Infrastructure So A

download Infrastructure So A

of 49

  • date post

    18-Jul-2015
  • Category

    Documents

  • view

    77
  • download

    0

Embed Size (px)

Transcript of Infrastructure So A

Systme dInformation

Nouvelles Architectures Rseaux Orientes ServicesISMIN 2010

Patrick Girard patrick.girard@corellis.eu / patrick.ipv6@hotmail.frInstructeur Certifi depuis Octobre 2001 Glasgow LTS - CCAI (CCNA: CSCO10362533) Copenhague 2001 CCNP 1 (BSCI) 7/2004; CCNP2 (ISCWN) 10/2009; CCNP 3 (BCMSN) 8/2005 Birmingham UCE Network Security I (NS1) 2/2006 Birmingham UCE Network Security II (NS2) 7/2006 - Glasgow LTS Cisco Airespace Wireless (CAIAM) 3/2006 Nice/Maidenhead/Amsterdam Daclem ACSE OmniSwitch R6 11/2006 - Brest Alcatel University

Patrick GIRARD - Architectures Rseaux pour les SOA

IAAI : Schma gnral

Patrick GIRARD - Architectures Rseaux pour les SOA

1

IAAI : Architecture scurisePrsentation de l'infrastructure Scurit interne et externe Services AAA (NoCat, Web-auth) Services DNS, LDAP, DHCP, NTP, Syslog Service de fichier, SAMBA Services Mail, Webmail, Web, Web scuris Services VPN en mode tunnel (GRE+IPSEC) Services VPN en mode client

Patrick GIRARD - Architectures Rseaux pour les SOA

IAAI : Architecture scuriseLes trois zones : Externe, Interne, DMZ Mise en uvre des services AAA Mise en uvre des services communs Service de Messagerie IMAP Service daccs distant : Extranet, VPN Mise en uvre des services auxiliaires Filtrage daccs et surveillance des connexions Politique antivirale et filtrage de ports (couche 4) Nomadisme, mobilit, intgration des servicesPatrick GIRARD - Architectures Rseaux pour les SOA

2

Scurisation ExterneZone Interne, Externe et DMZ Contrle en voie entrante par ACL, Dyn-ACL Contrle en voie sortante par NAT, PAT Services dAudit Journalisation, alertes de scurit, sondes et outils dvaluation des vulnrabilits

Patrick GIRARD - Architectures Rseaux pour les SOA

Scurisation ExterneZone Interne, Externe et DMZ Contrle en voie entrante par ACL, Dyn-ACL Contrle en voie sortante par NAT, PAT Services dAudit Journalisation, alertes de scurit, sondes et outils dvaluation des vulnrabilits

Patrick GIRARD - Architectures Rseaux pour les SOA

3

Scurisation InterneRappels : Segmentation en VLAN, subnets, routage inter-vlan VLAN Natif, VLAN dadministration, VLAN ferme de serveurs Filtrage interne : access-lists symtriques et asymtriques, filtrage de ports

Patrick GIRARD - Architectures Rseaux pour les SOA

Segmentation en VLANMise en uvre de la scurit LAN

Filtrage de Trames Etiquetage de Trames Limitation des domaines de diffusion Filtrage entre VLANs

Patrick GIRARD - Architectures Rseaux pour les SOA

4

Segmentation en VLANMise en uvre de la scurit LAN

Patrick GIRARD - Architectures Rseaux pour les SOA

Segmentation en VLANTechnologie ad-hoc qui sert interconnecter des commutateurs (backbone) supportant plusieurs VLAN Place un identificateur unique en tte de chaque trame qui entre sur le rseau fdrateur (backbone cblage vertical) Retire cet identificateur de len-tte de trame quand elle entre dans le rseau de distribution (cblage horizontal) Technologie ad-hoc normalise en IEE 802.1 q

Patrick GIRARD - Architectures Rseaux pour les SOA

5

Segmentation en VLANCommutateurs couche 3 Commutateurs 802.1Q Exemple 24 ports Giga Ils possdent un module de routage embarqu Les interfaces de routage (couche 3) sont virtuelles (par exemple 4096 sur 3550) interface vlan 10 ip address 10.10.3.1 255.255.0.0 ip access-group MySecure inLes routes sont en gnral statiques ip route 10.10.0.0 255.255.0.0 vlan 10

Intrt : routage la vitesse du lien (Giga) par ASICsPatrick GIRARD - Architectures Rseaux pour les SOA

Segmentation en VLANConfiguration des commutateurs 802.1Qint range fa0/1 8switchport access vlan 10

int range fa0/9 16switchport access vlan 20

int gi0/1switchport mode trunk

Configuration des commutateurs L3int range fa0/1 8switchport access vlan 10

int range fa0/9 16switchport access vlan 20

int vlan 10ip address 10.10.10.254 255.255.255.0

int vlan 20ip address 10.10.20.254 255.255.255.0Patrick GIRARD - Architectures Rseaux pour les SOA

6

Scurisation InterneRappels : Segmentation en VLAN, subnets, routage inter-vlan VLAN Natif, VLAN dadministration, VLAN ferme de serveurs Filtrage interne : access-lists symtriques et asymtriques, filtrage de ports

Patrick GIRARD - Architectures Rseaux pour les SOA

Gestion des VLANAttaques possibles sur les VLAN

Inondation MAC Double encapsulation Attaques ARP Attaque Spanning-Tree

=> Absolument RIEN sur le VLAN natif (non tagu en gnral VLAN 1) => Mot de passe sur STP => Flood Guard => 802.1X (cf demain)

