis en œuvre et la

valeur des informations à protéger. p rotéger.

23


2007 -2008

b) FTP

L'identifiant et le mot de passe circulant en clair, les recommandations énoncées pour Telnet s'appliquent également également à FTP. FTP Mode normal Client

Port=y

x>1023

ok

Serveur

Client

21

x>1023

21

x>1023 y>1023

20 ok

y>1023

FTP Mode passif

20

Canal de Contrôle

Serveur

x>1023

pasv ok sur S

y>1023

Canal de Donnée

21

y>1023

21 S>1023

ok S>1023

Le mode passif est beaucoup plus sûr que le mode normal, car il évite d'autoriser les connexions entrantes. Cependant, toutes les implémentations implémentations ne sont pas compatibles avec ce mode. Si tous vos clients et serveurs FTP supportent le mode PASV, il est recommandé d'interdire le mode normal. c) DNS

La recherche de noms et le transfert de zone utilisent généralement les ports UDP (53

53), mais si ces requêtes échouent, elles sont relancées relancées

TCP (>1023

53). Certaines implémentations, implémentations, ce qui est le cas avec les

via

machines AIX, utilisent exclusivement TCP. Client

Serveur

>1023

53 53

>1023

TCP /UDP

ask

Primaire

Secondaire 53 53 >1023 >1023

UDP UDP

53 53

TCP

53

TCP ask

53

Requête (ex : SOA) Transfert de zone ou requête (ex : SOA)

24


2007 -2008

Aucun mot de passe n’est requis pour ces échanges automatiquement entre machines et ce, de manière transparente pour l'utilisateur. Par ailleurs, la commande nslookup permet à tout utilisateur de consulter la base de données. La base de données du DNS est particulièrement sensible, car elle contient l'ensemble des adresses IP de nos serveurs et équipements réseaux, voire plus puisque nous utilisons utilisons Active Directory Directory de Microsoft. Microsoft. Elle doit donc être protégée et en particulier particulier être inaccessible depuis l'extérieur. l'extérieur. d) HTTP

Les serveurs Web peuvent répondre sur des ports spécifiques, autres que 80, tels les 8000, 8080, 8010 8 010 ou encore 81, pour ne citer que les plus courants. Ces ports non-standards ne présentent aucun intérêt en termes de sécurité, car les scanners permettent de les trouver rapidement. HTTP support normal Client >1023 >1023

HTTP support spécifique

Client

TCP

Serveur 80

>1023

TCP

80

>1023

TCP TCP

Serveur >1023 >1023

En revanche, il est recommandé de séparer les données accessibles en FTP et en HTTP, soit sur deux serveurs différents, soit sur deux répertoires différents. Il est en effet facile de déposer un cheval de Troie sur un répertoire FTP, puis de le faire exécuter par le serveur HTTP. Sous Unix, il est en plus recommande d'utiliser la fonction chroot . e) NetBIOS

Le protocole NetBIOS (Network Basic Input Output System) est difficile à contrôler, car il transporte de nombreux protocoles propres à Microsoft: il s'agit de SMB (Server Message Block) d e NCB (Network Control bloc) et de 25


2007 -2008

toute une série de RPC (Remote Procédure Calls), qui sont utilisés par les environnements Windows. Name Service Protocol Client

Serveur

Datagram Service Protocol

Client

UDP >1023 >1023

UDP

137

>1023

137

>1023

Session Service Protocol

Client

Serveur UDP

>1023 TCP

138

UDP

Serveur

138

>1023

TCP

139 139

Par exemple, les relations entre contrôleurs de domaines et entre clients et serveurs WINS emploient des relations complexes qu’il est difficile de filtrer. Pour ces raisons, l'utilisation de NetBIOS doit être interdite entre l’entreprise

et internet. f) SNMP

Pour les requêtes « get » et « set » le client est la plate-forme d'administration tandis que pour les messages « traps », le client est le matériel (réseau, serveur, etc.). Il est donc recommande de cantonner ce protocole entre les stations d'administration et les équipements à surveiller : • La plupart des implémentations utilisent

UDP, et il faut l'autoriser dans

les deux sens. • Les noms de communauté circulent en clair

Les possibilités d'action offertes sont importantes (la commande « get » permet de faire un dump complet d'une configuration et la commande «set» permet de modifier la configuration). Get / Set Client

>1023 >1023

Traps Serveur

UDP/TCP

161 161

Client

Serveur UDP/TCP

>1023

162

>1023

162 26


2007 -2008

On peut donc envisager de laisser passer les messages SNMP en filtrant les adresses sources et destinations. La politique de filtrage peut cependant être plus souple au sein d'un même domaine de confiance ou dans le cas de réseaux entièrement commutés reposant sur des VLAN, pour ce qui concerne Internet, le protocole SNMP doit être interdit. g) RPC (Remote Procédure Calls)

De nombreuses applications, comme les logiciels de sauvegarde, utilisent les services du Portmapper qui répond sur les ports UDP et TCP 111 et qui renvoie au client, un numéro de port aléatoire indiquant que le service est disponible sur sa machine. Recherche du service Client UDP/TCP >1023 >1023

Portmapper 111 111

Accès au service RPC Client

>1023

Serveur UDP/TCP X

Service disponible sur port TCP/UDP

Ce protocole ne peut pas être efficacement Filtré, car de nombreux ports doivent être laissés ouverts de par la nature aléatoire de l'allocation. De plus, les firewalls génèrent de nombreux dysfonctionnements pour les applications qui utilisent les RPC. Les RPC doivent donc être interdits pour Internet. h) NSF

Le protocole NFS utilise a priori le port UDP 2049, mais la RFC 1094 indique que ce n'est n 'est pas une obligation. Certaines implémentations implémentations utilisent en fait le Portmapper . Un problème de sécurité important posé par NFS est celui lié au numéro de handle : 27


2007 -2008

• Il est prédictible, car reposant sur la date de création du système de

fichier. • Il est valable même lorsque le système de fichiers est démonté. • Il

l’ayant obtenu (par (par écoute réseau ou par est utilisable par quiconque l’ayant

calcul). NFS est également vulnérable vulnérable à la dissimulation d'adresse (spoofing), car le serveur se fie à l'adresse IP pour authentifier authentifier la machine machine cliente. cliente. Par ailleurs, ailleurs, les mécanismes setuid et no -body positionnés par l'administrateur du serveur demeurent des failles de sécurité, s'ils sont mal configurés. i) ICMP

De nombreux services ICMP peuvent renseigner un intrus, comme par exemple « destination unreachable », qui comporte des informations indiquant la cause du problème ou encore « écho request » et « écho reply », qui indiquent si un nœud est actif. Les seuls paquets ICMP, qu'il est envisageable de laisser passer vers un autre domaine de confiance, sont les suivants : • type 4 « source quench », qui permet de contrôler le flux entre un client et

un serveur : • Type 11 « time to live exceeded

• Type 12 « parameter problem • Type 8

», qui évite le bouclage des paquets IP ;

», qui indique une erreur dans un en-tête ;

«écho request » et type 0 «écho reply», utilisés pour vérifier

l'activité des nœuds pour des opérations de supervision et de diagnostic. Vis-à-vis d'Internet, tous les services ICMP doivent être interdits : ils ne sont pas nécessaires et peuvent donner trop d'informations d' informations aux intrus. Après lecture de tous ces protocoles protocoles il revient de nous interroger aussi sur les différents types d’attaques que pourraient

rencontrer à un réseau

informatique. 28


2007 -2008

IV.4 Les différents types d’attaques

En plus de leur vulnérabilité, la famille des protocoles IP bénéficie d'une grande accessibilité. Leurs spécifications sont rendues publiques avec les RFC, et Internet est un réseau ouvert à tous, aux particuliers comme aux professionnels. Les compétences techniques sont donc très répandues, et tout le monde est susceptible de trouver des failles et de lancer des attaques aussi bien sur le réseau public que sur notre réseau interne. Il est à noter que, selon la plupart des statistiques, environ 70 % des problèmes de sécurité ont des origines internes à l'entreprise. IV.4.1 Les attaques de type refus de service (dénial of service) of service)

Ce terme désigne un groupe d'attaques destiné à bloquer le service offert par un serveur (Web ou autre), un routeur ou un firewall. Le principe consiste à inonder de requêtes la machine cible de manière à ce qu'elle soit de plus en plus sollicitée, et ce, jusqu'à ce qu'elle ne puisse plus traiter les vraies requêtes des utilisateurs. Le pirate espère, de plus, qu'un débordement (saturation des capacités du logiciel) conduira à l'arrêt brutal de la machine, profitant ainsi d'une situation limite, non prévue par le programmeur (bogue). Les parades consistent, la plupart du temps, à appliquer des correctifs (patches) qui permettent de traiter les cas de figure limites. IV.4.1.1 Quelques exemples d'attaques par refus de service

L'attaque la plus classique, le ping de la mort (Ping of death), consiste à bombarder la machine cible de paquets ICMP de type « echo_request ». Une variante, appelée teardrop , consiste à envoyer des paquets ICMP de taille importante (plusieurs dizaines de Ko) de manière à activer les mécanismes de fragmentation IP. La plupart des machines s'arrêtent de 29


2007 -2008

fonctionner lorsqu'elles rencontrent ce cas de figure (fragmentation (fragmentation de paquets ICMP), à moins d'être équipées du correctif adéquat. L'attaque land (littéralement atterrissage), consiste à générer un paquet ayant la même adresse IP source et destination que celle de la machine visée, et avec des ports (TCP ou UDP) source et destination identiques. La machine visée est de préférence un routeur, qui route le paquet indéfiniment pour luimême. La parade parade consiste là encore, à appliquer appliquer un correctif correctif qui traite ce cas limite. a) Les attaques par inondation SYN (syn flooding)

Dès qu'un client envoie une demande d'ouverture de connexion TCP à un serveur, l'échange normal est le suivant: SYN Client

ACK, SYN

Serveur

ACK

Si le serveur ne reçoit pas le paquet ACK du client, il reste en attente de la réponse jusqu'à l'expiration d'un timeout. L'attaque consiste donc pour le pirate, à écrire d'abord un logiciel qui n'envoie jamais de paquets ACK en réception d'un paquet SYN du serveur, puis à inonder le serveur de demandes de connexions de ce type. Ceci entraîne le serveur à allouer de plus en plus de ressources pour les demandes de connexions TCP qui restent en attente, jusqu'à dépassement de ses capacités. Le firewall protège contre ce type d'attaque en détectant puis en bloquant la requête après N paquets SYN consécutifs issus du même client ou à destination du même serveur.

30


2007 -2008

b) La dissimulation d'adresses (spoofing)

Cette technique consiste, pour le pirate, à utiliser une adresse IP interne, c'est-à-dire celle d'un réseau de l'entreprise protégé par le firewall. Le but est de faire croire aux machines (serveurs, firewalls) qu'il s'agit d'un paquet issu du réseau interne, de manière à bénéficier des mêmes droits d'accès que nos utilisateurs comme, par exemple, l'équivalence de droits pour les remote commands Unix ou les règles de filtrages du firewall basées sur l'adresse source. Les routeurs ne se soucient pas de savoir par quelle interface proviennent les adresses sources, car les algorithmes de routage doivent prendre en compte le cas de routes multiples et de secours. En revanche, si le réseau interne est connecté à Internet, aucun paquet, ayant comme adresse source celle d'un réseau interne, ne doit en provenir. Le mécanisme d'antispoofing, utilisé par les firewalls, consiste donc à contrôler l'origine des paquets sur la base du couple « interface réseau physique » / « adresse IP source ». Il est à noter que le même principe s'utilise avec les noms DNS et SMTP ou encore les mots de passe des procédures d'authentification. d'authentification. c) Les attaques par tunnel

Le principe consiste à utiliser un port TCP ou UDP dédié à un service (Telnet, par exemple), exemple), pour faire passer des flux autres que ceux prévus. p révus. Le cas le plus classique est celui du serveur SMTP qui permet de se connecter en Telnet, non pas sur le port 23 dédié habituellement aux serveurs Telnet mais sur le port 25 dédié aux serveurs SMTP. L'utilisateur peut ainsi dialoguer manuellement avec le serveur via les commandes SMTP. Pour les cas de figure les plus évolués, les pirates développent des logiciels spécifiques capables de dialoguer avec un protocole donné sur n'importe quel port TCP ou UDP. 31


2007 -2008

d) Le vol de session (session stealing , splicing ou hijacking)

Cette technique consiste à repérer une session TCP ouverte depuis l'intérieur sur un serveur situé sur Internet, puis à se substituer à ce serveur. La session ouverte par l'utilisateur interne devient ainsi un tunnel permettant d'opérer en toute quiétude. Cette technique est très sophistiquée puisqu'elle nécessite de sonder le réseau Internet ou interne à des endroits bien précis, à trouver les numéros aléatoires qui identifient les paquets TCP au sein d'une session, puis à se substituer au serveur. La seule parade réellement réellement efficace consiste à chiffrer les données et à contrôler l'intégrité des paquets IP à l'aide du protocole IP sec. s ec. e) Le rebond

Cette technique est la plus simple puisqu'elle consiste à profiter d'une faille de sécurité pour investir un serveur, puis, à partir de là, à se connecter à d'autres machines en utilisant les droits accordés à ce serveur. La protection contre ce type d'attaque relève de la sécurisation des serveurs (mots de passe et correctifs) et de l'architecture (voir plus loin). En positionnant les serveurs les plus exposés sur un segment dédié, différent de celui hébergeant les machines les plus sensibles, un firewall peut contrôler les flux. f) Les chevaux de Troie

Un cheval de Troie est un programme, importé sur une machine à l’insu de ses utilisateurs, qui se substitue à un programme normal, par exemple, au client FTP. Quand l'utilisateur lancera la commande FTP, au lieu d'utiliser son programme habituel, il lancera le faux FTP, dont l'interface utilisateur ressemble au vrai programme, à la différence qu'il ouvrira une session parallèle sur un serveur appartenant appartenant au pirate. 32


