Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana,...

45
Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP Stanislas Quastana, CISSP Architecte Infrastructure Architecte Infrastructure Microsoft France Microsoft France

Transcript of Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana,...

Page 1: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Protection des ressources de l'entreprise : périmètre,

VPN et réseau local

Protection des ressources de l'entreprise : périmètre,

VPN et réseau local

Stanislas Quastana, CISSPStanislas Quastana, CISSPArchitecte InfrastructureArchitecte InfrastructureMicrosoft FranceMicrosoft France

Page 2: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

AgendaAgenda

IntroductionIntroduction

Protection des ressources grâce au filtrage Protection des ressources grâce au filtrage applicatifapplicatif

Pourquoi le filtrage applicatif est-il nécessaire ?Pourquoi le filtrage applicatif est-il nécessaire ?

Présentation d’ISA Server 2004Présentation d’ISA Server 2004

Protection des accès aux réseauxProtection des accès aux réseauxAccès distants (VPN) avec ISA 2004 et NAPAccès distants (VPN) avec ISA 2004 et NAP

Accès aux réseaux locaux avec NAP (Network Accès aux réseaux locaux avec NAP (Network Access Protection)Access Protection)

SynthèseSynthèse

Ressources utilesRessources utiles

Questions / RéponsesQuestions / Réponses

Page 3: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

IntroductionIntroductionIntroductionIntroduction

Page 4: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Quelques chiffresQuelques chiffres

95% de toutes les failles évitables avec une configuration alternative (CERT 2002)

Environ 70% de toutes les attaques Web se passent au niveau de la couche Application (Gartner Group)

Sur les 10 attaques les plus répandues, 8 sont effectuées au niveau application (Symantec Corp)

De décembre 2003 à décembre 2004, +80% d’augmentation du nombre de vulnérabilités d’application Web découvertes (Symantec Corp)

Page 5: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Top 10 des attaques : 80% Top 10 des attaques : 80% d’attaques au niveau de la d’attaques au niveau de la couche 7couche 7

DCOM RPC

HTTP

SQL Server

SMTP

Top attacks (source : Symantec Corporation)

Page 6: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Développement du marché des PC portables et du nombre de Développement du marché des PC portables et du nombre de systèmes non administrés dans les réseaux l’entreprise systèmes non administrés dans les réseaux l’entreprise

Postes personnels mais connectés sur le réseau de l’entreprisePostes personnels mais connectés sur le réseau de l’entreprise

Postes des intervenants externesPostes des intervenants externes

Points d’accès Wi-fi non déclarésPoints d’accès Wi-fi non déclarés

Ordinateur portables qui ne sont pas à jour (du fait de leur mobilité) au Ordinateur portables qui ne sont pas à jour (du fait de leur mobilité) au niveau de correctifs de sécurité, signature anti-virale…niveau de correctifs de sécurité, signature anti-virale…

Connexion à des réseaux tiers « inconnus » Connexion à des réseaux tiers « inconnus »

(hot spot wifi, clients, partenaires…)(hot spot wifi, clients, partenaires…)

Accès VPN nomadesAccès VPN nomades

Réseaux sans filsRéseaux sans fils

Augmentation des risques avec Augmentation des risques avec le développement de la mobilitéle développement de la mobilité

Page 7: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Attaques au niveau de la Attaques au niveau de la couche applicationcouche application

Attaques au niveau de la Attaques au niveau de la couche applicationcouche application

Usurpation d’identité Site web défiguré Accès non autorisés Modification des données

et journaux Vol d’informations

propriétaire Interruption de service

ImplicationsImplicationsImplicationsImplications

Mise en conformité ISO 17799 Bâle 2 (EU) Data Protection Act (EU) HIPAA (US) Sarbanes Oxley (US)

Litiges Partage de fichiers illicites

Piratage Responsabilités juridiques

des entreprises et des RSSI En France le RSSI a

obligation de moyens

Impact sur les entreprisesImpact sur les entreprises

Page 8: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Défense en profondeurDéfense en profondeur

Données et Ressources

Défenses des applications

Défenses des machines

Défenses du réseau

Défenses du périmètre

L’accès à une couche inférieure nécessite de passer au préalable par les couches supérieures.

