Download - Rapport Mir2
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 1/62
VORTECH MEDIA
01 décembre 2008 – 02 février 2009
Projet MIR
Étude sécurité
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 2/62
1
PROJET MIR : SECURITE
Sommaire
1 - INTRODUCTION N.O.S .................................................................................................... 5 I. SOLUTION WINDOWS : ................................................................................................. 5
1. ANNUAIRE NT ........................................................................................................ 52. ANNUAIRE ACTIVE DIRECTORY : .................................................................................. 5
2.1. LES AVANTAGES: ............................................................................................... 52.2. L’INCONVENIENT : ............................................................................................ 5
II. SOLUTION LINUX........................................................................................................ 6 1. SAMBA ................................................................................................................ 6
1.1. LES AVANTAGES : .............................................................................................. 61.2. LES INCONVENIENTS : ........................................................................................ 6
2. OPENLDAP ........................................................................................................... 62.1. LES AVANTAGES: ............................................................................................... 62.2. L’INCONVENIENT : ............................................................................................ 6
3. CHOIX DU N.O.S POUR LA SOLUTION LINUX : ................................................................. 6III. SOLUTION MIXTE : ...................................................................................................... 7
1. SAMBA.................................................................................................................. 71.1. LES AVANTAGES : .............................................................................................. 71.1. LES INCONVENIENTS : ........................................................................................ 7
2. CENTRIFY. ............................................................................................................. 72.1. LES AVANTAGES : .............................................................................................. 7
2.2. L’INCONVENIENT : ............................................................................................ 73. CHOIX DU N.O.S POUR LA SOLUTION MIXTE................................................................... 7
2 - ARCHITECTURE ANTI VIRUS .............................................................................................. 9 I. SOLUTION WINDOWS ET LINUX ...................................................................................... 9
1. LES SOLUTIONS ANTIVIRUS ......................................................................................... 92. MISE EN PLACE DE L’ANTIVIRUS KASPERSKY TOTAL SPACE.................................................. 11
2.1. PRESENTATION DES NIVEAUX DE PROTECTIONS ........................................................ 112.1.1. NIVEAU 1 : PROTECTION DES POSTES (WORK SPACE SECURITY) ............................. 11SPECIFICATION WINDOWS : ...................................................................................... 11SPECIFICATION LINUX : ........................................................................................... 11
AVANTAGE: ......................................................................................................... 112.1.2. NIVEAU 2 : PROTECTION DES SERVEURS DE FICHIERS (BUSINESS SPACE SECURITY) ....... 12SPECIFICATION WINDOWS : ...................................................................................... 12SPECIFICATION LINUX : ........................................................................................... 12AVANTAGE : ........................................................................................................ 122.1.3. NIVEAU 3 : PROTECTION DES SERVEURS DE MESSAGERIE (TOTAL SPACE SECURITY) ..... 122.1.4. NIVEAU 4 : PROTECTION DES PASSERELLES INTERNET (TOTAL SPACE SECURITY) ......... 13SPECIFICATION WINDOWS : ...................................................................................... 13AVANTAGE : ........................................................................................................ 13
II. COUTS DE LA SOLUTION KASPERSKY TOTAL SPACE SECURITY................................................. 14
3 - INFRASTRUCTURE A CLE PUBLIQUE .................................................................................... 15 I. INTRODUCTION........................................................................................................ 15
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 3/62
2
1. ROLE DE L’INFRASTRUCTURE A CLES PUBLIQUE............................................................... 152. COMPOSANTS DE L’ICP ........................................................................................... 153. LES CERTIFICATS : ................................................................................................. 164. OBJECTIFS : ......................................................................................................... 17
II. SOLUTION WINDOWS ................................................................................................ 17
1. ARCHITECTURE GLOBALE ........................................................................................ 182. CONCLUSION ....................................................................................................... 18
III. SOLUTION LINUX...................................................................................................... 19 IV. SOLUTION MIXTE................................................................................................... 19 4 - IMPLEMENTATION D’UN MUR PARE-FEU .............................................................................. 21 I. INTRODUCTION AUX PARE FEU : .................................................................................... 21
1. FONCTIONNEMENT D'UN SYSTEME PARE-FEU.................................................................. 221.1. LE FILTRAGE SIMPLE DE PAQUETS ......................................................................... 221.2. LE FILTRAGE DYNAMIQUE .................................................................................. 231.3. LE FILTRAGE APPLICATIF.................................................................................... 23
2. NOTION DE PARE-FEU PERSONNEL .............................................................................. 243. LES LIMITES DES FIREWALLS....................................................................................... 24
II. SOLUTION WINDOWS : ............................................................................................... 25 1. MICROSOFT ISA SERVER 2006. .................................................................................. 25
1.1. OBJECTIFS : ................................................................................................... 251.2. AVANTAGE : .................................................................................................. 26
III. SOLUTION LINUX : .................................................................................................... 26 1. IPCOP (DISTRIBUTION DEDIE) .................................................................................... 26
1.1. PRESENTATION : ............................................................................................. 261.2. OBJECTIFS : ................................................................................................... 27
1.3. AVANTAGE : .................................................................................................. 27IV. SOLUTION RETENUE ............................................................................................... 27 5 - RESEAU PRIVE VIRTUEL.................................................................................................. 28 I. INTRODUCTION AUX VPN. .......................................................................................... 28
1. CONNEXIONS VPN ................................................................................................ 292. CONNEXION VPN D'ACCES DISTANT............................................................................ 293. CONNEXION VPN DE SITE A SITE ................................................................................ 294. PROTOCOLES VPN ................................................................................................ 29
4.1. PPTP .......................................................................................................... 294.2. L2TP .......................................................................................................... 29
II. SOLUTION WINDOWS : ............................................................................................... 30 1. ISA SERVER .......................................................................................................... 301.1. PRESENTATION : ............................................................................................. 301.2. OBJECTIF : .................................................................................................... 301.3. AVANTAGE : .................................................................................................. 30
III. SOLUTION LINUX : .................................................................................................... 30 1. PFSENSE.............................................................................................................. 30
1.1. PRESENTATION : ............................................................................................. 301.2. OBJECTIF : .................................................................................................... 301.3. AVANTAGE : .................................................................................................. 30
IV. SOLUTION RETENUE ............................................................................................... 30 6 - SECURITE DES ACCES INTERNET ........................................................................................ 31 I. INTRODUCTION : ...................................................................................................... 31
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 4/62
3
1. MAIS QU’EST-CE QU’UN PROXY ?................................................................................ 31
2. OUVERTURE DE CONNEXION ET APPLICATION DES REGLES DE FILTRAGE : ................................ 32
3. SOLUTIONS PROPOSEES :......................................................................................... 33II. SOLUTION WINDOWS : ............................................................................................... 33 III. SOLUTION LINUX : .................................................................................................... 34
IV. SOLUTION MIXTE : ................................................................................................. 35 7 - PROJET DE RESEAU SANS FIL............................................................................................. 36 I. INTRODUCTION........................................................................................................ 36
1. PROBLEMATIQUE DES ACCES SANS FILS.......................................................................... 36
2. LES BASES D’UN SYSTEME DE CRYPTAGE ...................................................................... 37
2.1. WPA-PSK (TKIP) : ........................................................................................ 37
2.2. MAIS QU’ELLE DIFFERENCE AVEC WEP ? ............................................................... 38
2.3. WPA2-ENTREPRISE......................................................................................... 38
2.4. L’ AUTHENTIFICATION 802.1X: .............................................................................. 382.4.1. EAP-TLS : ............................................................................................. 392.4.2. EAP-TTLS : ........................................................................................... 392.4.3. EAP-PEAP : ........................................................................................... 39
II. SOLUTION LINUX...................................................................................................... 41 III. SOLUTION WINDOWS ................................................................................................ 41 IV. SOLUTION MIXTE .................................................................................................. 41 V. AUTHENTICATOR : .................................................................................................... 41 VI. CONCLUSION : ..................................................................................................... 42 8 – SECURISATION DES SERVICES INTERNES ACCESSIBLES VIA HTTP/HTTPS DEPUIS L’EXTERIEUR ............. 43 I. INTRODUCTION........................................................................................................ 43 II. SOLUTION WINDOWS : ............................................................................................... 45 III. SOLUTION LINUX : .................................................................................................... 45 IV. SOLUTION PROPOSEE : ............................................................................................ 46 9 - IDENTIFICATION UNIQUE ............................................................ ERREUR ! SIGNET NON DEFINI. 10 - GESTION DES MISES A JOURS DE SECURITE........................................................................... 52 I. LA SOLUTION WINDOWS. ........................................................................................... 52
1. PRESENTATION DES SOLUTIONS.................................................................................. 521.1. MICROSOFT UPDATE ....................................................................................... 521.2. WINDOWS SERVER UPDATE SERVICES (WSUS) ......................................................... 521.3. SYSTEM CENTER CONFIGURATION MANAGER 2007 (SCCM) ........................................ 53
2. LA SOLUTION RETENU............................................................................................. 53
3. DEPLOIEMENT DE LA SOLUTION WSUS ........................................................................ 543.1. LES DIFFERENTES ARCHITECTURES........................................................................ 54
3.1.1. L’ARCHITECTURE WSUS SIMPLE: .................................................................. 543.1.2. L’ARCHITECTURE WSUS CHAINES:................................................................ 543.1.3. L’ARCHITECTURE RESEAU DECONNECTE D'INTERNET: ......................................... 55
3.2. LE CHOIX DE L’ARCHITECTURE POUR LE CLIENT PASCAL ........................................... 553.2.1. LE RESEAU DECONNECTE D’INTERNET. .......................................................... 553.2.2. LE WSUS CHAINE. ................................................................................... 553.2.3. WSUS SIMPLE. ........................................................................................ 56
4. CONFIGURATIONS MATERIELLES ET LOGICIELS REQUIS. ..................................................... 56
4.1. CONFIGURATION LOGICIELLE REQUIS POUR WSUS 3.0 .................................................. 564.1.1. POUR LE SERVEUR :...................................................................................... 56
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 5/62
4
4.1.2. POUR LA CONSOLE D’ADMINISTRATION : ............................................................ 564.2. CONFIGURATION MATERIEL REQUIS POUR WSUS 3.0 ................................................... 56
4.2.1. POUR LE SERVEUR :...................................................................................... 56II. LA SOLUTION LINUX .................................................................................................. 57
1. LA SOLUTION APT ................................................................................................. 57
2. LA SOLUTION APT PROXY......................................................................................... 573. LA SOLUTION MIROIR LOCAL..................................................................................... 584. LE CHOIX DE LA SOLUTION POUR LE CLIENT PASCAL : ..................................................... 585. L’ARCHITECTURE :................................................................................................. 586. OUTIL DE MISE EN PLACE D’UN MIROIR LOCAL : .............................................................. 587. CONFIGURATION MATERIEL REQUIS ............................................................................ 59
III. LA SOLUTION MIXTE.................................................................................................. 59
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 6/62
5
1 - INTRODUCTION N.O.S
Guillaume Arsicaud
Objectif du N.O.S (Network Operating System) :Un système d’exploitation réseau (N.O.S) est un logiciel de gestion du réseau, du trafic, des files
d’attentes, des contrôles d’accès par de multiples utilisateurs aux ressources du réseau tel que des fichiers, et
fournie des fonctions administratives, incluant la sécurité.
Il existe différents Network Operating System (N.O.S) ou système d’exploitation réseau en français. Quelque soit
leur positionnement (Linux ou Windows) le but est le même, ils sont utilisés pour assurer le partage deressources communes (périphérique, fichier…). Par conséquent le terme réseau prend toute son importance, on
se positionne au niveau d’un ensemble.
I. Solution Windows :
1. Annuaire NT
Cet annuaire est encore utilisé dans une entreprise, pour des raisons historique. En effet l’installationd’un nouveau système d’exploitation réseau n’est plus envisageable sous NT mais généralement dans un
environnement Windows Active directory.
2. Annuaire Active directory :
2.1. Les avantages:
Dans une solution exclusivement Microsoft, il serait plus couteux de choisir un autre produit (comme« edirectory ») puisqu’une fois Windows serveur 2003 acheté Active directory est compris dans le
prix de la licence. Alors que si on choisit un autre produit, il faudra l’acheter ainsi qu’une licence
CAL par utilisateur. Ce qui apporte un cout supplémentaire.
D’un point de vue compatibilité, il est également recommandé d’utiliser un produit qui est entièrement
associable (Active directory étant développé par Microsoft). Ce qui permet d’avoir un système
d’information rationnel.
D’un point de vue sécurité, les stratégies de groupes sont un point fort d’Active Directory. Ils
permettent une configuration minutieuse au niveau des comptes utilisateurs ou des machines (pour parexemple paramétrer leurs mots de passe, leurs droits de connexion à certaines ressources en local, sur un
domaine, sur une forêt ou sur un ensemble de forêt.)
2.2. L’inconvénient :
On ne peut pas parler d’inconvénient sur la mise en œuvre d’Active directory sur un environnement
Microsoft. Cependant sur un aspect critique, sa mise en œuvre, l’étude de l’implémentation de cet annuaire est
complexe puisqu’il faut penser à son évolution (comment puis-je intégrer une nouvelle entreprise dans monschéma Active directory par exemple).
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 7/62
6
II. Solution LinuxVoici les principaux N.O.S linux :
1. SAMBA
SAMBA est une solution orientée mixte. En effet les utilisateurs Linux peuvent avoir accès auxressources du monde Microsoft et inversement (soit à des partages réseaux avec notion d’identités et de
domaine.)
1.1. Les avantages :
Son principal avantage est un faible cout d’un point de vue logiciel (en effet ce logiciel est gratuit, ainsi
que ses mises à jour).
C’est un outil très fiable (très stable).
Il simplifie l’administration des postes clients : il assure la transparence, d’un point de vu client sur
des serveurs de type Linux mais également Microsoft.
1.2. Les inconvénients : Malgré sa gratuité, l'installation et l'administration d'un serveur Linux SAMBA nécessitent des
compétences et il paraît peu raisonnable de confier cela à une personne non formée.
SAMBA ne permet pas d’émuler des applications Microsoft sur Linux et à l’inverse d’utiliser une
application Microsoft sur Linux en production, cela signifie que si le serveur de l'entreprise fait à la foisoffice de serveur de fichiers et de serveur d'applications, la solution Linux/Samba est inadaptée.
2. OpenLDAP
OPEN LDAP est considéré comme un N.O.S à la condition d’inclure de la sécurité (type Kerberos). En
effet la fonction première d’OPENLDAP est de fournir une base de gestion (dans notre cas des utilisateurs).
