Technologies LAN

Paul TAVERNIER

Issus des slides originaux co-réaliséspar Paul Tavernier/Cédric Foll

version 2016.1

Plan

2

Infrastructures réseau

Commutation et VLAN

Infrastructures de sécurité

Firewall

Translation d’adresses

Serveurs mandataires

Proxy

Reverse proxy

Détection d’intrusion

HIDS

NIDS

IPS

Réflexions autour d'architectures de sécurité

LES VLAN

Rappel sur les switchs

4

Équipement de niveau 2

Maintient pour chacune de ses interfaces, la liste des équipements connectés

ie les adresses MAC (L2)

L’adresse MAC source sert à peupler une table de commutation interne(dite table CAM ou table FDB)

La connaissance de la liste de ces adresses MAC se fait parapprentissage au fur et à mesure des besoins de commutation

Quand le switch reçoit une trame, il inspecte l'adresse MAC dedestination

S’il la possède dans la FDB, il la commute sur le port de destination

Sinon, il diffuse la trame sur l’ensemble de ses ports (broadcast L2)

Un commutateur ne manipule jamais d’informations de couche 3 (IP)

Rappel sur les routeurs

5

Un routeur permet d’interconnecter (au moins) deux réseauxdifférents (ie subnets)

A la réception d’un datagramme (L3) sur une de ses interfaces, ilconsulte sa table de routage et sur la foi de l’adresse de destination,prend une décision de routage et transmet le datagramme

La table de routage d’un routeur est peuplée soit statiquement(saisie manuelle) soit dynamiquement (par des protocols dédiés telsRIP, OSPF, BGP, etc.)

On dit qu'un routeur «adosse» des domaines de diffusion différents(broadcast domains)

Chacune de ses interfaces appartient à chacun de ces domaines dediffusion

Un réseau hier

6

Problématique posée HIER

7

Je veux placer physiquement dans la salle machine/baie duréseau 192.168.2.0/24 un serveur du réseau 192.168.1.0/24

Il faut tirer un câble jusqu'au réseau 192.168.2.0/24.

Ou déplacer physiquement le serveur

Si l'on désire segmenter (ip) un réseau, il faut installer unnouveau routeur s'il n'y a plus de port physique libre sur celuiexistant…

La réponse: les VLAN

8

Concept

L’implémentation des VLAN (Virtual LAN) a permis de fairecoexister, de manière étanche (au sens logiciel), plusieursdomaines de diffusion de type L2 (broadcast) sur un mêmeéquipement physique (switch)

Buts

Simplifier le brassage! «Comment changer un host de réseausans avoir à le déplacer physiquement (brassage)» ?

Subnetter facilement

Limiter le nombre de routeurs

Limiter le nombre de ports sur les routeurs et firewalls

Rentabiliser l'investissement des commutateurs

Ex: VLAN sur un switch physique

9

2 ports appartiennent au VLAN1, un troisième au VLAN2

10.0.0.1 et 10.0.0.2 peuvent communiquer sur un même VLAN(ie sont dans le même domaine de diffusion L2 )

Les hosts sur le VLAN 1 (bleu) ne peuvent communiquer avecceux appartenant au VLAN 2 (rouge)

Le réseau d'hier....aujourd'hui!

10

Notion de trames 802.1Q («port tagging»)

Un lien 802.1q dit trunk port ou tagged link permet de faire transiter plusieurs VLAN sur un lien physique unique

Afin de savoir à quel VLAN appartient une trame d'un lien 802.1q, un «tag» (dit vlan_id) est ajouté dans la trame

11

« 0x8100 » dans le

cas de 802.1Q

8 niveaux de

priorité entre VLAN

4094 vlan possibles

(de 1 à 4094)

Comparaison trame Ethernet & Trame 802.1q

Ethernet

Ethernet 802.1Q

12

Le même réseau avec un trunk

13

Pour simplifier, ici, un seul switch estreprésenté mais des “liens 802.1q”relient généralement entre eux lescommutateurs propageant de procheen proche l’appurtenance d’une trameà un vlan donné

Les switchs dits de niveau 3

14

Une sémantique douteuse...;o)

Ils permettent de faire du routage Inter-VLAN

Ils ont donc des adresses IP comme des routeurs(au moins 1 par VLAN)

La différence entre routeur et switch L3 devient ténue au fil dutemps

Les switches L3 sont généralement “mono-protocole” (Ethernet!)