2007 -2008

L'importation de tels programmes s'opère via la messagerie, une connexion directe à un serveur en profitant de ses failles de sécurité (mot de passe ou bogue),

via

la technique du tunnel ou, plus simplement, en installant le

logiciel avec les droits d'accès de l'administrateur. l'administrateur. La première parade consiste à réaliser un contrôle d'intégrité sur les programmes binaires et les scripts; puis à vérifier qu'il n'y a pas eu de changement dans leur taille, leur date, etc. La seconde parade consiste à repérer en temps réel l'introduction d'un tel cheval de Troie en l'identifiant par sa signature (une série de codes binaires caractérisant les instructions qui le composent). Encore faut-il que cette signature soit connue et qu'elle ait été intégrée dans l’anti -virus

chargé de cette détection, d'où l'importance des

mises à jour fréquences fréquences (hebdomadaires, voire journalière). g) Les Vers

Ce type de programme utilise le réseau pour se propager : installé sur une machine, non seulement il t'infecte, mais il cherche également d'autres machines sur le réseau pour essayer de s'y installer. Le ver désigne donc un mode de propagation qui peut intégrer les fonctions de virus, de scanner et de cheval de Troie, À l'heure actuelle, tous ces programmes ne peuvent se propager qu'entre machines du même type, par exemple, entre PC Windows, entre Macintosh ou entre machines Unix. S'il s'agit d'un exécutable, les processeurs doivent, de plus, être de la même famille (pentium, power PC, etc.). S'il s'agit d'un script, le programme peut s'exécuter sur différents types de machines disposant du même système d'exploitation. Là encore, cette restriction est susceptible d'être levée dans le futur. IV.4.2 Les buffer overflow

Un buffer overflow est une attaque très efficace et assez compliquée à réaliser. Elle vise à exploiter une faille, une faiblesse dans une application 33


2007 -2008

(type browser, logiciel de mail, etc...) pour exécuter un code arbitraire qui compromettra la cible (acquisition des droits administrateur, etc...). Le fonctionnement général d'un buffer overflow est de faire crasher un programme en écrivant dans un buffer plus de données qu'il ne peut en contenir (un buffer est un zone mémoire temporaire temporaire utilisée par une application), dans le but d'écraser des parties du code de l'application l'application et d'injecter des données utiles pour exploiter le crash de l'application. Le problème réside dans le fait que l'application crashe plutôt que de gérer l'accès illégal à la mémoire qui a été fait. Elle essaye en fait d'accéder à des données qui ne lui appartiennent appartiennent pas puisque le buffer b uffer overflow a décalé la portion de mémoire utile à l'application, ce qui a pour effet (très rapidement) rapidement) de la faire planter. planter. Une attaque par buffer overflow signifie en général que l'on a affaire à des attaquants doués plutôt qu'à qu 'à des "script kiddies". CHAPITRE V: CHOIX DES TECHNOLOGIES V.1 Le contrôle de flux

Les parades à ces vulnérabilités et à ces attaques sont de deux ordres : le contrôle de flux (qui accède à quoi et comment) et la confidentialité confidentialité des données. Commençons par la première : Le contrôle de flux consiste à filtrer les paquets IP selon les adresses sources et destinations, les ports TCP et UDP, les types de protocoles (ICMP, OSPF, TCP, UDP, etc.), et éventuellement, selon des informations issues des couches applicatives. applicatives. Il peut être réalisé par les routeurs ou par des équipements dédiés appelés firewalls (pare-feu en français). V.1.1 Les technologies utilisées par les firewalls

Quatre technologies sont utilisées pour contrôler les flux : • le filtrage de paquet (packet

filtering) ;

• le filtrage par état des sessions

(staleful inspection); 34


• le relais applicatif (application

2007 -2008

Gateway) , encore appelé mandataire, ou,

abusivement, application proxy , proxy gateway ou proxy tout court ; • le relais de circuit (circuit

relay ou circuit -level gateway) .

La confusion quant à l'emploi du terme de « proxy » est historique : le NCSA (National Computer Security Association) a, le premier, utilisé le terme de « proxy service » fonctionnant sur un firewall appelé « application Gateway ». Les journalistes ont ensuite cédé à la facilité en prenant pour raccourci le mot « proxy » pour désigner ce type de firewall. Par amalgame, les termes « application proxy » et

«proxy

Gateway» ont ensuite été

abusivement employés pour désigner le firewall alors qu'il désigne en réalité le processus. Le vrai terme pour désigner ce type de firewall est donc « relais applicatif» (application (application Gateway dans la littérature anglo-saxonne). anglo-saxonne). Un proxy , ou serveur proxy , désigne en réalité un serveur cache, c'est-àdire une machine qui héberge les URL les plus récemment demandées dans le but d'économiser de la bande passante sur la connexion Internet (64 Kbits à 2 Mbit/s). Le navigateur Web est configuré de manière à interroger le serveur cache. Si l'URL demandée n'est pas dans le cache, le serveur relaie la requête vers le serveur cible. En toute rigueur, le proxy relaie la requête de la même manière qu'un firewall de type relais applicatif, mais on ne peut pas le considérer comme un firewall à part entière, car il ne dispose pas des mécanismes mécanismes de protection utilisés par cette classe de produit. Pour ajouter à la confusion, le paramètre « proxy

», qui est défini au niveau

des navigateurs, indique à ces derniers de rediriger les requêtes Web à destination de l'extérieur vers un serveur spécialisé (à la manière du paramètre paramètre « défaut Gateway » qui indique au protocole IP de rediriger les paquets à destination de l'extérieur vers un routeur). A l'origine, ce serveur était bien un serveur proxy (un cache), mais par la suite, l'utilisation de cette fonction a été étendue pour désigner les firewalls qui contrôlent les droits d'accès à Internet.

35


2007 -2008

Il est à noter qu'à cette fonction de cache, vient s'ajouter celle déjà gérée au niveau de chaque navigateur Web. V.1.1.1 Le filtrage de paquet

Le filtrage de paquet est historiquement parlant la première technique, encore largement utilisée par les routeurs. Elle consiste à filtrer chaque paquet individuellement au niveau de la couche réseau en fonction des adresses source et destination, du port TCP ou UDP, du Type de protocole (ICMP, RIP, etc.), et du sens du flux. Très peu d'informations (alertes, statistiques) sont par ailleurs enregistrées et aucun mécanisme de protection n'est implémenté contre les attaques. V.1.1.2 Le « stateful inspection »

La technologie stateful inspection reprend les principes du filtrage de paquet mais conserve un état (historique) de toutes les sessions. Les paquets ne sont plus filtrés individuellement, mais en fonction des précédents qui appartiennent à un même échange. Pour ce faire, le firewall examine les données du paquet et remonte jusqu'à la couche transport, voire applicative. Le filtrage est bien réalisé au niveau 3 (couche réseau), mais en fonction d'informations issues des couches supérieures. De ce fait, il est également également possible de filtrer au niveau applicatif (commandes FTP, SMTP, DNS, etc.). Pour s'adapter aux protocoles qui utilisent des ports aléatoires (les ports client pour tous les protocoles et les RPC), les règles sont générées dynamiquement pour le temps de la session à partir des règles de base définies par l'administrateur. l'administrateur. En outre, seul le premier paquet d'une session est comparé aux règles de filtrage, les suivants étant seulement comparés à l'état de la session, d'où des gains de performance par rapport aux routeurs filtrants. C'est la technologie la plus rapide. 36


2007 -2008

V.1.1.3 Le relais applicatif

Cette technologie repose sur le principe du mandat : le firewall intercepte la requête du client et se substitue à ce dernier. En réalité, c'est donc le firewall qui envoie une requête au serveur. Il le fait de la part du client. Ce dernier croit dialoguer directement avec le serveur, alors que le serveur dialogue en fait avec un client qui est le firewall (le relais). relais). Cette technique implique de développer un client spécifique pour chaque application supportée (Telnet, FTP, HTTP, etc.), ce qui en fait la technologie technologie la moins évolutive. Le support d'une application dépend des capacités de l'éditeur du produit. La sécurité repose sur le fait qu'aucune connexion directe n'est réalisée entre le client et le serveur et que le client du firewall (le relais) est une version spéciale sans bogue, ne comportant aucune faille de sécurité, et susceptible d'intercepter les attaques. V.1.1.4 Le relais de circuit

Le relais de circuit reprend la technologie de relayage sans permettre de filtrage au niveau applicatif et, surtout, sans tenir compte des spécificités liées à chaque protocole (échanges entre le client et le serveur, connexions ouvertes au sein d'une même session, etc.).Les paquets sont relayés individuellement. Cette technique offre donc un moins bon niveau de protection que le relayage applicatif. Le premier produit à avoir introduit cette technologie est le freeware Socks. La mise en place d'un firewall Socks (on parle souvent de serveur Socks) requiert l'utilisation de clients (FTP, HTTP, etc.) spécifiques. Le client émet une requête au serveur Stocks qui comprend l'adresse du serveur cible, le type de service demandé (port TCP ou port UDP) et le nom de l'utilisateur. Le serveur authentifie l'utilisateur, puis ouvre une connexion vers le serveur cible. Les flux de données sont ensuite relayés relayés sans aucun contrôle particulier. particulier. 37


2007 -2008

Cette technique est souvent utilisée en complément des relais applicatifs, plus particulièrement pour les protocoles non supportés par les relais, mais n'est jamais employée seule. V.1.2 Comparaison des technologies

Les techniques de filtrage de paquet et de relais de circuit sont aujourd'hui obsolètes. Avec les techniques de piratage actuelles, il n'est pas envisageable de les utiliser sur un firewall. Les technologies stateful inspection et relais applicatif dominent actuellement le marché des firewalls et sont, de plus en plus souvent, combinées. C'est, par exemple, le cas de Netwall, de Watchguard et, dans une moindre mesure, de Firewall-1.

38


Evolubilité 07/12/2009

2007 -2008

STATEFUL INSPECTION

RELAIS APPLICATIF

+Supporte tous les protocoles.

Nécessite de développer un client pour tout nouveau protocole, à moins d’utiliser un relais de

circuit (relais générique) Performances

+filtrage optimisé et opéré au

Un processus par session.

niveau du driver

Les paquets sont traités par le relais et deux fois par l’OS

Impact sur le système

+Aucun, puisque l’OS est court-

L’os doit être sécurisé

d’exploitation

circuité

puisqu’il traite les paquets.

Niveau de sécurité

+L’état des sessions est conservé

+Le relayage évite les

et les paquets (en-tête et

attaques directes, et le

données) analysés.

filtrage applicatif élimine

Le filtrage applicatif élimine les

les commandes

commandes.

dangereuses. Le relayage doit être

+Limite les possibilités de vol de associé à un filtrage (ports session.

et adresses).

-Les attaques par tunneling

Les attaques par vol de

restent possibles.

session restent possibles.

Tableau 2 : Comparatif des technologies

La puissance de traitement des processeurs actuels permet de masquer les différences de performances entre les deux technologies pour des débits réseaux compris entre 64 Kbit/s et 2 Mbit/s. La différence devient significative dans un réseau.

39


2007 -2008

Dans les grandes entreprises aussi bien que les petites, le réseau permet l'échange de données de natures très diverses entre des populations aussi diverses que géographiquement dispersées. Dans tous les cas, la problématique reste la même ainsi que les moyens mis en œuvre pour la résoudre. En effet, la sécurité est un vaste sujet, qui dépasse le cadre du réseau tant sur les plans technique que méthodologique. Car dès lors qu'il permet à des centaines, voire à des milliers d'utilisateurs d'utilisateurs de communiquer et d'échanger des informations, le réseau pose inévitablement le problème de la sécurité : les informations qu'il véhicule possèdent de la valeur et ne doivent pas être accessibles à tout le monde. Vu que, dans un réseau wifi, notre cadre d’étude, les ondes radios ne pouvant être confinées dans un espace délimitée, n'importe quelle personne se trouvant à portée de ces ondes peut s'y connecter et utiliser le réseau à des fins pas toujours catholiques (voir annexe 4). Alors, étant donné que notre réseau s’inscrit dans ce cadre d’ouverture sur le monde

extérieur, voyons quelle est la solution à apporter pour le protéger contre les attaques. V.2 La confidentialité

La sécurité, exprimée en termes de confidentialité, recouvre plusieurs fonctionnalités fonctionnalités :

-

L’authentification

forte permettant de s'assurer de l'identité de

l'utilisateur ;

- Le chiffrement des données afin d’assure la confidentialité face aux réseaux externes traversés (réseau téléphonique, ADSL, etc.) ; - L’intégrité des données, qui consiste à vérifier que les données reçues sont bien celles qui ont été originellement originellement émises ; - La signature, qui consiste à s'assurer qu'un objet a bien été émis par celui qui prétend l'avoir fait ; - Le certificat, qui consiste à s'assurer que la clé publique du destinataire est bien la sienne. 40


2007 -2008

Les mécanismes mis en œuvre pour ces fonctionnalités reposent sur les algorithmes de chiffrement. Des protocoles intègrent ensuite ces algorithmes dans des applications telles que les échanges réseau au sens large, les cartes bancaires, le paiement électronique, etc. L’étude faite de ce deuxième point nous ont permis permis d’aboutir à la phase

pratique de notre travail. CHAPITRE VI: CHOIX DE LA SOLUTION A DEPLOYER VI.1 Comparaison entre les routeurs et les firewalls

On peut se poser la question de l'intérêt d'un firewall par rapport à un routeur. Rappelons cependant les avantages du premier sur le deuxième :

- Meilleure protection aux attaques par refus de service et par dissimulation d'adresse ; - analyse de l'état des connexions TCP et UDP pour chaque session (à la place d'un simple filtrage paquet par paquet ne tenant pas compte des sessions) ; - plus grande richesse de filtrage ; - visualisation en temps réel des sessions ouvertes ; - journalisation des tentatives d'intrusion et remontée d'alerte ; l'interface d'administra d' administration. tion. - ergonomie de l'interface Les routeurs sont bien dévolus à l'acheminement des paquets selon des contraintes autres que sécuritaires : calcul des routes, réroutage en cas de panne d'un lien, gestion de la qualité de service, diffusion multicast, ou gestion des interfaces et protocoles WAN. Les firewalls sont, quant à eux, dévolus au filtrage des sessions et des applications selon des règles complexes. Alors que les routeurs agissent entre les couches 2 et 3 (liaisons et IP), les firewalls agissent à partir de la couche 3. Sous la pression du marché, ces différences tendent cependant à s'estomper, et les routeurs embarquent désormais des firewalls. Cette intégration présente 41


2007 -2008

l'avantage de réduire les coûts et d'enlever un étage de complexité à la chaîne de liaison LAN - routeur rou teur - firewall -LAN - routeur - WAN. VI.2 Choix d'un firewall

Notre réseau d'entreprise étant relié à l'Internet, l'Internet, il est donc plus vulnérable aux attaques venant de l'extérieur. l'extérieur. Dans ce cas, pour surveiller surveiller et contrôler contrôler les données qui entrent et qui sortent s ortent de notre réseau, il est primordial d'utiliser un pare-feu. Il existe 2 types de pare-feu: le pare-feu logiciel et le pare-feu matériel. matériel. Pour une sécurité accrue, nous avons choisir de combiner les 2 types.