Kerberos permet d’ajouter une notion de sécurité, d’authentifications.
2.1. Les avantages:
C’est un outil de centralisation. De nombreuses applications sont capables d’interroger un même
annuaire LDAP comme un proxy (Squid), web (Apache), POP3, IMAP etc. Et les utilisateurs de cesservices s’authentifient une seule fois sur le réseau.
Des mécanismes de réplication entre des annuaires maitres et des réplicas permettent d’assurer un haut niveau de disponibilité.
C’est un logiciel gratuit et stable.
2.2. L’inconvénient :
Malgré sa gratuité, l'installation et l'administration d'un serveur Linux OpenLdap nécessitent descompétences et il paraît peu raisonnable de confier cela à une personne non formée.
3. Choix du N.O.S pour la solution linux :
OpenLDAP sera finalement retenu car contrairement à SAMBA il a été développé pour un systèmed’information purement Linux, de plus SAMBA est utilisé dans le cas d’un environnent mixte. L’utilisation de
SAMBA ou de OpenLdap n’est pas la même, les besoins ne sont pas les mêmes. On peut le vérifier carOpenLDAP permet de répondre à de nombreuse requêtes venant d’applications diverses comme cité
précédemment dans les avantages.
OpenLDAP est la solution qui répond le mieux aux besoins du cahier des charges. Il apporte unegestion centralisé des comptes et de la sécurité grâce à l’ajout du Kerberos.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 8/62
7
III. Solution Mixte :
1. Samba
1.1. Les avantages :
Son principal avantage est un faible cout d’un point de vue logiciel (en effet ce logiciel est gratuit, ainsique ses mises à jour).
C’est un outil très fiable (très stable).
Il simplifie l’administration des postes clients : il assure la transparence, d’un point de vu client sur
des serveurs de type Linux mais également Microsoft.
1.1. Les inconvénients :
Malgré sa gratuité, l'installation et l'administration d'un serveur Linux SAMBA nécessitent descompétences et il paraît peu raisonnable de confier cela à une personne non formée.
SAMBA ne permet pas d’émuler des applications Microsoft sur Linux et à l’inverse d’utiliser une
application Microsoft sur Linux en production, cela signifie que si le serveur de l'entreprise fait à la foisoffice de serveur de fichiers et de serveur d'applications, la solution Linux/Samba est inadaptée.
2. Centrify.
Centrify n’est pas un N.O.S mais un outil permettant d’intégrer grâce au composant Active directory lessystèmes Unix, Linux, Mac OS et bien sur Windows sur un domaine et de les faire cohabiter.
2.1. Les avantages :
Une solution très simple, qui permet d’administrer les utilisateurs Windows, Linux et Mac depuis unActive directory, permettant de centraliser l’administration.
Il est possible d’appliquer la règle du moindre privilège (permettant d’augmenter le niveau desécurité du système d’information).
Cet outil ne demande pas de compétence avancée Linux.
Il est possible d’utiliser les stratégies de groupes d’Active directory (propre à Microsoft) sur desmachines Linux
Le Sigle sign-on est intégré, l’utilisateur aura accès à de nombreuses ressources en fonction de ses
droits. L’utilisateur Linux qui se connecte à son compte sur l’annuaire active directory utilise le
Kerberos pour s’authentifier (il est possible d’ajouter un package pour créer une connexion SSH
renforcent ainsi la sécurité).
2.2. L’inconvénient :
Le Cout (350 euros par serveur et 44 euros par système d’exploitation (clients et serveurs).
Cette solution repose sur l’annuaire Active Directory (la présence d’un serveur Windows est donc
obligatoire).
3. Choix du N.O.S pour la solution Mixte
Centrify propose un produit offrant un réel intérêt, permettant de diminuer les couts d’administrations tout en apportant une réelle centralisation. Toutefois à un cout logiciel supérieur au coutde SAMBA.
Mais sur le long terme, SAMBA demande une personne formé et ayant de bonnes compétences surLINUX à la différence de Centrify. Donc le cout en ressource humaine est diminué par Centrify.
L’administration étant plus avancé sur l’outil de Centrify, l’équipe en charge du réseau sera plusefficace/productive et perdra moins de temps.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 9/62
8
Par conséquent l’outil de Centrify présente un réel intérêt autant pour le réseau, la sécurité, que d’un point devue financier, c’est donc ce produit qui sera retenu.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 10/62
9
2 - ARCHITECTURE ANTI VIRUS
Fabien Massot
Rappel du cahier des chargesL’objectif est de mettre en place une architecture d’installation d’un moteur d’antivirus pour l’ensemble
du système d’information en incluant la protection en temps réel et la protection de tout le système de stockage.
L’architecture prendra en compte le déploiement simplifié pour les équipements d’administration non seulement
des moteurs antivirus mais aussi des signatures antivirus.
Un antivirus est un logiciel spécialisé dans la lutte contre les virus informatiques. Il est généralementcomposé de deux modules : le moniteur (surveillance permanente) et le scanneur (analyse sur demande). Celogiciel est la base de la stratégie de sécurité d’une entreprise car il permet de protéger ses outils de travail commeles postes utilisateurs et les serveurs. Un antivirus doit être capable de bloquer ou d’éliminer rapidement toutesmenaces d’un système à partir de sa base de signature antivirale qui doit être mise en permanence à jour. Il estdonc important de choisir un antivirus dont les mises à jours sont fréquentes et disponible le weekend, périodependant la qu’elle l’entreprise est souvent sans défense. De nos jours, la majorité des antiviru s intègrent denouvelles fonctions de protection notamment les anti-malware (logiciel espion), anti-trojan (cheval de Troie quiouvre une porte dans un système informatique afin de laisser passer des virus) et anti-spam (publicité intempestivesur les boites mails) qui ont constitué près de 96% du trafic messagerie en 2007.
D’après l’étude de 2008 du CLUSIF sur la sécurité des systèmes informatique des entreprises en France,30% d’entres elles ont été victime d’attaque virale au cours de l’année 2008. Et c eux malgré le déploiement desolution d’antivirus dans 97% des cas.
Dans une architecture antivirus, il est important de recenser les points clés du système d’information à
protéger. Ses points clés sont :
La protection des postes utilisateurs contre les attaques interne et externe La protection des serveurs de fichiers et de messagerie La protection des accès Internet
I. Solution Windows et Linux
1. Les solutions Antivirus
Dans le monde de l’antivirus, il existe trois concepteurs majeurs Kaspersky, BitDefender et Symantec.Ces trois antivirus propose des solutions pour les entreprises toutes aussi complètes les unes que les autres.
Voici donc un comparatif des trois solutions d’antivirus.
Dans ce tableau, sont présenté les différentes solutions et leurs fonctionnalités principales.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 11/62
10
Antivirus Kaspersky
Total Space Security
BitDefender
Corporate Security
Symantec
Multi-tier Protection
Poste de travail
Serveur de fichiers
Serveur de messagerie
Passerelle Internet ×
Administration à distance
Le tableau suivant compare les environnements supportés par chacune des fonctionnalités de chaque antivirus.
Antivirus Kaspersky BitDefender Symantec Kaspersky BitDefender Symantec
Système Windows Linux
Poste de travail ×
Serveur de fichiers ×
Serveur demessagerie ×
Comparatif des protections assurées contre les différentes menaces :
Menaces Virus Trojan Vers Spyware Malware RootKit Spam Anti-
phishing
Kaspersky
BitDefender
Symantec
En conclusion de ce comparatif, l’antivirus Kaspersky Total Space Security semble être le plus complet.En effet, il s’intègre parfaite dans un environnement Windows où Linux. De plus, il protège chaque nœud duréseau informatique de l’entreprise, ce qui permet à celle-ci de disposer d’une protection optimale.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 12/62
11
2. Mise en place de l’antivirus Kaspersky Total Space
Pour une sécurité totale du système d’information de l’entreprise, nous recommandons la versionKaspersky Total Space Sécurity. Cette version intègre les trois versions précédentes c'est-à-dire Work SpaceSécurity, Business Space Security et Entreprise Space Security. Ce qui permet d’assurer la protection des postesde travail, des serveurs de fichiers, des serveurs de messageries et des passerelles Internet.
Kaspersky est un antivirus complet et très réactif que se soit dans un environnement Linux ou Windows,il assure une protection de tous les instants sur l’ensemble du système d’information.
Cet antivirus met donc en place quatre niveaux de protection.
2.1. Présentation des niveaux de protections
2.1.1. Niveau 1 : Protection des postes (Work Space Security)
Kaspersky Work Space Security assure la protection centralisée des postes de travail au sein duréseau d’entreprise ou distants. Le filtrage gère toutes les menaces actuelles d’Internet : virus, logiciels espions,piratage et spam. En contrôlant toutes les données en entrée ou en sorties (messagerie, trafic Internet etinteractions réseau) directement sur le poste de travail, Kaspersky Work Space Security assure la protection desutilisateurs fixes ou mobiles.
Spécification Windows :
Supporte les systèmes :98/ME/NT4/2000/XP et Vista
Supporte les core2duo d’Intel, fonctionnalitémultitâches
Pare-feu intégré Restauration des données endommagées Contrôle du trafic internet « à la volé »
Spécification Linux :
Supporte les distributions : RedHat, Fedora,Debian, Mandriva, Suse, Free BSD, OpenBSD
Dossier de sauvegarde des objets avant
traitement/suppression
Avantage:
Déploiement et administration centralisé via l’admin Kit de Kaspersky Configuration sur mesure de la politique de sécurité
Mise à jour automatique des bases antivirales des postes
Rapport graphique sur l’état de protection du système
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 13/62
12
2.1.2. Niveau 2 : Protection des serveurs de fichiers (Business
Space Security)
Kaspersky Business Space Security garantit une protection de haute qualité du capital d’information de
l’entreprise. Il agit comme une coupole protectrice des postes de travail et des serveurs de fichiers contre toute ssortes de virus, chevaux de Troie et vers. Il permet d’éviter les épidémies et préserve la sécurité et l’intégralitédes données pour les utilisateurs du réseau.
Spécification Windows :
Prévention des épidémies de virus Supporte les systèmes : 2000/2003/2008 en
version Standard/Entreprise/Storage/ Compatible système 32 et 64bits Blocage des postes infectés Programmation de la durée d’analyse Utilisation de la console MMC (Microsoft
Management Console) comme outil decontrôle principale
Spécification Linux :
Supporte les distributions : RedHat, Fedora,Debian, Mandriva, Suse, Free BSD, OpenBSD
Supporte le serveur de partage Samba2.2.7/3 et versions supérieures
Protection des partages de fichier du serveur
Samba en temps réel Notification des évènements (log) Gestion a distance via interface web (serveur
Samba)
Avantage :
Administration centralisé pour les systèmes Linux et Windows Mise à jour automatique des bases antivirales
Rapport graphique de l’état de protection
2.1.3. Niveau 3 : Protection des serveurs de messagerie (Total
Space Security)
Kaspersky Total Security disposes de l’application Kaspersky Mail Gateway. Cette application forme lasolution universelle pour la protection avancée des utilisateurs des services de messageries contres les virus et lescourriers indésirables. Mail Gateway est installée entre le pare-feu de l’entreprise et Internet, il recherche laprésence d’éventuels virus dans le courrier et assure un filtrage centralisé de flux de messagerie pour identifier lecourrier indésirable. Et ceux afin de protéger les serveurs de messageries de l’entreprise. Mail Gateway esttotalement compatible avec les serveurs de messageries Windows comme Exchange (v5.5/2000/2007) et Linux(SendMail/Qmail/PostFix/Exim). Cette application s’installe sur un système Linux. Nous recommandons aussil’installation de l’antivirus Kaspersky sur le serveur de mail en plus de Mail Gateway, afin de disposer d’uneprotection maximum pour les emails.
Serveur demessagerie
Kaspersky MailGateway
Pare-Feu
RouteurInternet
Internet
Kaspersky Mail Gateway
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 14/62
13
2.1.4. Niveau 4 : Protection des passerelles Internet (Total
Space Security)
Kaspersky Total Space Security permet de protéger les passerelles Internet de l’entreprise, afin de
disposer d’une protection optimale pour l’entreprise contre les attaques extérieures. L’antivirus protègera le réseau de l’entreprise des menaces transitant sur les protocoles http et ftp. Cette solution s’applique pour lespasserelles Internet de Windows et Linux.
Spécification Windows :
Supporte les systèmes :ISA 2000/2004/2006 en version standard etentreprise
Protection des serveurs en modeArray/Ferme/Cluster
Configuration de règle de groupes d’analyses
de données
Spécification Linux et autressystèmes:
Serveur Proxy Linux
Supporte les systèmes :RedHat/Fedora/Suse/Debian/Free BSB/Squid/Cisco Content Engine
Politique de sécurité de groupes
Sélection des paramètres de filtrage
Avantage :
Administration à distance via interface Web Analyse des fichiers archivés
Serveur demessagerie
Kaspersky MailGateway
Pare-FeuRouteurInternet
Internet
Protection des accès Internet
Serveur Proxyou
Serveur ISA
LAN
Accès à Internet de manière
sécurisée pour les utilisateursdu réseau de l’entreprise
Kaspersky Total Sécurity offre donc une protection complète et optimale pour l’entreprise, elle couvrel’ensemble des points importants du système informatique de celle-ci. De plus, les solutions Kaspersky sonttotalement compatibles avec les environnements Linux et Windows et peuvent très bien fonctionner en mêmetemps.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 15/62
14
Voici donc un schéma de l’installation type d’une solution Kaspersky Total Space Sécurity
Serveur demessagerie
KasperskyMail Gateway
Pare-FeuRouteur
InternetInternet
Solution Kaspersky Total Space Security
ServeurProxy
ouServeur ISA
LAN 1 LAN 2
WIFI
PC Portables
Serveurs defichiers
Admin KitKaspersky
II. Coûts de la solution Kaspersky Total Space SecurityLe coût de cette solution est basé sur le nombre de poste à équiper. Chaque serveur et poste de travail
compte pour un poste. Nous comptons donc un ensemble de 1032 poste (1000 postes et 32 serveurs). Le prix de
reviens par poste est de 36.50 euros après négociation avec notre partenaire Kaspersky.Le coût total est donc de : 37.668 euros
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 16/62
15
3 - INFRASTRUCTURE A CLE PUBLIQUE
Fabien Massot
Rappel du cahier des charges
Mise en place d’une infrastructure a clés publique de type exploitation, c'est -à-dire une architecturecomprenant une autorité racine et secondaire. Le déploiement et le renouvellement des certificats machines etutilisateurs doit se faire de la manière la plus simple voir automatique.
