Sécurité des Architectures

Alain Corpel
Enseignant-Chercheur en SSI
[email protected]

Mars 2019 Sécurité des Architectures – V.1.5 1/36

 Plan (1/2)
! Introduction
! Pourquoi la sécurité ?
! Problème technique ?
! Principes de base
! Briques de base
! Focus : Proxy
! Focus : Reverse proxy
! Focus : IDS/IPS
! Focus : Radius
! Focus : LDAP
! Focus : Kerberos
! Focus : AD
! Stockage des données
! Architectures de sauvegarde
! Architectures de Haute Disponibilité
Mars 2019 Sécurité des Architectures – V.1.5 2/36
 Plan (2/2)
! Architecture : notion de zones
! Architecture : notion de DMZ
! Architecture : Contrôle d'intégrité
! Architecture : zone externe
! Architecture : zone interne
! Architecture Sécurisée
! Conclusion

Mars 2019 Sécurité des Architectures – V.1.5 3/36

 Introduction
! Les entreprises devenant mondialisées à leurs
organisations et leur infrastructures doivent acquérir
une très grande flexibilité

! Les entreprises sont très ouverts vers l'extérieur à

les réseaux deviennent plus mobiles et plus
complexes

! La notion de périmètre du système d'information

devient de plus en plus vague

! Notion d'infrastructure spontanée

Mars 2019 Sécurité des Architectures – V.1.5 4/36

 Pourquoi la sécurité ?
! Pour se protéger des menaces de plus en
importantes et variables :
! Externe (70 % des attaques): pirates, virus, accès
frauduleux, spam, phishing, déni de service…
! Interne (70 % des attaques provoquant des dégâts) :
erreurs, malveillances, abus de ressources, accès
frauduleux, propagation de vers, téléchargement de
logiciels …

! Le système d'informations est devenu un actif vital

pour l'entreprise (continuité d'activité, brevets…)

! Responsabilité légale de l'entreprise (CNIL,

LSF…)

Mars 2019 Sécurité des Architectures – V.1.5 5/36

 Pourquoi la sécurité : Menaces

Déni de service Interception

Menace sur la disponibilité Menace la confidentialité

Modification Usurpation

Menace l’intégrité Menace l’authenticité

Mars 2019 Sécurité des Architectures – V.1.5 6/36

 Problème technique ?
!Malheureusement la sécurité n'est pas qu'un
problème technique :

! Analyse de risques et des impacts

! La sécurité amène des contraintes à Trop de contraintes
= stratégies de contournement
! Mettre en place une politique de sécurité à ce qui est
obligatoire, ce qui est autorisé, ce qui est interdit
! Mise en place de chartes de bonne conduite
! Mise en place d'une organisation et de procédures
! Sécurité physique
! Coûts d'investissements et coûts récurrents
!…

La sécurité à 100 % n'existe pas !!!

Mars 2019 Sécurité des Architectures – V.1.5 7/36
 Principes de base (1)
! Cartographier le système d'information
! Ressources matérielles
! Ressources applicatives
! Données et flux

! Classer ces actifs en terme de :

! Disponibilité (suivant la criticité)
! Intégrité
! Confidentialité (confidentiel, diffusion restreinte, public)
! Non répudiabilité (notion de preuve)

! On peut également rajouter :

! Authentification
! Habilitation

Mars 2019 Sécurité des Architectures – V.1.5 8/36

 Principes de base (2)

! Mettre en place une stratégie de défense en

profondeur
! Défense du périmètre
Profondeur

! Défense du réseau
! Défense des hôtes
! Défense des applications
! Défense des données et autres ressources

ATTENTION, pour chaque ligne de défense, il faut

toujours supposer que la ligne précédente peut
être tombée en échec
Mars 2019 Sécurité des Architectures – V.1.5 9/36
 Principes de base (3)
! La défense en profondeur (DEP) est
un terme emprunté au domaine militaire.
Il désigne une démarche de sécurisation
par la mise en place de plusieurs
barrières dont le but est de ralentir voire
d’arrêter la progression d’un ou des
assaillants