Il est recommandé d'utiliser deux firewalls de marque différente, un pour les connexions externes, dont Internet, et un autre pour le contrôle des flux internes : • Si un pirate connaît bien un produit (et donc ses faiblesses), les chances

qu'il en connaisse également un autre sont moindres. • Un bogue présent sur un firewall a peu de chance de se retrouver

également sur un autre. Un firewall plus répandu peut, en revanche, être utilisé pour la sécurisation du réseau interne. Sa fonction est en effet effet plus liée au partitionnement partitionnement du réseau. Toutefois, nous avons opté pour le choix du watchguard de watchguard technologie en ce sens qu’il demeure le plus perfor mant mant des firewalls en termes de sécurité et que nous nous en sommes déjà familiarisé. Aussi faut-il 42


2007 -2008

noter qu’il est à la fois propriétaire et libre car il présente trois (3) systèmes de

management que sont :

- Le DOS ; - L’interface web ; - le système d’exploit ation watchguard System Manager (WSM) l’interface utilisateur graphique qui installé sur une machine

gère cent (100) firewalls au moins.

C’est pour ce faire que nous le proposons dans sa version : firebox X1250 e UTM BUNDULE. En effet, cette version présente plusieurs avantages qui sont les suivants : Sécurité complète du réseau en une seule application (paramétrage) qui inclut tout ce dont on a besoin pour gérer et administrer le réseau de façon efficiente. Il s’agit : Du firewall lui-même ; De son système de gestion qui contient : Une Application de bloqueur de spam ; Une Application de bloqueur web ; Une application VPN Gateway AV/IPS : l’anti-virus de passerelle et le service prévention d’intrusion

Une application application anti-virus dont LiveSecurity LiveSecurity qui demeure la meilleure meilleure solution en termes de sécurité sur les firewalls. firewalls. Le support en ligne gratuit. Une telle architecture se présente comme comme suit :

43


2007 -2008

44


Firewall-1 de Check

Firewall-1 de Check

Watchguard de

point

Point

Watchguard

2007 -2008

Netwall de Bull

Technologie Remarques générales le plus répandu

un des meilleurs à

développement

facile à paramétrer

résister aux attaques

français

plate forme

UNIX, NT

UNIX

UNIX

technologie

filtrage à état de lien filtrage à état de lien

authentification

Radius, Secure ID

supportée partage de charge et

filtrage à état de lien

et relais applicatif

et relais applicatif

Radius, Secure ID,

CP8, Radius

SSL oui

oui

oui

translation d’adresse

oui

oui

oui

protection contre les

oui

oui

oui

oui

oui

oui mais Français

non

oui

de redondance

attaques risque de trappe logicielle génération génération de filtres d’autres routeurs

Cisco, Motel

oui

filtrage des

oui

oui

non

commandes FTP

filtrage des commandes SMTP

non

oui

oui

Tableau 3 : Comparatif des technologies VI.3 Rôles et fonctionnements des firewalls

L'objet de cette section est de montrer, avec l'exemple de Watchgard, le fonctionnement d'un firewall et les fonctions qu'il remplit : Protection active contre les attaques ; Détection d'intrusion ;

45


2007 -2008

Filtrage des paquets IP sur la base des adresses et des ports source et destination ; Translation d'adresses IP (NAT) et des ports TCP/UDP (PAT) ; Filtrage des commandes applicatives (HTTP, FTP, DNS, etc.) ; Authentification Authentification des utilisateurs, permettant permettant ainsi de filtrer les sessions par utilisateur et non plus sur la base des adresses IP sources. • Chiffrement Chiffrement et intégrité des données •

à l'aide du protocole IP sec ;

Décontamination Décontamination anti-virus, le plus souvent so uvent en liaison avec un serveur dédié

à cette tâche ; • Filtrage des URL, soit directement, soit en liaison avec un • Filtrage des composants actifs

serveur dédié ;

(ActiveX, applet Java, Java scripts, etc.).

Il appartient à l'étude d'architecture d'architecture de déterminer si toutes ces fonctions doivent être ou non remplies par un seul équipement et à quel endroit du réseau. VI.4 Architecture

L'éditeur Watchguard a mis à jour Fireware 10 et Edge 10, les deux systèmes d'exploitation de sa gamme de boîtiers UTM (Unified Threat Management, ou gestion unifiée des menaces). Ces OS, qui équipent désormais les boîtiers Firebox X Peak, Core, et Edge, disposent d'une fonction de réseau privé virtuel (RPV) SSL. Ils prennent également en charge les liaisons RPV pour terminaux Windows Mobile, ainsi que les connexions SIP et H.323. Fireware 10 prend en compte les jetons d'authentification forte de Vasco. Watchguard Firebox X Core offre une sécurité en intégrant un pare- feu avec inspection de la couche applicative et de filtrage des URL. Watchguard System Manager (WSM) est l’interface utilisate ur graphique.

46


2007 -2008

Figure8 : Schéma architectural d’authentification

Le module de filtrage IP, qui réside au niveau du noyau Unix, est intercalé entre le driver de la carte et les couches IP. Tous les paquets entrants et sortants passent obligatoirement par le module de filtrage IP et, en fonction du protocole, sont ensuite transmis au relais applicatif correspondant. La partie rélayage applicatif de watchguard est constituée de plusieurs relais (démon Unix ou service NT), un par type d'application à relayer (Telnet, SMTP, etc.) dérivés des sources du kit TIS (Trusted Information Systems) et de Netscape Proxy Server pour le relais HTTP. Les relais sont lancés dans un environnement restreint (chroot) et sans les privilèges superviseur (root) ils ne reçoivent jamais les flux directement. directement. VI.4.1 Fonctionnement

Tous les flux pour un service particulier (Telnet, SMTP, etc..) sont obligatoirement traités par le relais applicatif correspondant. Si un relais

47


2007 -2008

s'arrête de fonctionner (arrêt manuel, disque plein ou bug), le module de filtrage IP bloque le service associé. Le module de filtrage IP offre toutes les caractéristiques présentées par la technologie stateful inspection : • II garde une trace de toutes les sessions (TCP, UDP, RPC, etc.). • II génère dynamiquement les règles de filtrage. • II analyse a u niveau applicatif (FTP, RPC, etc.). • II gère la fragmentation IP.

Les règles sont définies dans une base appelée ACL (Accès Control List). Pour chacune d'entre elles, on définit d éfinit l'action à entreprendre (accepter, rejeter, rejeter, authentifier). Le niveau d'information à enregistrer pour les événements (normal, détaillé, bug) et la manière de remonter une alerte (trap SNMP, email, pager ou déclenchement d'un script personnalisé). Les règles peuvent être activées pendant des périodes données (heure, Jour de la semaine). Les protections contre le spoofing , les attaques par inondation syn , les ping of death, of death, etc., sont activées au niveau du module de filtrage IP, entre le driver réseau et la couche IP. La configuration des interfaces est particulière. Trois types d'interfaces d 'interfaces sont prédéfinis à la base : interne, externe et DMZ (DeMilitarized Zone). Lorsque le firewall est configuré avec plus de trois interfaces, l'administrateur doit définir des domaines de sécurité basés sur les réseaux IP puis affecter les interfaces à un domaine. La définition des règles est ensuite réalisée à partir de ces domaines. VI.4.2 Les protocoles relayés

Les applications relayées sont HTTP, FTP, SMTP et Telnet. Chaque relais gère le contrôle de flux, le filtrage des commandes (HTTP. FTP, SMTP), l’authentification, l'enregistrement des événements

et la connexion

vers la machine cible,

48


2007 -2008

Deux processus SMTP séparés fonctionnent, un pour les connexions avec Internet et l'autre pour les connexions internes. Le relais SMTP empêche toute connexion directe à partir d'un client Telnet sur port 25. 25 . Les autres protocoles peuvent être traités par un relais générique fonctionnant sur le mode relais de circuit : la demande de connexion est interceptée pour authentifier la session, puis la connexion est autorisée vers le serveur cible. Les flux sont ensuite relayés sans contrôle particulier, autre que celui réalisé par le module de filtrage IP. Le relais HTTP offre les fonctions suivantes : • gestion des changements de mots de passe utilisateur depuis un

navigateur ; • Filtrage des URL ; • Filtrage des applets Java et des scripts Java.

Les composants ActiveX peuvent également également être filtrés. VI.4.3 Cas des protocoles non relayés

Tous les protocoles, qu'ils soient relayés ou non, sont traités par p ar le module de filtrage IP sur le mode stateful inspection. Les protocoles non relayés sont donc traités au niveau du noyau. Les paquets peuvent être filtrés en fonction du protocole (UDP, TCP, ICMP), des adresses sources et destinations, du port (UDP ou TCP) ou sur le champ « option » situé dans l'en-tête du paquet IP. Ainsi, les contre- mesures à mettre en œuvre ne sont pas uniquement des solutions d’ordre matérielles matérielles (techniques)

mais également l'ensemble des

données et des ressources logicielles de l'entreprise permettant de les stocker ou de les faire circuler. En d’autre terme, toutes ces recommandations,

préconisations ci- dessus ne dispensent pas, bien au contraire, contraire, de faire une étude sécuritaire de contrôle d’accès logique.

49


2007 -2008

VI.4.4 Authentification <<

L'authentification est gérée individuellement par chaque relais applicatif et globalement par le module de filtrage IP. Les niveaux de fonctionnalités fonctionnalités sont so nt cependant différents. Tous les protocoles peuvent être authentifiés par le module de filtrage IP via la carte à puce CP8 de Bull. Cette solution nécessite un lecteur de carte sur le poste de l'utilisateur et un serveur CP8LAN. L'authentification est transparente pour l'utilisateur : le firewall intercepte une demande de connexion et demande l'autorisation au serveur CP8LAN qui interroge la carte de l'utilisateur. Dans le cas d'une réponse positive, le firewall permet permet aux paquets de passer. Si la carte CP8 est retirée de son lecteur, le serveur CP8LAN la détecte et en informe le firewall qui ferme toutes les sessions de l'utilisateur en question. Les communications entre les clients, le firewall et le serveur CP8LAN sont chiffrées via DES. Le proxy FTP et Telnet supportent, en plus, les authentifications via S/Key, SecurID, les mots de passe Unix classiques et également ISM/Access Master. En revanche, le relais HTTP supporte uniquement le mode classique (mot de passe non chiffré) et la variante chiffrée via SSL. Deux procédures de connexion sont proposées p roposées aux utilisateurs :

- Mode non transparent : l'utilisateur se connecte d'abord sur le firewall pour s'authentifier, puis ouvre une session sur la machine cible et, éventuellement, s'authentifie s'authentifie à nouveau nouv eau ; - Mode transparent : l'utilisateur se connecte directement sur la machine cible, mais cette demande est interceptée par le firewall, qui demande une authentification préalable. La session est alors relayée normalement par le relais.

50


2007 -2008

VI.5 : Définition d'une architecture à contrôle de flux

Un firewall seul ne permet pas d'interconnecter des réseaux de manière sûre, II ne suffit pas d'installer un firewall et de programmer quelques règles de filtrage. Cette approche nous procure plus un sentiment de sécurité qu'une réelle sécurité. Il convient plutôt de déterminer une architecture globale dont le firewall n'est qu'un des composants. Les principes de base devant présider à la politique de filtrage sont les suivants : • Les filtres sont positionnés sur • Tout ce qui n'est pas

les firewalls.

expressément expressément permis est interdit.

• Toute demande de connexion depuis Internet est interdite. • Les paquets TCP entrants doivent

tous avoir le bit ACK positionné à «

1 » et le bit SYN à « 0 » (réponse à un paquet issu de l'extérieur). En outre, plus le réseau de notre l'entreprise est grand, plus il peut être nécessaire de le partitionner et d'appliquer le concept de défense en profondeur. Ce principe consiste à définir plusieurs niveaux de protection de manière à ce que si le premier est pénétré (le firewall Internet, par exemple), les autres protègent des zones plus sensibles. Les dégâts causés par un pirate, un virus ou un ver, sont ainsi limités à la zone initiale d'attaque. Ce principe, que nous retenons pour notre réseau, nous amène à définir la notion de domaine do maine de confiance. Une approche macroscopique permet de distinguer globalement deux domaines de confiance : le réseau interne couvrant les sites de notre entreprise et les réseaux externes regroupant les partenaires partenaires (accès distant). La sécurité est abordée du point de vue de notre réseau : ce sont les ressources situées sur notre réseau qu'il faut protéger.

51


2007 -2008

Figure 9 : Schéma représentatif d’architecture globale

La connexion du second second firewall firewall aux autres équipements équipements existants, backbone, backbone, firewall etc…, ne nécessitera pas d’apport supplémentaire. Il va suffit simplement le configurer de sorte à prendre en compte l’existant puis le connecter comme présenté. VI.6 Mécanismes de sécurité supplémentaires

Les protections contre les attaques et le contrôle de flux offerts par le firewall ne suffisant pas à se protéger des domaines de non-confiance, les mécanismes suivants permettent d'ajouter un niveau supplémentaire de sécurité vis-à-vis des réseaux externes tels ceux des partenaires :

- masquage des adresses internes par translation ; - coupure des flux avec des relais applicatifs, de préférence intégrés au firewall ; - interdiction des sessions NetBIOS et RPC, qui ne sont pas maîtrisables maîtrisables par les firewalls ; 52


2007 -2008

- sécurisation des serveurs situés sur les segments dédiés par durcissement du système d'exploitation, restriction des droits d'accès et désactivation désactivation des services système et réseau non utilisés. Le firewall traitera des translations d'adresses pour masquer les adresses internes vis-à-vis des réseaux des partenaires. Cette traduction doit être statique pour les machines cibles auxquelles accèdent les partenaires. Les clients sortants feront quant à eux l'objet d'une translation dynamique N pour 1 (N adresses sources sont s ont translatées en 1adresse source). Quant aux utilisateurs en accès distant, qui doivent néanmoins accéder aux ressources de notre réseau, il est difficile de les orienter vers des ressources partagées. Car les mécanismes de réplication avec les serveurs internes seraient trop co mplexes, voire impossibles à mettre en œuvre. De ce fait, les mécanismes devant renforcer la sécurité doivent avoir trait à la confidentialité confidentialité : • authentification forte permettant permettant de s'assurer de l'identité de l'utilisateur ; • chiffrement des données afin d'assurer la confidentialité face aux réseaux externes traversés (réseau téléphonique, ADSL, etc.) ; • contrôle d'intégrité permettant de s'assurer que les paquets IP (en-tête et données) ne sont pas modifiés.