Tous les éléments constituant la sécurité de la plateforme sont ainsi répartis au sein de cette approche par couche 

La gestion des accès aux réseaux fait partie des premières couches de protection d’une infrastructure

Les pare-feu sont un élément de protection du périmètre et du réseau

Sécurité physique

Politiques de sécurité

Page 9: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Protection des ressources Protection des ressources grâce au filtrage applicatifgrâce au filtrage applicatifProtection des ressources Protection des ressources grâce au filtrage applicatifgrâce au filtrage applicatif

Page 10: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Application Layer Application Layer ContentContent

????????????????????????????????????????

Un paquet IP vu par un pare-feu Un paquet IP vu par un pare-feu « traditionnel »« traditionnel »

Seul l’entête du paquet est analyséSeul l’entête du paquet est analyséLe contenu au niveau de la couche application est comme une “boite Le contenu au niveau de la couche application est comme une “boite noire”noire”

IP HeaderIP HeaderSource Address,Dest. Address,

TTL, Checksum

TCP HeaderTCP HeaderSequence Number

Source Port,Destination Port,

Checksum

La décision de laisser passer est basée sur les numéros de portsLa décision de laisser passer est basée sur les numéros de portsLe trafic légitime et les attaques applicatives utilisent les mêmes Le trafic légitime et les attaques applicatives utilisent les mêmes ports (ex : 80)ports (ex : 80)

Internet Trafic HTTP attendu

Trafic HTTP non prévu

Attaques

Trafic non-HTTP

Réseau d’entreprise

Page 11: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Le problèmeLe problème

Le filtrage de paquets & le statefull inspection ne sont plus suffisants pour se protéger des attaques actuelles

Les pare-feux traditionnels se focalisent sur le filtrage de Les pare-feux traditionnels se focalisent sur le filtrage de paquets et le statefull inspectionpaquets et le statefull inspection

Aujourd’hui, la plupart des attaques contournent ce type Aujourd’hui, la plupart des attaques contournent ce type de protection. Quelques exemples : de protection. Quelques exemples :

Code RedCode Red & & NimdaNimda sur les serveurs IIS 4 et 5 sur les serveurs IIS 4 et 5

OpenSSL/OpenSSL/SlapperSlapper

BlasterBlaster, , WelchiaWelchia sur le RPC Endpoint Mapper de Windows sur le RPC Endpoint Mapper de Windows

SlammerSlammer sur les serveurs SQL (ou MSDE) sur les serveurs SQL (ou MSDE)

Santy-ASanty-A sur les forums phpBB (Linux et Windows) sur les forums phpBB (Linux et Windows)Le premier ver dans la nature (in the wild) à exploiter une Le premier ver dans la nature (in the wild) à exploiter une vulnérabilité d’une application Webvulnérabilité d’une application Web

Les ports et protocoles ne permettent plus de contrôler Les ports et protocoles ne permettent plus de contrôler ce que font les utilisateursce que font les utilisateurs

Page 12: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Réseau public

Réseau public Vers réseau interne, Vers réseau interne,

DMZ, …DMZ, …Vers réseau interne, Vers réseau interne,

DMZ, …DMZ, …

Pare-feu niveau Pare-feu niveau ApplicationApplication

Pare-feu niveau Pare-feu niveau ApplicationApplication

Pare-feu Pare-feu traditionneltraditionnel

Pare-feu Pare-feu traditionneltraditionnel

Quel pare-feu utiliser ?Quel pare-feu utiliser ?