I. Introduction
1. Rôle de l’ infrastructure à clés publique
Une infrastructure à clés publique (ICP) est un ensemble de composant physique (ordinateur, carte àpuce etc..), de procédures humaines (vérification, validation), et de logiciels (système et application) en vue degérer le cycle de vie des certificats numériques ou électroniques.
Une infrastructure à clés publiques délivre donc un ensemble de services à ses utilisateurs, ses services sont lessuivants :
Enregistrement des utilisateurs (ou équipement informatique) Génération de certificats Renouvellement de certificats Révocation de certificats
Publication des certificats Publication des listes de révocation (comprenant la liste des certificats révoqués) Identification et authentification des utilisateurs (administrateurs ou utilisateurs qui accèdent à l'ICP) Archivage, séquestre et recouvrement des certificats (option)
Une infrastructure à clés publique délivre un certificat numérique. Certains de ses certificats permettentdes opérations de cryptographie, comme le chiffrement ou la signature numérique qui offrent les garantiessuivantes lors de transaction électroniques. Voici donc la sécurité assuré par les certificats.
Confidentialité : Seul le propriétaire et/ou le destinataire légitime d’une donnée auront une visionintelligible de celle-ci.
Authentification : Connaissance de l’émetteur ou de l’utilisateur d’une donnée.
Intégrité : Assure la non corruption des données par un tiers lors d’un échange. Non-répudiation : L’auteur d’une donnée ne peut nier en être l’auteur.
L’ICP permet l'obtention de ces garanties par l'application de processus de vérification d'identité rigoureux e t parla mise en œuvre de solutions cryptographiques fiables, conditions indispensables à la production et à la gestiondes certificats électroniques.
2. Composants de l ’ ICP
Cette infrastructure se distingue par quatre entités distinctes, chaque entité à un rôle particulier et quis’enchaine dans un ordre bien précis.
Les entités composant une infrastructure à clés publique sont :
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 17/62
16
Autorité de certification (AC): Signe les demandes de certificats (CSR : Certificate Signing Request) et leslistes de révocation (CRL : Certificates Revocation List). Cette autorité est la plus importante car c’est elle quiautorise les demande de certificat des postes ou des utilisateurs et signe les révocations. Elle assure donc lecontrôle principale c'est-à-dire à qui je donne l’autorisation sur le réseau.
Autorité d’enregistrement (AE): Elle a pour mission de générer les certificats, et d'effectuer les vérifications
d'usage sur l'identité de l'utilisateur final (les certificats numériques sont nominatifs et uniques pour l'ensemble del'ICP).
Autorité de Dépôt (Repository ) : Elle a pour mission de stocker les certificats numériques ainsi que les listesde révocation (CRL).
Entité Finale (EE : End Entity) : L’utilisateur ou le système qui est le sujet d’un certificat.
Une cinquième entité peut être ajoutée à cette liste. En effet, en France on a l’obligation légale de fournir auxautorités un moyen de déchiffrement des données chiffrées pour un utilisateur de l’ICP. C'est là qu'intervient leSéquestre, cette entité a pour mission de stocker de façon sécurisée les clés de chiffrement qui ont été généréespar l'ICP, pour pouvoir les restaurer le cas échéant.
Autorité de Séquestre : Stock les clés de chiffrements des certificats délivrés.
3. Les certif icats :
Un certificat électronique est une donnée publique, qui contient selon la technique des clefs asymétriquesune clé privé à garder soigneusement et une clé publique à diffuser.
Un certificat numérique porte lui les caractéristiques de son titulaire. Pour une personne, son pris en compte sonnom, prénom ou le nom de son entreprise. Pour une machine informatique l’URI (Uniform Ressource Identifier)sera pris en compte.
Le certificat numérique est donc, à l'échelle d'une organisation, un outil pour témoigner, de façon
électroniquement sûre, d'une identité.L'usage conjoint des clefs cryptographiques publiques (contenue dans le certificat) et privée (protégée parl'utilisateur, par exemple au sein d'une carte à puce), permet de disposer de fonctions de sécurité importante.
Schéma d’une inf rastructure à clés publique classique :
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 18/62
17
4. Objectifs :
L’échange d’informations non protégées à travers un réseau (aussi bien local qu’Internet) présenteaujourd’hui un risque majeur pour toute organisation : il est devenu vital d’empêcher toute tentative d’ ’écouteindiscrète ou d’usurpation d’identité.
C’est pourquoi il est devenu courant d’utiliser des certificats afin de prouver son identité et d’établir unecommunication sécurisé, donc par exemple afin de crypter des documents, d’authentifier des e-mails, de sécuriserdes communications via VPN ou WiFi, etc.
Ces certificats sont décernés par une autorité de certification, qui peut soit être une entreprise tierce, soit uneautorité interne. Dans le cas d’un service proposé au public, il est utile de p asser par une autorité tierce; mais dansle cas d’une infrastructure interne ou privée, il est tout à fait possible et intéressant de s’en passer et de déployersa propre autorité de certification.
II. Solution Windows
Windows Serveur 2008 permet le déploiement d’une infrastructure à clés publique, via le rôle Servicesde certificats Active Directory (appelé également Active Directory Certification Services ou AD CS).Ce rôle permet de concentrer en un même point l’autorité de certification ( AC), l’autorité d’enregistrement(AE) et l’autorité de dépôt (Repository). Ce qui permet une gestion centralisé de l’infrastructure a clé publique(ICP).
Une infrastructure de type exploitation requière une autorité racine et secondaire. Une autorité de certificationracine autonome constitue l’élément central de l’approbation. Elle sera utilisée pour délivrer des certificats àl’autorité de certification émettrice secondaire. En raison du rôle crucial qu’elle joue pour la sécurité del’infrastructure à clé publique (PKI), cette autorité de certification est hors connexion sauf s’il est nécessaire dedélivrer des certificats à l’autorité de certification secondaire
Nous déploierons donc une autorité de certification secondaire en mode entreprise ; dans ce mode, l’autorité de certification est intégrée à l’Active Directory. Ce mode sert en général pour les autorités qui décernenteffectivement des certificats (de façon automatisée), et doit donc être déployé sur des serveurs membres dudomaine et hautement disponibles.
Nous pouvons donc mettre en place un déploiement automatique des certificats machines et/ou utilisateur dudomaine Active Directory, et ainsi validé toutes les machines internes de l’entreprise pour sécurisé les échangesinterne et externe. Ce déploiement automatique des certificats se fera par l’application d’une GPO (Group PolicyObject) via la stratégie de groupe de Windows Serveur 2008.
Voici donc le schéma de l’infrastructure à clé publique sous Windows Serveur 2008 pour un site:
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 19/62
18
1: Demande decertificat utilisateur
via interface web
Autorité
secondaire(entreprise)
Autorité racine(autonome)
Annuaire ActiveDirectory
2: Reçois lademande decertificat del’utilisateur .
3: Recherche l’utilisateur
dans AD pour validé lademande de certification
5: Réception etinstallation du
certificat utilisateur
Client
enregistrerdans AD
X
Répondeur en
Ligne
Demande d ‘état de son
certificat
4: Valide lademande,génère etenvois lecertificat àl’utilisateur
Nous mettrons aussi en place le répondeur en ligne, ce serveur permet de rapidement répondre a une demanded’état d’un certificat. Ce moyen est beaucoup rapide et nécessite moins de bande passante que de généré une listede révocation de certificat (CRL) qui contient trop d’information souvent inutile pour simplement vérifier l’étatde validité d’un certificat.
1. Architecture Globale
Cette architecture nécessite donc l’installation d’une seule autorité de certification racine qui sera installésur le site d’Orsay dans le local technique de Ficus. Chaque site disposera de son autorité secondaire et d’unrépondeur en ligne dans son local technique principale. Cette répartition des serveurs secondaire et des
répondeurs en ligne permet de réduire le trafic sur les liaisons inter-site et ainsi permet une gestion des certificatspar site.
Pour cette solution sont requis comme matériel :
Matériel Quantité Prix total
Windows Serveur 2008
Entreprise
3500 euros / serveur
Soit 3500 *10 pour 10 serveurs
35000 euros
Serveurs HP Proliant DL320 9 *950 8550 euros
Total 43550 euros
2. Conclusion
Cette solution pour l’environnement Windows a été retenue pour sa simplicité et son intégration totale
avec l’annuaire Active Directory, ce qui permet un déploiement automatique des certificats et une
authentification plus forte et sécurisé pour l’entreprise. De plus cette solution répond parfaitement au cahier descharges. Désormais, cette infrastructure à clés publique forme une base de sécurisation et d’authentification forte
des utilisateurs. Elle peut servir pour un serveur Radius pour les clients Wifi , de base d’authentification pour les
serveurs de fichier et/ou serveurs web, ainsi que la protection de la messagerie par l’envoie de mail crypté grâceaux certificats.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 20/62
19
III. Solution Linux
Il existe bon nombre de solution d’infrastructure à clés publique pour l’environnement Linux/Unix,
mais beaucoup sont des projets Open source gérer par une communauté de développeur particulier. Beaucoup de
ses projets ont été abandonnés en cours de développement de part leur faible utilisation et leur faibleperformance. Mais certain projet libre ont réussit et son devenues des solutions alternative performante. Parmi,c’est projet se trouve OpenCA, EJBCA qui sont des solutions libre de ICP pour entreprise. Il existe aussi dessolutions payantes telles qu’OpenTrust qui est un des leaders des ICP pour les grandes entreprises. OpenTrustest une solution qui s’intègre aux environnements Linux que Windows, néanmoins sont coût étant très élevé ce
produit s’adresse plus particulièrement aux grosses multinationales. Nous choisirons donc une solution libre doncla reconnaissance est importante dans le monde Linux. EJBCA est la solution la plus complète et qui répond auxattentes du cahier des charges. De plus, elle est mieux reconnue que son concurrent OpenCA et supportebeaucoup de distribution Linux.
EJBCA fonctionne sur le même principe que Windows serveur 2008 et son rôle Services de certificats Active
Directory, il permet de centralisé ou de décentralisé les entités d’une infrastructure a clés publique ; a savoirl’autorité de certification, l’autorité d’enregistrement et l’autorité de dépôts. Cette solution s’appuis elle aussi sur
un annuaire d’entreprise sous la norme LDAP. Son architecture est similaire à celle proposé pour la solutionWindows. La différence est que les autorités secondaires n’existent pas sur EJBCA, mais elle dispose toute fois du
répondeur en ligne basé sur le protocole OCSP (Online Certificate Status Protocol) pour vérifier l’état de validité
d’un certificat. Et tout comme Windows Serveur 2008, cette solution permet un déploiement des certificatsautomatique ou par demande de l’utilisateur via une interface web.
EJBCA permet aussi les échanges sécurisé via IPSEC en supportant OpenVPN, tous les algorithmes de cryptageet hachage les plus utilisés sont compris (SHA1, MD5, RSA). De plus, il supporte l’authentification et la
publication de certificat Windows.
Pour cette solution sont requis comme matériel :
Matériel Quantité Prix total
Serveurs HP Proliant DL320 9 *950 8550 euros
EJBCA PKI Entreprise ----- Gratuit (licence LGPL)
Total 8550 euros
IV. Solution mixtePour une solution mixte intégrant des postes Linux et Windows, nous préconisons la solution Windows
précédemment développé avec l’intégration des postes Linux dans l’annuaire Active Directory. Pour intégrer des
postes Linux dans un domaine et un annuaire Active Directory nous recommandons l’utilisation de Centrify. Celogiciel s’installe sur la majorité des grandes distributions linux et permet une interaction total entre les
environnements Linux et Windows. En effet, il permet d’inscrire les postes Linux dans l’annuaire Active
Directory, d’appliquer les GPO Windows ou de créer des GPO spécifique aux postes linux. Désormais tous les
postes Linux feront parties intégrante de votre environnement Windows.
Ce qui permet donc d’utiliser la solution d’infrastructure à clés publique Windows puisque celle-ci est beaucoup
complète et facile à administrer que ne l’est EJBCA. L’architecture de cette solution mixte sera donc
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 21/62
20
exactement la même que pour l’environnement Windows, seul les postes Linux s’implémenterons dans cettearchitecture.
Pour cette solution sont requis comme matériel :
Matériel Quantité Prix total
Windows Serveur 2008
Entreprise
3500 euros / serveur
Soit 3500 *10 pour 10 serveurs
35000 euros
Serveurs HP Proliant DL320 9 *950 8550 euros
Likewise Entreprise Workstation 100 postes linux * 50 euros 5000 euros
Total 48500 euros
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 22/62
21
4 - IMPLEMENTATION D’UN MUR PARE-FEU
Anthony Olazabal
Rappel des besoins :Il est demandé d’implémenter un mur par feu pour protéger les différents réseaux du système informatique des
éventuelles attaques provenant du réseau Internet.
Les règles doivent uniquement autoriser les trafics utiles pour l’entreprise.
Cette solution doit permettre l’usage de filtres applicatifs afin de permettre l’accès direct à des applications situées
sur le réseau interne de l’entreprise.
I. Introduction aux pare feu :
Un firewall ou pare-feu est un dispositif physique (matériel) ou logique (logiciel) servant de système deprotection pour les ordinateurs de l’entreprise. Il peut également servir d'interface entre un ou plusieurs
réseaux d’entreprise afin de contrôler et éventuellement bloquer la circulation des données en analysant
les informations contenues dans les flux de données (cloisonnement réseau).
Firewall
DMZ
LAN
Chaque ordinateur connecté à internet (et d'une manière plus générale à n'importe quel réseau informatique) estsusceptible d'être victime d'une attaque d'un pirate informatique. La méthodologie généralement employée par lespirates informatiques consiste à scruter le réseau (en envoyant des paquets de données de manière aléatoire) à larecherche d'une machine connectée, puis à chercher une faille de sécurité afin de l'exploiter et d'accéder auxdonnées s'y trouvant.
Cette menace est d'autant plus grande que la machine est connectée en permanence à internet pour plusieursraisons :
- La machine cible est susceptible d'être connectée sans pour autant être surveillée ;
- La machine cible est généralement connectée avec une plus large bande passante ;- La machine cible ne change pas (ou peu) d'adresse IP.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 23/62
22
Ainsi, il est nécessaire, autant pour les réseaux d'entreprises que pour les internautes possédant une connexion detype câble ou ADSL, de se protéger des intrusions réseaux en installant un dispositif de protection.