Les switches L3 sont potentiellemnt plus performants que les routeurs

CEF chez Cisco: le premier paquet d’une conversation remonte par lemoteur de routage (L3), les suivants sont commutés (L2)

Les implémentations des protocoles de routages dynamiques sont pluslimitées (rarement BGP, IS-IS, etc.)

Quelle configuration ?

15

Les switchs L2

A configurer sur chaque port (approche Cisco)

A quel VLAN appartient le port?

Si c'est un TRUNK, quels sont les VLANS à propager?

Quel est mon VLAN natif (trames Ethernet non taggées)?

Les switchs L3

Identique au niveau L2

Ajouter une IP par VLAN (comme sur un routeur, on ajoute une IP parinterface logique)

Il est possible d'automatiser la propagation des VLAN vers les switchsd'extrémité

GVRP

VTP (propriétaire CISCO)

Quelle configuration? (2)

# Native VLAN X

Sur un lien agrégé (802.1Q), il spécifie que les trames non taggées appartiennent au VLAN X.

Par défaut, c'est généralement le vlan_id 1

Private/Isolated VLAN

Mécanismes permettant à deux ports d'un même VLAN de ne pas pouvoir communiquer

Typiquement, empêche les machines d'un même LAN de se voir (ieles oblige à passer par leur defaultgateway)

Peut-être réalisé aussi au travers de moteurs d’ACL spécifiques

VLAN MAPS chez Cisco

16

Exemple de configuration (Cisco)

Sur ce port, sont propagées des trames non taggées,membres du VLAN 600

interface GigabitEthernet0/1

switchport access vlan 600

switchport mode access

Sur ce port, les trames sont taggées et les VLANS 600 à 610 peuvent transiter

interface GigabitEthernet0/2

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 600-610

switchport mode trunk

17

Un réseau typique

18

Les switchs d'extrémité possèdent un port dit de cascade en mode«tagged» et tous les autres sont configurés avec un VLAN donné (surlesquels sont branchés les serveurs, les postes clients)

Ils sont reliés directement (ou en cascade) aux switchs de niveau 3« de coeur » effectuant SEULs le routage inter-VLAN

La redondance est assurée en doublant les liens et en créant desboucles physiques entre les switchs

Spanning Tree Protocol (STP) est chargé d'empêcher les boucleslogiques “L2” en désactivant dynamiquement certains chemins

Des technologies propriétaires (plus performantes) sont déployées dansles switches modernes (Flexlink chez Cisco, EAPS chez Extreme)

802.1aq (SPB pour shortest path bridging) est la réponse normalisée àces technologies propriétaires et devrait supplanter STP et ses dérivéspour des convergences plus rapides

Routage inter-VLAN

19

Aujourd'hui un routeur/firewall n'a plus besoin que d'uneinterface physique s'il implémente le standard IEEE « 802.1q »

La trame entre avec un tag indiquant qu'elle appartient auVLANid X et ressort en indiquant qu'elle appartient auVLANid Y.

Linux et Windows implémentent ces mécanismes normalisésde routage dits “inter-VLAN”, ainsi que la plupart des routeurset firewalls modernes

Routage inter-VLAN sous Linux

Activer le coeur de routage(natif dans nombre de distributions modernes :o( )

# echo 1 > /proc/sys/net/ipv4/ip_forward

Chargement du module noyau de VLAN

# modprobe 8021q

Création des VLAN 100 et VLAN 200

# vconfig add eth0 100

# vconfig add eth0 200

20

Routage inter-VLAN sous Linux

Attribution d'adresses IP

# ifconfig eth0.100 192.168.1.1 netmask 255.255.255.0 up

# ifconfig eth0.200 192.168.2.1 netmask 255.255.255.0 up

Conclusion

Sur eth0 la machine est capable de recevoir un agrégat (trunk) véhiculant les VLAN100 et VLAN200

Elle est capable de router 192.168.1.0/24 et 192.168.2.0/24, les paquets rentrent et sortent sur la même interface mais avec un tag 802.1q différent

Les trames non taggées arrivent sur eth0, à laquelle on attribueen général une adresse IP (dédiée au management)

21

Routage inter-VLAN

22

En résumé...802.1q

L’utilisation des technologies 802.1q crée un niveaud’abstraction entre la topologie physique du réseau et satopologie logique permettant de réduire les coûts et desimplifier les évolutions

Les VLANs permettent de faire coexister de manière étancheplusieurs domaines de diffusion L2 sur un même switch

IEEE 802.1q (aka trunk, port-tagging, ..) permet de fairetransiter de manière étanche plusieurs VLANs sur un mêmelien physique de niveau 1 via l’ajout d’informations dans latrame Ethernet 802.3...devenant alors une trame 802.1Q

Les switches L3 sont des switches implémentant des fonctionsde routage simple entre des interfaces logiques (VLAN)

INFRASTRUCTURES DE SECURITE

Infrastructure de sécurité

« If you think technology can solve your security problems, then you don't understand the problems and you don't understand the

technology....»