53


2007 -2008

TROISIEME PARTIE : LA MISE EN ŒUVRE DE LA SOLUTION

TECHNIQUE PROPOSEE <

54


2007 -2008

CHAPITRE VII : LA SOLUTION PROPOSEE

La sécurité informatique, d'une manière générale, consiste à s’assurer que les ressources matérielles ou logicielles d'une organisation sont so nt uniquement utilisées dans le cadre prévu. VII.1 La sécurisation matérielle

Le local technique est le point essentiel du réseau local, sans lequel il ne peut fonctionner correctement. Ils présentent un point de vulnérabilité important dans la mesure où il abrite nombre d’appareils sensibles (hubs, routeurs, etc…) et sur lesquels pèsent des menaces importantes (écoute, piratage, etc…).

Notre local est alimenté en énergie électrique sécurisé et éventuellement équipée d’un groupe électrogène.

Les câblages, courants forts et courants faibles respectent les normes en vigueur. Les tableaux suivants présentent les principales menaces et parades associées.

55


Menace type

conséquences

incendie.

- Indispensabilité des équipements du local. - Destruction des équipements.

Prévision d’un système de détection et protection contre l’incendie avec un retour d’alarme vers un poste permanent. - Vérification périodique de l’efficacité des équipements. - Affichage de con signes de sécurité en cas d’incendie.

- Indisponibilité partielle ou totale du réseau.

- Affichage de consignes de sécurité spécifiques. - Information et formation au moyen de secours du personnel amené à travailler dans le local technique. - Exercices périodiques. Exigence d’ un permis de feu pour tous les travaux par point chauds dans les sites classés ou installations soumis à déclaration. - Prévision d’une alimentation secourue (groupe

Nuisance

parades

-

- Indisponibilité et/ ou destruction partielle ou total des équipements. - Dysfonctionnement des équipements du local.

panne d’électricité

liée

à

et

au

l’environnement

2007 -2008

vieillissement.

électrogène) et stabilisée (onduleur). Nécessité d’un schéma de

câblage.

-

Indisponibilité des équipements.

Prévision d’une étude d’implantation et si celle-ci démontre des perturbations de l’environnement, envisager une

- Dysfonctionnement des équipements dû à la poussière, à la température,

implantation dans un autre site ou des mesures permettant d’adopter des parades (bâtiment anti-sinistre, climatisation, filtre à poussière, recyclage d’air, etc..).

l’hygrométrie et les vibrations.

- Dans ce cas, Prévision de moyen de détection de ces comportements anormaux. -

Nettoyage et entretien sécurisé du local.

56


2007 -2008

- Prévision de matériel de secours avec les éléments nécessaires à la configuration. - Erreurs de manipulation

-


Prévision d’un système de repérage des câbles ainsi qu’un

schéma du câblage. - Prévision de matériel en << roue de secours>>. - Information et formation du personnel. - Mise en place d’un cahier d’intervention. - Prévision de matériel de secours avec les éléments nécessaires de configuration

<

accident d’utilisation lié à l’environnement :

Electricité statique.

- Indisponibilité des équipements. - Destruction des composants des équipements. Indisponibilité partielle ou

- Isolement du sol au moyen revêtement antistatique.

Taux

d’humilité inférieur à 85% et supérieur à 50%.

totale de l’équipement.

Surtension

- Indisponibilité partielle ou totale des équipements. Destruction des composants qui entraine une indisponibilité totale ou partielle des matériels.

- Prévoir une installation électrique, régulée, équilibré qui prend en compte ce type de risque (circuit électrique spécifiques, régulateur de tension, parafoudre, terres normalisées et adaptées au besoin, etc.) Isoler les câbles réseaux des câbles pouvant générer des hautes tensions (foudre, courants forts). 57


2007 -2008

- Prévision de matériel de secours avec les éléments nécessaires à la configuration. - Erreurs de manipulation

-


Prévision d’un système de repérage des câbles ainsi qu’un

schéma du câblage. - Prévision de matériel en << roue de secours>>. - Information et formation du personnel. - Mise en place d’un cahier d’intervention. - Prévision de matériel de secours avec les éléments nécessaires de configuration

<

accident d’utilisation lié à l’environnement :

Electricité statique.

- Indisponibilité des équipements. - Destruction des composants des équipements. Indisponibilité partielle ou

- Isolement du sol au moyen revêtement antistatique.

Taux

d’humilité inférieur à 85% et supérieur à 50%.

totale de l’équipement.

Surtension

- Indisponibilité partielle ou totale des équipements. Destruction des composants qui entraine une indisponibilité totale ou partielle des matériels.

- Prévoir une installation électrique, régulée, équilibré qui prend en compte ce type de risque (circuit électrique spécifiques, régulateur de tension, parafoudre, terres normalisées et adaptées au besoin, etc.) Isoler les câbles réseaux des câbles pouvant générer des hautes tensions (foudre, courants forts). 57


Coupure de courant.

- Perte de données. - dysfonctionnement des matériels. Indisponibilité partielle ou totale (non redémarrage du système des matériels).

2007 -2008

- En fonction des enjeux, prévoir une alimentation régulée et secourue (onduleur, groupe électrogène, un poste permanent).

- Orienter les matériels de façon à ce que personne ne puisse Piratage par écoute

Par utilisation illicite

-

Pertes de confidentialité.

- Altération des informations, détournement, fraude, etc.

observer à partir d’un couloir ou d’une fenêtre par exemple.

- Utiliser des économiseurs d’écrans avec mots de passe. - Sensibiliser les utilisateurs - Consignes écrites d’utilisation des équipements informatiques, peines encourues dans les règlements intérieurs. - Protéger l’accès aux données/matérielles par de s mots de passe. - Prévoir un contrôle d’accès physique au local. - Sensibiliser les utilisateurs. -

Intrusion

- détérioration physique des équipements et/ou du local. - Déconnection, débranchement ou inversion de câble. - Pose de sonde d’écoute. - Dysfonctionnement des équipements et/ou du réseau. - Vol de matériel.

Prévision d’un accès sécurisé (clé, badge, etc…) avec au besoin

un enregistrement des accès et une remonté automatique

-

d’alarme vers un poste p ermanente. Prévision d’un système de repérage des câbles ainsi qu’un

schéma du câblage. - Identification des équipements au moyen de plaques inviolables, de système de tatouage, de plombage, etc. - Détection d’ouverture (portes, fenêtres, etc.) - Eviter, si possible, l’utilisation du local technique partagé dans les immeubles intelligents.

58


- Perte de données. - dysfonctionnement des matériels. Indisponibilité partielle ou totale (non redémarrage du système des matériels).

Coupure de courant.

2007 -2008

- En fonction des enjeux, prévoir une alimentation régulée et secourue (onduleur, groupe électrogène, un poste permanent).

- Orienter les matériels de façon à ce que personne ne puisse -

Piratage par écoute

Par utilisation illicite

Pertes de confidentialité.

- Altération des informations, détournement, fraude, etc.

observer à partir d’un couloir ou d’une fenêtre par exemple.

- Utiliser des économiseurs d’écrans avec mots de passe. - Sensibiliser les utilisateurs - Consignes écrites d’utilisation des équipements informatiques, peines encourues dans les règlements intérieurs. - Protéger l’accès aux données/matérielles par de s mots de passe. - Prévoir un contrôle d’accès physique au local. - Sensibiliser les utilisateurs. -

Intrusion

- détérioration physique des équipements et/ou du local. - Déconnection, débranchement ou inversion de câble. - Pose de sonde d’écoute. - Dysfonctionnement des équipements et/ou du réseau. - Vol de matériel.

Prévision d’un accès sécurisé (clé, badge, etc…) avec au besoin

un enregistrement des accès et une remonté automatique

-

d’alarme vers un poste p ermanente. Prévision d’un système de repérage des câbles ainsi qu’un

schéma du câblage. - Identification des équipements au moyen de plaques inviolables, de système de tatouage, de plombage, etc. - Détection d’ouverture (portes, fenêtres, etc.) - Eviter, si possible, l’utilisation du local technique partagé dans les immeubles intelligents.

58


- Vol. - Vol de portable.

- Indisponibilité partielle ou totale des - équipements. - Atteinte à la confidentialité. - Perte d’information / matériel

2007 -2008

- Prévoir un système de protection (chiffrement, carte à microprocesseur). - Prévoir un dispositif antivol (marquage, tatouage, câble, etc.) - Assurer une gestion de parc (suivi, inventaire, etc.) - Prévoir une gestion des sauvegardes. - Prévoir un contrôle d’accès aux bâtiments - Prévoir un ensemble de règles et de procédures procédures concernant le bon usage d’un portable (rangement, (rangement, responsabilisation responsabilisation pour emport à l’extérieur de l’entreprise, connexion

- Destruction massive - Indisponibilité. - Perte d’intégrité / confidentialité

sécurisé des

accès distants, etc.) - Introduire dans la politique de protection contre les virus une procédure de validation des disquettes et autre supports. - Verrouiller les lecteurs de support externes voire les - supprimer.

Tableau 4 : éléments terminaux

Hormis ces éléments terminaux qui composent le local technique, nous avons aussi les liaisons qu’il faut sécuriser. Elles servent à véhiculer les éléments actifs du réseau contenus soit dans le réseau local technique, soit dans le poste de travail de l’utilisateur (exemple :

carte modem). modem). Elles peuvent aussi être être des éléments internes (câbles, (câbles, fibre optiques, ondes, ondes, laser,

infrarouge, etc.) présent dans tous les locaux de l’entreprise l’entreprise qui les rend facile d’accès et donc à sécuriser. Voici présen té

tableau ci- dessous : 59

le


- Vol. - Vol de portable.

- Indisponibilité partielle ou totale des - équipements. - Atteinte à la confidentialité. - Perte d’information / matériel

2007 -2008

- Prévoir un système de protection (chiffrement, carte à microprocesseur). - Prévoir un dispositif antivol (marquage, tatouage, câble, etc.) - Assurer une gestion de parc (suivi, inventaire, etc.) - Prévoir une gestion des sauvegardes. - Prévoir un contrôle d’accès aux bâtiments - Prévoir un ensemble de règles et de procédures procédures concernant le bon usage d’un portable (rangement, (rangement, responsabilisation responsabilisation pour emport à l’extérieur de l’entreprise, connexion

- Destruction massive - Indisponibilité. - Perte d’intégrité / confidentialité

sécurisé des

accès distants, etc.) - Introduire dans la politique de protection contre les virus une procédure de validation des disquettes et autre supports. - Verrouiller les lecteurs de support externes voire les - supprimer.

Tableau 4 : éléments terminaux

Hormis ces éléments terminaux qui composent le local technique, nous avons aussi les liaisons qu’il faut sécuriser. Elles servent à véhiculer les éléments actifs du réseau contenus soit dans le réseau local technique, soit dans le poste de travail de l’utilisateur (exemple :

carte modem). modem). Elles peuvent aussi être être des éléments internes (câbles, (câbles, fibre optiques, ondes, ondes, laser,

infrarouge, etc.) présent dans tous les locaux de l’entreprise l’entreprise qui les rend facile d’accès et donc à sécuriser. Voici présen té

tableau ci- dessous : 59


MENACE TYPE

coupure accidentelle ou volontaire de câbles (sabotage).

CONSEQUENCES

- Isolement de tout ou partie du réseau local.

- Ecoute, récupération, modification Branchement des << pirates >>

perturbation des liaisons

2007 -2008

d’informations.

- brouillage du signal. - Modification / perte d’information

PARADES

- Réduction des risques du blocage du réseau par une architecture sécurisée en boucle et une redondance de la technologie. - Protection des chemins de câbles (capot, scellement, mise sous pression, etc.). - Plan de câblage à jour. - Repérage des câbles. - Contrôles périodiques des des câbles. - Utilisation d’outils d’analyse des câbles - Protection des chemins de câbles. - Utilisation de la fibre optique. - vérification visuelle et physique des chemins de câbles du réseau. - surveillance des caractéristiques de la liaison. - Surveillance des flux. - Chiffrement des informations sensibles - matériel répondant aux normes précisées dans la directive Européenne 89 /336 / CEE - Passage du câble sous gaines dans les endroits “à risques“.

Erreur de manipulation (déconnexion accidentelle).

- dysfonctionnement. - Isolement de tout ou partie du réseau local.

-

plan de câble à jour. Repérage des câbles. Formation du personnel de maintenance. Contrôle des interventions des sous traitants.

60

le


MENACE TYPE

coupure accidentelle ou volontaire de câbles (sabotage).

CONSEQUENCES

- Isolement de tout ou partie du réseau local.

- Ecoute, récupération, modification Branchement des << pirates >>

perturbation des liaisons

2007 -2008

d’informations.

- brouillage du signal. - Modification / perte d’information

PARADES

- Réduction des risques du blocage du réseau par une architecture sécurisée en boucle et une redondance de la technologie. - Protection des chemins de câbles (capot, scellement, mise sous pression, etc.). - Plan de câblage à jour. - Repérage des câbles. - Contrôles périodiques des des câbles. - Utilisation d’outils d’analyse des câbles - Protection des chemins de câbles. - Utilisation de la fibre optique. - vérification visuelle et physique des chemins de câbles du réseau. - surveillance des caractéristiques de la liaison. - Surveillance des flux. - Chiffrement des informations sensibles - matériel répondant aux normes précisées dans la directive Européenne 89 /336 / CEE - Passage du câble sous gaines dans les endroits “à risques“.

Erreur de manipulation (déconnexion accidentelle).

- dysfonctionnement. - Isolement de tout ou partie du réseau local.

-

plan de câble à jour. Repérage des câbles. Formation du personnel de maintenance. Contrôle des interventions des sous traitants.

60


Incendie et propagation

- Propagation du feu. Inefficacité du pare-feu (en

d’incendie.

par gaz. Le chemin de câbles est une voie privilégiée de la propagation des incendies.