Mars 2019 Sécurité des Architectures – V.1.5 10/36

 Briques de base (1)
! La plupart des systèmes d’information intègre différents
composants techniques parmi lesquels :

! Des serveurs
! Infrastructure (DNS, DHCP, Wins …)
! Messagerie (protocoles : POP, SMTP, IMAP …)
! Fichiers (protocoles : NETBIOS …)
! Webs (protocoles : HTTP, HTTPS …)
! Bases de données
! Métiers

! Des postes de travail

! Ordinateurs portables
! Ordinateurs fixes
! Equipements mobiles (smartphones, tablettes …)

Mars 2019 Sécurité des Architectures – V.1.5 11/36

 Briques de base (2)
! Des équipements réseaux
! Routeurs
! Swichs
! Bornes wi-fi
! Réseau de stockage Storage Area Network (SAN)
! …

! Des équipements d’impression

! Imprimantes
! Photocopieurs
! …

Mars 2019 Sécurité des Architectures – V.1.5 12/36

 Briques de base (3)
! Des équipements de sécurité
! Pare-feu (Firewall)
! Serveur VPN
! Sondes intrusion (IDS/IPS)
! Serveur d’authentification (Protocole Radius)
! Serveur d’annuaire (LDAP ou Active Directory)
! Serveur mandataire (Proxy)
! Serveur antivirus
! Serveur Reverse-proxy
! Serveur de certificats
! Serveur de sauvegarde
! …

Mars 2019 Sécurité des Architectures – V.1.5 13/36

 Focus : Proxy
! Un serveur mandataire (Proxy) est un serveur intermédiaire
entre les ordinateurs d’un réseau local et l’internet public
! Il est surtout utilisé pour le protocole HTTP mais il peut être
utilisé pour d’autres protocoles (par exemple FTP)
! Dans le cas de HTTP, le serveur proxy est utilisé pour :
! Authentifier les utilisateurs
! Faire une translation d’adresses (NAT)
! Servir de cache
! Filtrage d’URLs (black list et/ou white list)
! Journalisation des accès aux sites

Attention, pour être

efficace, le proxy doit être
mis en coupure du réseau

Mars 2019 Sécurité des Architectures – V.1.5 14/36

 Focus : Reverse-proxy
! Un serveur de relai inverse (reverse-proxy) est un serveur
intermédiaire entre les ordinateurs voulant se connecter depuis
l’Internet et un ou plusieurs serveurs (notamment des serveurs
Webs) se trouvant sur un réseau interne
! Il est utilisé pour le protocole HTTP pour notamment :
! Authentifier les utilisateurs
! Filtrer les IPs « entrantes »
! Ré-écriture des URLs
! Servir de cache du serveur qu’il sert
! Répartition de la charge vers les différents
serveurs
! Compression des données
! Eventuellement, VPN SSL

Mars 2019 Sécurité des Architectures – V.1.5 15/36

 Focus : IDPS/IPS
! Un système de détection d’intrusion est un mécanisme
permettant d’écouter le trafic réseau de matière furtive afin de
repérer des activités anormales ou suspectes
! Il existe 2 types :
! IDS (système passif) : détection de l’intrusion et alerte
! IPS (système actif) : prévention de l’intrusion et alerte
! Ils interviennent à3 niveaux :
! NIDS/NIPS : sondes au niveau réseau
! HIDS/HIPS : sondes aux niveaux des serveurs et postes
! WIDS/WIPS : sondes au niveau wireless

Mars 2019 Sécurité des Architectures – V.1.5 16/36

 Focus : Radius
! Le protocole Radius (Remote Authentication Dial-In User
Service) est un protocole d’authentification
! Il fonctionne sur le principe client/serveur
! Le serveur permet de définir les accès d’utilisateurs distants
à un réseau
! Il repose sur un serveur relié à une base de données
d’identification (LDAP par exemple)
! Les transactions entre le serveur et le client sont entièrement
chiffrées