Les Les pare-feu applicatif sont aujourd’huipare-feu applicatif sont aujourd’hui nécessairesnécessaires pour pour se protéger des attaques évoluées car ils permettent une se protéger des attaques évoluées car ils permettent une analyse approfondie du contenu des paquets réseaux.analyse approfondie du contenu des paquets réseaux.Comprendre ce qu’il y a dans la partie données est désormais un pré requisNéanmoins, le remplacement n’est pas forcément la meilleure solution

Page 13: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Quand pare-feu te bloquera

HTTP tu utiliseras…

Page 14: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Http : le protocole Http : le protocole universel…universel…

… … pour pour outrepasser un pare-feu ou un proxyoutrepasser un pare-feu ou un proxy

Aujourd’hui, de nombreuses applications utilisent Aujourd’hui, de nombreuses applications utilisent HTTP comme méthode HTTP comme méthode d’encapsulation des protocolesd’encapsulation des protocoles propriétaires afin de s’affranchir des propriétaires afin de s’affranchir des ouvertures de ports spécifiques sur les équipements filtrants :ouvertures de ports spécifiques sur les équipements filtrants :

Messageries instantanées :Messageries instantanées :

MSN Messenger, Yahoo MSN Messenger, Yahoo

Messenger, ICQ…Messenger, ICQ…

Logiciels P2P : Kazaa, Emule, Logiciels P2P : Kazaa, Emule,

Bitorrent, Exeem…Bitorrent, Exeem…

Messagerie : Outlook 2003Messagerie : Outlook 2003

(RPC sur HTTP)…(RPC sur HTTP)…

Adware, Spyware : Gator…Adware, Spyware : Gator…

Chevaux de TroieChevaux de Troie

Page 15: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Une fois la session SSL établie, les proxies ou les pare-Une fois la session SSL établie, les proxies ou les pare-feu sont incapables de voir les données échangée. feu sont incapables de voir les données échangée. De nombreuses logiciels utilisent déjà cette solution.De nombreuses logiciels utilisent déjà cette solution.

Exemple : Outlook 2003 (RPC over https)Exemple : Outlook 2003 (RPC over https)

Comment réduire le risque ?Comment réduire le risque ?Limiter les accès https : utilisation de listes blanchesLimiter les accès https : utilisation de listes blanchesBloquer les requêtes dans la phase de négociationBloquer les requêtes dans la phase de négociationDéchiffrer le SSL en sortie au niveau du Déchiffrer le SSL en sortie au niveau du proxy/firewall (Man In The Middle) proxy/firewall (Man In The Middle)

Concept intéressant en terme de sécurité mais pas vraiment Concept intéressant en terme de sécurité mais pas vraiment en terme de confidentialitéen terme de confidentialité

Plus fort que http : https Plus fort que http : https

Page 16: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

►2ème génération de pare-feu de Microsoft►Pare-feu multicouches (3,4 et 7) ►Capacité de filtrage extensible►Proxy applicatif►Nouvelle architecture ►Intégration des fonctionnalités de VPN

ISA Server 2004 en quelques ISA Server 2004 en quelques motsmots

Page 17: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

La vue d’un paquet IP par ISALa vue d’un paquet IP par ISA

Les entêtes du paquet et le contenu sont inspectésLes entêtes du paquet et le contenu sont inspectésSous réserve de la présence d’un filtre applicatif (comme le Sous réserve de la présence d’un filtre applicatif (comme le filtre HTTP)filtre HTTP)

Application Layer ContentApplication Layer Content<html><head><meta http-

quiv="content-type" content="text/html; charset=UTF-8"><title>MSNBC - MSNBC Front Page</title><link rel="stylesheet"

IP HeaderIP Header

Source Address,Dest. Address,

TTL, Checksum

TCP HeaderTCP Header

Sequence NumberSource Port,

Destination Port,Checksum

Les décisions de laisser passer sont basées sur le contenuLes décisions de laisser passer sont basées sur le contenuSeul le trafic légitime et autorisé est traitéSeul le trafic légitime et autorisé est traité

Internet Trafic HTTP Attendu

Trafic HTTP non attendu

Attacks

Trafic non HTTP

Réseau d’entreprise

Page 18: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

PolicyPolicyEngineEngine

NDIS

TCP/IP Stack

Architecture d’ISA Server Architecture d’ISA Server 2004 2004

Firewall EngineFirewall Engine

FirewallFirewall serviceservice

Application Filter API

AppAppFilterFilter

Web Proxy FilterWeb Proxy Filter

Web Filter API (ISAPI)