Un pare-feu (appelé aussi coupe-feu, garde-barrière ou firewall en anglais), est donc un système permettant deprotéger un ordinateur ou un réseau d'ordinateurs des intrusions provenant d'un réseau tiers (notamment
internet). Le pare-feu est un système filtrant les paquets de données échangés avec le réseau, il s'agit ainsi d'unepasserelle filtrante comportant au minimum les interfaces réseau suivante :
- une interface pour le réseau à protéger (réseau interne)- une interface pour le réseau externe
Le système firewall est un système logiciel, reposant parfois sur un matériel réseau dédié, constituant unintermédiaire entre le réseau local (ou la machine locale) et un ou plusieurs réseaux externes. Il est possible demettre un système pare-feu sur n'importe quelle machine et avec n'importe quel système pourvu que :
La machine soit suffisamment puissante pour traiter le traffic, le système soit sécurisé, aucun autre service que leservice de filtrage de paquets ne fonctionne sur le serveur.
Dans le cas où le système pare-feu est fourni dans une boîte noire « clé en main », on utilise le termed'« appliance ».
1. Fonctionnement d'un système pare-feu
Un système pare-feu contient un ensemble de règles prédéfinies permettant :
- D'autoriser la connexion (allow)
- De bloquer la connexion (deny)
- De rejeter la demande de connexion sans avertir l'émetteur (drop).
L'ensemble de ces règles permet de mettre en oeuvre une méthode de filtrage dépendant de la politique desécurité adoptée par l'entité. On distingue habituellement deux types de politiques de sécurité permettant :
- soit d'autoriser uniquement les communications ayant été explicitement autorisées : "Tout ce qui n'estpas explicitement autorisé est interdit".
- soit d'empêcher les échanges qui ont été explicitement interdits.
La première méthode est sans nul doute la plus sûre, mais elle impose toutefois une définition précise et
contraignante des besoins en communication.
1.1. Le fi ltrage simple de paquets
Un système pare-feu fonctionne sur le principe du filtrage simple de paquets (en anglais « stateless packetfiltering »). Il analyse les en-têtes de chaque paquet de données (datagramme) échangé entre une machine duréseau interne et une machine extérieure.
Ainsi, les paquets de données échangées entre une machine du réseau extérieur et une machine du réseau internetransitent par le pare-feu et possèdent les en-têtes suivants, systématiquement analysés par le firewall :
- adresse IP de la machine émettrice ;- adresse IP de la machine réceptrice ;
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 24/62
23
- type de paquet (TCP, UDP, etc.) ;
- numéro de port (rappel: un port est un numéro associé à un service ou une application réseau).
Les adresses IP contenues dans les paquets permettent d'identifier la machine émettrice et la machine cible, tandis
que le type de paquet et le numéro de port donnent une indication sur le type de service utilisé.
Les ports reconnus (dont le numéro est compris entre 0 et 1023) sont associés à des services courants (les ports25 et 110 sont par exemple associés au courrier électronique, et le port 80 au Web). La plupart des dispositifspare-feu sont au minimum configurés de manière à filtrer les communications selon le port utilisé. Il estgénéralement conseillé de bloquer tous les ports qui ne sont pas indispensables (selon la politique de sécuritéretenue).
Le port 23 est par exemple souvent bloqué par défaut par les dispositifs pare-feu car il correspond au protocoleTelnet, permettant d'émuler un accès par terminal à une machine distante de manière à pouvoir exécuter descommandes à distance. Les données échangées par Telnet ne sont pas chiffrées, ce qui signifie qu'un individu est
susceptible d'écouter le réseau et de voler les éventuels mots de passe circulant en clair. Les administrateurs luipréfèrent généralement le protocole SSH, réputé sûr et fournissant les mêmes fonctionnalités que Telnet.
1.2. Le fi ltrage dynamique
Le filtrage simple de paquets ne s'attache qu'à examiner les paquets IP indépendamment les uns des autres, ce quicorrespond au niveau 3 du modèle OSI. Or, la plupart des connexions reposent sur le protocole TCP, qui gère lanotion de session, afin d'assurer le bon déroulement des échanges. D'autre part, de nombreux services (le FTP parexemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (c'est-à-dire de manièrealéatoire) un port afin d'établir une session entre la machine faisant office de serveur et la machine cliente.
Ainsi, il est impossible avec un filtrage simple de paquets de prévoir les ports à laisser passer ou à interdire. Pour yremédier, le système de filtrage dynamique de paquets est basé sur l'inspection des couches 3 et 4 du modèle OSI,permettant d'effectuer un suivi des transactions entre le client et le serveur. Le terme anglo-saxon est « statefulinspection » ou « stateful packet filtering », traduisez « filtrage de paquets avec état ».
Un dispositif pare-feu de type « stateful inspection » est ainsi capable d'assurer un suivi des échanges, c'est-à-direde tenir compte de l'état des anciens paquets pour appliquer les règles de filtrage. De cette manière, à partir dumoment où une machine autorisée initie une connexion à une machine situé de l'autre côté du pare-feu;l'ensemble des paquets transitant dans le cadre de cette connexion seront implicitement acceptés par le pare-feu.
Si le filtrage dynamique est plus performant que le filtrage de paquets basique, il ne protège pas pour autant del'exploitation des failles applicatives, liées aux vulnérabilités des applications. Or ces vulnérabilités représentent lapart la plus importante des risques en terme de sécurité.
1.3. Le fi ltrage applicatif
Le filtrage applicatif permet de filtrer les communications application par application. Le filtrage applicatif opèredonc au niveau 7 (couche application) du modèle OSI, contrairement au filtrage de paquets simple (niveau 4). Lefiltrage applicatif suppose donc une connaissance des protocoles utilisés par chaque application.
Le filtrage applicatif permet, comme son nom l'indique, de filtrer les communications application par application.
Le filtrage applicatif suppose donc une bonne connaissance des applications présentes sur le réseau, et notammentde la manière dont elle structure les données échangées (ports, etc.).
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 25/62
24
Un firewall effectuant un filtrage applicatif est appelé généralement « passerelle applicative » (ou « proxy »), car ilsert de relais entre deux réseaux en s'interposant et en effectuant une validation fine du contenu des paquetséchangés. Le proxy représente donc un intermédiaire entre les machines du réseau interne et le réseau externe,subissant les attaques à leur place. De plus, le filtrage applicatif permet la destruction des en-têtes précédant lemessage applicatif, ce qui permet de fournir un niveau de sécurité supplémentaire.
Il s'agit d'un dispositif performant, assurant une bonne protection du réseau, pour peu qu'il soit correctementadministré. En contrepartie, une analyse fine des données applicatives requiert une grande puissance de calcul etse traduit donc souvent par un ralentissement des communications, chaque paquet devant être finement analysé.
Par ailleurs, le proxy doit nécessairement être en mesure d'interpréter une vaste gamme de protocoles et deconnaître les failles afférentes pour être efficace.
Enfin, un tel système peut potentiellement comporter une vulnérabilité dans la mesure où il interprète lesrequêtes qui transitent par son biais. Ainsi, il est recommandé de dissocier le pare-feu (dynamique ou non) duproxy, afin de limiter les risques de compromission.
2. Notion de pare-feu personnel
Dans le cas où la zone protégée se limite à l'ordinateur sur lequel le firewall est installé on parle de firewallpersonnel (pare-feu personnel).
Ainsi, un firewall personnel permet de contrôler l'accès au réseau des applications installées sur la machine, etnotamment empêcher les attaques du type cheval de Troie, c'est-à-dire des programmes nuisibles ouvrant unebrèche dans le système afin de permettre une prise en main à distance de la machine par un pirate informatique.Le firewall personnel permet en effet de repérer et d'empêcher l'ouverture non sollicitée de la part d'applicationsnon autorisées à se connecter.
3. Les l imites des firewalls
Un système pare-feu n'offre bien évidemment pas une sécurité absolue, bien au contraire. Les firewalls n'offrentune protection que dans la mesure où l'ensemble des communications vers l'extérieur passe systématiquement parleur intermédiaire et qu'ils sont correctement configurés. Ainsi, les accès au réseau extérieur par contournementdu firewall sont autant de failles de sécurité. C'est notamment le cas des connexions effectuées à partir du réseauinterne à l'aide d'un modem ou de tout moyen de connexion échappant au contrôle du pare-feu.
De la même manière, l'introduction de supports de stockage provenant de l'extérieur sur des machines internes au
réseau ou bien d'ordinateurs portables peut porter fortement préjudice à la politique de sécurité globale.
Enfin, afin de garantir un niveau de protection maximal, il est nécessaire d'administrer le pare-feu et notammentde surveiller son journal d'activité afin d'être en mesure de détecter les tentatives d'intrusion et les anomalies. Parailleurs, il est recommandé d'effectuer une veille de sécurité (en s'abonnant aux alertes de sécurité des CERT parexemple) afin de modifier le paramétrage de son dispositif en fonction de la publication des alertes.
La mise en place d'un firewall doit donc se faire en accord avec une véritable politique de sécurité.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 26/62
25
II. Solution Windows :
1. Microsoft ISA Server 2006.
Microsoft Internet Security and Acceleration Server (ISA Server) 2006 est un serveur pare-feu
d’entreprise et de cache extensible pour le Web, compatible avec le système d’exploitationMicrosoft Windows 2003, offrant des fonctions de sécurité par stratégies, d’accélération et degestion des interconnexions de réseaux.
ISA Server présente deux modes étroitement intégrés : un serveur pare-feu multicouche et unserveur de cache pour le Web très performant. Le pare-feu assure le filtrage au niveau des couchesde paquets, de circuits et d’applications ; l’examen des états pour examiner les données traversant lepare-feu ; le contrôle de la stratégie d’accès et le routage du trafic. Le cache améliore la performancedu réseau et l’expérience de l’utilisateur final en stockant le contenu du Web fréquemmentdemandé. Les services de pare-feu et de cache peuvent être déployés séparément sur des serveursdédiés ou intégrés sur un même serveur.
Les outils de gestion sophistiqués simplifient la définition des stratégies, le routage du trafic, lapublication serveur et l’analyse.
ISA Server s’appuie sur la sécurité, l’annuaire, la connexion réseau privée virtuelle (VPN) et lecontrôle de la bande passante de Windows 2003. Qu’il soit déployé comme serveurs pare-feu et decache séparés ou en mode intégré, ISA Server est utilisé pour accroître la sécurité du réseau, mettreen œuvre une stratégie cohérente pour l’utilisation d’Internet, accélérer l’accès à Internet etoptimiser la productivité des employés dans les entreprises de toutes tailles.
ISA Server
DMZ
LAN
1.1. Objectifs :
Implémenter une solution firewall.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 27/62
26
1.2. Avantage :
En utilisant ISA Server nous bénéficions, entre autres, des fonctionnalités et des technologies suivantes :
- Pare-feu multicouche
- Examen des états- Prise en charge étendue d’applications - Réseau privé virtuel (VPN) intégré- Renforcement du système- Détection d’intrusion intégrée - Filtres d’applications intelligents - Transparence pour tous les clients- Authentification avancée- Publication sécurisée- Filtrage du contenu de la messagerie électronique- Inspection du trafic SSL (Secure Sockets Layer)
III. Solution Linux :
1. Ipcop (distribution dédié)
1.1. Présentation :
IPCop est un projet Open Source dont le but est d’obtenir une distribution Linuxcomplètement dédiée à la sécurité et aux services essentiels d'un réseau. Plus concrètement,IPCop va jouer le rôle d’intermédiaire entre un réseau considéré comme non sûr (Internet) etun réseau que l’on souhaite sécuriser (le réseau local par exemple), tout en fournissant desservices permettant la gestion et le suivi de celui-ci.
Développé initialement à partir du code source d’un projet similaire nommé SmoothWall, IPCop et celui-ci ont maintenant pris une orientation différente (cependant la procédured’installation des deux systèmes reste quasi identique, ce dossier pourra donc vous servir si vousle souhaitez à installer un serveur SmoothWall…).
La configuration des services via l’interface web d’administration fera quant à elle l’objet d’unfutur dossier.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 28/62
27
1.2. Objectifs :
Implémenter une solution firewall.
1.3. Avantage :
L’implémentation d’IPCOP apporte les avantages suivants :
Gratuité Services réseaux de base (DHCP, DNS, NTP, Proxy …) Service de détection d’intrusion
IV. Solution retenueLa solution la mieux adaptée à notre infrastructure est la solution Windows, elle permettra par la suite
une authentification unique pour l’accès aux ressources du réseau. Nous implémenterons donc ISA serveur dans la
configuration suivante :
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 29/62
28
5 - RESEAU PRIVE VIRTUEL
Anthony Olazabal
Rappel des besoins :Il est demandé de mettre en place un serveur de Réseaux Privés Virtuels. Les protocoles d’authentification
utiliseront une haute sécurité ainsi qu’un protocole de cryptage renforcé.
Les comptes d’utilisateurs pourront être pris dans l’annuaire de sécurité. La liaison entre le serveur VPN et
l’annuaire se fera au moyen du protocole radius.
I. Introduction aux VPN.
Serveur VPN
DMZ
LAN
Liaison Privée VirtuelUtilisateur
Un réseau privé virtuel (VPN) est l'extension d'un réseau privé qui englobe les liaisons sur des réseaux partagés oupublics, tels qu'Internet. Il permet d'échanger des données entre deux ordinateurs sur un réseau partagé oupublic, selon un mode qui émule une liaison privée point à point. La mise en réseau privé virtuel désigne lacréation et la configuration d'un réseau privé virtuel.
Pour émuler une liaison point à point, les données sont encapsulées, ou enrobées, à l'aide d'un en-tête quicontient les informations de routage pour leur permettre de traverser le réseau partagé ou public jusqu'à leurdestination finale. Pour émuler une liaison privée, les données sont cryptées à des fins de confidentialité. Lespaquets interceptés sur le réseau partagé ou public restent indéchiffrables sans clé de décryptage. La liaisonservant à l'encapsulation et au cryptage des données privées est une connexion VPN.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 30/62
29
Les connexions VPN permettent aux utilisateurs qui travaillent à domicile ou qui effectuent des déplacementsd'accéder à distance à un serveur d'entreprise par l'intermédiaire d'une infrastructure de réseau public, tellequ'Internet. Pour l'utilisateur, la connexion VPN est tout simplement une liaison point à point entre l'ordinateur(le client VPN) et un serveur d'entreprise (le serveur VPN). L'infrastructure exacte du réseau partagé ou public apeu d'importance dans la mesure où les données sont transmises de la même manière que sur une liaison privée
dédiée.
