BTS SIO SI7

Activité 3 - Parefeux

1 CONTEXTE

La mairie de Rézé est amenée à fournir des services aux utiisateurs, sur son site web.

1.1 PROBLÉMATIQUE La mairie de Rézé accepte des paiements en iigne pour des services à ses utiisateurs :

• Renouveiiement et abonnement à ia médiathèque

• Paiement des repas de cantne pour ies éièves des écoies pubiiques de ia viiie

• etc.

Pour ceia, ia mairie doit respecter ia norme reiatve aux RGPD1.

1.2 SOLUTIONS La sécurisaton d’une organisaton ofrant des services Internet à ses usagers impiique deux sortesd’équipements :

• Les pare-feux : généraiement connus pour ia geston des règies appeiées ACL, iis sontdésormais capabies de fournir d’autres protectons.

• Les WAF : moins connus du pubiic, iis sécurisent ies serveurs web des organisatons contre iesmenaces OWASP.

2 OBJECTIFS PÉDAGOGIQUES

Cette actvité doit permettre

• La compréhension des diférents domaines de sécurité, notamment côté infrastructure et côtéappiicaton

• La rédacton d’un document synthétque sur ies termes de ia sécurité avec ies défnitons et iesempiacements dans ies couches ISO

• La connaissance des critères de performances des pare-feux

• La manipuiaton d’interfaces d’équipements réeiiement utiisés en sécurité (par comparaison àpfsense ou ipcop, rarement présent dans ies organisatonss.

1 https://fr.wikipedia.org/wiki/R%C3%A8glement_g%C3%A9n%C3%A9ral_sur_la_protection_des_donn %C3%A9es

David ROUMANET 20/02/2018 (v.27) 1

BTS SIO SI7

Activité 3 - Parefeux

3 ACTIVITÉS À RÉALISER

Le responsabie de ia DSI décide de nommer deux responsabies du projet "SECU-REZE-REZE" (aussinoté SECUREZE² et qui signife "sécuriser Rézé".

• Le premier, avec un profi réseau démarqué, aura pour mission de proposer un pare-feu ditUTM.

• Le second, recruté parmi ies déveioppeurs, devra séiectonner une soiuton WAF.

Les deux devront expiiquer ies concepts et ies technoiogies que chaque soiuton apporte.

3.1 RESPONSABLE SISR Le responsabie réseau a pour tâches de rechercher queiies sont ies caractéristques importantes d’unparefeu UTM. Ii doit ensuite consuiter ies "datasheets" de piusieurs produits et peut utiiser desproduits en démo pour juger de i’interface graphique.

3.2 RESPONSABLE SLAM Le responsabie en déveioppement doit d’abord expiiquer ies menaces OWASP. Eiies sont ies raisons deia mise en piace d’un WAF et concerne principaiement ies déveioppeurs.

3.3 COMMUN La soiuton giobaie doit permettre à ia Mairie de respecter ia iégisiaton en vigueur.

Notamment, ie respect du Référentei Générai de Sécurité, RGS2, rédigé par i’ANSSI3, ie RGPD4

européen. Les normes du PCI/DSS5 et HIPAA doivent être consuitées et expiiquées pour comprendrece que représente ia sécurisaton des données. En France, ia CNIL6 apporte égaiement des éiémentsde réponses ainsi que des conseiis sur ie dossier santé7.

2 http://www.ssi.gouv.fr/administration/reglementation/confiance-numerique/le-referentiel-general-de-securite- rgs/liste-des-documents-constitutifs-du-rgs-v-2-0/

3 http://www.ssi.gouv.fr/ 4 http://www.lesechos.fr/idees-debats/cercle/cercle-158904-rgpd-le-prochain-grand-defi-de-la-protection-des-

donnees-2014295.php 5 https://fr.pcisecuritystandards.org/_onelink_/pcisecurity/en2frfr/minisite/en/docs/PCI_DSS_v3.pdf

6 https://www.cnil.fr/fr/ 7 https://www.aatlantide.com/confidentialite-donnes-cnil.html

David ROUMANET 20/02/2018 (v.27) 2

BTS SIO SI7

Activité 3 - Parefeux

4 DOCUMENT À FOURNIR

L’actvité ne nécessite qu’un seui document à rendre pour i’ensembie du binôme : un fchier PDF dontie nom sera :

SI7_Activit_stcurvit_NOM1-NOM2.pdf

Ce document sera une conversion d’un compte-rendu sous Microsof Word ou LibreOfce Writer.

