BTS SIO SI7
Activité 3 - Parefeux
1 CONTEXTE
La mairie de Rézé est amenée à fournir des services aux utiisateurs, sur son site web.
1.1 PROBLÉMATIQUE La mairie de Rézé accepte des paiements en iigne pour des services à ses utiisateurs :
• Renouveiiement et abonnement à ia médiathèque
• Paiement des repas de cantne pour ies éièves des écoies pubiiques de ia viiie
• etc.
Pour ceia, ia mairie doit respecter ia norme reiatve aux RGPD1.
1.2 SOLUTIONS La sécurisaton d’une organisaton ofrant des services Internet à ses usagers impiique deux sortesd’équipements :
• Les pare-feux : généraiement connus pour ia geston des règies appeiées ACL, iis sontdésormais capabies de fournir d’autres protectons.
• Les WAF : moins connus du pubiic, iis sécurisent ies serveurs web des organisatons contre iesmenaces OWASP.
2 OBJECTIFS PÉDAGOGIQUES
Cette actvité doit permettre
• La compréhension des diférents domaines de sécurité, notamment côté infrastructure et côtéappiicaton
• La rédacton d’un document synthétque sur ies termes de ia sécurité avec ies défnitons et iesempiacements dans ies couches ISO
• La connaissance des critères de performances des pare-feux
• La manipuiaton d’interfaces d’équipements réeiiement utiisés en sécurité (par comparaison àpfsense ou ipcop, rarement présent dans ies organisatonss.
1 https://fr.wikipedia.org/wiki/R%C3%A8glement_g%C3%A9n%C3%A9ral_sur_la_protection_des_donn %C3%A9es
David ROUMANET 20/02/2018 (v.27) 1
BTS SIO SI7
Activité 3 - Parefeux
3 ACTIVITÉS À RÉALISER
Le responsabie de ia DSI décide de nommer deux responsabies du projet "SECU-REZE-REZE" (aussinoté SECUREZE² et qui signife "sécuriser Rézé".
• Le premier, avec un profi réseau démarqué, aura pour mission de proposer un pare-feu ditUTM.
• Le second, recruté parmi ies déveioppeurs, devra séiectonner une soiuton WAF.
Les deux devront expiiquer ies concepts et ies technoiogies que chaque soiuton apporte.
3.1 RESPONSABLE SISR Le responsabie réseau a pour tâches de rechercher queiies sont ies caractéristques importantes d’unparefeu UTM. Ii doit ensuite consuiter ies "datasheets" de piusieurs produits et peut utiiser desproduits en démo pour juger de i’interface graphique.
3.2 RESPONSABLE SLAM Le responsabie en déveioppement doit d’abord expiiquer ies menaces OWASP. Eiies sont ies raisons deia mise en piace d’un WAF et concerne principaiement ies déveioppeurs.
3.3 COMMUN La soiuton giobaie doit permettre à ia Mairie de respecter ia iégisiaton en vigueur.
Notamment, ie respect du Référentei Générai de Sécurité, RGS2, rédigé par i’ANSSI3, ie RGPD4
européen. Les normes du PCI/DSS5 et HIPAA doivent être consuitées et expiiquées pour comprendrece que représente ia sécurisaton des données. En France, ia CNIL6 apporte égaiement des éiémentsde réponses ainsi que des conseiis sur ie dossier santé7.
2 http://www.ssi.gouv.fr/administration/reglementation/confiance-numerique/le-referentiel-general-de-securite- rgs/liste-des-documents-constitutifs-du-rgs-v-2-0/
3 http://www.ssi.gouv.fr/ 4 http://www.lesechos.fr/idees-debats/cercle/cercle-158904-rgpd-le-prochain-grand-defi-de-la-protection-des-
donnees-2014295.php 5 https://fr.pcisecuritystandards.org/_onelink_/pcisecurity/en2frfr/minisite/en/docs/PCI_DSS_v3.pdf
6 https://www.cnil.fr/fr/ 7 https://www.aatlantide.com/confidentialite-donnes-cnil.html
David ROUMANET 20/02/2018 (v.27) 2
BTS SIO SI7
Activité 3 - Parefeux
4 DOCUMENT À FOURNIR
L’actvité ne nécessite qu’un seui document à rendre pour i’ensembie du binôme : un fchier PDF dontie nom sera :
SI7_Activit_stcurvit_NOM1-NOM2.pdf
Ce document sera une conversion d’un compte-rendu sous Microsof Word ou LibreOfce Writer.