Webfilter

Webfilter

User Mode

Kernel Mode

SMTPSMTPFilterFilter

RPCRPCFilterFilter

DNSDNSFilterFilter

PolicyStore

Packet layer filtering

1

Protocol layer filtering

2

Application layer filtering

3

Kernel mode data pump:

Performanceoptimization

4

Page 19: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

ISA Server 2004 : un produit ISA Server 2004 : un produit évolutifévolutifFiltrage applicatifFiltrage applicatif

Haute disponibilitéHaute disponibilité

AntivirusAntivirus

Détection d’intrusionDétection d’intrusion

ReportingReporting

Accélérateurs SSLAccélérateurs SSL

Contrôle d’URLsContrôle d’URLs

AuthentificationAuthentification

Plus de partenaires sur :http://www.microsoft.com/isaserver/partners/default.asp

+ d’une trentaine de partenaires !!!

Page 20: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

DMZ_1

Modèle réseau ISA Server 2004Modèle réseau ISA Server 2004

Nombre de réseaux Nombre de réseaux illimitéillimité

Type d’accès Type d’accès NAT/RoutageNAT/Routagespécifique à chaque spécifique à chaque réseauréseau

Les réseaux VPN sont Les réseaux VPN sont considérés comme des considérés comme des réseaux à part entièreréseaux à part entière

La machine ISA est La machine ISA est considéré comme un considéré comme un réseau (LocalHost)réseau (LocalHost)

Stratégie de filtrage par Stratégie de filtrage par réseauréseau

Filtrage de paquet sur Filtrage de paquet sur toutes les interfacestoutes les interfaces

InternetVPN

ISA 2004

Toutes topologies / stratégiesToutes topologies / stratégies

CorpNet_1DMZ_n

Local AreaNetwork CorpNet_n

VPN Quarantaine

Page 21: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

actionaction sur traffictraffic pour utilisateurutilisateur depuis sourcesource vers destinationdestination avec conditions conditions

Structure des règles de pare-feu Structure des règles de pare-feu ISAISA

• Autoriser• Interdire

• Protocole IP• Port(s) TCP/UDP

• Réseau(x)• Adresse(s) IP• Machine(s)

• Réseau(x)• Adresse(s) IP• Machine(s)

• Serveur publié• Site Web publié• Planning• Filtre applicatif

• Utilisateur(s)• Groupe(s)

• Ensemble de règles ordonnées•Règles systèmes puis règles utilisateur

• Plus logique et plus facile à comprendre (versus ISA Server 2000 notamment)

Page 22: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Scénarios de mise en œuvre Scénarios de mise en œuvre d’ISA Server 2004d’ISA Server 2004

Pare feu de périmètrePare feu de périmètreMulti réseauxMulti réseauxDMZDMZ

Protection des applications et réseaux internesProtection des applications et réseaux internesPasserelle de filtrage applicatifPasserelle de filtrage applicatif

Serveurs WebServeurs WebServeurs de messagerieServeurs de messagerie

Protection des réseaux internesProtection des réseaux internes

Accès sécurisé et optimisé à InternetAccès sécurisé et optimisé à InternetStratégies d’accèsStratégies d’accèsCache WebCache Web

Réseaux multi sitesRéseaux multi sitesSécurisation sites distantsSécurisation sites distantsIntégration du VPNIntégration du VPNIPSec en mode TunnelIPSec en mode Tunnel

Page 23: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Certificat « Privé »+ sa clé privée

Certificat « Public »+ sa clé privée

L’analyse des URL par ISA 2004 L’analyse des URL par ISA 2004 peut stopper les attaques Web au peut stopper les attaques Web au périmètre du réseau, y compris en périmètre du réseau, y compris en

cas d’utilisation de SSLcas d’utilisation de SSL

Protection des serveurs WebProtection des serveurs Web

Pare-feu Pare-feu traditionneltraditionnelPare-feu Pare-feu

traditionneltraditionnelWebWeb

ClientClient

Si le serveur Web fait une demande Si le serveur Web fait une demande d’authentification - tout utilisateur sur d’authentification - tout utilisateur sur Internet peut accéder à cette demandeInternet peut accéder à cette demande