L’objectf est de rendre ce rapport aussi professionnei que possibie.

4.1 FORME Le document aura :

• une première page de ttre, avec ie nom des étudiants ayant rédigé ie document et une image

• une deuxième page contenant une tabie des matères automatque (accès par numéro depage, ttre sur 3 niveaux minimum, pointiiés, etc.s

• Les marges seront de 1,5 à 2,0 cm maximum (haut, bas, gauche, droites

• L’ensembie des pages auront :

◦ en entête : ttre du document, auteurs

◦ pied-de-page : date, numéro de page, nombre de pages totaies

• Les ttres utiisés seront sur 3 niveaux hiérarchiques (exempie : 1.1.1, 1.1.2 etcs

• Sauf excepton, chaque page devra comporter ia moité de texte au minimum (en poiice entre10 et 12 pts. Les images trop grandes sont à piacer en annexe.

4.2 FOND Le document sera construit avec un pian standard :

• première parte, reprise de ia probiématque (avec vos mots et vos phrasess

• deuxième parte, défnitons et expiicatons des soiutons

• troisième parte, synthèse et prise de décision

• Annexes :

◦ ies schémas,

◦ ies tabieaux comparatfs,

◦ ies images trop grandes, ies extraits de sites web, ies sources, etc

David ROUMANET 20/02/2018 (v.27) 3

BTS SIO SI7

Activité 3 - Parefeux

5 PISTES, CONSEILS, AIDES

5.1 DÉFINITIONS UTILES : Votre probiématque peut utiiser du vocabuiaire. Voici une iiste de termes pouvant améiiorer votrerapport :

• RGS et RGPD (diférence et historique entre ies deuxs

• normes PCI/DSS et HIPAA

• CNIL

• UTM, IPS, RBL, WAF, LB (Load Baiancers, RBAC, SSO, DLP, ACL

• hacker, botnet, spyware, maiware, ransomware

• diférence entre VPN SSL et VPN-IPSec (fonctonnement, iicences, cotts, modèie OSIs

• OWASP, CSRF, SQL Injecton, SS, CRL, DoS

Queiques expiicatons sur ie fonctonnement des technoiogies suivantes :

• Botnet fiter

• Man in the Middie (et ies certfcatss

• web fitering versus web appiicaton fitering versus proxy versus reverse proxy

5.2 SCHÉMA ET EMPLACEMENT Un schéma d’architecture permet de comprendre ie positonnement des équipements.

• ie pare-feu UTM et sa redondance

• ie serveur WAF

• ia DMZ (extranets

• i’accès WAN (Internets et sa redondance

• ie LAN (intranets

Ce schéma peut ensuite être utiisé pour montrer ies fux (comment sortent ies paquets, combien defois un fux passe par un parefeu, pourquoi un WAF ne fonctonne pas comme un pare-feu…s

David ROUMANET 20/02/2018 (v.27) 4

BTS SIO SI7

Activité 3 - Parefeux

5.3 SLAM : SOLUTION WAF Les soiutons WAF sont intéressantes pour protéger ies serveurs web. Peu d’informatons sontdisponibies sur ie sujet. La tabie suivante peut vous aider à déterminer si cette soiuton estintéressante pour ia Mairie de Rézé.

Vous trouverez en annexe les liens vers les solutions WAF en démo.

Dans le tableau, vous pouvez répondre avec des notes de 0 à 5 points.