L’objectf est de rendre ce rapport aussi professionnei que possibie.
4.1 FORME Le document aura :
• une première page de ttre, avec ie nom des étudiants ayant rédigé ie document et une image
• une deuxième page contenant une tabie des matères automatque (accès par numéro depage, ttre sur 3 niveaux minimum, pointiiés, etc.s
• Les marges seront de 1,5 à 2,0 cm maximum (haut, bas, gauche, droites
• L’ensembie des pages auront :
◦ en entête : ttre du document, auteurs
◦ pied-de-page : date, numéro de page, nombre de pages totaies
• Les ttres utiisés seront sur 3 niveaux hiérarchiques (exempie : 1.1.1, 1.1.2 etcs
• Sauf excepton, chaque page devra comporter ia moité de texte au minimum (en poiice entre10 et 12 pts. Les images trop grandes sont à piacer en annexe.
4.2 FOND Le document sera construit avec un pian standard :
• première parte, reprise de ia probiématque (avec vos mots et vos phrasess
• deuxième parte, défnitons et expiicatons des soiutons
• troisième parte, synthèse et prise de décision
• Annexes :
◦ ies schémas,
◦ ies tabieaux comparatfs,
◦ ies images trop grandes, ies extraits de sites web, ies sources, etc
David ROUMANET 20/02/2018 (v.27) 3
BTS SIO SI7
Activité 3 - Parefeux
5 PISTES, CONSEILS, AIDES
5.1 DÉFINITIONS UTILES : Votre probiématque peut utiiser du vocabuiaire. Voici une iiste de termes pouvant améiiorer votrerapport :
• RGS et RGPD (diférence et historique entre ies deuxs
• normes PCI/DSS et HIPAA
• CNIL
• UTM, IPS, RBL, WAF, LB (Load Baiancers, RBAC, SSO, DLP, ACL
• hacker, botnet, spyware, maiware, ransomware
• diférence entre VPN SSL et VPN-IPSec (fonctonnement, iicences, cotts, modèie OSIs
• OWASP, CSRF, SQL Injecton, SS, CRL, DoS
Queiques expiicatons sur ie fonctonnement des technoiogies suivantes :
• Botnet fiter
• Man in the Middie (et ies certfcatss
• web fitering versus web appiicaton fitering versus proxy versus reverse proxy
5.2 SCHÉMA ET EMPLACEMENT Un schéma d’architecture permet de comprendre ie positonnement des équipements.
• ie pare-feu UTM et sa redondance
• ie serveur WAF
• ia DMZ (extranets
• i’accès WAN (Internets et sa redondance
• ie LAN (intranets
Ce schéma peut ensuite être utiisé pour montrer ies fux (comment sortent ies paquets, combien defois un fux passe par un parefeu, pourquoi un WAF ne fonctonne pas comme un pare-feu…s
David ROUMANET 20/02/2018 (v.27) 4
BTS SIO SI7
Activité 3 - Parefeux
5.3 SLAM : SOLUTION WAF Les soiutons WAF sont intéressantes pour protéger ies serveurs web. Peu d’informatons sontdisponibies sur ie sujet. La tabie suivante peut vous aider à déterminer si cette soiuton estintéressante pour ia Mairie de Rézé.
Vous trouverez en annexe les liens vers les solutions WAF en démo.
Dans le tableau, vous pouvez répondre avec des notes de 0 à 5 points.