Mars 2019 Sécurité des Architectures – V.1.5 17/36

 Focus : LDAP
! LDAP (Lightweight Directory Access Protocol) est à l’origine
un protocole permettant l'interrogation et la modification des
services d'annuaire
! C’est désormais une norme pour les systèmes d'annuaires,
incluant :
! un modèle de données
! un modèle de nommage
! un modèle fonctionnel basé sur le protocole LDAP
! un modèle de sécurité
! un modèle de réplication

Mars 2019 Sécurité des Architectures – V.1.5 18/36

 Focus : Kerberos
! Le protocole Kerberos est un protocole d’authentification
! Il fonctionne sur le principe client/serveur
! Le serveur permet de définir les accès d’utilisateurs distants à
un réseau mais également d’identifier des serveurs de
délivrement de tickets de service permettant de les autoriser à
accéder à des services réseaux
! Il repose sur un système de cryptographie à base de clés
secrètes (cryptographie symétrique)
! Ce système est utilisé dans les infrastructures Active Directory

Mars 2019 Sécurité des Architectures – V.1.5 19/36

 Focus : AD
! Active Directory (AD) est la mise en œuvre par Microsoft des
services d'annuaire LDAP pour Windows
! L'objectif principal d'Active Directory est de fournir des
services centralisés d'identification et d'authentification à un
réseau d'ordinateurs utilisant le système Windows
! Il permet également l'attribution et l'application de stratégies
de sécurité, la distribution de logiciels …
! Par rapport à un LDAP « classique », AD est un annuaire que
l’on pourrait qualifier de « technique »

Mars 2019 Sécurité des Architectures – V.1.5 20/36

 Stockage des données
! Serveur de fichiers « classique »
! Système d’Exploitation standard
! Capacité disque renforcée, interface SCSI

! NAS : Network Attach Storage

! Serveur de fichiers dédié avec baie de disques
sécurisée
! Système d’Exploitation spécialisé

! SAN : Storage Area Networks

! Sous-système de réseau indépendant du réseau
local Ethernet-IP
! Protocoles spécifiques

Mars 2019 Sécurité des Architectures – V.1.5 21/36

 Stockage des données (NAS)
! Network Attached Storage (NAS) : un stockage en réseau ou
NAS est un serveur de fichiers autonome, relié à un réseau dont
la principale fonction est le stockage de données en
un volume centralisé pour des clients réseau hétérogènes

Serveur NAS

Mars 2019 Sécurité des Architectures – V.1.5 22/36

 Stockage des données (NAS)
! Serveur de fichiers spécialisé
! Processeur, mémoire
! Système d’exploitation spécifique (base Windows ou Linux)

! Baie de disques rapides redondés (RAID)

! BUS interne SCSI, SAS et/ou SATA, (parfois Fiber Channel)
! Disques « hot swapable » de 250 Go à +100 To

! Entrées/sorties standards
! Interface réseau souvent Gigabit (cuivre 10/100/1000 et/ou
Fibre Optique
! Souvent interface SCSI externe

! Autres possibilités
! Connexion de baies supplémentaires, lecteurs de bandes
! Protocole transfert de données : NDMP « Network Data
Management Protocol »
! Protocoles/interfaces externes : Fiber Channel, iSCSI, ..
Mars 2019 Sécurité des Architectures – V.1.5 23/36
 Stockage des données (NAS)
! Supporte généralement de multiples protocoles
d’accès
! NFS, CIFS, …
! DFS, Appleshare, iSCSI, NETWARE, …
! HTTP, FTP, SSH, ...