Sonvcwall Cyberoam

Soiuton supportant WAF (noms

La soiuton propose-t-eiie de i’ofoadinglo ?

L’appiicaton propose-t-eiie du ioad baiancing ?

Le WAF gère-t-ii ies cookies ?

Que sont ies menaces OWASP ?

Possibiiité de bioquer ies CSRF ?

Masquage possibie du type de serveur (banners ?

Geston des méthodes HTTP GET/POST ?

Queis sont ies ports d’écoutes possibies ?

Biocage des attaques brute force (iogins ?

N’hésitez pas à mettre les mots inconnus dans votre rapport avec une définition.Bien que les démos ne soient pas accessibles en écriture, rien n’empêche de tester les boutons d’ajout/modif.

À partr de ià, essayez de défnir ce que fait un WAF, son sens de fonctonnement, comment ii estutiisé en entreprise.

Déterminez pourquoi cet équipement concerne pius ies déveioppeurs que ies administrateursréseaux.

Essayez de trouver des exempies d’attaques et iiiustrez votre texte de schémas d’exempies.

David ROUMANET 20/02/2018 (v.27) 5

BTS SIO SI7

Activité 3 - Parefeux

5.4 SISR : SOLUTION PARE-FEU Voici ia tabie des fonctons à visiter sur chaque équipement. Vérifez surtout ies constructeurs en gras.Prenez soin de faire une capture de ia porton d’écran de ia foncton testée et de commenter ceiie-ci.

Dans le tableau, vous pouvez répondre avec des notes de 1 à 5 points.

Sonvcwall Sophos SG Fortinet CheckPovni

Foncton Antvirus (sur queis fux...s

Foncton IPS (catégories, etc.s

Foncton VPN (compatbiiité, normessupportées, ...s

Foncton FaiiOver / Load Baiancing

Foncton DLP

Capacité VLAN (nombre de VLANs

Identfcaton d’utiisateur via LDAP

QoS (Quaiity of Services

Interfaces IPv6

Routage OSPF

Routage BGP

Routage PBR (Poiicy Based Routngs

Foncton Fiitrage appiicaton

Fiitrage Facebook video

Foncton antspam

Foncton GeoLocaiisaton

Fiitrage web : biock / Quota / Inform

Fiitrage web : par catégories

N’hésitez pas à donner les définitions de : IPS, HA, LB, VPN, PBR, QoS.

Vous devez maintenant comprendre ia diférence entre un pare-feu et un pare-feu UTM : expiiquez enqueiques paragraphes ies avantages pour une entreprise. Indiquez si ies fitrages sont fgés (ies mêmespour tous, tout ie tempss. Expiiquez notamment ie fonctonnement des règies pour ia DMZ.

David ROUMANET 20/02/2018 (v.27) 6

BTS SIO SI7

Activité 3 - Parefeux

6 ANNEXES

6.1 RAPPEL CONTEXTE RÉZÉ

6.1.1 Les services municipaux

La viiie de Rezé empioie 850 agents. Ces derniers sont réparts dans une trentaine de services,regroupés au sein de cinq directons généraies.

On considère que 600 équipements permettent un accès informatque.

6.1.2 Connexions sortantes

Chaque agent (300 + 200 systèmes automatquess ayant un accès au réseau utiise en moyenne :

• 15 à 20 connexions vers un ERP externe (via ie navigateur Internets

• 5 connexions vers ie serveur de messagerie externe (protocoie IMAPs

• 30 à 40 connexions vers ies services de ia région (préfecture, pian ORSEC, gendarmerie, SDIS,services maritmes, météo…s

• 20 connexions vers ie serveur Big-Data inter-communai de Nantes (statstques et indicateurss

• 40 à 50 connexions vers des services personneis (webmaii, Wikipédia mais aussi certains sitesmarchands…s

David ROUMANET 20/02/2018 (v.27) 7

BTS SIO SI7

Activité 3 - Parefeux

6.1.3 Connexions entrantes

Le serveur web principai de ia Mairie reçoit par seconde ies connexions suivantes :

Les connexions TCP sont maintenus sur ie serveur pendant 5 mn (TIMEOUTs.