SSLSSLSSLSSL

SSL passe au travers des pare-SSL passe au travers des pare-feu traditionnels sans contrôle feu traditionnels sans contrôle

du fait du chiffrement…du fait du chiffrement…

……ce qui permet aux attaques ce qui permet aux attaques applicatives, virus ou autres applicatives, virus ou autres

vers de se propager sans vers de se propager sans être détectés…être détectés…

……et d’infecter les serveurs internes !et d’infecter les serveurs internes !

ISA Server 2004ISA Server 2004

Délégation d’authentificationDélégation d’authentificationISA pré authentifie les utilisateurs, ISA pré authentifie les utilisateurs, éliminant les boites de dialogues éliminant les boites de dialogues redondantes et n’autorise que le redondantes et n’autorise que le

trafic valide à passertrafic valide à passer

Filtrage avancé de HTTPFiltrage avancé de HTTP

SSL or SSL or HTTPHTTP

SSL or SSL or HTTPHTTP

SSLSSLSSLSSL

ISA peut déchiffrer et ISA peut déchiffrer et inspecter le trafic SSLinspecter le trafic SSL

Une fois inspecté le trafic peut être envoyé vers Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair.le serveur interne de nouveau chiffré ou en clair.

Analyse HTTP Analyse HTTP (URL, (URL,

contenu…)contenu…)

InternetInternet

Page 24: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Protection des accès sortantsProtection des accès sortants

ClientClientISA Server 2004ISA Server 2004Pare feu Pare feu

traditionneltraditionnel

InternetHTTP http, https, FTP

IM, P2P, MS RPC…HTTP, https, FTP…

IM

P2P

MS RPC…

IM, P2P, MS RPC…

Analyse HTTP Analyse HTTP (URL, entêtes, (URL, entêtes,

contenu…)contenu…)

Exemples de signature d’applications :http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/commonapplicationsignatures.mspx

Page 25: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Les versions d’ISA Server 2004Les versions d’ISA Server 2004Édition StandardÉdition Standard

Inclus toutes les Inclus toutes les fonctionnalités de :fonctionnalités de :

Pare-feu (niveaux 3,4,7)Pare-feu (niveaux 3,4,7)

Passerelle VPNPasserelle VPN

Proxy cache Proxy cache

sur un même serveursur un même serveur

Disponible depuis Mai Disponible depuis Mai 20042004

1 licence par 1 licence par processeur physiqueprocesseur physique

Également disponible Également disponible sous la forme sous la forme d’applianced’appliance

Édition EntrepriseÉdition Entreprise

Ajoute la haute Ajoute la haute disponibilité et la disponibilité et la tolérance de pannetolérance de panne

Ajoute la capacité à Ajoute la capacité à monter en charge en monter en charge en utilisant plusieurs utilisant plusieurs serveurs (groupes)serveurs (groupes)

Ajoute l’administration Ajoute l’administration centralisée au niveau centralisée au niveau entrepriseentreprise

Disponible depuis Mars Disponible depuis Mars 20052005

1 licence par 1 licence par processeur physiqueprocesseur physique

Page 26: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Disponible en applianceDisponible en applianceRimApp ROADBLOCKRimApp ROADBLOCK FirewallFirewall http://www.rimapp.com/roadblock.htmhttp://www.rimapp.com/roadblock.htm

HP ProLiant DL320 Firewall/VPN/Cache HP ProLiant DL320 Firewall/VPN/Cache ServerServer http://h18004.www1.hp.com/products/servers/softwarhttp://h18004.www1.hp.com/products/servers/software/microsoft/ISAserver/index.htmle/microsoft/ISAserver/index.html