! Souvent logiciels de supervision et/ou d’exploitation

! Gestion de la sauvegarde sur bande
! Gestion des clients
! Interconnexion avec d’autres NAS
! Permet parfois des sauvegardes par liaisons
chiffrées

Mars 2019 Sécurité des Architectures – V.1.5 24/36

 Stockage des données (SAN)
! Storage Area Network (SAN) : un réseau de stockage ou SAN
est un réseau spécialisé permettant de mutualiser des ressources
de stockage

Mars 2019 Sécurité des Architectures – V.1.5 25/36

 Stockage des données (SAN)
! Réseau dédié aux opérations de sauvegarde
! Réseau séparé du réseau local IP/Ethernet
! Protocole de réseau spécifique
! Interconnecte des équipements dédiés (par ex. des NAS)
! Passerelle avec IP (liaisons autres SAN et réseau local)
! Protocole principal : Fibre Channel
! Terme ambiguë : pas nécessairement sur de la F.O.
! Aussi utilisé comme protocole de BUS interne de baie de
disques
! Débits garantis 1, 2 , 4 ou 8-10 Gbit/s sur de longues
distances (F.O.)
! Faibles temps de latence
! Concurrencé par le protocole iSCSI
! Protocole au dessus de TCP
! Véhicule directement les commandes SCSI sur IP
! Utilise le réseau local standard (mais pas de bande passante
garantie)
Mars 2019 Sécurité des Architectures – V.1.5 26/36
 Stockage des données (NAS/SAN)
! Un SAN se différencie des autres systèmes de
stockage tel que le NAS par un accès bas niveau aux
disques durs. C’est également une mutualisation des
ressources de stockage
! Dans le cas du NAS, la ressource de stockage est
directement connectée au réseau IP de l'entreprise
! Dans le cas du SAN, les baies de
stockage n'apparaissent pas comme des volumes
partagés sur le réseau. Elles sont directement
accessibles en mode bloc par le système de fichiers
des serveurs. Chaque serveur voit l'espace disque
d'une baie SAN auquel il a accès comme son propre
disque dur
! Le SAN permet de séparer la représentation logique
du stockage des composants physiques réels
Mars 2019 Sécurité des Architectures – V.1.5 27/36
 Architectures de sauvegarde
! Eléments constitutifs
Politique de sauvegarde ! Les données à sauvegarder
! Les matériels où sont stockées ces données
! Agent de sauvegarde installé sur les matériels
! Les supports où sont sauvegardés les données
! La base de données des logs de sauvegarde
! Le matériel gérant ses supports
! Le serveur de sauvegarde
! Le logiciel de sauvegarde
! L’opérateur humain de sauvegarde
! L’opérateur humain d’externalisation
Mars 2019 Sécurité des Architectures – V.1.5 28/36
 Architectures de Haute Disponibilité
! La Haute Disponibilité correspond à l’ensemble des
dispositions visant à garantir la disponibilité d’un
service 24H/7J/365A

! Taux de disponibilité de 99,999% à 5 minutes

! La Haute Disponibilité doit s’effectuer au niveau :

! Disque durs (systèmes RAID)
! Réseaux (équipements, câblage …)
! Electrique (alimentations, chaine électrique,
TGBT …)
! Climatisation (équipements, technologie …)
! Serveurs et équipements critiques (AD, proxy,
messagerie, bases de données, métiers, firewall …)

Mars 2019 Sécurité des Architectures – V.1.5 29/36

 Architecture : Notion de zones
! Le principe de base pour sécuriser une architecture
à cloisonnement (réseau, applications...)
! Zone Externe : Toutes ressources non contrôlées
et non administrées par l'entreprise
! Zone Interne : Toutes ressources facilement
contrôlables et administrables par l'entreprise
! Ressources = serveur, poste, téléphone,
application, équipement réseau, périphériques,
donnée….
! Attention externe et interne ne sont pas des notions
forcément géographiques et la frontière entre les 2
peut-être floues (exemple : le portable d'un salarié)
Mars 2019 Sécurité des Architectures – V.1.5 30/36
 Architecture : Notion de DMZ
! Définition : signifie DeMilitarized Zone ou "zone démilitarisée",
c'est une zone qui n'est ni publique ni privée