Les connexions VPN permettent également aux entreprises de disposer de connexions routées partagées avecd'autres entreprises sur un réseau public, tel qu'Internet, et de continuer à disposer de communicationssécurisées, pour relier, par exemple, des bureaux éloignés géographiquement. Une connexion VPN routée viaInternet fonctionne logiquement comme une liaison de réseau étendu (WAN) dédiée.
1. Connexions VPN
Il existe deux types de connexions VPN :
Connexion VPN d'accès distant
Connexion VPN de site à site
2. Connexion VPN d'accès distant
Un client d'accès distant établit une connexion VPN d'accès distant qui se connecte à un réseau privé.
3. Connexion VPN de site à site
Un routeur établit une connexion VPN de site à site qui relie deux segments d'un réseau privé.
4. Protocoles VPN
Deux protocoles VPN sont utilisés pour les connexions des clients itinérants :
Protocole PPTP (Point to Point Tunneling Protocol) Protocole L2TP (Layer Two Tunneling Protocol)
4.1. PPTP
Le protocole de réseau PPTP autorise le transfert sécurisé des données provenant d'un client distant vers unserveur privé en créant une connexion VPN entre des réseaux de données TCP/IP. Il prend en charge les réseauxprivés virtuels multi protocoles à la demande sur des réseaux publics, tels qu'Internet. Le protocole PPTP autorisele cryptage du trafic IP, puis son encapsulation dans un en-tête IP qui est envoyé sur un réseau d'entreprise ou unréseau public IP comme Internet.
4.2. L2TP
Le protocole L2TP est un protocole de tunnel Internet normalisé qui permet d'encapsuler l'envoi de cadres PPP(Point-to-Point Protocol) sur un média orienté paquet. Il permet le cryptage du trafic IP, puis son envoi sur unmédia prenant en charge la remise de datagrammes point à point comme IP. L'implémentation du protocole L2TPpar Microsoft fait appel au cryptage IPSec (Internet Protocol Security) pour protéger le flux de données entre leclient VPN et le serveur VPN. Le mode de tunnel IPSec autorise le cryptage des paquets IP, puis leurencapsulation dans un en-tête IP qui est envoyé sur un réseau d'entreprise ou un réseau public IP comme Internet.
Les connexions PPTP ne requièrent qu'une authentification au niveau de l'utilisateur via un protocoled'authentification PPP. Les connexions L2TP sur IPSec nécessitent le même niveau d'authentification avec, enplus, une au niveau de l'ordinateur à l'aide de certificats.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 31/62
30
II. Solution Windows :
1. ISA server
1.1. Présentation :
Microsoft Internet Security and Acceleration (ISA) Server fournit des fonctions de réseau privé virtuel (VPN,Virtual Private Network) sécurisé aux clients itinérants.
1.2. Objectif :
Fournir un service VPN pour les itinérants. Mettre en place des connexions VPN site à site.
1.3. Avantage :
lSA server intègre par défaut un puissant service fournissant aux itinérants la possibilité de se connecter demanière sécurisé au réseau de l’entreprise.
III. Solution Linux :
1. PFsense
1.1. Présentation :
PFsense n’est pas qu’une solution de pare feu, elle intègre aussi un serveur VPN gérant IPsec (IP
security). Ce serveur fournit le cryptage et l’authentification pour gérer les VPN. PFsense gère deux
types de VPN, le site à site et les accès distant de clients. Les VPN permettent de remplacerd’éventuelles autres solutions comme les liaisons louées spécialisées qui sont couteuses.
1.2.
Objectif :Fournir un service VPN pour les itinérants. Mettre en place des connexions VPN site à site.
1.3. Avantage :
Solution gratuite.
IV. Solution retenue
La solution retenue est l’utilisation d’ISA server pour la gestion des accès VPN. Le couple Firewall et
serveur VPN d’ISA serveur étant puissant et performant, et le mélange d’univers (Linux et Windows) n’est pas
conseillé, car certain problèmes de cohabitation et de failles de sécurité peuvent êtres problématiques.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 32/62
31
6 - SECURITE DES ACCES INTERNET
Nicolas Guillon
I. Introduction :L’un des points faibles d’une société est l’accès Internet. Etant un média libre, Internet propose de
multiples services pouvant être parfois dangereux pour une société. De plus certains protocoles peuvent remettreen cause la confidentialité des données. Par exemple un protocole de transfert de fichier par Internet (FTP) peuts’avérer néfaste pour une société. Le protocole Web utilisé est http et HTTPS pour les liaisons sécurisées.Cependant même ceux-ci peuvent être dangereux selon les sites consultés. Pour cela il existe des solutions defiltrage de protocoles pouvant ainsi autoriser l’accès aux FTP, ou http/HTTPS.
Le filtrage peut ainsi se faire selon le poste utilisé, c’est-à-dire qu’un poste client désigné pour un service
pourra connaitre des restrictions d’accès. Cette méthode de blocage est appelé Filtrage IP (adresse IP du poste).
Il serait alors possible pour un utilisateur de se connecter sur un autre poste ayant une restriction moinssévère et ainsi naviguer librement sur Internet.
Un autre système de filtrage permet, cette fois de créer des restrictions d’accès Internet en fonction du
profil de l’utilisateur en cours. Ainsi un même poste client peut avoir accès librement à Internet pour unutilisateur autorisé et avoir une règle de filtrage plus forte pour un utilisateur n’étant pas autorisé à naviguer sur
n’importe quels sites.
Cette dernière solutions est ainsi plus souples du fait d’un filtrage sur l’identité de l’utilisateur et non pas
par adresse IP, donc par poste. L’utilisateur se verra affecté de la même règle de filtrage sur n’importe quel postequ’il utilisera, ce qui n’est pas vrai avec un filtrage par IP.
Cependant pour un utilisateur ayant tous les droits de navigations sur Internet pourra connaitre quelquesrefus de connexion pour certains sites. Les sites sensibles ou jugé interdit par la société pourront être ainsirenseigné dans une black-liste ou liste noire. Cette liste sera alors assignés à tous les utilisateurs quelque soit leurprofil.
Rappel du cahier des charges :
Accès Internet selon profil de l’utilisateur Création de liste blanches (sites autorisés) et liste noires (sites interdits)Accès Internet selon des plages horaires.Le filtrage par profil est réalisé par un serveur mandataire (serveur proxy).
1. Mais qu’est -ce qu’un Proxy ?
Un proxy est un serveur d’accès Internet. Il gère les multi-connexions des utilisateurs sur une seuleinterface Internet. Ainsi lorsqu’un utilisateur souhaite se connecter à un site, il consultera le serveur proxy qui va
se charger de faire la requête vers le monde extérieur. Ainsi l’utilisateur ne sort jamais du réseau interne.
De plus le serveur mandataire accélère l’accès aux pages, car après consultation d’un site, le serveur
garde en cache les pages du site. Ainsi un utilisateur qui sollicitera plusieurs fois un même site dans la journéeconsultera le serveur proxy. Celui-ci va consulter son cache et comparer la version de sa page par rapport au site
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 33/62
32
Internet, si sa version est bonne alors le proxy donnera accès au site Web via son cache. Pour les requêtes nepouvant être résolus par le cache, le proxy les transférera vers le site Internet.
Tout ceci est totalement transparent pour un utilisateur.
2. Ouverture de connexion et appl icat ion des règles de f i l t rage :
Lorsqu’un utilisateur souhaite se connecter à un site Web, il passe par son Browser (Internet Explorer,
Mozilla…). Avant de taper l’adresse Web à consulter une page d’accueil l’invitera à entrer son login et mot de
passe de connexion. Ainsi le proxy va consulter sa base de données locale ou LDAP des utilisateurs puis appliquerles règles de filtrage à l’utilisateur correspondant. Cette manipulation est totalement transparente à l’utilisateur
qui entrera l’adresse qu’il souhaite consulter, les règles de filtrage établies par le proxy lui permettront ou non
d’accéder à sa requête.
Schéma simplifié d’ouverture de connexion Internet
Les règles de filtrages sont contenues dans une base de données locale au serveur proxy. Dans cette basesont contenu les ID des utilisateurs, les protocoles autorisés, la liste des sites autorisés ou non.
La liste des sites peut être une liste de sites interdits (black Liste) ou des sites autorisés (White Liste). Ladifférence se fait par une option à cocher sur le proxy afin de définir si la liste établie et un black liste ou une whiteliste. Cette option est importante et simplifie l’utilisation du proxy. En effet si un utilisateur se voit affecté d’une
règle de filtrage très stricte, il sera alors plus simple de définir les sites auxquels il sera autorisé à aller (car ilsseront moins nombreux que les sites refusés). Cette liste sera alors définit comme white Liste.
Dans l’autre cas, si un utilisateur est assez libre d’accès, il faudra alors lui définir une liste de sites
interdits (black liste) qui sera plus courtes que les sites autorisés.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 34/62
33
Voici un exemple de règles définit par un proxy ainsi que ces différentes tables.
ID Groupes
Utilisateurs
Règle de
filtrage
Black
Liste(B) ou
White
Liste(W)
Liste n°
12 2 B 2
15 1 W 1
Règles Accept Deny Listes Sites
1 http ; https ftp ;sftp 1 www.pagesjaunes.fr
www.meteo.fr
2 all 2 www.emulfrance.fr
www.torrent.com
3. Solut ions proposées :
Il existe plusieurs solutions toutes autant performantes et administrable facilement. La différence se joue
surtout sur le prix des solutions. La rapidité d’installations est tout de même plus rapide sous Windows que souslinux, qui demande plusieurs package et l’installation en plus d’une interface Web afin de configurer plus
aisément le système.
La solution sous Linux demande alors l’aide d’un technicien connaissant le fonctionnement d’un Linux
afin d’optimiser le temps d’installation.
II. Solution Windows :
OS : Windows Server 2003LDAP : Windows Server 2003Module : ISA Server
Cette solution est totalement orienté accès Internet. Elle permet de faire du filtrage avec le pare-feu etdes règles de proxy. Une gestion des utilisateurs via LDAP et RADIUS permet de créer des règles en fonction dulogin et mot de passe et/ou des groupes LDAP. Les autorisations peuvent se faire sur les protocoles demandés, lessites consultés.
La solution ainsi proposée est performante, est permet d’être intégrable dans un grand réseau ayant
plusieurs serveurs proxy. Cependant l’installation et l’administration n’est pas simple, il est alors nécessaired’avoir un technicien connaissant parfaitement le fonctionnement de ISA server ainsi que les termes de WindowsServeur avec les relations d’approbations et les notions de PDC (Primary Domain Controler).
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 35/62
34
L’intérêt de cette solution est la possibilité de gestion du dialogue proxy avec un serveur RADIUS.
III. Solution Linux :
OS : RedHatLDAP :OpenLDAP ou base SQLModules : Squid+SquidGuard+Webmin
La solution Linux ne propose pas une installation plus simple que sous Windows. Il sera nécessaired’installer plusieurs packages permettant de faire du Proxy ainsi que l’installation d’une interface Web avec
Webmin. Cette dernière permettra d’administrer plus aisément le serveur via une interface graphique accessible
par un navigateur web local.
L’installation complexe, les manipulations dans les fichiers de configurations peuvent s’avérer difficiles.Une fois cette étape passée, l’interface administration via un navigateur Web simplifie la gestion du serveur.
La base des utilisateurs peut être locale avec une base SQL ou par interrogation d’un serveur LDAP.
Cependant la configuration des utilisateurs dans le serveur proxy est nécessaire. A l’ouverture d’un navigateur, un
prompt demandera le login et le mot de passe de l’utilisateur. Le dialogue sera alors établi entre le serveur LDAPet le proxy. Cette première phase d’identification permet seulement de vérifier que l’utilisateur fait parti du
domaine. Le filtrage sera ensuite établi par le proxy qui utilisera le login de l’utilisateur envoyé précédemment.
Voici un exemple d’application d’une règle de filtrage possible sur un groupe d’utilisateur :
Groupe Règle de filtrage
Production Filtrage_Prod
Voici le détail des groupes créés dans la base du proxy :
Groupes (ID)
Production (12) Liste utilisateurs
User1
User2
User3
Administration (15) Liste utilisateurs
User4
User5
User6
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 36/62
35
Voici le détail de la règle de filtrage :
Nom règle
Filtrage_Prod Liste des sites
Le filtrage va ainsi s’appliquer sur un groupe d’utilisateurs.
IV. Solution mixte :
OS Proxy : RedhatLDAP : Windows Server 2003
Modules : Squid+SquidGuard+Webmin
Il n’existe pas de solution mixte à proprement parlé. En effet les solutions de proxy font parties
intégrante d’un simple et même système, ce qui inclut soit une solution totalement Linux ou Windows. Ladifférence est connue lors de l’intégration d’une authentification par LDAP, d’un domaine AD gérer par un
Windows Server.
Notre choix se portera sur une solution Microsoft entièrement. Le serveur ISA permet de regrouper tous lesfiltres d’accès pare-feu et proxy. Ainsi la gestion est simplifiée malgré une installation rigoureuse.L’administration demande une bonne compréhension de chaque option afin de ne pas laisser une faille de sécu rité.
Cependant cette solution permet de répondre parfaitement à la demande du client (gestion des listes d’accès,authentification) avec une multitude possibilité élevées.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 37/62
36
7 - PROJET DE RESEAU SANS FIL
Nicolas Guillon
I. IntroductionDe plus en plus d’entreprise souhaitent pouvoir accueillir des postes nomades sans pour autant
augmenter le nombre de prises réseaux. Pour cela le système sans fils comme le Wifi répond parfaitement àl’attente du client. Vous trouverez dans cette partie une étude des solutions sous Linux et Windows permettantd’implémenter une solution Wifi sécurisée.
Plusieurs systèmes de cryptage existent pour assurer la confidentialité des données. Cependant certainessont moins robustes et présentent des faiblesses à ne pas négliger.
Nous retrouvons parmi les protocoles de cryptages le :
WEPWPA-PSK (TKIP)WPA2-Entreprise.
Aujourd’hui nous connaissons les faiblesses des clés WEP qui peuvent être crackées en quelques minutes
de par la faiblesse de l’IV (vecteur d’initialisation) qui est transporté en clair et qui est utilisé pour le chiffrementdu texte. Il est concaténé avec la clé WEP. Ainsi avec le texte chiffré et l’IV il est possible de retrouver la clé.