Bruce Schneier

25

Les Firewalls

26

Pourquoi?

Élément d’infrastructure permettant de filtrer des flux réseaux,en bloquant certains, en autorisant d'autres

2 grandes familles de firewalls

Personal Firewall

Protège la machine sur laquelle il est installé

Traite la problématique des applications locales

Network Firewall (ce dont nous allons discuter)

Effectue le routage inter-zones tout en appliquant des règles defiltrage

En général, il se place en coupure entre le réseau de l'entreprise etInternet

Qu'est ce que filtre un firewall ?

27

Un firewall est historiquement vu comme un équipement decouche 4

Il s’appuit sur une liste de règles et une politique par défaut pourautoriser ou non le routage en fonction

D’informations de couche 3

IP source et IP destination

D’informations de couche 4

port source (udp/tcp), port destination, message icmp, ...

Une grande règle à observer « On INTERDIT TOUT sauf... »

La politique par défaut interdit le routage du paquet(sa délivrance)

Des règles spécifiques explicites l’autorise

Notions de stateful/stateless

28

Un firewall stateless ne sait pas si un paquet appartient à une connexiondéjà établie

Pour un flux TCP, la «solution» consiste à analyser les drapeaux TCP SYN, SYN-ACK et ACK

Pour chaque flux autorisé, il faut explicitement autoriser les paquets entrantsET sortants

Incomplet en terme de sécurité, en particulier, ne sait pas gérer les flux UDP,ICMP

complexe à maintenir

technologie pratiquement disparue aujourd’hui!

Un firewall stateful connaît l'état de chaque connexion

Qui a initié la connexion (SYN flag)

Plus sécurisé et plus simple à gérer

Mais demande plus de ressource CPU et de mémoire

Génère dynamiquement des règles pour autoriser les retours de connexion(SERVEUR -> CLIENT)

2 grandes familles de network firewalls

29

Firewall stateless

les routeurs d'entrée de gamme voire certains firewalls «tout-en-un»destinés aux particuliers (premières générations de box ADSL)

Ex: ipchains (firewall embarqué dans les OS linux 2.2.X)

Tendent à disparaitre

Firewall stateful

Netfilter (firewall opensource des noyaux linux 2.4 et suivant)

IPFilter (FreeBSD, NetBSD, Solaris)

Packetfilter (openBSD, MacOS X)

NetSh (Microsoft)

Tous les firewalls propriétaires modernes

PaloAlto Networks, Checkpoint Software, ForcePoint (ex StoneSoft),Stormshield (ex NetASQ/Arkoon), Netscreen (Juniper), Fortigate(Fortinet), SonicWall (Dell)

Firewall stateless (ipchains)

30

On autorise tous les flux de 192.168.1.0/24 vers 192.168.2.0/24 en 80 TCP

ipchains -A forward -p TCP -s 192.168.1.0/24 1024: -d 192.168.2.0/24 80 -j ACCEPT

On autorise tous les flux de 192.168.2.0/24 vers 192.168.1.0/24 sauf les SYN (-y)

ipchains -A forward -p TCP-s 192.168.2.0/24 80 -d 192.168.1.0/24 :1024 -j !-y ACCEPT

Tous les paquets venant de 192.168.2.0 avec comme port source 80 et sans SYN sont autorisés

Pour chaque règle autorisant un flux il faut écrire une règle autorisant la réponse

Firewall stateful (netfilter/iptables)

31

On autorise tous les paquets appartenant à une connexion déjà établie

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j

ACCEPT

On autorise tous les flux de 192.168.1.0/24 vers 192.168.2.0/24 en80/tcp

iptables -A FORWARD -p tcp -m tcp -m state --state NEW

-s 192.168.1.0/24 -d 192.168.2.0/24 --dport 80 -j ACCEPT

Seuls les paquets appartenant à une connexion établie sont autorisés

NAT: NETWORK ADDRESSTRANSLATION

Network address translation

33

Problèmes

Il n'y a plus assez d'adresses IPv4 (hors RFC1918) disponibles pour lenombre de machines connectées à internet sur la planète