2007 -2008

- bouchage des trous par manchon coupe feu. - Surveillance et contrôle des travaux de câblage

particulier dans le cas d’un système d’extinction

Tableau5 : Liaisons

61


Incendie et propagation

- Propagation du feu. Inefficacité du pare-feu (en

d’incendie.

par gaz. Le chemin de câbles est une voie privilégiée de la propagation des incendies.

2007 -2008

- bouchage des trous par manchon coupe feu. - Surveillance et contrôle des travaux de câblage

particulier dans le cas d’un système d’extinction

Tableau5 : Liaisons

61


2007 -2008

VII.2 Sécurisation logicielle

Ni gratuité, ni interopérabilité : les fournisseurs d’accès à Internet ne font l’objet d’aucune obligation de moyens quant au logiciel de sécurisation qu’ils

doivent fournir à leurs abonnés. Au vu de cette réalité, la sécurité logicielle et ses vulnérabilités sont devenu une préoccupation majeure, et les entreprises font de leur mieux pour déjouer les risques que peuvent introduire des politiques de sécurité logicielle inadaptées. Certes, la nature de ces risques est désormais mieux comprise, mais les approches qui assurent une protection efficace efficace du parc applicatif restent restent encore mal connues. Ainsi donc, face à l’évolution des mesures de protection des réseaux, les intrus ont réorienté leur effort pour s’attaquer directement aux logiciels et macros

logiciels. Sur ce, nous pensons que, quant à notre réseau hybride il convient donc de


2007 -2008

VII.2 Sécurisation logicielle

Ni gratuité, ni interopérabilité : les fournisseurs d’accès à Internet ne font l’objet d’aucune obligation de moyens quant au logiciel de sécurisation qu’ils

doivent fournir à leurs abonnés. Au vu de cette réalité, la sécurité logicielle et ses vulnérabilités sont devenu une préoccupation majeure, et les entreprises font de leur mieux pour déjouer les risques que peuvent introduire des politiques de sécurité logicielle inadaptées. Certes, la nature de ces risques est désormais mieux comprise, mais les approches qui assurent une protection efficace efficace du parc applicatif restent restent encore mal connues. Ainsi donc, face à l’évolution des mesures de protection des réseaux, les intrus ont réorienté leur effort pour s’attaquer directement aux logiciels et macros

logiciels. Sur ce, nous pensons que, quant à notre réseau hybride il convient donc de mentionner de façon détaillé les aspects sécuritaires du sans fil wifi en particulier puis en générale le réseau dans son entièreté. entièreté. VII.2.1 Modifier et cacher le nom par défaut du réseau

Un réseau Wifi porte toujours un nom d'identification afin que les ordinateurs puissent le détecter et se connecter dessus. Ce nom, SSID (Service Set IDentifier) est défini par défaut. Ainsi donc, il convient de le modifier, afin de le cacher aux éventuels pirates pour les empêcher d’identifier facilement notre réseau.

Le SSID est une information importante pour se connecter au réseau sans fil. Le point d'accès diffuse continuellement cette information pour permettre aux ordinateurs de le détecter. Le SSID n'est pas une fonction de sécurisation mais permet de rendre "caché" son point d'accès à la vue de tout le monde. Il va suffire configurer le réseau avec les ordinateurs, et activer la fonction "cacher le SSID",

62


2007 -2008

présente dans le point d'accès, afin de rendre ce dernier "invisible" au monde extérieur. VII.2.2 Configurer manuellement manuellement les adresses IP

La plupart des points d'accès actuels disposent du protocole DHCP (Dynamic Host Configuration Protocol). Il s'agit d'un protocole qui permet à un ordinateur qui se connecte sur un réseau d'obtenir dynamiquement sa configuration réseau (adresse IP, etc.). Il va falloir le désactiver afin d’éviter qu'un pirate trouve facilement facilement les identifiants identifiants du réseau. VII.2.3 Choisir un mot mot de passe d'accès au point d'accès

L'administration du point d'accès se fait par l'intermédiaire de pages Web accessibles par n'importe quel ordinateur connecté connecté par câble. Il suffit de saisir une adresse IP (fournie par le constructeur) dans le navigateur Web et le mot de passe par défaut (fourni par le constructeur) pour accéder à l'administration. A ce stade, toute personne pouvant accéder au réseau, peut faire les changements ou modifier d'autres paramètres du point d'accès. Il faut donc un nouveau le mot de passe qui répondra au principe de mots de passe p asse forts. VII.2.4 Filtrer les équipements par adressage MAC MAC

Une adresse MAC (Media Access Control) permet d'identifier matériellement un ordinateur grâce à son adaptateur réseau. Cette adresse est unique et définie par le fabriquant de l'adaptateur. Chaque point d'accès offre la possibilité d'utiliser le filtrage MAC. L'adaptateur qui n'a pas son adresse MAC dans la liste autorisée ne sera pas autorisé à se connecter sur le réseau. Notons tout de même que le filtrage d'adresses MAC est contournable. On aura donc pour remédier aux problèmes de sécurité de notre réseau général tenir compte de tous ces éléments cités plus haut et ce qui suit.

63


2007 -2008

VII.3 Services IP et matrice de flux

Chacune des ressources est accessible par un protocole et un numéro de port UDP ou TCP bien identifiés, qui vont servir de base au filtrage à appliquer sur le firewall. La matrice de flux ci-dessous présente les sens de connexion, ce qui n'interdit pas les échanges dans les deux sens. Ainsi, les connexions ne peuvent initiées qu'à partir d'un réseau situé dans un domaine de confiance supérieur à un autre (exception faite à nos utilisateurs distants), et aucune connexion ne peut être initiée depuis internet. TABLEAU 6 : matrice de flux

Vers De Réseau MEN

Réseau MEN

Réseau Groupe

Réseau Réseau Partenaires Accès distant

Segment Partenaires

HTTP,FTP

HTTP,FTP

DNS …

Réseau Partenaires Réseaux Accès distant

…

Telnet, Http,

HTTP,SQL,DNS NetBIOS

…

SQL,DNS, NetBIOS

Segment Groupe Case vide = aucun service accessible.

(1)

Pour la population des exploitants

uniquement. La mise en place de relais ne se justifie pas sur un réseau interne, car d'une part nous exerçons un contrôle sur les acteurs avec qui nous sommes en relation (nos utilisateurs, les partenaires), et d'autre part la diversité et la complexité des 64


2007 -2008

protocoles à filtrer ne permettent pas aux relais de fournir un niveau de sécurité supplémentaire. Le raisonnement vis-à-vis d'Internet serait, en revanche, différent, puisque nous aurions affaire à un réseau public, donc par définition non maîtrisé, et parce que le nombre de protocoles, nécessairement restreints, (HTTP, SMTP, etc.) seraient, de plus, facilement facilement filtrables par des relais. VII.4 Matrice de filtrage

La matrice de flux permet d'élaborer la matrice de filtrage, c'est-à-dire les règles à implémenter sur le firewall. Celle-ci doit être construite sur le principe p rincipe de l'ouverture de flux minimale : dans la mesure du possible, les flux doivent être ouverts entre couples d'adresses plutôt qu'entre couples de subnets. Ainsi : • Les

flux impliquant un serveur doivent être ouverts sur la base de l'adresse

du serveur. • Les flux impliquant des utilisateurs authentifiés doivent être ouverts sur la

base des noms des utilisateurs (qui seront associés à une adresse lorsqu'ils seront authentifiés). • Les

flux impliquant des utilisateurs non authentifiés doivent être ouverts sur

la base de leur subnet. Il est envisageable d'appliquer une politique de filtrage plus restrictive vis-à-vis des partenair p artenaires es et de filtrer par couple d'adresses. Une fois établie, la matrice doit pouvoir être directement transposée dans les règles de filtrage du firewall. CHAPITRE VIII : ADMINISTRATION DES FIREWALLS VIII.1 Administration

L'administration L'administration du firewall peut être réalisée de différentes manières : • à partir d'une interface graphique X/Windows ; • à partir d'un navigateur Web via HTTP ; 65


2007 -2008

à partir du DOS Si la station est déportée, les sessions avec Watchguard sont authentifiées via DES et l'intégrité des données est contrôlée par une signature DES. Les paquets en eux-mêmes ne sont pas chiffrés. Les accès au firewall peuvent être contrôlés via les mécanismes propres à ISM/Access Master. Les statistiques affichées en temps réel comprennent le nombre de paquets traités et rejetés ainsi que les ressources système utilisées. L'administrateur peut, à travers l'interface graphique, modifier des paramètres système tels que la taille des caches, les files d'attente et les tampons utilisés pour pou r la fragmentation. VIII.2 Remarques sur l'administration des firewalls

Il faut souligner que, dans tous les cas de figure, la sécurité réclame une administration continue. Une équipe d'exploitation doit être formée spécifiquement spécifiquement aux techniques liées à la sécurisation des réseaux IP et au firewall lui-même. Les tâches sont notamment les suivantes : • positionnement des règles de filtrage ; • analyse de toutes les règles de filtrage (une règle peut en effet mettre en

défaut toutes les autres) ; • gestion des autorisations d'accès ; • analyse et purge des logs.

VIII.3 Log et audit

L'audit de sécurité s'entend tout d'abord comme une évaluation des procédures mises en place pour assurer la sécurité du système. Il va être effectué effectué à l'aide d'outils informatiques permettant de détecter les failles du système en générant automatiquement automatiquement des tentatives de pénétration selon diverses méthodes préprogrammées préprogrammées et reprenant reprenant en général les techniques utilisées par les hackers.

66


2007 -2008

Comme pour les autres fonctionnalités, les événements sont générés à deux niveaux : relais applicatifs et module de filtrage IP. Ils sont enregistrés dans deux types de fichiers : audit et alertes. Le module de filtrage IP enregistre dans le fichier d'audit les adresses IP source et destination, les ports, l'en-tête du paquet (mode détaillé), le contenu du paquet (mode trace) et la date de l'interception. Le fichier des alertes contient les adresses IP source et destination, les ports, les protocoles et la date de l'événement. Les relais enregistrent des informations propres à leur application (FTP, Telnet, HTPP, etc.) : heure de début et durée de la session, nombre d'octets d 'octets échangés, adresses source et destination, nom de l'utilisateur et informations sur les sessions d’authentification. authentification. En mode trace, le contenu du paquet est également

enregistré. Les alertes peuvent être déclenchées à partir d'un événement simple (rejet d'un paquet, refus d'authentification) ou sur des conditions spécifiques fondées sur le nombre d'occurrences d'un événement ou sa fréquence (nombre d'occurrences d'occurrences de l'événement l'événement pendant une période donnée). VIII.4 Mécanismes de protection

La fragmentation des paquets est gérée de la manière suivante : lorsqu’un fragment arrive et qu'il n'est pas le premier d'une série, il est mémorisé jusqu'à la réception du premier fragment qui contient toutes les informations. Cette approche est à double tranchant : elle offre plus de sécurité puisque tous les fragments sont lus avant le traitement complet du paquet, mais elle est potentiellement potentiellement vulnérable aux attaques de type teardrop , puisqu’il faut allouer de la mémoire pour stocker les fragments. VIII.5 Intégrité

Le module de filtrage IP bloque par défaut tout te trafic et contrôle l'activité des autres processus. Si l'un d'eux d 'eux s'arrête, le module de filtrage IP bloque le trafic 67


2007 -2008

correspondant. Les fonctionnalités liées à la TCB (Trusted Computing Base) peuvent être étendues à watchguard et vérifier l'intégrité des fichiers (checksum sur le contenu, date de modification, propriétaire). CHAPITRE IX: CHIFFREMENT DES DONNEES

Le firewall est compatible avec les VPN (Virtual Privat Network) IP sec. Pour des débits supérieurs à quelques Mbit/s, mieux vaut utiliser un boîtier dédié appelé SecureWarc. IX.1 Les algorithmes de chiffrement <

Il existe trois catégories catégories d'algorithmes de chiffrement chiffrement : les algorithmes à clé secrète, dits symétriques : l'émetteur doit partager une clé secrète avec chacun des destinataires ; les algorithmes à clé publique, dits asymétriques : deux clés (une privée et une publique) peuvent chiffrer et déchiffrer un message ; Les algorithmes à clé secrète non réversibles. Les algorithmes symétriques nécessitent qu'émetteur et destinataire se soient, préalablement à tout échange, mis d'accord sur un mot de passe connu d'eux seuls. Chaque émetteur doit donc gérer autant de clés qu'il a de correspondants. Data Encryption Les algorithmes de ce type les plus répandus sont DES ( Data Standard),

une version améliorée appelée triple DES, RC4, RC5, RC6, IDEA

(Internaltional

Data Encryption Algorithm)

et

AES (Advanced Encryption

System), le successeur désigné de DES. Le principe des des algorithmes asymétriques asymétriques est le suivant : • La clé publique de B est diffusée auprès de tous ses correspondants. • Une personne A, désirant envoyer un message à B, chiffre

le message avec

la clé publique de B. 68


2007 -2008

• B est le seul à pouvoir déchiffrer le message avec sa clé privée.