Mars 2019 Sécurité des Architectures – V.1.5 31/36

 Architecture : Contrôle d'intégrité
! Le contrôle d'intégrité regroupe 2 notions bien
distinctes :

! Au niveau de l'OS et des applications à utilisation de

fonctions de hachage (MD5, SHA-1, SHA-256…) pour
vérifier que le système et les applications n'ont pas été
modifiés par un tiers

! Au niveau des machines à contrôle que la machine

(surtout les postes clients) est en phase avec la politique de
sécurité de l'entreprise : os à jour, antivirus à jour, firewall
personnel présent, pas de connexion réseau "sauvage"…
! Machine OK à @ IP fournie par le DHCP
! Machine NOK à @ IP de la zone de quarantaine

Mars 2019 Sécurité des Architectures – V.1.5 32/36

 Architecture : zone externe
! Pour avoir une protection efficace vis-à-vis de la
zone externe et dans les DMZ, il faut au minimum :
! Sécurité périmétrique à pare-feu, routeurs,
commutateurs…
! Sécurité du réseau : IDS/IPS, redondance des
équipements, OS des équipements à jour
! Serveurs à Antivirus à jour, contrôle d'intégrité, IDS/IPS,
durcissement de l'OS, journalisation et corrélation des logs,
clustering, redondance de l'alimentation, raid, OS à jour
! Sécurité messagerie : antivirus au niveau des boites
mails, antispam
! Proxy (serveur mandataire) à antivirus sur flux http,
filtrage d'Url
! Accès distants : VPN, authentification forte, contrôle
d'intégrité au niveau des postes
Mars 2019 Sécurité des Architectures – V.1.5 33/36
 Architecture : zone interne
! La zone interne doit également être protégée car
c'est de celle-ci que les dégâts les plus importants
sont issus :
! Sécurité du réseau : IDS/IPS, redondance des
équipements, étanchéité des différents Vlans, zone de
quarantaine, OS des équipements à jour
! Serveurs à Antivirus à jour, contrôle d'intégrité, IDS/IPS,
durcissement de l'OS, journalisation et corrélation des logs,
clustering, redondance de l'alimentation, raid, OS à jour,
corrélation de logs (serveurs, réseau,IDS/IPS…)
! Postes de travail fixe àAntivirus à jour, pare-feu
personnel, anti-spyware , OS à jour, pas d'accès direct à
internet
! Postes de travail nomade àAntivirus à jour, pare-feu
personnel, anti-spyware, authentification forte, chiffrement,
contrôle d'intégrité, OS à jour
Mars 2019 Sécurité des Architectures – V.1.5 34/36
 Architecture Sécurisée : synthèse

Mars 2019 Sécurité des Architectures – V.1.5 35/36

 Conclusion
! La mise en place d'une architecture sécurisée est très complexe car
elle oblige à installer un nombre important de composants et de
technologies à ATTENTION l'empilement de technologies n'est pas
suffisant, il faut une vrai organisation, une politique sécurité et des
procédures
! Pour éviter un certains nombres de problèmes, il faut rester dans les
standards et éviter d'installer des technologies trop innovantes
! Obligation de prendre en compte la problématique sécurité en amont
des projets à très fort impact sur l'architecture applicative, le
développement (écrire du code sécurisé), les coûts…
! Ne pas oublier que toutes ces solutions doivent être maintenues en
conditions opérationnelles
! Faire des audits réguliers par des sociétés externes
! De même ne pas oublier les bases de l'informatique : sauvegarde et
plan de secours
! La meilleur sécurité à c'est l'être humain à sensibilisation de tous
! Veille sécurité à "Se faire battre est excusable, se faire
surprendre est impardonnable"
Mars 2019 Sécurité des Architectures – V.1.5 36/36