Les adresses IPv4 coûtent cher

Solution: La translation d’adresse (NAT)

Les réseaux internes (particuliers, entreprises) sont en adressage privé(RFC1918), un routeur/firewall translate les adresses entre le réseauprivé et le réseau public (et inversement). On parle de SNAT or DNAT

Les subnets IPV4 dits “RFC 1918”

10.0.0.0/8

172.16.0.0/12

192.168.0.0/16

NAT

34

NAT

35

Inconvénients

Ne constitue pas, à proprement parler, un mécanisme desécurité, par opposition à un service de « proxying »

pas de rupture de connexion!

la sécurité par l’obscurité est un leurre (principe de Kerckhoffs,maxime de Shannon)

Certains protocoles fonctionnent pas ou mal avec lesmécanismes de translation d'adresse (H323, SIP, ...)

Avantages

Economie du nombre d'adresses IP publiques

Gestion fine de la présentation du plan d’adressage du réseauprivé vers/depuis le réseau public (masquage)

FW et NAT, en résumé

Un pare-feu (firewall) permet d’analyser les datagrammes decouche 3 et 4 pour filtrer les échanges

Les firewalls modernes (dits NG) permettent une inspection depaquets jusqu’en couche 7 (L7 filter)

Un firewall dit stateful possède une table d’état des connexions

La translation d’adresse (NAT) permet de translater desadresses IP sources ou destinations.

Généralement, cette opération est effectuer par le FW entre leréseau privé et le réseau public pour palier la pénuried’adresses publiques IPv4

Netfilter

Apparu dans le noyau 2.4

Firewall stateful

Fonctions de translation d'adresses très évoluées

Très répandu, fiable, il concurrence des firewalls commerciauxdans le traitement des couches 3 et couches 4

En cours de réécriture pour sa partie interfaçage

les interfaces {ip,eb,arp, ip6}tables sont remplacées par la nouvelle interface nftables

37

Netfilter en pratique

38

iptables: commande permettant d'interagir avec netfilter

iptable-save: affiche la configuration du firewall

iptables ajoute/modifie/supprime des règles netfilter (noyau)

en cours de réécriture (nftables)

Dans la pratique on utilise souvent une GUI pour gérer laconfiguration des règles

ex. fwbuilder: http://www.fwbuilder.org

Netfilter: interface iptables

iptables –t TABLES CHAINES REGLES –j ACTIONS

TABLES

filter (defaut, table de filtrage)

nat (translation d'adresse)

CHAINES

INPUT (trafic à destination du fw)

OUTPUT (trafic émis par le firewall)

FORWARD (trafic routé)

POSTROUTING, PREROUTING (pour les translations d'adresse (-t NAT))

REGLES

Comment est caractérisé le paquet (ip src/dst, port src/dst, proto, interface in/out) ? Appartient-il à la connexion initialisée ou pas ?

ACTIONS

ACCEPT|DROP|REJECT

Manipulation de paquet (pour le nat): SNAT, DNAT, ...

39

Netfilter: interface iptables

40

Netfilter: interface iptables

Police par défaut, option -P

iptables -P FORWARD DROP

Effacer toutes les règles d'une chaîne, option -F

iptables -F FORWARD

Effacer une règle donnée -D

iptables -D num règle

iptables -D toute la règle

Lister les règles

iptables-save

41

netfilter: cookbook

Police par défaut sur le forward DROP

iptables -P FORWARD DROP

Accepter toutes les connexions actives

iptables -A FORWARD -m state –state ESTABLISHED,RELATED -j

ACCEPT

Accepter les ssh de pc1 vers pc2

iptables -A FORWARD -m state –state NEW -s pc1 -d pc2 -p tcp

–dport 22 -j ACCEPT

42

netfilter: cookbook

Masquerading (pour partager une IP publique sur eth0, eventuellement récupérée via dhcp)

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

SNAT (comme le précédent mais avec une autre IP):

Altérer l'ip source du trafic routé (et/ou sortant)

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source

192.168.0.1

43

netfilter: cookbook

REDIRECT (redirige un flux en local), utile pour faire du proxy transparent ou mener des attaques man in the middle.