Sonvcwall Cyberoam
Soiuton supportant WAF (noms
La soiuton propose-t-eiie de i’ofoadinglo ?
L’appiicaton propose-t-eiie du ioad baiancing ?
Le WAF gère-t-ii ies cookies ?
Que sont ies menaces OWASP ?
Possibiiité de bioquer ies CSRF ?
Masquage possibie du type de serveur (banners ?
Geston des méthodes HTTP GET/POST ?
Queis sont ies ports d’écoutes possibies ?
Biocage des attaques brute force (iogins ?
N’hésitez pas à mettre les mots inconnus dans votre rapport avec une définition.Bien que les démos ne soient pas accessibles en écriture, rien n’empêche de tester les boutons d’ajout/modif.
À partr de ià, essayez de défnir ce que fait un WAF, son sens de fonctonnement, comment ii estutiisé en entreprise.
Déterminez pourquoi cet équipement concerne pius ies déveioppeurs que ies administrateursréseaux.
Essayez de trouver des exempies d’attaques et iiiustrez votre texte de schémas d’exempies.
David ROUMANET 20/02/2018 (v.27) 5
BTS SIO SI7
Activité 3 - Parefeux
5.4 SISR : SOLUTION PARE-FEU Voici ia tabie des fonctons à visiter sur chaque équipement. Vérifez surtout ies constructeurs en gras.Prenez soin de faire une capture de ia porton d’écran de ia foncton testée et de commenter ceiie-ci.
Dans le tableau, vous pouvez répondre avec des notes de 1 à 5 points.
Sonvcwall Sophos SG Fortinet CheckPovni
Foncton Antvirus (sur queis fux...s
Foncton IPS (catégories, etc.s
Foncton VPN (compatbiiité, normessupportées, ...s
Foncton FaiiOver / Load Baiancing
Foncton DLP
Capacité VLAN (nombre de VLANs
Identfcaton d’utiisateur via LDAP
QoS (Quaiity of Services
Interfaces IPv6
Routage OSPF
Routage BGP
Routage PBR (Poiicy Based Routngs
Foncton Fiitrage appiicaton
Fiitrage Facebook video
Foncton antspam
Foncton GeoLocaiisaton
Fiitrage web : biock / Quota / Inform
Fiitrage web : par catégories
N’hésitez pas à donner les définitions de : IPS, HA, LB, VPN, PBR, QoS.
Vous devez maintenant comprendre ia diférence entre un pare-feu et un pare-feu UTM : expiiquez enqueiques paragraphes ies avantages pour une entreprise. Indiquez si ies fitrages sont fgés (ies mêmespour tous, tout ie tempss. Expiiquez notamment ie fonctonnement des règies pour ia DMZ.
David ROUMANET 20/02/2018 (v.27) 6
BTS SIO SI7
Activité 3 - Parefeux
6 ANNEXES
6.1 RAPPEL CONTEXTE RÉZÉ
6.1.1 Les services municipaux
La viiie de Rezé empioie 850 agents. Ces derniers sont réparts dans une trentaine de services,regroupés au sein de cinq directons généraies.
On considère que 600 équipements permettent un accès informatque.
6.1.2 Connexions sortantes
Chaque agent (300 + 200 systèmes automatquess ayant un accès au réseau utiise en moyenne :
• 15 à 20 connexions vers un ERP externe (via ie navigateur Internets
• 5 connexions vers ie serveur de messagerie externe (protocoie IMAPs
• 30 à 40 connexions vers ies services de ia région (préfecture, pian ORSEC, gendarmerie, SDIS,services maritmes, météo…s
• 20 connexions vers ie serveur Big-Data inter-communai de Nantes (statstques et indicateurss
• 40 à 50 connexions vers des services personneis (webmaii, Wikipédia mais aussi certains sitesmarchands…s
David ROUMANET 20/02/2018 (v.27) 7
BTS SIO SI7
Activité 3 - Parefeux
6.1.3 Connexions entrantes
Le serveur web principai de ia Mairie reçoit par seconde ies connexions suivantes :
Les connexions TCP sont maintenus sur ie serveur pendant 5 mn (TIMEOUTs.