Il est à noter que qu e les clés sont commutatives : • II est possible de chiffrer avec la clé publique et de déchiffrer avec la clé

privée. • Il est possible de chiffrer avec la clé privée et de déchiffrer avec la clé

publique. Cette propriété est utilisée pour la signature numérique (voir plus loin). L'avantage d'un algorithme asymétrique est qu'un destinataire B n'a besoin que d'une clé pour tous ses correspondants. Avec un algorithme symétrique, il faut en effet une clé secrète à partager avec chaque correspondant (à moins qu'on accepte l'idée que chaque correspondant puisse déchiffrer les communications entre B et quiconque partageant la même clé). Les algorithmes à clé publique les plus en pointe actuellement sont RSA (Rivesf . Shamir et Adleman) , , et ECC (Elliptic (Curve Cryptosystem). Les algorithmes non réversibles consistent à transformer un message en un mot de 128 bits ou plus. L'algorithme de hachage utilisé doit être à collision presque nulle, c'est-à-dire que la probabilité que deux messages différents produisent le même mot de 128 bits, doit être la plus faible possible. Les algorithmes de ce type les plus répandus sont MD5 (Message Digest-RFC 1319 et 1321) et SHA (Secure Hash Algorithm). Algorithm). Tableau 7 : algorithme de chiffrement

Algorithme

Norme propriété

ou

ECC

Libre

Asymétrique

RSA

Propriété RSA

Asymétrique

Type

Longueur de la clé 128 bits

40, 56,128 ou 1024 bits

69


2007 -2008

IDEA

Propriété MediaCrypt

Symétrique

128bits

CAST

RFC 2144

Symétrique

128 ou 256 bits

et 2612 AES

FIPS197

Symétrique

128, 256 bits ou plus

DES

FIPS 42-2

Symétrique

40 ou 56 bits

Triple DES

FIPS 42-3

Symétrique

3 fois 40 bits

RC4

Propriété RSA

Non réversible

40 bits

RC5

Propriété RSA

Non réversible

40, 56 ou 1024 bits

SHA

FIPS 180-1

Non réversible

160 bits

FIPS= Fédéral Information Processing Standard : normes Édictées par le NIST. IX.2 Efficacité des algorithmes de chiffrement

La performance d'un algorithme à clé (secrète ou publique) se caractérise caractérise par son inviolabilité qui repose sur deux facteurs : •

Un problème mathématique, réputé insoluble (un « hard problem »),

souvent basé sur la factorisation des grands nombres premiers en utilisant des modules dans des groupes générateurs Zp ; • La longueur de la clé : 40, 56, 128

et 1024 étant des valeurs courantes. courantes.

Le tableau suivant présente le temps mis pour trouver une clé DES. Il est extrait d'un rapport rédigé en 1996 par sept spécialistes parmi lesquels Rivest (de 70


2007 -2008

RSA), Diffie (de Diffie-Hellinan) et Wiener (auteur d'une méthode permettant de casser l'algorithme DES). BUDGET

MATERIEL

EN $

UTILISE

TEMPS MIS POUR TROUVER LA CLE DES 40 BITS

56 BITS

Presque rien

Ordinateurs

1 semaine

infaisable

400$

Ship programmable

5 heures

38 ans

10000$

Ship ou ASIC

12 minutes

556 jours

300000$

ASIC

18 secondes

3 heures

10M$

ASIC

0.005 secondes

6 minutes

Tableau 8 : Calcul de clé

Depuis, les choses ont bien évolué : un étudiant de l'École polytechnique a réussi à casser la clé 40 bits de l'algorithme RC4 en 3 jours, rien qu'en utilisant les temps CPU libres de super-calcu s uper-calculateurs. lateurs. Le record est détenu par des étudiante de l'université de Berkeley qui, en février 1997, ont cassé la clé en 3 heures 30 à l'aide de 250 stations de travail en réseau. La société RSA, qui commercialise l'algorithme du même nom, a organisé un concours dont le but était de casser la clé 56 bits de l'algorithme DES, épreuve remportée par un consultant indépendant. L'infaisabilité de la propriété mathématique utilisée par l'algorithme est également un critère important : par exemple, ECC à 128 bits est aussi sûr que RSA à 1024 bits, et RSA à 40 bits est aussi sûr que DES à 56 bits.

71


2007 -2008

Tout organisme privé ou public peut investir dans la production d'un ASIC spécialisé. La hauteur de son investissement dépend simplement du gain qu'il peut en tirer, d'où l'intérêt de bien évaluer la valeur commerciale de l'information à protéger. En conclusion, les clés à 40 bits sont aujourd'hui considérées comme non sûres et l'algorithme DES comme obsolète. IX.3 Les protocoles de sécurité

L'intégration des algorithmes à des produits commerciaux est rendue possible grâce aux protocoles de sécurité. Ceux-ci comprennent, au minimum, le chiffrement, chiffrement, mais peuvent p euvent également prendre en compte l'intégrité des données, la signature, ou encore la gestion des certificats. Protocoles IPSec SSL (Secure Socket Layer)

Origine / Norme RFC 2401 à 2405 Netscape RFC 2246 et 3546

PGP (Pretty Good Privacy)

S-HTTP (Secure HTTP)

RFC1991

Enterprise Intégration Technologies

Algorithmes utilisés DES, Tripe DES, MD5 Authentification et chiffrement RC4 40 ou 128 bits Signature MD5, SHA Chiffrement IDEA, CAST et RSA jusqu'à 2048 bits RC4 40 ou 128 bits Certificat X.509

S/Mime (Secure Multi Purpose Mail Extensions)

Draft IETF conforme à PKCS

DES ou RC2 40 bits et RSA 40 bits

PGP/Mine

RFC 2015

Idem PGP appliqué a Mime

PEM (Privacy Enhanced Mail)

RFC 1421 et 1424

PKCS RSA (Public Key Cryptography Standards)

RSA

Intégrité Authentification Chiffrement Chiffrement DES et RSA Signature MD5 et RSA Échange de dé DiffleHellman

Tableau 9 : protocole sécurité <

72


2007 -2008

Ces protocoles définissent les échanges, le format des données, les interfaces de programmation et l'intégration dans un produit. Par exemple, SSL (Secure Socket Layer) et SHTTP sont destinés aux navigateurs Web alors que S/Mime et PGP/mime s'intègrent à la messagerie Internet. L'intégration de ces algorithmes algorithmes est décrite par le standard s tandard PKCS sous la forme de profils décrits dans le tableau suivant : <

(a) Profil PKCS # Standard

1

3

5

6

7 10

8

9

Autre standard liés

Syntaxe indépendante des algorithmes Signature numérique des messages

X

Enveloppe numérique des messages

X

X

Demande de certificat

X X

Certificats

X.509, RFC 1422

Certificats étendus X

X

Liste de certificats révoqués Chiffrement par clé privée

X

X

73


2007 -2008

Échange de clés Syntaxe dépendant des algorithmes RSA à clé publique

X

RSA à clé privée

X

Algorithmes Message digest : MD2, MD5

RFC 1319, 1321

Chiffrement à clé privée DES

RFC 1423

Chiffrement à clé publique RSA

X

Signature: MD2, MD4. MD5 w/RSA Chiffrement des mots de passe Échange de clés Diffie-Hellman

X

X X Tableau 10 : standard PKCS

Ainsi, S/MIME repose sur les standards PKCS #1, #3, #7 et et #10. De même, le GIE Master-card/Visa utilise PKCS #7 comme base des spécifications SET (Secure Electronic Transaction). Les algorithmes retenus sont RSA 1024 bits pour la signature et l'enveloppe, DES 56 bits pour le chiffrement (uniquement pour des faibles montants) et Triple DES. IX.4 Les protocoles d'échange de clé

Le problème des algorithmes symétriques réside en la diffusion préalable de la clé entre les deux parties désirant échanger des messages : le destinataire doit 74


2007 -2008

connaître la clé utilisée par l'émetteur, la clé devant demeurer secrète. Le moyen le plus simple est l'échange direct ou via un support autre qu'informatique. Outre les problèmes de confidentialité, des problèmes pratiques peuvent survenir, surtout s'il faut changer souvent de clé. Afin d'éviter cela, d'autres algorithmes ont été développés. Il s'agit de :

- Diffie-IIellman ; - SKIP de SUN ; - PSKMP (Photuris Secret Key Management Protocol); - ECSVAP1 et ECSVAP2 (Elliptic Curve Shared Value Agreement Protocol); - ISAKMP (Internet Security Association and Key Management Protocol), Oakley et Skeme; - IKE (Internet Key Exchange) utilisé par IP Sec. L'algorithme de Diffe-Haillan Diffe-Haillan est le plus connu. Son principe est le suivant : Soit un générateur g du groupe g roupe Zp où p est un grand nombre premier. A choisit une clé a, calcule ga et l'envoie à B. A choisit une clé b, calcule gb et l'envoie à A. A calcule (g b) a et b calcule (g a) b. On obtient la clé secrète (g b) a = (ga) b. Les valeurs a et b ne sont connues que de A et de B respectivement et ne circulent pas sur le réseau. Même si l’échange est intercepté, il sera très difficile

de calculer (g a) b à partir de g b ou de ga. L'avantage est que cette opération peut se répéter automatiquement et plusieurs fois au cours d’un échange, de manière à changer de clé avant qu'elle qu 'elle ne soit éventuellement cassée Les autres algorithmes sont moins répandus, soit parce qu'ils sont moins efficaces (exemple de SKIP), soit parce qu'ils sont encore trop complexes à mettre en œuvre ou encore parce que trop récents, ce qui est le cas de ECSVAP1.

75


2007 -2008

CHAPITRE X : LA GESTION DES CERTIFICATS X.1 la gestion des certificats

Les algorithmes symétriques posent le problème de l'échange préalable préalable des clés secrètes. Les algorithmes asymétriques n'ont pas ce type de problème, car la clé publique est connue de tous. Cela soulève cependant un autre point : est-on certain que la clé publique est bien celle de la personne à qui l'on veut envoyer un message ? Les clés publiques sont, en effet, hébergées sur des serveurs, qui sont donc susceptibles d'être piratés. Pour contourner l'obstacle, le destinataire peut communiquer sa clé publique à qui la demande, mais on retombe dans les difficultés liées à la diffusion des clés symétriques. L'autre solution consiste à certifier la clé auprès d'une autorité au-dessus de tout soupçon, appelée CA (Certificate Authority) . L'émetteur A désirant envoyer un message à B demande au serveur de certificats de confirmer que la clé publique dont il dispose, est bien celle de B: • A demande un certificat pour la clé publique de B. • Le CA utilise sa

clé privée pour signer la clé publique de B : cette signature

constitue le certificat. • A vérifie la signature avec la clé publique du CA.

Mais comment être certain que la clé publique du CA est bien la sienne ? Le problème subsiste en effet. On peut alors désigner une autorité qui certifierait les CA, un gouvernement ou un organisme indépendant, par exemple. Aux EtatsUnis, le CA habilités à émettre des certificats sont VeriSign, Entrust, R.SA. En France, la DCSSI (Direction centrale de la sécurité des systèmes d'information) a habilité des sociétés telles que CertPlus, CertEurope ou Certinomis ainsi que des filiales spécialisées créées par des banques françaises. Le standard en matière de certificats est X.509 de l'ISO repris dans le RFC 1422. Il est utilisé par les navigateurs Web via SSL, les annuaires LDAP (Lightweight Directory Access 76


2007 -2008

Protocol) ou encore par le SET (Secure Electronic Transaction) Transaction) pour p our le paiement électronique. Les serveurs qui gèrent, distribuent et valident les certificats sont appelés PKI (Public Key Infrastructure). X.2 La signature numérique

La signature numérique permet de prouver que l'émetteur du message est bien celui qu'il prétend être. Une fonction de hachage est opérée sur le message, et la valeur obtenue (le digest) est chiffrée avec la clé privée de l'émetteur. Tous les destinataires peuvent vérifier que l'émetteur est bien celui qu'il prétend être en déchiffrant la valeur de hachage avec la clé publique de l'émetteur et en la comparant avec la valeur calculée sur le message reçu, à l'aide de la même fonction de hachage. Émetteur A

Destinataire B

1. Applique MD5 au message et obtient 4. Décrypte £ avec clé publique de A et la signature § obtient § 2. Chiffre § avec sa clé privée et obtient £

5. Applique MD5 au message déchiffré et obtient X

3. Envoie £ et le message chiffré

6. si X= §, alors le message est bien issu de A

Tableau11 : Fonction de hachage

Pour ce type d'algorithme, on trouve : DSA (Digital Signature Algorithm) qui repose sur le standard DSS (Digital Signature Standard) du NIST (National Institute of Standard of Standard and Technologies) et utilise une clé privée à 1024 bits et un algorithme basé sur le log de Zp analogue à Diffie-Hellman. 77


2007 -2008

• ECDSA (Elliptic Curve de DSA) qui est analogue à DSA mais se base sur un

algorithme ECC • Rabin Digital Signature qui repose sur la

racine carrée des nombres modulo

Zn où n est le produit de 2 grands nombres premiers : la racine carrée carrée de Zn est difficile à trouver (la racine carrée de X modulo Zn est très difficile à trouver quand on ne connaît pas n). <

X.3 L'enveloppe numérique

L'enveloppe numérique est une technique de plus en plus utilisée. On la trouve dans PGP, Mime, PEM (Privacy Enhanced Mail). Le principe est le suivant : Le message est chiffré à l'aide d'un algorithme à clé secrète tel IDEA ou CAST, La clé secrète est à son tour chiffrée à l'aide d'un algorithme à clé publique tel RSA. Les destinataires déchiffrent déchiffrent la clé secrète à l'aide de leur clé privée. La clé secrète ainsi déchiffrée est utilisée pour déchiffrer le message. Par exemple, PGP peut utiliser IDEA 128 bits pour chiffrer le message et RSA, 1024 bits pour chiffrer la clé IDEA. Les algorithmes à clé publique sont plus puissants que les algorithmes à clé symétrique ; ils sont, de ce fait, plus lents et soumis à de plus grandes restrictions d'utilisation et d'exportation. L'intérêt de la technique de l'enveloppe est qu'elle permet de protéger la clé de chiffrement avec un algorithme réputé inviolable, et d'utiliser un algorithme moins puissant mais plus rapide pour chiffrer le message. X.4 Le chiffrement des données

Les VPN IPsec (Virtual Private Network IP Security), consistent à créer un tunnel IP chiffré entre un PC isolé et un site (mode Client to-LAN ou entre deux sites (mode LAN-to- LAN), Le terme de VPN est donc (un peu) usurpé, car le réseau privé virtuel ne repose pas sur un partitionnement partitionnement logique du réseau d'un 78


2007 -2008

opérateur, mais sur le chiffrement des données. Il est d'ailleurs possible d'utiliser IP sec au-dessus d'un VPN de niveau 2 ou de niveau 3 et de toute liaison WAN ou LAN en général. La notion de VPN appliquée à IP sec ne vient qu'avec le chiffrement chiffrement des données ; il est donc possible de créer un réseau privé au-dessus d'Internet, qui est un réseau public résultant de la concaténation concaténation de réseaux opérateur. D'une manière générale, le chiffrement permet de renforcer la sécurité pour les données sensibles circulant dans un domaine de non-confiance. Si le niveau de sécurité l'exige, il peut s'appliquer : • aux accès distants qui empruntent le réseau téléphonique d'un boitier VPN

(mode pc-to-Lan) ;

Serveur d’accès

VPN IPsec

distants

RTC

Segment Accès distants

Chiffrement /déchiffrement opérés Par le boîtier et le logiciel sur le PC

Boîtier VPN

Firewall

• ou entre deux sites interconnectés par un réseau opérateur, que ce soit une LS,

un VPN de d e niveau 2 ou 3 ou encore Internet (mode LAN-to-LAN).