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT -

-to-ports 8080

DNAT (transformation de l'IP destination), utile pour man in the middle ou pour l'accès public à un serveur en adressage privé (port forwarding):

iptables -t nat -A PREROUTING -p tcp -d www.google.com --

dport 80 -j DNAT --to-destination www.faux-google.com

iptables -t nat -A PREROUTING -p tcp -d 194.167.196.100 --

dport 80 -j DNAT --to-destination 192.168.0.10

44

Netfilter, en résumé

Moteur de Firewalling linux post 2.4

Se configure via la commande iptables :

Iptables –t TABLE –A CHAINE REGLE –j ACTION

Permet le filtrage (table filter) sur les paquets :

Entrants (INPUT)

Sortant (OUTPUT)

Traversant (FORWARD)

Permet la translation d’adresse (table nat) :

Avant le routage (PREROUTING) => translation de l’adresse destination

Après le routage (POSTROUTING) => translation de l’adresse source

Match via des règles basées sur les adresses / protocoles / port /interface

LES SERVEURS MANDATAIRES

Les Proxys

47

Pour sortir sur internet, le client passe par un serveur mandataire

Avantages

Possibilité d'analyser plus finement le trafic.

Des journaux de connexions.

Sur les flux HTTP, possibilité de filtrer certains sites, de faire du contrôleanti-virus.

Confinement avec coupure

contrairement à des mécanismes de NAT

Le proxy maintient 2 connexions TCP ouvertes

Inconvénients

Moins performant en terme de débit.

Ne fonctionne que pour quelques protocoles.

Les Proxys

48

Les Proxys

49

Solutions libres

Squid, très largement utilisé

Pour le filtrage

Dansguardian

Filtrage par listes noires

Filtres de contenu (par mots clefs)

Filtrage anti-virus (par ClamAV ou anti-virus propriétaire)

Les Reverses Proxys

Permettre à des machines en adressage privé d'être accessibles de l'extérieur

Faire de la répartition de charge entre plusieurs serveurs webs.

Filtrer les attaques.

Réaliser de l'accélération HTTP

Pré-loading

Mise en cache des pages dynamiques

...

50

Les Reverses Proxys

51

Les Reverse Proxys

52

Solutions libres

Squid

Apache

mod_proxy

mod_security

Varnish

Le plus abouti, orienté accélération

LA DÉTECTION D’INTRUSION

Les IDS

54

Types d'IDS

Les NIDS

Les HIDS

Analyse de logs

Empreinte

Ce qu'ils détectent et ce qu'ils ne détectent pas

Les NIDS

55

Network Intrusion Detection System

Analyse les flux réseau et recherche des signatures d'attaques

Ex: /etc/passwd dans une urls, User-Agent: nikto,...

La plupart des NIDS fonctionnent ainsi, dont snort

Vérification du respect de la conformité des protocoles aux RFC

Ex: le paramètre de GET dans une requête HTTP possède moinsde 1024 bytes

Ne nombreux IDS fonctionnent ainsi

Analyse statistique (ou analyse comportementale)

Mesure de la déviation entre le trafic réseau habituel et le traficà un instant T

Les NIDS

56

Qu'est ce qu'ils vont détecter ?

Toutes les attaques venant des outils de tests automatiques

Nessus, nikto, whisker, nmap, ...

Certaines attaques visibles

En particulier certaines failles webs génériques

XSS

L'exploitation de failles sur des applis web connues (phpbb,webcalendar, phpnuke, ...)

L'exploitation de faille touchant un logiciel connu (apache, IIS, CS-IOS, ...)

Les NIDS

57

Qu'est ce qu'ils ne vont pas détecter ?

Les attaques faites à la main

Les injections SQL, Remote include PHP

Les forces brutes sur des applis webs (sauf celles réalisant uneanalyse statistique)

La plupart des attaques forces brutes (POP3, FTP, telnet, ...)

Les flux chiffrés

HTTPS

SSH

IPSec

Les NIDS

58

Dans le monde libre

Snort, très actif et efficace. Fonctionne par signature d'attaque

BRO, vérification de conformité protocolaire

Les NIDS: Pourquoi cet insuccès ?

59

Les réseaux deviennent trop gros

«difficile» d'analyser des liens 10GE...

Les attaques sont trop fréquentes

On ne va pas réagir à chaque attaque

Seules les attaques les plus visibles donnent lieu à unsignalement (en gros, l'utilisation de logiciels d'écoute active(scan))

Les flux chiffrés (tels que HTTPS) ne peuvent être analysés

L'exploitation demande des personnes qualifiées (et c'est untravail ingrat!)