Cette méthode de cryptage ne sera alors pas retenue.
Afin de comprendre le fonctionnement du système de cryptage que nous retiendrons (WPA-Entreprise)Voici une brève explication du système de clé WPA-PSK.
Rappel du cahier des charges
Prévoir une infrastructure d’accès au réseau sécurisé via un média sans fils.
1. Problématique des accès sans fi ls
Sans
filsConfidentialité Intégrité
Authentification
Contrôler et gérer
les droits d’accèsau réseau.
S’assurer de lanon modificationdes données entransit.
Protéger les donnéessur le réseau sansfils.
Rendre inaccessibleles données stockées
dans l’entreprise aux
personnes nonautorisés.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 38/62
37
De plus lors d’une connexion sans fils nous avons :
La présence de poste non maitrisé par les administrateurs du réseau.Rayonnement des ponts d’accès à l’extérieur. Plusieurs classes à gérer (Recherche, Production etc.).
Pour palier ces problèmes nous avons les solutions de cryptage des données ainsi que l’authentification
des usagers (802.1x).
La norme 802.1X met en jeu trois acteurs :« L’authenticator » : borne wifiLe « supplicant » : le poste sans filsLe serveur d’authentification : Radius + annuaire des utilisateurs.
Schéma simplifié des relations :
2. Les bases d’un système de cryptage
Afin de comprendre le fonctionnement du système de cryptage que nous retiendrons (WPA-Entreprise) jevais expliquer brièvement le système de clé WPA-PSK.
2.1. WPA-PSK (TKIP) :
Le système de cryptage de WPA-PSK (Pre-Shared Key) réside dans la clé partagée. Cette méthodedemeure plus robuste que WEP mais connait aussi des faiblesses.
Lors d’une demande d’association à une borne, le client s’annonce et la borne lui demande une
passphrase(PSK). Une fois la passphrase donnée, la borne wifi va créer un tunnel en WEP afin de donnerrapidement une clé temporaire (TKIP)(Temporal Key Integrity Protocol). Une fois l’échange terminé le tunnel
est fermé et le dialogue est établi avec un système de cryptage à l’aide de la clé échangé (TKIP)
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 39/62
38
Le tunnel ne demande pas d’avoir une haute sécurité, car il permet seulement d’échanger la clé se qui ne
prend que quelques secondes. Le crackage de la clé WEP est supérieur à celui de l’échange, de plus le nombre
d’IV permettant de la crackage est trop faible (<100 IV alors qu’il en faudrait au moins 35000 pour casser la clé).
2.2. Mais qu’elle différence avec WEP ?
La différence se joue surtout par la clé TKIP. En effet cette clé ne sert pas à crypter toutes les données,elle est renouvelée au bout d’un nombre définit d’échange. La borne wifi va ainsi établir une procédure derégénération de clé avant l’expiration de celle en cours. Lors de cet échange la nouvelle clé sera acheminée auclient via un tunnel crypté par une clé WEP. Suite à cela le dialogue sera crypté par la nouvelle clé TKIP.WPAajoute un système d’intégrité en utilisant en plus le protocole MIC.
Le problème de se système est la non répudiation et de se fait la sécurité. Avec un système par PSK tousles utilisateurs possèdent la même clé pré-partagé. L’inconvénient de ce système se mesure dans le cas d’un réseau
d’entreprise. En effet si plusieurs personnes souhaitent s’associer à une borne Wifi ceci engendrera un grand
nombre de demande d’association avec la même clé PSK envoyée. Il sera alors difficile de connaitre l’émetteur dela demande et surtout il sera plus facile d’obtenir une clé PSK et d’établir une connexion par un utilisateur
malveillant.
2.3. WPA2-Entreprise
Ce système est aujourd’hui celui le plus sécurisé pour un réseau sans fils d’entreprise.
S’appuyant sur un système de clé tournante (TKIP) l’échange de celle-ci ne se fait plus à l’aide d’une clé
préétabli (PSK) mais via une authentification de l’utilisateur. Ainsi chaque utilisateur possède un login et un mot
de passe, la non répudiation est ainsi levé, et le nombre de passphrase est considérablement réduit.
Le client envoie alors son login et son mot de passe, qui vont être réceptionné par la borne, celle-ci vaensuite envoyé les identifiants à un serveur dit Radius qui va contrôler les données envoyés. Le serveur Radiuspeut posséder sa propre base de données ou alors consulter un autre serveur de type LDAP afin d’augmenter la
sécurité. Ainsi si le serveur RADIUS est corrompu, la base ne le sera pas.
Une fois les données contrôlé le serveur RADIUS ouvre l’accès au réseau avec un système de chiffrement de type
AES sur 128 ou 256 bits. Ce type de chiffrement est le plus robuste connu. De plus le système TKIP est toujoursd’actualité avec WPA2-Entreprise.
2.4. L’authentification 802.1X:
La norme 802.1X utilise un protocole de transport d’authentification permettant le dialogue entre le
supplicant, l’authenticator et le serveur d’authentification. Le protocole de base utilisé est EAP. Celui-ci seranommé EAP over LAN entre le poste client et le serveur RADIUS, puis EAP in RADIUS entre le RADIUS et leserveur d’authentification, simplifié au protocole dit RADIUS (voir figure 1).
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 40/62
39
Figure 1 : couche 1 et 2 d’authentification.
FIGURE 1 SOURCE : HSC
Il est possible d’augmenter l’authentification à l’aide certificat. EAP évolue alors en :
EAP-TLSEAP-TTLSEAP-PEAP
Les certificats permettront ainsi de s’assurer des acteurs du dialogue.
2.4.1. EAP-TLS :
L’authentification est réalisé mutuellement (client et serveur) par des certificats électroniques.
2.4.2. EAP-TTLS :
Ici seul le serveur dispose d’un certificat, ainsi le client s’assure que le serveur qui répond est bien le
serveur de l’entreprise, tandis que l’utilisateur est authentifié par son login et mot de passe.
2.4.3. EAP-PEAP :
Nous avons le même principe de fonctionnement que EAP-TTLS cependant cette solution estpropriétaire Microsoft.
Le principe de EAP-TLS offre l’avantage de s’assurer du client voulant accéder aux ressources de
l’entreprise. Cependant cette méthode est lourde de part le fait que chaque utilisateur doit posséder un certificat
signé par une autorité de certification ou auto signée.
Si nous choisissons un schéma par autorité de certification il faut alors posséder un serveur decertification afin que chaque partie puisse dialoguer avec et s’assurer de la validité du certificat. Dans le cas de
certificat auto-signé il faut alors que chaque acteur du dialogue (supplicant-serveur) possède les certificats de l’un
et de l’autre.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 41/62
40
2.4.3.1. EAP-TLS sans autori té de cert i f icat ion :
2.4.3.2. EAP-TLS avec autori té de cert i f icat ion :
2.4.3.3. EAP-TTLS avec cert i f icat auto-signé :
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 42/62
41
Afin de simplifier la gestion des certificats et des utilisateurs il sera alors préférable d’utiliser EAP-TTLS.
II. Solution LinuxPré Requis :
OS : DebianRadius : Free Radius
Base de données : MYSQL ou OpenLDAP
La base de données MYSQL sera installée sur le serveur RADIUS tandis que le serveur Open LDAPrépond parfaitement à une architecture réseau d’entreprise. Afin de facilité l’administration du RADIUS nous
installerons le service WEBMIN qui permettre par interface web d’administrer le serveur.
Cette solution est totalement gratuite et performante.
III. Solution WindowsOS : Windows Server 2003 ou 2008.
Base de données : LDAP
Radius : IAS Windows server 2003 ou 2008
Cette solution est onéreuse mais présente une ergonomie et une facilité d’installation appréciable. Il estici possible d’avoir le serveur RADIUS sur le même serveur que le LDAP, cependant cette méthode est très
risqué, si le RADIUS présente une faille alors le serveur LDAP présente une faille de sécurit é. Nous avons alorsle choix de multiplié par deux le nombre de serveur (un serveur Windows pour Radius et un pour LDAP), d’où
la solution onéreuse.
IV. Solution MixteOS : Debian
Base de donnée LDAP sous Windows server 200x
Radius : Free Radius.
La solution mixte présente tous les avantages de chacun des environnements. Ainsi performance etsécurité sont liées avec un rapport qualité prix raisonnable. Nous opterons alors cette solution pour répondre aucahier des charges.
V. Authenticator :
Pour toutes les solutions évoquées, l’acteur majeur est la borne Wifi ( authenticator) qui fera la liaisonentre le monde filaire et sans fils. Voici un modèle de borne Cisco qui offre toutes les performances demandées(Protocole EAP-RADIUS, VLAN etc.)
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 43/62
42
1. DETAIL DES BORNES :
Le matériel que nous utiliserons pour les bornes sera de type CISCO Aironet minimum 1130AG.
Celles-ci présentent les caractéristiques suivantes :
Prend en compte les VLANSAdministrable par interface Web ou port console.Prise PoE (système d’alimentation électrique et réseau par la même interface) Accepte le trafic RADIUSFiltrage par adresse MACPossibilité de changer la polarité d’émission de la borne pour un meilleur recouvrement. Choix du canal d’émission.
En plus de ceci les bornes CISCO Aironet 1130AG peuvent ajouter une sécurité contre le type Fonéra.En effet il serait possible d’installer une borne Fonéra à la place d’une borne Cisco ou alors de brancher une
Fonéra sur une prise et partage la connexion. Afin de palier cela, CSICO à pis en place un système de brouillage,
ainsi chaque borne Cisco connait l’adresse mac des autres bornes Cisco, et si une borne vient émettre et que son
adresse mac n’est pas connu alors elle sera brouillé et ne pourra émettre.
Prévoir un switch PoE qui permettra de connecter les bornes Wifi au réseau et à l’alimentation
électrique.
VI. Conclusion :La solution retenue par notre société est la solution mixte. Un serveur radius sous Linux qui nous
permettra de configurer parfaitement les accès Wifi. Elle permet de répondre parfaitement au cahier des chargesavec les mêmes fonctionnalités qu’une solution payante. Cependant la gestion des utilisateurs sera réalisée via un
Active Directory et un annuaire LDAP de Windows Server. La gestion est centralisé et facilement administrable.Avec cette solution mixte nous diminuons les coûts sans pour autant négliger la sécurité ainsi que lesperformances.
Prix des solutions : ( A ne pas mettre dans la partie)
Licence Windows server 2003 : 5053,95 € 4 229,00 € HT
Redhat entreprise standart : 764,24 € (639,00 € HT)
Borne Cisco Aironet 1130AG : 439,40 € (367,39 € HT) x3 par batiment
Switch PoE 8 ports 10/100MPS LInksys : 269,10 € (225 € HT) x2
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 44/62
43
8 – SECURISATION DES SERVICES INTERNES
ACCESSIBLES VIA HTTP/HTTPS DEPUIS L’EXTERIEUR
Jean Labarussiat
Des sites et services web ainsi que des services ftp doivent être accessibles
depuis l’extérieur de l’entreprise.
Toutes les demandes d’accès mappés sur une adresse publique de
l’entreprise seront donc transférées et contrôlés vers le serveur concerné.
La publication de services sur le réseau interne (autre que le périmètre ou
DMZ) exigera une analyse du contenu du niveau applicatif.
I. Introduction
Afin de mettre à disposition des utilisateurs et/ou des clients certains services accessibles via
internet, nous utilisons le protocole HTTP. Par ailleurs, nous devons également envisager de leur
mettre à disposition un service FTP pour qu’ils puissent récupérer des fichiers.
A. HTTP et HTTPS
Le principe initial du protocole HTTP est de transférer du texte depuis un serveur vers un
client. Il peut fonctionner sur n’importe quelle connexion fiable et s’appui sur le protocole detransport TCP. Il fonctionne par défaut sur le port 80.
HTTPS, S pour sécuriser est la simple combinaison du protocole HTTP avec SSL ou TLS.
Il permet au visiteur de vérifier l'identité du site auquel il accède grâce à un certificat
d'authentification. Il garantit la confidentialité et l'intégrité des données envoyées par l'utilisateur
(notamment des informations entrées dans les formulaires) et reçues du serveur.
Il est généralement utilisé pour les transactions financières en ligne : commerce électronique,
banque en ligne, courtage en ligne, etc. Il est aussi utilisé pour la consultation de données privées,
comme les courriers électroniques par exemple.
B. FTP et FTPS
Le File Transfer Protocol (protocole de transfert de fichiers), ou FTP, est un protocole de
communication destiné à l'échange informatique de fichiers sur un réseau TCP/IP. Il permet, depuis
un ordinateur, de copier des fichiers vers un autre ordinateur du réseau, d'administrer un site web,
ou encore de supprimer ou de modifier des fichiers sur cet ordinateur.
La variante de FTP protégée par les protocoles SSL ou TLS (SSL étant le prédécesseur de TLS)
s'appelle FTPS.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 45/62
44
FTP obéit à un modèle client-serveur, c'est-à-dire qu'une des deux parties, le client, envoie
des requêtes auxquelles réagit l'autre, appelé serveur. En pratique, le serveur est un ordinateur sur
lequel fonctionne un logiciel lui-même appelé serveur FTP, qui rend public une arborescence de
fichiers similaire à un système de fichiers Unix. Pour accéder à un serveur FTP, on utilise un logiciel
client FTP (possédant une interface graphique ou en ligne de commande).
Le protocole, qui appartient à la couche session du modèle OSI et à la couche application du
modèle ARPA, utilise une connexion TCP. Il peut s'utiliser de deux façons différentes :
1) Mode actif: c'est le client FTP qui détermine le port de connexion à utiliser pour
permettre le transfert des données. Ainsi, pour que l'échange des données puisse se
faire, le serveur FTP initialisera la connexion de son port de données (port 20) vers le port
spécifié par le client. Le client devra alors configurer son pare-feu pour autoriser les
nouvelles connexions entrantes afin que l'échange des données se fasse. De plus, il peut
s'avérer problématique pour les utilisateurs essayant d'accéder à des serveurs FTP
lorsqu'ils sont derrière une passerelle NAT. Étant donnée la façon dont fonctionne leNAT, le serveur FTP lance la connexion de données en se connectant à l'adresse externe
de la passerelle NAT sur le port choisi. Certaines passerelles NAT n'ayant pas de
correspondance pour le paquet reçu dans la table d'état, le paquet sera ignoré et ne sera
pas délivré au client.