Patrick GIRARD - Architectures Rseaux pour les SOA

7

Scurisation InterneRappels : Segmentation en VLAN, subnets, routage inter-vlan VLAN Natif, VLAN dadministration, VLAN ferme de serveurs Filtrage interne : access-lists symtriques et asymtriques, filtrage de ports

Patrick GIRARD - Architectures Rseaux pour les SOA

Filtrage interneConfiguration des commutateurs L3int vlan 10ip address 10.10.10.254 255.255.255.0 ip access-group MySecureRule10 in

int vlan 20ip address 10.10.20.254 255.255.255.0 ip access-group MySecureRule20 in

Configuration des routeurs (sous-interfaces)int fa0/0.10encapsulation dot1q 10 ip address 10.10.10.254 255.255.255.0 ip access-group MySecureRule10 in

int fa0/0.20encapsulation dot1q 20 ip address 10.10.20.254 255.255.255.0 ip access-group MySecureRule20 inPatrick GIRARD - Architectures Rseaux pour les SOA

8

FirewallLe pare-feu assure en gnral plusieurs fonctions qui contribuent scuriser le rseau interne pour des attaques issues de lextrieur (environ 20% des problmes)Routeur Passerelle filtrante Translateur dadresses Le pare-feu ne sert rien pour se protger des attaques internesPatrick GIRARD - Architectures Rseaux pour les SOA

Zones : Externe, Interne, DMZUn routeur dlimite trois types de zones (externe, DMZ, interne) Chaque zone est associe un niveau de scurit : exemplenameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 DMZ security10

Chaque paquet circulant dune zone plus scurise vers une zone moins scurise est autoris par dfaut, sauf mention contraire Chaque paquet circulant dune zone moins scurise vers une zone plus scurise est interdit par dfaut, sauf mention contraire Les rponses des connexions dune zone plus scurise vers une zone moins scurise sont acceptes

Patrick GIRARD - Architectures Rseaux pour les SOA

9

Firewall

Le pare-feu est un routeur configur pour ne router que les rseaux pertinentsroute route route route route route outside 0.0.0.0 0.0.0.0 147.94.112.129 1 inside 10.1.0.0 255.255.0.0 10.254.254.2 1 inside 10.10.0.0 255.255.0.0 10.254.254.2 1 inside 10.100.0.0 255.255.0.0 10.254.254.2 1 inside 10.101.0.0 255.255.0.0 10.254.254.2 1 inside 10.102.0.0 255.255.0.0 10.254.254.2 1

Patrick GIRARD - Architectures Rseaux pour les SOA

FirewallLe pare-feu filtre les paquets qui viennent de lextrieur access-list OutsidetoPix permit tcp any host WebSrv eq www access-list OutsidetoPix permit tcp host xx host WebSrv eq ssh access-list OutsidetoPix permit tcp host xx host WebSrv eq ftp acl DmztoPix permit udp host Dns host SyslogSrv eq syslog acl DmztoPix permit udp host PicoLibre host SyslogSrv eq syslog acl DmztoPix permit udp host Web host SyslogSrv eq syslog

de la DMZ InsidetoPix

et de lintrieur.Patrick GIRARD - Architectures Rseaux pour les SOA

10

FirewallLe pare-feu filtre les paquets entrantsaccess-list access-list access-list access-list access-list access-list access-list access-list OutsidetoPix OutsidetoPix OutsidetoPix OutsidetoPix OutsidetoPix OutsidetoPix OutsidetoPix OutsidetoPix permit permit permit permit permit permit permit permit tcp tcp tcp tcp tcp tcp tcp tcp any host WebSrv eq www host xx host WebSrv eq ssh host xx host WebSrv eq ftp any host PicoLibreSrv eq ftp-data any host PicoLibreSrv eq ftp any host PicoLibreSrv eq ssh any host PicoLibreSrv eq www any host PicoLibreSrv eq 8080 ...

Le trafic entrant venant de lextrieur ne peut accder quaux serveurs de la DMZ et uniquement travers les protocoles qui correspondent aux services offerts !Patrick GIRARD - Architectures Rseaux pour les SOA

FirewallLe pare-feu filtre les paquets issus de la DMZaccess-list access-list access-list access-list access-list access-list domain access-list access-list access-list access-list access-list access-list access-list DmztoPix DmztoPix DmztoPix DmztoPix DmztoPix DmztoPix DmztoPix DmztoPix DmztoPix DmztoPix DmztoPix DmztoPix DmztoPix permit udp host Dns host SyslogSrv eq syslog permit udp host Web host SyslogSrv eq syslog permit udp host PicoLibre host SyslogSrv eq syslog deny udp host Dns 10.0.0.0 255.0.0.0 eq domain deny udp host Web 10.0.0.0 255.0.0.0 eq domain deny udp host PicoLibre 10.0.0.0 255.0.0.0 eq permit udp host Dns any eq domain permit udp host Web any eq domain permit udp host PicoLibre any eq domain deny tcp host Web 10.0.0.0 255.0.0.0 eq www deny tcp host PicoLibre 10.0.0.0 255.0.0.0 eq www permit tcp host Web any eq www permit tcp host PicoLibre any eq www

Les serveurs font le boulot pour lextrieur pas pour la zone interne (pas de rebond !).Patrick GIRARD - Architectures Rseaux pour les SOA

11

FirewallNetwork Address Translation - ObjetHistoriquement : Rsoudre le problme du manque dadresses IP disponibles Network Address Translation - Principe Systme qui associe une adresse IP (en gnral prive) du rseau interne une adresse IP (en gnral publique) choisie parmi un pool dadresses disponibles Les machines du rseau interne nont jamais besoin de toutes accder lInternet en mme temps, donc il faut beaucoup moins dadresses publiques que