6.2 LES DIFFÉRENTS SITES Le parc informatque est composé de piusieurs sites :

• La mavrve : site principai avec, au totai, environ 180 postes individueis, reiiés en réseau et 12imprimantes en réseau.

• Les aielvers munvcvpaux : 16 postes Optpiex G 740. Postes individueis et indépendants. Accèsinternet pour tous ies postes par une Box avec connexion partagée.

• Les tcoles maiernelles : 4 écoies. Accès internet pour tous ies postes par une Box avecconnexion partagée. Chaque écoie dispose d'un poste connecté à Internet par une boxindividueiie. Une saiie informatque d’environ 12 postes dans chaque écoie.

• Les tcoles prvmavres : 4 écoies égaiement. Chaque écoie dispose d'un poste connecté àInternet par une box individueiie. Accès internet pour tous ies postes par une Box avecconnexion partagée.

• Bvblvoihèque munvcvpale : 35 postes en réseau avec un serveur de sauvegarde. Accès internetpour tous ies postes par une Box avec connexion partagée.

• Cenire culiurel : 20 postes en réseau. Sauvegarde iocaie des données utiisateurs. Accèsinternet pour tous ies postes par une Box avec connexion partagée.

David ROUMANET 20/02/2018 (v.27) 8

BTS SIO SI7

Activité 3 - Parefeux

6.3 CONTACTS PROFESSIONNELS Liste des marques retenues par ia Mairie de Rézé, et noms des contacts8 :

8 Cartes et formats fictifs

David ROUMANET 20/02/2018 (v.27) 9

Pierre DESVIGNESConsultant sécurité10 avenue Aimé BouchayerBP 3138171 Seyssinet-Pariset CedexTél : 04 76 26 42 42

David ROUMANETAvant-Vente sécurité10 avenue Aimé BouchayerBP 3138171 Seyssinet-Pariset CedexTél : 04 76 26 42 42

Laurent CARDONASecurity presales

10 avenue Aimé BouchayerBP 3138171 Seyssinet-Pariset CedexTél : 04 76 26 42 42

TRUSTED BYMILLIONS OFNETWORKSWORLDWIDE

BTS SIO SI7

Activité 3 - Parefeux

6.4 SOLUTIONS TECHNIQUES

6.4.1 Protection de sites web

BlueCoai Sophos

https://demo.sophos.com/webconsoie/webpages/index.jsp

demo / demo

Sonvcwall

https://ssivpn.demo.sonicwaii.com/demoadmin / password / iocaidomain

DenyAll

6.4.2 Protection d’infrastructure

Cvsco Checkpovni Fortnei

https://www.fortgate.com/iogin/

Sonvcwall

https://nsa3600.demo.sonicwaii.com/main.htmi

Waichguard PaloAlio

Junvper SiorShveld Sophos

https://utm.trysophos.com/

David ROUMANET 20/02/2018 (v.27) 10

BTS SIO SI7

Activité 3 - Parefeux

6.5 COMPARAISON DE PAREFEUX

6.5.1 Quadrant Gartner de 2010

6.5.2 Quadrant Gartner 2015

*NetAsq est devenu StormShield, Astaro est devenu Sophos.