Network Engines NS AppliancesNetwork Engines NS Appliances http://http://www.networkengines.com/sol/nsapplianceseries.aspxwww.networkengines.com/sol/nsapplianceseries.aspx

Celestix Application-Layer Firewall, VPN Celestix Application-Layer Firewall, VPN and Caching Appliance and Caching Appliance http://www.celestix.com/products/isa/index.htmhttp://www.celestix.com/products/isa/index.htm

Pyramid Computer ValueServer Security Pyramid Computer ValueServer Security 20042004 http://www.pyramid.de/e/produkte/server/isa_2004.phhttp://www.pyramid.de/e/produkte/server/isa_2004.phpp

► Avantis ISAwallAvantis ISAwall http://www.avantisworld.com/02_securityappliances.asp

► Corrent Corrent http://www.corrent.com/Products/products_sr225.html

Page 27: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Protection des accès aux Protection des accès aux réseaux de l’entreprise (VPN réseaux de l’entreprise (VPN

et Locaux)et Locaux)

Protection des accès aux Protection des accès aux réseaux de l’entreprise (VPN réseaux de l’entreprise (VPN

et Locaux)et Locaux)Gestion des accès distants et Gestion des accès distants et des équipements connectésdes équipements connectés

Page 28: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Les attaques viennent Les attaques viennent aussiaussi de de l’internel’interne

Étude et statistiques sur la sinistralité informatique en France (2002)

Page 29: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Réseau de l’entreprise Réseau de l’entreprise

Le meilleur exemple est la propagation d’un ver Le meilleur exemple est la propagation d’un ver comme Blaster (exploitation d’une faille RPC) ou comme Blaster (exploitation d’une faille RPC) ou Sasser.Sasser.

InternetDimancheJour J de l’infection

LundiJour J+1 de l’infection

Les attaques internes ne sont pas Les attaques internes ne sont pas toujours déclenchées de manière toujours déclenchées de manière intentionnelleintentionnelle

Page 30: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Réseau de l’entreprise

Passerelle VPN

Le même exemple de propagation d’un ver comme Le même exemple de propagation d’un ver comme Blaster ou Sasser au travers d’un VPNBlaster ou Sasser au travers d’un VPN

InternetDimancheJour J de l’infection

LundiJour J+1 de l’infection

Les connexions distantes Les connexions distantes peuvent également peuvent également compromettre la sécuritécompromettre la sécurité

Tunnel VPN

Page 31: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Une approche de la Une approche de la segmentationsegmentation

En terme de sécurité, les pare-feux sont En terme de sécurité, les pare-feux sont couramment utilisés pour protéger les réseaux couramment utilisés pour protéger les réseaux d’entreprise des réseaux publics comme Internetd’entreprise des réseaux publics comme Internet

Aujourd’hui, il est devenu nécessaire de procéder à Aujourd’hui, il est devenu nécessaire de procéder à un découpage du réseau d’entreprise et d’aller au-un découpage du réseau d’entreprise et d’aller au-delà de la simple segmentation réseau (VLANs)delà de la simple segmentation réseau (VLANs)

La segmentation des réseaux internes revient à La segmentation des réseaux internes revient à implémenter le principe du pare-feu au cœur du implémenter le principe du pare-feu au cœur du réseau de l’entreprise réseau de l’entreprise en intégrant l’analyse en intégrant l’analyse (jusqu’au niveau de la couche application) des flux(jusqu’au niveau de la couche application) des flux

Page 32: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Principes de la segmentation Classification Classification

Réseau « publique »

Réseau de confiance

Réseau sensible

Le découpage des réseaux consiste à définir des zones de confiances dans lesquelles des ressources peuvent être placées.

Ce découpage nécessite au préalable la définition d’une classification adaptée aux besoins et contraintes de l’entreprise.