6.2 LES DIFFÉRENTS SITES Le parc informatque est composé de piusieurs sites :
• La mavrve : site principai avec, au totai, environ 180 postes individueis, reiiés en réseau et 12imprimantes en réseau.
• Les aielvers munvcvpaux : 16 postes Optpiex G 740. Postes individueis et indépendants. Accèsinternet pour tous ies postes par une Box avec connexion partagée.
• Les tcoles maiernelles : 4 écoies. Accès internet pour tous ies postes par une Box avecconnexion partagée. Chaque écoie dispose d'un poste connecté à Internet par une boxindividueiie. Une saiie informatque d’environ 12 postes dans chaque écoie.
• Les tcoles prvmavres : 4 écoies égaiement. Chaque écoie dispose d'un poste connecté àInternet par une box individueiie. Accès internet pour tous ies postes par une Box avecconnexion partagée.
• Bvblvoihèque munvcvpale : 35 postes en réseau avec un serveur de sauvegarde. Accès internetpour tous ies postes par une Box avec connexion partagée.
• Cenire culiurel : 20 postes en réseau. Sauvegarde iocaie des données utiisateurs. Accèsinternet pour tous ies postes par une Box avec connexion partagée.
David ROUMANET 20/02/2018 (v.27) 8
BTS SIO SI7
Activité 3 - Parefeux
6.3 CONTACTS PROFESSIONNELS Liste des marques retenues par ia Mairie de Rézé, et noms des contacts8 :
8 Cartes et formats fictifs
David ROUMANET 20/02/2018 (v.27) 9
Pierre DESVIGNESConsultant sécurité10 avenue Aimé BouchayerBP 3138171 Seyssinet-Pariset CedexTél : 04 76 26 42 42
David ROUMANETAvant-Vente sécurité10 avenue Aimé BouchayerBP 3138171 Seyssinet-Pariset CedexTél : 04 76 26 42 42
Laurent CARDONASecurity presales
10 avenue Aimé BouchayerBP 3138171 Seyssinet-Pariset CedexTél : 04 76 26 42 42
TRUSTED BYMILLIONS OFNETWORKSWORLDWIDE
BTS SIO SI7
Activité 3 - Parefeux
6.4 SOLUTIONS TECHNIQUES
6.4.1 Protection de sites web
BlueCoai Sophos
https://demo.sophos.com/webconsoie/webpages/index.jsp
demo / demo
Sonvcwall
https://ssivpn.demo.sonicwaii.com/demoadmin / password / iocaidomain
DenyAll
6.4.2 Protection d’infrastructure
Cvsco Checkpovni Fortnei
https://www.fortgate.com/iogin/
Sonvcwall
https://nsa3600.demo.sonicwaii.com/main.htmi
Waichguard PaloAlio
Junvper SiorShveld Sophos
https://utm.trysophos.com/
David ROUMANET 20/02/2018 (v.27) 10
BTS SIO SI7
Activité 3 - Parefeux
6.5 COMPARAISON DE PAREFEUX
6.5.1 Quadrant Gartner de 2010
6.5.2 Quadrant Gartner 2015
*NetAsq est devenu StormShield, Astaro est devenu Sophos.