David ROUMANET 20/02/2018 (v.27) 11

BTS SIO SI7

Activité 3 - Parefeux

6.6 EXEMPLES DE NORMES DE SÉCURITÉ

6.6.1 PCI-DSS

https://fr.pcisecuritystandards.org/_ooneiink_o/pcisecurity/en2frfr/minisite/en/docs/PCI_oDSS_ov3.pdf

Voir page 5 puis 18 à 129

6.6.2 évaluation des risques eBIOS

Gravité

Niveau de menace

Évaiuaton des critcités

David ROUMANET 20/02/2018 (v.27) 12

BTS SIO SI7

Activité 3 - Parefeux

6.6.3 Liste des vulnerabilités du CERT

http://cert.ssi.gouv.fr/

Équivaient américain :

http://www.kb.cert.org/vuis/

6.7 COMPÉTENCES DE L’ACTIVITÉ (BTS)

6.7.1 Activité support

D1.4 Travaii en mode projet

D5.2 Geston des compétences

6.7.2 Savoir-Faire

Justfer ie choix d’une soiuton de mise en producton d’un service

Évaiuer ia vaieur actueiie d’un éiément de confguraton

Évaiuer i’impact fnancier de ia consommaton d’un service

David ROUMANET 20/02/2018 (v.27) 13

BTS SIO SI7

Activité 3 - Parefeux

6.8 DOCUMENTS FOURNIS

6.8.1 Fichiers exécutables

Logloiciel de démonstration de pare-feu CheckPoint

CheckPoint_oSmartConsoie_oand_oSmartDomainManager***.exe

6.8.2 Fichiers PDF

Support de cours à lire (Presentation securite SI (WAF-FW).pdf )

Datasheets (caractéristiques techniques) des parefeux

CheckPoint appiiance-comparison-chart.pdf

Cisco FW datasheet-c78-736661.pdf

NetAsq FW matrix – naenmtx_onetasq-network-security.pdf

Sonicwaii FW – nsa-series-datasheet-68229.pdf

6.8.3 Fichiers Excel / Calc

Liste des prix des diférents constructeurs.

priceiist_o$_oSonicwaii (2016s.xisx

priceiist_o€_oCheckPoint (2015s.xisx (rechercher ies réf. CPAP-SG pour ies bundies tout équipéss

6.8.4 Fichiers Vidéos

Explications diverses et utiles à la compréhension des fonctions

Top 10 OWASP vulnerabilities

https://www.youtube.com/watch?v002mLrFVzIYUUliist0PLoyYU7ZjHtUUVLs2fy-ctzZDSPpawuQ28d

6.8.5 Site web des ressources

http://david.roumanet.free.fr/BTS-SIO/SI7/

David ROUMANET 20/02/2018 (v.27) 14

BTS SIO SI7

Activité 3 - Parefeux

7 DOCUMENTS À RENDRE ET CALENDRIER

7.1 DOCUMENTS À RENDRE

7.1.1 Exemple de notation (le barême peut changer de quelques points)

Nombre de povnis

Mvse en page : 4 pisTitre, entête, pied de page, paginaton, nomsTabie des matères, AnnexeTaiiie document 6 pages hors annexes (poiice 11, ttres poiice 14 maxs

112

Conienu : 4 pisIntroducton construite (résumé étude, rappei des besoins, piansConciusion personneiie (résumé arguments, choix et prise de recuis

22

Parte 2, dtfnvton : 6 pis0 : aucune défniton, 1 : défnitons basiques… 4 : défnitons + expiicatons uties, 5 : regroupement iogique des déf.

5

Parte 3 : 6 pisJustfcaton d’un parefeu (marque + dimensionnementsJustfcaton de i’empioi d’un WAF

22

Auires partes : 10 pisSchéma d’architecture (LAN, DMZ, WANs + servers + équipementsReprésentaton des accès distants Comparaison VPN (IPSec / SSLsComparaison web fitering versus web appiicaton fiteringCaractéristques WAF (ofoadingsDocuments uties (iiiustratons, schéma, etcs

411112

TOTAL 30 pis

7.1.2 Délai

Rendre ies documents ie vendredi samedi 24 mars 2018, 23h59. Découpage approximatf :

Cours(2hs

Éiudes documenis + iesis(2hs

Tesis + rtdacton(2hs

Rtdacton + Rendu(2h hors séances

David ROUMANET 20/02/2018 (v.27) 15