Page 33: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Contrôle et mise en Contrôle et mise en conformité des postes lors conformité des postes lors

des connexionsdes connexions

Contrôle et mise en Contrôle et mise en conformité des postes lors conformité des postes lors

des connexionsdes connexionsLes connexions distantes &Les connexions distantes &les connexions au réseau les connexions au réseau

locallocal

Page 34: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Sécuriser les connexions VPN (1/2)Sécuriser les connexions VPN (1/2)

Exiger une Exiger une authentification forte à 2 voire 3 authentification forte à 2 voire 3 facteursfacteurs : :

Ce que je sais : mot de passe, code PINCe que je sais : mot de passe, code PINCe que je possède : SmartCard, jeton, calculette…Ce que je possède : SmartCard, jeton, calculette…Ce que je suis : reconnaissance biométriqueCe que je suis : reconnaissance biométrique

Augmenter le Augmenter le niveau de chiffrementniveau de chiffrement des des communicationscommunications

3DES3DESAESAES

Journaliser, surveiller et analyser l’activité des Journaliser, surveiller et analyser l’activité des utilisateurs connectés en VPNutilisateurs connectés en VPN

Page 35: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Sécuriser les connexions VPN (2/2)Sécuriser les connexions VPN (2/2)

Vérifier lors de la connexion la conformité Vérifier lors de la connexion la conformité du poste client VPN: du poste client VPN:

Mécanisme d’analyse Mécanisme d’analyse Mise en quarantaineMise en quarantaine

Limiter les accès autorisés pour les sessions VPNLimiter les accès autorisés pour les sessions VPNSeules les ressources nécessaires sont accessiblesSeules les ressources nécessaires sont accessiblesL’ensemble du réseau interne ne devrait pas être accessibleL’ensemble du réseau interne ne devrait pas être accessible

Utiliser du Utiliser du filtrage applicatiffiltrage applicatif pour analyser les pour analyser les communications à destination des ressources internes.communications à destination des ressources internes.

Possibilité de faire de l’analyse antiviralePossibilité de faire de l’analyse antiviraleFiltrage des flux RPC, http, FTP, SMTP, CIFS, DNS…Filtrage des flux RPC, http, FTP, SMTP, CIFS, DNS…

Page 36: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

VPN et quarantaine avec ISA VPN et quarantaine avec ISA 20042004

Connexion VPN

Page 37: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Network Access Protection Network Access Protection (NAP)(NAP)

Network Access Protection (NAP) est une plateforme destinée à contrôler la mise en conformité par rapport à la politique IT de l’entreprise (Ex : politique de mise à jour des OS et des antivirus) des machines Windows connectés aux réseaux de l’entreprise

Les mécanismes de NAP vont permettre de restreindre l’accès au réseau de l’entreprise pour les postes non conformes tant qu’ils ne respectent pas la stratégie imposée.

La première version de NAP sera disponible dans Windows Server "Longhorn" la prochaine version du système d’exploitation Windows Server.

La plateforme NAP (Network Access Protection) n’est pas la même technologie que la mise en quarantaine réseau (Network Access Quarantine Control), qui est une fonctionnalité déjà disponible avec Windows 2003 pour les connexions VPN nomades

Page 38: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Demande d’accès ?Voici mon nouveau status

Est ce que le client doit être restreint en fonction de son status?

En accord avec la politique, le client n’est pas à jour. Mise en quarantaine et demande au client de se mettre à jour

Puis je avoir accès ?Voici mon status actuel

En accord avec la politique, le client est à jourAccès autorisé

NAP : principe de NAP : principe de fonctionnementfonctionnement

IAS PolicyServer

Client Network Access Device

(DHCP, VPN)

Remediation Servers

(antivirus, système de maj de correctifs…)

Mise à jour du serveur IAS avec les politiques

en cours

Vous avez droit à un accès restreint tant que vous n’êtes pas à jour

Puis je avoir les mises à jour ?