79


2007 -2008

VPN IPsec

Chiffrement / déchiffrement Opérés par les boîtiers Boîtier VPN

Site du MEN

Boîtier VPN Les PC et Serveurs n’ont pas à se préoccuper du chiffrement

Site du sous-traitant

• et, éventuellement , entre deux PC ou serveurs de notre réseau, qu'il soit de

type LAN, MAN, WAN ou WLAN. La fonction VPN peut être intégrée ou non dans le firewall. CHAPITRE XI: L’AUTHENTIFICATION

L'authentification apporte une protection supplémentaire par rapport à la connexion par mot de passe classique, car celui-ci, même s'il est chiffré, circule entre le client et le serveur. Intercepté et déchiffré, il peut donc être réutilisé par un éventuel pirate. De plus, comme il ne change pas d'une session à l'autre, la session interceptée peut être rejouée sans avoir besoin de déchiffrer le mot de passe. L'authentification L'authentification consiste donc à s'assurer que l'émetteur est bien celui qu'il prétend être.

80


2007 -2008

Ce type de protection peut aussi bien s'appliquer à des utilisateurs qu'à des protocoles réseau tels qu'OSPF, afin de s'assurer que seuls les routeurs dûment identifiés soient habilités à échanger des informations de routage. XI.1 Les mécanismes d'authentification

La connexion d'un utilisateur sur un ordinateur implique la saisie d'un nom de compte et d'un mot de passe. Deux mécanismes de pr otection sont mis en œuvre à cette occasion : chiffrement du mot de passe à l'aide d'un algorithme quelconque ; • Le chiffrement • La génération d'un mot de passe différent à chaque tentative de

connexion. Le premier mécanisme utilise les algorithmes classiques symétriques et asymétriques. Le deuxième mécanisme, appelé “ One Time Password“, peut être réalisé de deux manières :

- Par défi/réponse (challenge/ response) ; Les mots de passe à usage us age unique (one time password ou OTP en anglais) sont un système d'authentification forte basés sur le principe de challenge/réponse. Le concept est simple : Utiliser un mot de passe pour une et une seule session. De plus, le mot de passe n'est plus choisi par l'utilisateur mais généré automatiquement par une méthode de précalculé (c'est à dire que l'on précalcule un certain nombre de mot de passe qui seront utilisés ultérieurement). Cela supprime les contraintes de : - Longévité du mot de passe. Le mot de passe est utilisé une seule fois - Simplicité du mot de passe. Le mot de passe est calculé par l'ordinateur et non pas choisi par un utilisateur - Attaque par dictionnaire ou par force brute : Pourquoi essayer de cracker un mot de passe obsolète ?

81


2007 -2008

- Sniffer et chiffrement du mot de passe : Le mot de passe à usage unique peut être envoyé en clair sur le réseau : Lorsqu'un sniffer en détecte un, il est déjà trop tard, car il est utilisé, u tilisé, et non réexpoitable ; - Par mot de passe variant dans le temps à l'aide de calculettes appelées Token cards. Il existe beaucoup de produits qui utilisent des variantes. Parmi les plus représentatifs, représentatifs, on trouve : - CHAP (Challenge Handshake Authenfication Protocol - RFC 1994), mécanisme logiciel ; - S/Key (RFC 1938), mécanisme logiciel ; - Secure ID (Security Dynamics), calculette ; - ActivCard (société française), calculette, clé USB ou logiciel ; - Access Master de Bull, carte à puce CP8. Le protocole CHAP (Challenge Hancdshake Authentification Protocol) est utilisé en conjonction avec PPP pour les accès distants. C'est un mécanisme d'authentification d'authentification qui offre o ffre un premier niveau de sécurité : aléatoire. - Le serveur envoie un challenge aléatoire. - Le client répond avec un hachage MD5 opère sur la combinaison d'un identifiant de session, d'un secret et d'un challenge. Le secret est un mot de d e passe connu du logiciel client client et du serveur. s erveur. L'authentification L'authentification de CHAP repose donc d onc sur une clé secrète et un algorithme de hachage. Le mot de passe ne circule pas sur le réseau mais doit être codé en dur sur le logiciel client et le serveur. s erveur. Sur un serveur Radius, ce mot de passe peut même être inscrit en clair dans la base de données. Le mécanisme mécanisme S/Key S/Key de Bellcore repose également également sur l'algorithme l'algorithme de hachage MD5 appliqué à une liste de mots de passe valables pour une seule tentative de connexion : 82


2007 -2008

- La liste des clés est générée à partir d'une clé initiale : la clé N s'obtient en appliquant MD5 à la clé N-l et ainsi de suite, - Le serveur qui connaît la clé N+l demande la clé N (codée à partir de la clé initiale). - Soit l'utilisateur possède la liste des clés codées, soit il utilise un programme qui la génère à la demande à partir de la clé initiale. - Le serveur applique MD5 à n et le résultat est comparé avec la clé N+l. - Le serveur enregistre la clé n et demandera la prochaine fois la clé N-l. régénérer une nouvelle liste. - Arrivé à la clé 1, il faudra régénérer Le problème de S/Key est la gestion de cette liste. De plus, il est relativement facile de se faire passer pour le serveur (technique du spoofing : voir Annexe 3) : l'utilisateur. - Le vrai serveur demande ta clé N à l'utilisateur. - Le faux serveur détourne la communication et demande la clé N-10 à l'utilisateur. - L’utilisateur consulte sa liste (ou génère la clé) et renvoie la réponse au faux serveur. - Disposant de la clé N-10, il suffit alors d'appliquer MD5 à N-10 pour obtenir la clé N- 9, et ainsi de suite. - II suffit alors de lancer MD5 de 2 à 10 fois sur cette clé pour obtenir les réponses pour les clés N-l à N-10 que le vrai serveur demandera aux prochaines demandes de connexion. La calculette SecureID repose cette fois sur un microprocesseur qui génère un mot de passe temporel toutes les 60 secondes. Celui-ci dérive de l'horloge et d'une clé secrète partagée par la carte et le serveur : - L’utilisateur saisit son PIN (Personnal Identification Number) sur sa carte. La carte génère un mot de passe en fonction du temps et de la clé secrète (seed) contenue dans la carte. - L'utilisateur envoie au serveur le mot de passe affiché par la carte. 83


2007 -2008

- Le serveur génère en principe le même mot de passe et compare la réponse avec son propre calcul. Le serveur doit cependant tenir compte du décalage de son horloge avec celle de la carte. XI.2 Fonctionnement d'une calculette d'authentification

La clé 3DES utilisée par la calculette ActivCard est une combinaison de plusieurs clés : •

Une clé secrète « organisation », commune à plusieurs utilisateurs ;

•

Une clé secrète « ressource » propre à une application, à une machine sur

laquelle on veut se connecter, à une utilisation particulière particulière de la calculette ; •

Une clé « utilisateur » qui est le nom de l'utilisateur, le nom d'un compte,

ou un identifiant quelconque propre au propriétaire de la calculette. La clé ressource désigne une machine cible sur laquelle on veut se connecter ou toute autre application (par exemple, « Accès distants »). Dix ressources sont ainsi programmables sur la calculette, ce qui veut dire que l'on peut utiliser la carte pour se connecter à dix machines différentes. Pour la version logicielle, ce nombre est illimité. La calculette génère des clés sur la base d'informations prédéfinies (les trois clés précédemment citées, l'identifiant de l'utilisateur et le numéro de série de la calculette), et sur la base d'une information variable qui est un compteur. Les informations statiques sont stockées dans la calculette et dans la base de données du serveur. À chaque connexion, le compteur du serveur d'authentification s'incrémente de N. De même, à chaque fois que l'utilisateur appuie sur la touche de fonction ressource, la calculette incrémente son compteur interne de N. Les deux compteurs, ceux de la calculette et du serveur, doivent être synchronisés. Si l'utilisateur appuie trop de fois sur la touche de fonction par inadvertance, les 84


2007 -2008

deux compteurs peuvent être désynchronisés, ce qui empêche l'utilisateur de s'authentifier. Dès qu'il reçoit le mot de passe, le serveur procède au même calcul et compare les résultats. S'ils sont identiques, il renvoie une autorisation. Afin de prendre en compte les éventuels écarts avec le compteur de la calculette, il procède à ce calcul avec les N/2 prochaines valeurs de son compteur et avec les N/2 précédentes. précédentes. Ce principe de fonctionnement est le même que celui utilisé par les commandes d'ouverture à distance des portes de voiture. XI.3 Les serveurs d'authentification

Pour sécuriser la connexion à un ordinateur, il existe, on vient de le voir, une multitude de techniques et de produits différents. Ces produits ne sont pas disponibles sur toutes les plates-formes, plates-formes, car le travail travail d'intégration d'intégration important. Afin de pallier à cette difficulté, il est possible d'ajouter une couche supplémentaire en intercalant un serveur entre le client et la machine cible. Les éditeurs de systèmes d'authentification n'ont alors plus qu'à développer une seule interface avec le serveur de sécurité, et les machines cibles n'ont qu'à qu' à supporter un seul protocole d'authentification d'authentification avec le serveur d'authentification. d'authentification. Il existe trois grands standards sur le marché.

PRODUIT

PROTOCOLES ET PRODUITS SUPPORTES

Radius (RFC 2138 et 2139)

SecurelD, CHAP (qui utilise MD5)

Tacacs (RFC 1492) et Tacacs+

SecurelD, CHAP, MD5

Keberos (RFC 1510)

DES

Tableau12 : Serveurs d’authentification 85


2007 -2008

Radius est le plus utilisé. Kerberos a été le premier standard en la matière, mais mais sa mise en œuvre trop complexe a freiné son utilisation. Le support de Kerberos

par Windows 2000 pourrait annoncer cependant la résurgence de ce standard qui n'a jamais réellement percé. Tacacs Tacacs est plus simple mais présente trop de lacunes. Tacacs+ a été développé par Cisco mais n'est pas réellement réellement un standard. XI.4 Exemple d'authentification forte pour les accès distants

Les accès des utilisateurs depuis l'extérieur de l'entreprise, qu'ils soient nomades ou sédentaires, sont particulièrement dangereux, car ce type de besoin nécessite l'accès aux ressources de l'entreprise depuis un domaine de nonconfiance. En plus du contrôle de flux réalisé par un firewall, il est nécessaire d'authentifier les utilisateurs, un peu à la manière d'une banque avec les cartes à puce. Une première amélioration a été apportée par le système d'authentification CHAP lors de la connexion PPP entre le client et le serveur d'accès distants. Ce mécanisme ne suffit cependant pas, car il repose sur le partage d'un secret entre l'utilisateur et le serveur. Il est préférable d'utiliser un mécanisme d'authentification d'authentification « fort » fondé sur des calculettes. Chaque calculette appartient à son détenteur, et tout comme une carte bancaire, son utilisation peut être associée à la saisie d'un code personnel. Ce type de système repose sur un serveur Radius et, au choix, de calculettes hardwares et logicielles logicielles installées sur les postes de travail. Ce serveur est situé sur le réseau interne ou sur un segment dédié, et dialogue avec le firewall ou le serveur d'accès distants installé sur un autre segment dédié . Il est également

utilisé comme comme station d'administration d'administration permettant permettant de configurer configurer et d'activer les calculettes.

86


2007 -2008

PC client

Serveur d’accès

distants

1

Authentification CHAP (mot de pas du client) Firewall

Segment accès distants

2

Serveur d’authentification

Authentification par calculette

Radius

Réseau interne

La solution mise en œuvre est indépendante

du serveur d'accès distants et du

mécanisme d'authentification. d'authentification. Il y a en fait deux niveaux d'authentification d'authentification : 1. Au niveau PPP, entre le PC client et le serveur d'accès distants (via CHAP), permettant d'avoir accès au service réseau. Cette étape est transparente pour l'utilisateur à partir du moment où le mot de passe est stocké dans le poste de travail client. 2. Au niveau du firewall, entre le PC client et le serveur d'authentification (à l'aide des calculettes), permettant d'accéder à notre réseau intranet. Cette étape nécessite que l'utilisateur saisisse le mot de passe affiché sur la calculette. calculette. La procédure de connexion qui en résulte est la suivante : • Lors de la connexion, le PC envoie le mot de passe au serveur d'accès distants

via le protocole CHAP, on utilise le même mécanisme pour nous connecter à Internet avec notre modem RTC ou ADSL. • Le firewall intercepte le premier paquet issu du

PC. Il demande alors le nom

de l'utilisateur, Celui-ci le saisit. • Le firewall demande ensuite le mot de

passe. L'utilisateur doit alors saisir son

code d'identification sur la calculette ou sur son PC, s'il s'agit d'une clé USB ou d'une carte à puce connectée au PC via un lecteur. 87


2007 -2008

• La calculette affiche alors un code constitué de chiffres et de lettres, qu e

l'utilisateur saisit tel quel comme mot de passe. S'il s'agit d'une clé USB ou d'une carte à puce, l'utilisateur n'a rien à faire. • Le firewall transmet les informations (nom

de l'utilisateur et mot de passe) au

serveur d'authentification d'authentification via le protocole Radius. • Le serveur d'authentification

vérifie les informations par rapport à sa base de

données et donne ou non l'autorisation au firewall (toujours via Radius). Le mot de passe a été transmis du PC client au serveur d'authentification. Mais cela n'est pas grave puisqu'il n'est pas rejouable : celui qui l'intercepterait ne pourrait pas le réutiliser, car il n'est valable qu'une fois. L'intérêt d'opérer l'authentification l'authentification au niveau du firewall plutôt qu'au niveau du serveur d'accès distants est multiple : • L'authentification permet de créer des règles

de filtrage par nom utilisateur,

indépendamment indépendamment de leurs adresses IP. • Le firewall enregistre dans son journal toutes les sessions des utilisateurs

identifiés par leur nom. • La politique de sécurité est

implémentée et exploitée en un point unique, à

partir de la console d'administration d'administration du firewall. firewall. Avec ce principe, le serveur d'accès distants gère les connexions et les modems RTC ou ADSL, tandis que le firewall implémente la politique de sécurité de notre entreprise. La gestion des calculettes calculettes (configuration, génération génération des codes secrets, etc.) est réalisée à partir d'une station d'administration, qui héberge également le serveur d'authentification d'authentification Radius. Voici ainsi présenté en détail les différents étapes de réalisation de la sécurisé notre réseau.