2) Mode passif : le serveur FTP détermine lui-même le port de connexion à utiliser pour
permettre le transfert des données (data connexion) et le communique au client. En cas
de présence d'un pare-feu devant le serveur, celui-ci devra être configuré pour autoriser
la connexion de données. L'avantage de ce mode, est que le serveur FTP n'initialise
aucune connexion. Ce mode fonctionne sans problèmes avec une passerelle NAT. Dans
les nouvelles implémentations, le client initialise et communique directement par le port
21 du serveur; cela permet de simplifier les configurations des pare-feu serveurs.
C. SSL
La connexion va être donc sécurisée avec un certificat créant ainsi un tunnel entre un tiers et
le serveur, ceci assurera uniquement l’intégrité des données transitant dans ce tunnel, pas
l’authenticité des hôtes d’extrémités.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 46/62
45
Pour sécuriser ces flux, il existe diverses solutions. Nous avons le choix de nous orienter vers
des outils propriétaires, l’univers open-source ou une implémentation mixte. Nous avons également
la possibilité d’opter pour des solutions logicielleset/ou matérielles.
D’une manière générale, nous fonctionneront sur les mêmes principes selon l’environnement
choisi, c’est-à-dire que nous proposons une solution sécurisé de services web et de firewall-proxy.
II. Solution Windows :
A. Serveur HTTP :
En plus de fournir un service de gestion des sites, IIS permet d’ajouter des règles de sécurité
sur chacun d’eux.
Avantage Inconvénient
- Grande simplicité d'installation et d'utilisation - Coût du support technique- Très gourmand en ressources matérielles
Il existe également des solutions tout-en-un telles que Wampp et Xampp qui sont en fait les
services apache, php et mysql pour Windows.
B. Serveur FTP :
Le service FTP est un composant Windows. Il est possible de l’installer indépendamment
d’autres fonctions.
III. Solution Linux :
A. Serveur HTTP :
De par sa prédominance dans l’univers des serveurs web, le service Apache peut être couplé
à SSL avec le principe du tunnel SSL.
Avantage Inconvénient
- Gratuité- Peu gourmand en ressources matérielles
- Excellente stabilité
- Installation et administration plus laborieuses(pas d'interface graphique)- Pas de support technique
Un autre serveur web cependant ressort du lot en ce moment et mérite d’être cité : lighttpd.
Sa rapidité vient du fait qu'il a une plus petite empreinte mémoire que d'autres serveurs HTTP ainsi
qu'une gestion intelligente de la charge CPU.
Beaucoup de langages, comme PHP, Perl, Ruby, Python sont supportés via FastCGI.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 47/62
46
Le principal désavantage de lighttpd face à son concurrent Apache est de ne pas supporter
les fichiers « .htaccess » : les directives ne sont évaluées qu'une seule fois, au démarrage du serveur,
et nécessitent de le redémarrer afin d'être prises en compte.
B. Serveur FTP :Il existe une multitude de solution FTP dans l’univers open-source, parmi celles-ci prédomine
ProFTPd, VsFTPd et Pure-FTPd. Leur différence réside surtout dans la manière de les configurer. Ils
possèdent tous les trois les mêmes fonctionnalités. La différence majeure réside dans la
documentation que l’on peut trouver sur les sites officiels et de là se démarque ProFTPd.
IV. Solution proposée :
Nous proposons de mettre en place l’architecture suivante :
A. Pourquoi cette solution ?
Celle-ci est découpée en 3 zones distinctes. C’est -à-dire que nous allons avoir une zone WAN
qui est la zone Internet non sécurisée, la zone DMZ qui se trouve dans vos locaux, où seront
regroupés les serveurs accessibles aussi bien depuis l’extérieur que du réseau local et enfin, la zone
LAN qui doit être la plus sécurisée de toute. C’est donc le choix le plus optimal pour avoir un niveau
de sécurité fort. Nous pouvons envisager une solution avec un firewall dit « 3 pattes » mais nous
dégraderons par la même occasion notre niveau de sécurité.
Concernant le choix d’une solution précise, tout dépend de l’orientation des autres éléments,
nous intègrerons une solution propriétaire dans le cas d’une installation propriétaire et une solution
open-source dans le cas contraire. Il vaut mieux rester cohérent dans la structure, il est plus facile de
gérer un parc homogène.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 48/62
47
B. Exemples de fonctionnement :
1) Les postes nomades se connectent via un navigateur web à une URL spéciale pour entrer
son login et mot de passe. Ceux-ci sont vérifiés auprès du serveur d’annuaire afin
d’authentifier l’utilisateur. Ainsi, il pourra avoir accès à divers services : FTP et webmail
notamment. Tous ces flux transitent par le proxy externe qui sera chargé de donner des
autorisations ou des interdictions de passage d’une zone à l’autre.
2) Les postes de travail interne ont besoin de s’authentifier le matin, le proxy interne fait le
relai vers le serveur d’annuaire. Les usagers souhaitent consulter leurs e-mails,
l’application cliente se connecte sur le serveur mail par l’intermédiaire du proxy. S’ils
souhaitent aller sur internet, les flux passeront par le proxy interne pour se connecter au
proxy interne et ainsi à internet en passant par la zone DMZ filtrante.
C. Que faut-il prévoir ?
Après avoir mis en place cette solution, un technicien sera nécessaire pour maintenir
l’annuaire. Lors de l’augmentation du personnel prévue, le technicien va être chargé de créer les
utilisateurs dans l’annuaire. Dans le cas de services web via HTTP ou FTP, il faut un technicien qui
gère les accès, les sites et les répertoires qui vont être accessibles depuis l’extérieur. Bien entendu, il
est possible de déléguer certaines de ces tâches à des chefs de services. Cela peut permettre
d’intégrer le personnel dans la politique de sécurité et ils se sentiront concerné par celle-ci.
D. Coût pour l’entreprise
Nous pouvons classifier les coûts dans deux grandes catégories :
Les coûts financiers et le temps de mise en œuvre. En ce qui concerne les coûts financier,nous les divisons en deux sous-catégories : fixe et variable. Ce qui va, en fait, nous donner le tableau
à double entrée suivant :
Windows Linux
Fixe
ISA Licence Windows IPcop Gratuit et libre
IIS Licence Windows Apache Gratuit et libre
FTP Licence Windows ProFTP Gratuit et libre
Frais d’installation de la solution par Vortech Media
Variables Salaire du technicien selon compétences
En ce qui concerne le temps de mise en œuvre d’une des solutions décrites plus hauts, nous
avons estimés la mise en production de tous les éléments de façon fonctionnelle à 2 jours :
installation et paramétrages des firewalls, des partages FTP et des services web.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 49/62
48
9 - IDENTIFICATION UNIQUE
Jean Labarussiat
Il est demandé que lorsqu’un utilisateur est connecté sur un poste client interne de l’entreprise, l’accès aux différents services (partages de fichiers,
sites web, …) ne nécessite pas de nouveau la saisie du compte utilisateur et
du mot de passe.
De plus, l’utilisateur situé à l’extérieur de l’entreprise pourra bénéficier du
même service : Il s’identifiera la première fois qu’il se connecter à un service
interne ? Par la suite, il bénéficiera de l’identification qu’il a fournie pour la
consultation d’autres services.
I. Introduction
A. Définition :
L’identification unique (ou authentification unique ; en anglais Single Sign-On ou SSO)
est une méthode permettant à un utilisateur de ne s’authentifier qu’une seule fois pour
accéder à plusieurs applications informatiques, sites web sécurisés, partages réseaux...
B. Objectifs : simplifier pour l'utilisateur la gestion de ses mots de passe : plus l'utilisateur doit
gérer de mots de passe, plus il aura tendance à utiliser des mots de passe identiques
ou simples à mémoriser ;
simplifier la gestion des données personnelles détenues par les différents services en
ligne, en les regroupant dans un méta-annuaire ;
simplifier la définition et la mise en œuvre de politiques de sécurité.
C. Avantage :
La réduction de la fatigue de mot de passe : manque de souplesse liée à l'utilisationde différentes combinaisons de nom d'utilisateur et de mot de passe.
La réduction du temps passé à saisir le même mot de passe pour le même compte.
La réduction du temps passé en support informatique pour des oublis de mots de
passe.
La centralisation des systèmes d'authentification.
La sécurisation à tous les niveaux d'entrée/de sortie/d'accès aux systèmes sans
sollicitation multiple des utilisateurs.
Les technologies fournissant SSO utilisent des serveurs centralisés d'authentification
que toutes les autres applications et systèmes utilisent pour l'authentification,
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 50/62
49
combinant ceci avec des techniques logicielles pour s'assurer que les utilisateurs
n'aient pas à entrer leurs identifiants plus d'une fois.
D. Inconvénient :
Comme SSO donne accès à de nombreuses ressources une fois l'utilisateurauthentifié, les pertes peuvent être importantes si une personne mal intentionnée a accès à
des informations d'identification des utilisateurs. Avec SSO, une attention particulière doit
donc être portée à ces informations et des méthodes d'authentification forte devraient être
combinées dans la mesure du possible.
E. Fonctionnement de l’authentification unique
Prenons l’exemple d’un utilisateur qui arrive en début de journée, se connecte à son poste. Il
ouvre à ce moment là le logiciel qui va s’occuper de lui fournir un ticket pour une durée de huit
heures maximum. Celle-ci se déroule en 6 étapes :
1) L’utilisateur demande un ticket d’authentification, le logiciel récupère ses identifiants de
connexion au domaine et les transfère ;
2) Le serveur « Kerberos » vérifie les informations auprès du serveur d’annuaire ;
3) Le serveur d’annuaire confirme l’exactitude des données fournies ;
4) Le serveur « Kerberos » fournit un ticket pour une durée prédéterminée ;
5) L’utilisateur peut consulter un site web déjà visiter auparavant pour lequel il a déjà rentré
des informations (ex : site de VPC) ;
6) Le serveur distant accepte la connexion de cet utilisateur.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 51/62
50
II. Solutions Windows
Dans le cas d’une solution propriétaire, nous utiliserons Active Directory pour servir
d’annuaire LDAP auquel nous implémenterons la fonction Kerberos. Cela permettra de pouvoir
stocker les informations personnelles des utilisateurs ainsi que de leur délivrer des tickets
d’authentification pour une durée choisie. Une fois ce ticket en leur « possession » ils vont pouvoir se
connecter aux différents services web qui leur sont accessibles.
III. Solutions Linux
Dans le cas d’une solution open-source nous installerons un serveur d’annuaire (OpenLDAP)
couplé avec Kerberos et le module PAM.
Pour une SSO à partir de l’extérieur, nous pouvons mettre en œuvre CAS (Central
Authentication Service) qui permettra aux utilisateurs d’avoir accès depuis chez eux aux services en
ne s’identifiant qu’une seule fois.
Avantage Inconvénient
CAS Echange de ticket via HTTPS
Interopérabilité avec lesystème d’authentification en
place (LDAP, Kerberos, NIS…)
Difficulté de mise en place etde gestion.
OpenLDAP + PAM + Kerberos Totalement libre et stable. Nécessite un technicienconfirmé pour maintenir lesystème.
IV. Solution Mixte
Il y a plusieurs solutions pouvant être implémentée à l’architecture de façon mixte. Nous
pouvons donc faire appel à OpenID qui est un service décentralisé de SSO, plutôt pour l’accès de
l’extérieur. Likewise qui permet d’appliquer des stratégies d’Active Directory sur des clients linux et
Macintosh (donc Unix) et qui gère un module SSO. Enfin un ensemble de solution Windows et Linux
interopérable.
Avantage Inconvénient
OpenID Plusieurs clients : java, php,python, ruby.
Peu de site adhérent à l’heure
actuelle.
Likewise Interopérabilité des systèmesd’exploitation
AD + Kerberos + Samba + PAM Puissance d’Active Directory Nécessite un technicienconfirmé pour la mise en placeet la gestion.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 52/62
51
V. Solution proposée :
La solution proposée va être exactement la même selon le type (propriétaire, open-source,
mixte) choisi. La seule différence va se trouver dans les produits utilisés.
Nous allons mettre en place un serveur d’annuaire couplé à un système Kerberos chargé de
délivrer des tickets pour un temps donné. Ceci va donc permettre aux utilisateurs de rentrer leurlogin/mot de passe une seule fois dans la journée, c’est ensuite le ticket délivré qui permettra de leur
accorder l’accès à tel ou tel service (web, partage réseau…).
Concernant le même système de SSO depuis l’extérieur, nous utiliserons CAS qui permet
donc aux utilisateurs d’avoir un accès SSO sur les différents services proposés.
A. Que faut-il prévoir ?
Après avoir mis en place cette solution, un technicien sera nécessaire pour maintenir
l’annuaire et l’ajout des utilisateurs. La solution ne nécessite pas de matériel et s’intègre en tantqu’application sur l’un des systèmes d’exploitation déjà en place.
B. Coût pour l’entreprise
Windows Linux
Fixe
AD Licence Windows OpenLDAP Gratuit et libre
Kerberos Licence Windows Kerberos Gratuit et libre
PAM Gratuit et libre
Frais d’installation de la solution par Vortech Media
Variables Salaire du technicien selon compétences
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 53/62
52
10 - GESTION DES MISES A JOURS DE SECURITE
Guillaume Arsicaud
Rappel des besoins :L'entreprise souhaite une solution de mise à jour automatique, de correctifs de sécurité sans que
l'utilisateur est à intervenir, tout en permettant aux administrateurs de valider ou non un correctif.
Pour les postes de travail, l'utilisateur ne doit pas pouvoir refuser la mise à jour, de plus tout doit êtreautomatique et le plus transparent possible pour celui-ci. Mais il doit avoir le choix de pouvoir redémarrer samachine lorsqu'il le souhaite (pour ne pas interrompre son travail).
Les serveurs qui peuvent être redémarré, doivent être programmés à certaines heures et ceux qui nedoivent pas être redémarré doivent être configurés à cet effet.
I. La Solution Windows.Windows propose 3 solutions de mise à jour qui sont :
Microsoft Update,
Windows server update services (WSUS),
System Center Configuration Manager 2007 (SCCM).
1. Presentation des solutions
1.1. Microsoft Update
La première solution est orienté particulier et utilisateur individuel. Cet outil permet de régler les misesà jour de façon automatique en sélectionnant le jour et l'heure. La seule contrainte est d'avoir l'ordinateur allumé.Mais elle ne permet pas la gestion d'un parc informatique (aucune gestion de déploiement), impossible de revenirsur une mise à jour, de plus chaque utilisateur doit se connecter à internet ce qui est consommateur de bandepassante.