David ROUMANET 20/02/2018 (v.27) 11
BTS SIO SI7
Activité 3 - Parefeux
6.6 EXEMPLES DE NORMES DE SÉCURITÉ
6.6.1 PCI-DSS
https://fr.pcisecuritystandards.org/_ooneiink_o/pcisecurity/en2frfr/minisite/en/docs/PCI_oDSS_ov3.pdf
Voir page 5 puis 18 à 129
6.6.2 évaluation des risques eBIOS
Gravité
Niveau de menace
Évaiuaton des critcités
David ROUMANET 20/02/2018 (v.27) 12
BTS SIO SI7
Activité 3 - Parefeux
6.6.3 Liste des vulnerabilités du CERT
http://cert.ssi.gouv.fr/
Équivaient américain :
http://www.kb.cert.org/vuis/
6.7 COMPÉTENCES DE L’ACTIVITÉ (BTS)
6.7.1 Activité support
D1.4 Travaii en mode projet
D5.2 Geston des compétences
6.7.2 Savoir-Faire
Justfer ie choix d’une soiuton de mise en producton d’un service
Évaiuer ia vaieur actueiie d’un éiément de confguraton
Évaiuer i’impact fnancier de ia consommaton d’un service
David ROUMANET 20/02/2018 (v.27) 13
BTS SIO SI7
Activité 3 - Parefeux
6.8 DOCUMENTS FOURNIS
6.8.1 Fichiers exécutables
Logloiciel de démonstration de pare-feu CheckPoint
CheckPoint_oSmartConsoie_oand_oSmartDomainManager***.exe
6.8.2 Fichiers PDF
Support de cours à lire (Presentation securite SI (WAF-FW).pdf )
Datasheets (caractéristiques techniques) des parefeux
CheckPoint appiiance-comparison-chart.pdf
Cisco FW datasheet-c78-736661.pdf
NetAsq FW matrix – naenmtx_onetasq-network-security.pdf
Sonicwaii FW – nsa-series-datasheet-68229.pdf
6.8.3 Fichiers Excel / Calc
Liste des prix des diférents constructeurs.
priceiist_o$_oSonicwaii (2016s.xisx
priceiist_o€_oCheckPoint (2015s.xisx (rechercher ies réf. CPAP-SG pour ies bundies tout équipéss
6.8.4 Fichiers Vidéos
Explications diverses et utiles à la compréhension des fonctions
Top 10 OWASP vulnerabilities
https://www.youtube.com/watch?v002mLrFVzIYUUliist0PLoyYU7ZjHtUUVLs2fy-ctzZDSPpawuQ28d
6.8.5 Site web des ressources
http://david.roumanet.free.fr/BTS-SIO/SI7/
David ROUMANET 20/02/2018 (v.27) 14
BTS SIO SI7
Activité 3 - Parefeux
7 DOCUMENTS À RENDRE ET CALENDRIER
7.1 DOCUMENTS À RENDRE
7.1.1 Exemple de notation (le barême peut changer de quelques points)
Nombre de povnis
Mvse en page : 4 pisTitre, entête, pied de page, paginaton, nomsTabie des matères, AnnexeTaiiie document 6 pages hors annexes (poiice 11, ttres poiice 14 maxs
112
Conienu : 4 pisIntroducton construite (résumé étude, rappei des besoins, piansConciusion personneiie (résumé arguments, choix et prise de recuis
22
Parte 2, dtfnvton : 6 pis0 : aucune défniton, 1 : défnitons basiques… 4 : défnitons + expiicatons uties, 5 : regroupement iogique des déf.
5
Parte 3 : 6 pisJustfcaton d’un parefeu (marque + dimensionnementsJustfcaton de i’empioi d’un WAF
22
Auires partes : 10 pisSchéma d’architecture (LAN, DMZ, WANs + servers + équipementsReprésentaton des accès distants Comparaison VPN (IPSec / SSLsComparaison web fitering versus web appiicaton fiteringCaractéristques WAF (ofoadingsDocuments uties (iiiustratons, schéma, etcs
411112
TOTAL 30 pis
7.1.2 Délai
Rendre ies documents ie vendredi samedi 24 mars 2018, 23h59. Découpage approximatf :
Cours(2hs
Éiudes documenis + iesis(2hs
Tesis + rtdacton(2hs
Rtdacton + Rendu(2h hors séances
David ROUMANET 20/02/2018 (v.27) 15
Top Related