Les voici

Réseau de l’entreprise

Réseau restreint (quarantaine)

Le Client obtient l’accès complet à l’Intranet

System Health Servers

(défini les pré requis du client)

SSystem ystem HHealth ealth VValidatorsalidatorsMicrosoft et 3Microsoft et 3rdrd Parties Parties

QQuarantine uarantine SServererver

SSystem ystem HHealth ealth AAgentsgentsMicrosoft et 3Microsoft et 3rdrd Parties Parties(AV/Patch/FW/Other)(AV/Patch/FW/Other)

QQuarantine uarantine AAgentgent

QQuarantine uarantine EEnforcement nforcement CClientlientMicrosoft et 3Microsoft et 3rdrd Parties Parties

DHCP/VPN/IPsec/802.1xDHCP/VPN/IPsec/802.1x

Page 39: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Scénarios d’utilisation de NAPScénarios d’utilisation de NAP

Machine de l’entrepriseComme un portable ou un PC de bureau de la compagnie

Machine de l’entrepriseComme un portable de la compagnie

Accès au réseau local (LAN)

Machine non compatible NAP ou à un visiteurComme le PC portable d’un intervenant externe

Connexion à des réseaux distants

Machine non managée ou non compatible NAPComme la machine personnelle d’un employé

Valid

atio

n de

la

politiq

ue ré

seau

Mis

e en

confo

rmité

Avec

la p

olitiq

ueIs

olatio

n rése

au

Page 40: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Bénéfices de NAPBénéfices de NAP

Focus sur la mise en conformité des politiques Focus sur la mise en conformité des politiques d’entreprised’entreprise

Les professionnels IT définissent les stratégies de sécuritéLes professionnels IT définissent les stratégies de sécurité

Le système NAP isole les clients qui ne respectent pas ces stratégiesLe système NAP isole les clients qui ne respectent pas ces stratégies

Les clients isolés ont un accès restreint à des services leur Les clients isolés ont un accès restreint à des services leur permettant de revenir en conformitépermettant de revenir en conformité

Architecture extensibleArchitecture extensibleExtensible via des solutions d’éditeurs tiercesExtensible via des solutions d’éditeurs tierces

Basée sur des standards ouverts (DHCP, IPSec, Radius…)Basée sur des standards ouverts (DHCP, IPSec, Radius…)

Possibilité d’utilisation de scripts personnalisés pour faire des tests Possibilité d’utilisation de scripts personnalisés pour faire des tests complémentairescomplémentaires

Fonctionne avec les infrastructures réseau Fonctionne avec les infrastructures réseau existantesexistantes

Réduit le risque de compromission du réseauRéduit le risque de compromission du réseau

Page 42: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

SynthèseSynthèse

Contrôle des flux applicatifs

ISA Server 2004 est une solution répondant à ce besoin de filtrage au niveau de la couche Application devenu nécessaire pour protéger les

infrastructures Microsoft et non Microsoft.

Contrôle des connexions distantes VPNDéjà disponible avec ISA Server 2004 et Windows 2003. Filtrage applicatif et

mise en quarantaine

Contrôle des accès à tous les réseaux (LAN, distants)

Avec Network Access Protection disponible avec Windows Longhorn Server

Page 43: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Ressources utilesRessources utilesSite Web MicrosoftSite Web Microsoft

www.microsoft.com/isaserverwww.microsoft.com/isaserver

www.microsoft.com/france/isawww.microsoft.com/france/isa

www.microsoft.com/napwww.microsoft.com/nap

Webcast et séminaires TechNetWebcast et séminaires TechNet (Gratuits) (Gratuits)

Sites externesSites externeswww.isaserver.orgwww.isaserver.org

www.isaserverfr.orgwww.isaserverfr.org

isatools.orgisatools.org

Newsgroup françaisNewsgroup françaisMicrosoft.public.fr.isaserverMicrosoft.public.fr.isaserver

Kits de déploiementKits de déploiement

BlogsBlogsBlogs.msdn.com/squastaBlogs.msdn.com/squasta

Kits d’évaluation ISA ServerKits d’évaluation ISA ServerVersion d’évaluation (120 jours)Version d’évaluation (120 jours)

CD (livres blancs et guide déploiemeCD (livres blancs et guide déploiement)nt)

Page 44: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Questions / RéponsesQuestions / Réponses

Page 45: Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec

91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 8290 825 827 829

[email protected]@microsoft.com