88


2007 -2008

CHAPITRE XII : MISE EN ŒUVRE Il s’agit ici de l’ajout du deuxième firewall au réseau existant. Conformément à la solution proposée pour la mise en œuvre, on va avoir

besoin d’Active Directory puis des éléments cités plus haut. Pour arriver au but de notre projet, nous commençons par la sécurisation de tout le matériel existant ensuite, à sa sécurisation sécurisation logicielle. XII.1 Sécurisation matérielle

Nous avons voulu en premier lieu mettre l’accent sur la nécessité qu’il ya à préserver les équipements physiques. Dans notre cas ici, nous utiliserons quelques exemples cités cités des tableaux, tableaux, car nous signalons qu’une partie de notre travail a déjà été élaboré par nos prédécesseurs qui dès le départ ont eu pour souci la sécurité de ces équipements. C’est pourquoi, n ous

garderons toujours en ligne ces mêmes précautions

adoptées pour en ajouter que quelques uns que nous jugeons aussi capitale. capitale. Compte tenu de ce que nous avons devoir de maintenir la sécurité sécurité de notre réseau à un niveau élevé, nous avons prévu un système de détection et de protection contre l’incendie avec un retour d’alarme vers un poste permanent (voir Annexe5) afin d’évité l’indisponibilité partielle ou totale du réseau. Pour la l’environnement

et

d’implémentation et

au

vieillissement,

nous

avons

nuisance liée à

prévu

une

étude

en cas de perturbation de celle-ci de l’environnement nous

envisageons une implémentation implémentation dans un autre site. Ceci Ceci pourra freiner le dysfonctionnement des équipements dû à la poussière, à la température, l’hygrométrie et les vibrations. Notons qu’il nous a suffit d’apporter

ces deux

solutions vu que tout le reste se trouvant dans les tableaux est correctement respecté (suivi). 89


2007 -2008

XI.2 Sécurisation logicielle XI.2.1 Installation du firewall

Pour l’ajout du second firewall à notre système d’ information, il nous a fallu implémenter un ordinateur de type server avec un système d’exploitation

Windows server 2003 ou supérieur. Ce qui suppose que notre ordinateur aura les caractéristiques caractéristiques suivantes : Capacité minimale d’une barrette : 4 Go Capacité minimale de disque dur : 2x500 Go Type de processeur : 1 x Core 2 DUO 2.53GHz Dans notre cas, nous avons un système d’exploit ation

Windows server2008

avec les caractéristiques suivantes : RAM: 4Go (installer) / 4Go (maximum) DDR3 SDRAM- 1066Mhz-PC38500 Disque dug: 1To / 7200 tr /min Processeur: 1 x Intel Core 2 DUO 2.53 GHz (à deux noyaux) Nos données sont largement suffisantes pour la mise en œuvre du firewall. Notons dorénavant que, Si tel n’était pas le cas, nous aurons eu besoin d’augmenter la barrette.

Ceci étant, nous avons procédé à l’installation proprement dite du système d’exploitation, Watchguard System Manager (WSM)

et en activer le

spamblocker, le webblocker. Puis avions ensuite, paramétré de sorte à ce que le premier firewall soit pris en compte. Enfin, pour la sécurité du système LiveSecurity. d’information, nous avons installé l’anti -virus LiveSecurity. Voici l’étape d’installation du logiciel watchguard watchguard System Manager (WSM) :

90


2007 -2008

XI.2.2 Installation d’Active Directory

Nous précisons que les détails d’installation ne s eront pas abordés ici ; vu que notre travail en lui- même ne porte pas exclusivement sur la mise en œuvre d’Active Directory (AD). Conçu afin d’organiser les ressources informatiques de l’entreprise, Active

Directory a pour objectif de permettre la gestion des comptes, des ordinateur o rdinateurs, s, des ressources et de la sécurité de façon centralisée, dans le cadre d’un domaine.

La

création du domaine va permettre de faciliter l’administration du réseau, sa supervision, une meilleure exploitation des ressources et des données, mais aussi la maintenance à distance. En d’autre terme, avec Active Directory, nous avons une

gestion

centralisée

des

ressources

de

notre

entreprise.

Nous allons essentiellement nous attacher à la sécurité liée à l’AD dans notre réseau. En effet, les différents outils présents sur le contrôleur de domaine vont nous permettre de pouvoir administrer de nombreux paramètres concernant les informations d’authentification, les droits d’accès, et la sécurité. Ce qu’il faut

comprendre par la sécurité de façon centralisée , c’est le faite qu’avec l’AD, nous 91


2007 -2008

avons une prise de contrôle à distance des postes clients qui permet d’avoir accès à toutes les ressources de ces postes. Contrairement à ce qu'on pourrait croire, nous avons une u ne meilleure garantie de la sécurité interne. Cette solution complète complète a été ajoutée eu égard à sa gratuité gratuité et les nombreuses nombreuses solutions qu’elle propose. L’AD est administrable via une interface web ou encore à travers les fichiers de configuration de l’application. Il se présente

sous

cette forme :

On peut trouver deux jeux de paramètres paramètres différents : - La configuration Ordinateur contient l’ensemble des paramètr p aramètres es relatifs à la machine. - La configuration Utilisateur contient l’ensemble des paramètres relatifs à l’utilisateur.

92


2007 -2008

Configuration Ordinateur Paramètres Windows Scripts Démarrage (STARTUP) Arrêter le système (SHUTDOWN) Configuration Utilisateur Paramètres Windows Scripts Ouverture Ouverture de session (LOGON) Fermeture Fermeture de session (LOGOFF) XI.3 RECOMMANDATION

> Il est utile de former les agents du MEN car ils n'ont pas conscience que certaines attitudes habituelles de leur part peuvent être au détriment de la qualité de notre réseau. D'où la nécessité de la sensibilisation. Voici les points sur lesquels il faudra insister : - Scanner les disques amovibles avant de les ouvrir. Car même si l'antivirus n'arrive pas à détruire le virus, il arrive parfois qu'il détecte et avertit d'une possible infection virale ; Il faut éviter l’accès à la salle serveur au risque d’endommager les

équipements

qui sont sensible au toucher ; >Il serait bon d’utiliser le second firewall au réseau interne vu tout ce qu’il

renferme comme atouts. Sachant Sachant que le Men Men se v erra désormais s’ouvrir à d’autre réseau tel qu’internet ; par conséquent, ouvert à toutes sortes d’agression.

>Il est aussi bon de pendant le

recrutement recrutement des employés chargés

d’administrer le système et sa sécurité d’exiger une procédure, en plus du s upport

technique qui sera élaboré. >Il est souhaitable qu’en plus de Active Directory, de disposer d’autre logiciel

tel qu’un proxy pour assurer assu rer la maintenance à distance. 93


2007 -2008

>Il serait bon de choisir un anti-virus client-serveur pour la fluidité, l’efficacité du système de protection antiviral. >Il serait aussi bon d’utiliser un analyseur de réseaux sans-fil,

compatible

802.11a, b et g, utile au niveau du déploiement et de la maintenance. Qui permettra d'évaluer la sécurité d'un réseau sans-fil (déceler les accès pirates,...), d’analyser la qualité du signal émis, la puissance, le nombre de paquets erronés

ou la quantité de bande passante disponible (informations de la couche 1 et 2 du protocole 802.11). >Il serait souhaitable, d’avoir un serveur d’anti -virus vu l’étendu du réseau afin

de centraliser les mises à jour et gérer les clients anti-virus sur chaque poste. XI.4 EVALUATION

Pour les les caractéristi caractéristiques ques du firewall énoncées plus hauts, nous pouvons quantifier financièrement financièrement ce matériel matériel de la manière suivante : Licence pour 1an :5.499,00$ Licence pour 2ans :6.820,00$ Licence pour 3ans :7.730,00$ Notons que la durée de ces licences détermine le temps d’utilisation gratuit du support en ligne. Au- delà de cette durée de vie la mise à jour s’obtient co ntre rétribution à hauteur de 600$ équivalent à 300.000 FCFA. Coût du firewall en FCFA licences

Montant en($)

Montant en (FCFA)

1an

5.499,00

2.749.500

2ans

6.820,00

3.410.000

3ans

7.730,00

3.865.000

94


2007 -2008

Coût de la main d’œuvre

Étant donné que la main d ’œuvre ne doit jamais dépasser le prix d’achat du matériel, nous aurons : Licence pour 1an La main d’œuvre s’estimera entre [1.000.000

- 1.500.000]

Licence pour 2ans La main d’œuvre s’estimera entre [2.000.000 – 2.500.000]

Licence pour 3ans La main d’œuvre s’estimera entre [2.500.000 – 3.000.000]

Le prix d’achat du câble servant à la connexion du second firewall au backbone puis au premier firewall est quantifiée à deux (2) mètre vu la distance qui les sépare (voir (voir schéma plus haut). P U (FCFA)

Quantité

Montant en (FCFA)

200

2

400

Remarque : Nous n'avons pas mentionné le système d’exploitation car il reste le même.

95


2007 -2008

CONCLUSION Ce stage, nous a permis d'apprécier le travail dans une «société» tournée vers l'informatique. Vers la fin de la présentation de notre travail de session, il conviendrait

d’affirmer que l’essentiel du travail confiné par le cahier des

charges qui nous a été confié est réalisé. En effet, effet, les les études études que nous avons menées nous ont permis de définir tout d’abord une politique de sécurité sécurité

qui est avant tout un gage gage de cohérence cohérence et donc,

d'une réelle protection. Toutefois, ces ces réflexes sécuritaires sécuritaires nous nous ont conduits à l’analyse des vulnérabilités du protocole IP, et ensuite d’attaques, qui nous

aux différents différents types

ont orientés dans notre choix.

Après appréciation de notre analyse, nous avons opté pour le choix d’un

deuxième firewall afin afin de garantir garantir au mieux la libre libre circulation circulation des données sur le réseau. En vu d’assurer pleinement son fonctionnement, le firewall

a besoin

d’autres protocoles tels que : le protocole d’authentification, le chiffrement chiffrement des des

données afin de maintenir à un niveau élevé la sécurité de notre réseau informatique. Cependant, d’autres sont encore en phase d’étude. Par conséquent, il il ne

sera

pas surprenant si l'on se retrouve confronté à certains problèmes d’insécurité que

nous auront pas prévu, vu que la sécurité en elle- même (est relative) n’est jamais totale. Il faudra alors

déployer des utilitaires utilitaires de sécurité (journalisation) (journalisation) qui

seront nécessaires. Mais cela ne change rien à la crédibilité crédibilité des résultats que nous avons fournis. Il faut noter noter tout de même que ce stage nous a été d’un apport considérable, en d’autres termes, nous avons avons touché des domaines domaines assez variés comme les

bases de données, données, le modèle client/serveur client/serveur très enrichissant. enrichissant. Ainsi Ainsi donc, cette cette expérience nous a permis d'avoir une bonne maîtrise d'un grand nombre de

96


2007 -2008

technologies dont nous ignorions certaines vertus. Aussi, nous avons découvert le travail d'entreprise avec toute la pression, la rigueur et l'organisation qu'il exige. Bref, ce stage nous a permis de d e parfaire notre formation formation et a aussi fait office de première expérience professionnelle dans le monde de l'informatique. Cette première expérience expérience s'est bien passée, ce qui est positif pour un bel avenir.

97


2007 -2008

BIBLOGRAPHIE Ouvrages de Jean-Luc MONTAGNIER, solution réseaux, Réseaux d’entreprise par la pratique. Edition EYROLLES, Juillet 2004 pages 470-513. SECURITE INTRANET INTRANET Octobre1998, Commission Réseaux Réseaux et Systèmes ouverts, ouverts, CLUSIF, CLUB DE LA SECURITE DES SYSTEMES D’INFORMATION FRANÇAIS,

30, Rue, Pierre Sémard, 75009 Paris.

Septembre 2000, version 1, Commission Technique de Sécurité Physique, CLUSIF, CLUB DE LA SECURITE PHYSIQUE DES ELEMENTS D’UN RESEAU LOCAL

SECURITE DES SYSTEMES D’INFORMATION FRANÇAIS, 30, Rue, Pierre Sémard,

75009 Paris.

98


2007 -2008

WEBOGRAPHIE Http/ www.mémoire online.com online.com (par Ludovic Blin Université Paris Dauphine DESS DESS 226) (26 / 11 /09 ; 15 :38). Http/www.education.gouv.ci Http/www.education.gouv.ci (14 /01 /10; 14:46). Http/www.memoireonline.com/07/09/2372/m_Amelioration-des-performances-dunreseau-informatique.htm (28 / 01 /10; 14:32) Http /www.memoireonline.com/07/09/2367/m_Gestion-du-spectre-de-frequence-etimplementation-des-reseaux-de-telecommunications-cas-d implementation-des-reseaux -de-telecommunications-cas-dun-res16.html#toc44 un-res16.html#toc44 (10/ 02 / 10; 18:27) file:///C:/Documents%20and%20Settings/Administrateur/Bureau/securiteinformatique-ibm.html (09/02/10 ; 16 :25). http://www.memoireonline.com/09/09/2713/m_Mise-en-place-dun-reseau-Wi-Fiavec-authentification-basee-sur-des-certificats5.html#toc65 avec-authentification-base e-sur-des-certificats5.html#toc65 (09/04/10 ; 17 :52).

99


2007 -2008

GLOSSAIRE Listes des Sigles et Abréviation ACL Accès Control List AES Advanced Encryption Standard

AP Access Point DHCP Dynamic Host Configuration Protocol DNS Domain Name Service EAP Extensibl Authentification Protocol IEEE Institute of Electrical and Electronics Engineers IGRP: IGRP: Interior Gateway Routing IP Internet Protocol MAC Media Access Control OFDM Orthogonal Frequency Division Multiplexing OSPF: Open Shortest Path First OSI Open System Interconnection PPP: point-to-point protocol (protocole point à point) PPP: RIP: Routing Information Protocol (protocole d'information de routage) RIP: RJ45: RJ45: Registered Jack 45 WECA Wireless Ethernet Compatibility Compatibility Alliance

WEP Wired Encryption Protocol Wi-Fi Wireless Fidelity WLAN Wireless Local Area Network

100


2007 -2008

ANNEXES

101

Memoire de fin de cycle

Recommend Documents