Grosse mobilisation de ressources techniques évoluées (doncchère)

Les HIDS

60

Host-based Intrusion Detection System

Deux grandes familles

Logiciels fonctionnant par scellement de fichiers (ex: tripwire, samhain)

Logiciels analysant les journaux

Détecte les forces brutes et les crash/redémarrage de processus

le nombre de processus

le nombre d’utilisateurs connectés, etc.

Avantages

Peu de faux-positifs

Inconvénients

Avec un grand nombre de serveurs...un grand nombre de HIDS, doncune maintenance lourde....

Les IPS

61

Intrusion Prevention System

Grand succès marketing

Tous les firewalls propriétaires sont aujourd'hui des IPS

En fait un firewall qui réalise de l'analyse de couche 7 (commeun IDS) et qui bloque sur la base de signatures d'attaques ou deconformité protocolaire

Solution libre: snort-inline

Une version de snort compilée pour intéragir avec netfilter

IDS,IPS,PROXY, en résumé

Les HIDS permettent de détecter les attaques en surveillant lesfichiers d’une machine

Les NIDS permettent de détecter les attaques en surveillant lesflux réseaux (couches 3 à 7)

Les IPS (ou firewall de couche 7) sont des NIDS qui bloquent lesflux en cas de détection

La configuration et l’exploitation efficace de ces équipementsest extrêmement chronophage

Les proxys (ou serveurs mandataires) permettent le filtrageavec coupure de certains flux réseaux (généralementHTTP/POP)

ARCHITECTURES DE SECURITE

Architectures

64

Comment concevoir son réseau en termes de sécurité ?

Compartimentation/Confinement

Répartition des équipements de sécurité(1)

Buts

Maximiser l’impact des protections

Minimiser l’effet d’escalade en cas d’intrusion

(1) Illustrations extraites de ”Building Internet Firewalls”,éditions O’Reilly

Filtre Simple

65

Filtre simple

66

Seul le trafic sortant est autorisé, système de la diode

Avantage

Simple

On est moins exposé aux attaques externes

Limitations

Pas de possibilité d'offrir l'accès à des services depuis l'extérieur

Pas de traçabilité sur ce que font les utilisateurs en interne (sitesvisités, ...)

Pas de protection contre la récupération de code hostile (web,pop3, ...)

Bastion filtrant (fw+proxy)

67

Bastion filtrant (fw+proxy)

Avantages

Un seul équipement

Filtrage applicatif possible (proxy web, pop3, ...)

Inconvénients

Ne fonctionne qu'avec les flux «proxyfiables»

Un serveur avec beaucoup de services (les différents proxy) très exposé (branché en direct sur internet sans firewall).

L'hébergement est possible mais risqué (pas de protection par un firewall).

68

Filtre & Bastion

69

Filtre & bastion

70

Avantages

Le bastion est mieux protégé

Inconvénients

Pas d'hébergement possible (ou alors via une redirection de portqui rend extrêmement vulnérable le réseau interne)

Les postes de travail peuvent contourner la politique defiltrage/log du bastion via des attaques de couche 2 (arp cachepoisoning et NAT pour se faire passer pour le bastion).

Bastion en sandwich

71

Bastion en sandwich

72

Avantages

Le bastion est protégé à la fois des utilisateurs internes et del'exterieur.

On peut commencer à envisager un hébergement de services

Inconvénients

Deux firewalls...

Besoins d'une table de routage avec deux passerelles sur lebastion (trop compliqué pour un sysadmin ;-)).

En cas de compromission du serveur d'hébergement, le pirate aaccès à la zone par laquelle transite tous les flux entre l'extérieuret l'intérieur (très grave!)

Le bastion en DMZ

73

Le bastion en DMZ

74

Avantages

Comme le précédent en plus simple

Inconvénients

Les mêmes que dans le précédent si ce n'est que lacompromission est un peu moins grave car elle ne permetl'écoute et l'altération «que» des flux proxysés.

Pistes vers de meilleures solutions?

75

Un firewall avec deux DMZ

Une (ou plusieurs) DMZ pour le(s) serveur(s) hébergeant desservices

Impact d'une compromission faible, pas d'accès aux postes internesou aux flux sortant des postes.

Une DMZ pour le(s) proxy(s)

Protection contre les compromissions éventuelles des serveursd'hébergement.

Pas de risque d'attaque de couche 2 des postes de travail pourcontourner la protection.