1.2. Windows server update services (WSUS)
La seconde solution, WSUS est préconisé pour les petites/moyennes entreprises (une base de donnéesest nécessaire à son fonctionnement). Son but est de limiter l'utilisation de la bande passante vers Internet et des'assurer que les systèmes Windows possèdent les dernières mises à jour installées sur votre parc informatique, de
plus WSUS est gratuit. Ce service inclus une notion de reporting, permettant à l'administrateur d'être avertit dubon déroulement ou non de l'installation des mises à jours sur son parc informatique. Une interface graphique(MMC3), permet de gérer très simplement le ou les serveurs WSUS pour :
Récupérer les nouvelles mises à jour (des différents produits Microsoft) sur le site Microsoft ou sur unserveur de mise à jour de l'entreprise (une synchronisation manuel ou automatique est possible)
Dresser la liste d'approbation (se sont les mises à jour autorisé à être installées sur le parc informatique).
Créer des groupes de distribution des mises à jours (les postes ou serveurs peuvent être assignés à desgroupes de distribution grâce à la configuration de stratégie de groupe (GPO), à noter que le clientMicrosoft update doit être présent sur les postes clients). Une liste d'approbation peut également être
configurée en fonction d'un groupe.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 54/62
53
Il est possible d'ajouter le serveur proxy de l'entreprise pour que le serveur WSUS l'utilise lors de lasynchronisation.
La fonction SSL peut être paramétrée sur WSUS (par le biais d’IIS). Une architecture de clé privé, clé public est
nécessaire, toutefois ce processus permet d'assurer la confidentialité, l'intégrité et l'authentification de données
échangées entre notre serveur et celui de Microsoft1.3. System Center Configuration Manager 2007 (SCCM)
La dernière solution, SCCM (qui est la nouvelle version de System Manager Serveur (SMS) est préconisépour les moyennes/grandes entreprises. Elle reprend les fonctionnalités de mise à jour de WSUS (qui est un pré-requis pour l’installation de SCCM) et y ajoute une solution complète de gestion de parc, pour :
la collecte de l'inventaire matériel et logiciel ;
la distribution et l'installation d'applications logicielles ;
le fonctionnement avec le serveur de stratégie réseau Système d'exploitation Windows Server 2008 pour
empêcher les ordinateurs d'accéder au réseau s'ils ne satisfont pas à la configuration requise spécifiée, parexemple si certaines mises à jour de sécurité sont manquantes ;
le déploiement de systèmes d'exploitation ;
la définition de la configuration souhaitée pour un ou plusieurs ordinateurs dont la conformité serait
surveillée par la suite ;
le contrôle de l'utilisation des logiciels ;
la prise de contrôle à distance d'ordinateurs pour le dépannage.
Cette solution à un cout de 33 euros par poste client utilisateur / 125 euros par poste client serveur et
470 euros pour le serveur (prix établie sur référence du site Microsoft).
Cette solution est donc la plus élaborée mais également la plus longue à configurer. Pour ne citer qu’un
exemple il est possible de faire un inventaire du parc informatique et d’utiliser cette ressource pour en faire un
filtre lors de la mise à jour. Par exemple je peux spécifier que la dernière mise à jour proposée par Windows sefera exclusivement sur des machines ayant plus de 150mo d’espace disque libre (il est impossible d’effectuer cette
opération sur WSUS.)
2. La solution retenu
Nous retiendrons la solution WSUS pour les raisons suivantes :
Ce logiciel répond parfaitement aux attentes de l'entreprise. Les mises à jour sont distribuées sansintervention de l'utilisateur. L'administrateur aura préalablement validé ou non les mises à jours, qu'il peutaffecter à des groupes (contenant les postes utilisateurs), pour réunir les postes par système d'exploitation parexemple, lui permettant d'organiser et d'automatiser les taches au maximum. Ces groupes peuvent être organiséspour créer un groupe de test, pour tester la stabilité de nouvelles mises à jour avant d'être déployer sur l'ensembledu parc informatique.
L'utilisateur sera avertis de la mise à jour de son poste, sans que celui-ci puisse la stopper (même si il venait àredémarrer, la mise à jour s'effectuera de nouveau au démarrage).
Une option permet de ne pas redémarrer le poste après une mise à jour (dépend d’une GPO), ainsi l'utilisateur
qui éteint son poste en partant de son travail effectuera le redémarrage de la machine. Cette règle sera appliqué
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 55/62
54
aux serveurs qui ne doivent pas être redémarré (pour ceux qui acceptent d'être redémarre, cette même optionpeut être paramétré pour effectuer cette tache à une heure précise.)
La solution SCCM n'a pas été retenu car l'entreprise n'a pas besoin des services de gestion de dépannagecentralisée, de distribution de logiciels, d'audit du réseau etc. De plus cette solution est couteuse.
Microsoft Update n'est pas envisageable car il ne permet aucune administration, aucune vérification oupossibilité de revenir sur une mise à jour. Son utilisation est limitée pour l'utilisateur (de plus l'administrateur n'aaucun moyen de « forcer » un utilisateur à mettre à jour son poste. Par conséquent cette solution ne répond pasaux besoins de l'entreprise.)
3. Déploiement de la solution WSUS
3.1. Les différentes architectures
3.1.1. L’architecture WSUS simple:
o Méthode la plus simple: un serveur derrière le pare feu qui se met à jour directement
sur les serveurs de Microsoft Updateo Les mises à jour sont gérés par la console d’administration et déployées par le biais duclient de mises à jour automatique: il faut leur renseigner l'adresse du site web surlequel il pourra récupérer les correctifs
o Création d'un site web par défaut ou alors sur un site personnalisé (port 8530)
3.1.2. L’architecture WSUS chaînés:
o Deux catégories de serveur: les serveurs amont et aval, un serveur aval se met à joursur un serveur amont
o Un serveur amont ne doit jamais se synchroniser sur un serveur aval, cela créerai uneboucle fermée qui n'est pas supportée par le protocole de communication entre lesserveurs.
o Une authentification peut être demandée, dans un environnement Active Directory,
sur le serveur amont sur la base d'une liste définie de serveurs avals.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 56/62
55
o Microsoft recommande de ne pas dépasser un enchaînement de plus de trois serveursavals bien qu'en théorie aucune limite ne soit imposée par le protocole decommunication entre les serveurs. Par contre, aucun test supérieur à un enchaînementde plus de cinq serveurs n'a été réalisé par Microsoft.
3.1.3. L’architecture réseau déconnecté d'Internet:
o Si un segment de votre réseau n'est pas connecté à Internet, pour quelle que raison quece soit, il est possible d’exporter le contenu de la base de mises à jour, sur un media
physique, afin de les importer sur le serveur WSUS isolé.o Cette solution peut aussi être envisageable pour les entreprises ayant des liaisons
coûteuses ou une bande passante faible vers Internet
3.2. Le choix de l’architecture pour le client PASCAL
3.2.1. Le Réseau déconnecté d’Internet.
Il faut donc choisir la solution la plus adapté à la demande formulé dans le cahier des charges.Commençons par « le Réseau déconnecter d’Internet ». Ce choix ne serait pas judicieux car le client n’a pas
besoin de mettre un serveur WSUS à jour, de copier les données sur un disque dur externe ou sur une clé USB,pour ensuite mettre à jour un autre serveur WSUS à jour, puisque, tous les ordinateurs que se soient client ou
serveur auront accès au serveur local WSUS pour faire les mises à jour. Et donc on pourrait présenter cettesolution pour le cas d’une entreprise qui a deux réseaux. Un relié a Internet et un autre non relié a Internet et ces
deux réseaux ne communiquent pas entre eux. IL faut donc deux serveur WSUS, le premier pour récupérer lesmises à jour et les déployer sur le premier réseau et un seconde (qui n’est pas relié au premier et qui est donc
déconnecté d’Internet) pour communiquer les mises à jours par un média de type clé USB, disque dur externe.
3.2.2. le WSUS chaîné.
La seconde solution « le WSUS chainé » pourrait apparaitre comme la plus efficace pour le client Pascal.Nous avons 4 sites, qui sont reliés par des liens WAN. Mais cette solution serait consommateur de bande passantepour les liens WAN. Car il y aurait un serveur en amont sur le site principal d’Orsay par exemple et 3 serveurs en
aval qui se synchronisent sur ce site. Le problème est donc l’utilisation de lien WAN. Cette solution serait la plussimple à mettre en œuvre si un seul site est relié à internet.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 57/62
56
Le nombre d’utilisateur par site ne dépasse pas les recommandations Microsoft (qui sont de 500utilisateurs du service WSUS), par conséquent il n’est pas nécessaire d’avoir deux serveurs par site pour répondre
à la charge. Cette solution ne répond pas au mieux au cahier des charges.
3.2.3. WSUS simple.
Passons au « WSUS simple », qui est comme son nom l’indique la solution de «base », mais qui n’enreste pas moins la plus efficace pour le client car elle nécessite un serveur qui se met à jour grâce à Internet sur lesite Microsoft Windows Update et une console d’administration pour gérer le logiciel de descente des mises à
jour, du reporting… Les postes clients une fois configurés peuvent récupérer les mises à jour sur ce serveur local.
C’est donc cette solution qui sera implémenté. Chaque site sera indépendant, seule la connexion internet serasollicitée.
4. Configurations matérielles et logiciels requis.
4.1. Configuration logicielle requis pour WSUS 3.0
4.1.1. Pour le serveur :
Windows Server 2003 Service Pack 1 ou un Service Packs ultérieur, Windows Serveur 2008WSUS 2.0, WSUS 2.0 desservent le pack 1 ou WSUS 3.0 RCServices Internet (IIS) 6.0 ou une version ultérieureMicrosoft .NET Framework 2.0Microsoft Management Console 3.0Rapport Microsoft visionneuseOptionnel: Microsoft SQL Server 2005 avec Service Pack 1
Remarque si une version compatible de SQL Server n'est pas installée, WSUS 3.0 installe Windows Internal
Database.
4.1.2. Pour la console d’administration :
Windows Vista, un Service Packs ultérieur, Windows XP avec Service Pack 2 ou Windows Server 2003 ServicePack 1RC WSUS 3.0Microsoft .NET Framework 2.0Microsoft Management Console 3.0Rapport Microsoft visionneuse
4.2. Configuration matériel requis pour WSUS 3.0
4.2.1. Pour le serveur :
Recommandation Microsoft pour 500 clients ou moins
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 58/62
57
RenommaConfiguration minimum Configuration recommandé
CPU 750 MHz 1 GHz RAM 512 MB 1 GB Base de donnée WMSDE/MSDE WMSDE/MSDE Disque dur 32 GB 32 GB
Conclusion :
Cette solution en plus de répondre au cahier des charges, apporte une réelle valeur ajoutée avec uneéconomie de bande passante, une centralisation d’administration permettant d’optimiser le processus de mise à
jour. Son utilisation est relativement simple (aucune formation n’est nécessaire, le produit est très simple àprendre en main).
II. La solution LinuxLes besoins formulés pour la partie linux restent identiques à ceux de Windows.
Au même titre que Windows, linux permet la mise à jour automatique de ses postes clients et serveurspar différent moyens à savoir :
APT Apt proxy
Le miroir local
1. La solution APT
Il est tout à fait possible d’utiliser la commande « atp-get update» pour télécharger les dernières mises à jourdisponibles. Mais elle ne permet pas la gestion d'un parc informatique (aucune gestion de déploiement),impossible de revenir sur une mise à jour, de plus chaque utilisateur doit se connecter à internet ce qui estconsommateur de bande passante.
2. La solution Apt proxy
Ce paquet permet de réduire la consommation de bande passante vers internet. En effet, une fois atp proxyinstallé sur un poste, il permet de centraliser les mises à jour d’un serveur Debian « officiel » sur un poste interneà l’entreprise. L’ensemble du parc informatique peut ensuite utiliser cet ordinateur comme ressource de mise à
jour et ainsi ne plus utiliser internet.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 59/62
58
3. La solution miroir local
Cette solution consiste à mettre en place un serveur de mise à jour en interne comme la solution précédente, en yajoutant une notion de copie totale ou incrémental du serveur « officiel » de mise à jour. De plus l’administrateurpeut choisir d’exclure des paquets dont il n’a pas besoin et de déployer sur l’ensemble de son réseau les mises à
jour qu’il aura sélectionnées.
4. Le choix de la solution pour le cl ient PASCAL :
La solution Apt ne répond pas aux exigences du client, il n’y a aucune notion de centralisation, de
gestion et donc de contrôle.
Apt proxy permet une économie de bande passante, grâce à une centralisation des mises à jour, maisl’administrateur n’aura pas de contrôle sur leur déploiement.
Le miroir local est la solution qui répond à l’ensemble des besoins du client, car en plus d’une
centralisation, il sera possible d’avoir un contrôle total sur les mises à jour.
A noter que la configuration des postes (clients et serveurs) est également important pour définir l’heure desmises à jour et forcer le redémarrage. Tout ceci est possible grâce au « crontab » qui permet de configurerautomatiquement des scripts, des commandes ou des logiciels à une date et une heure spécifiées à l'avance.Permettant ainsi l’automatisation de la tache de récupération des mises à jour des postes clients sans interventionde l’administrateur (mais cet outil n’est pas propre à l’utilisation d’un serveur miroir).
5. L’architecture :
La demande étant la même que pour la solution Windows, nous organiserons notre architecture de la même façoncomme présenté ci-dessous :
Serveur
Miroir
Serveur
Debian
Les choix de cette architecture sont sensiblement les mêmes que la solution présentée dans la partie Windows quevous pouvez consulter dans « choix du déploiement de la solution WSUS ».
6. Outil de mise en place d’un miroir local :
La solution étant désigné, nous allons choisir les outils permettant la mise en place de site miroir.
La distribution Debian met à disposition l’utilisation d’un script « Debmirror » destiné à répliquer l’arborescence
des binaires et des sources du serveur Officiel.
Notre solution doit inclure les mises à jour de sécurité. Grâce à Debmirror il est possible de télécharger certaine
branche de l’arborescence du site officiel et dans notre cas nous aurons besoin de « security ». Mais il sera tout àfait possible de télécharger des paquets permettant par la suite la mise à jour du système d’exploitation.
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 60/62
59
Debmirror est généralement utilisé avec « Rsync » et « gnupg ». Leur utilisation est justifiée dans notre cas.
Gnupg (GNU privacy gard) permet de transmettre des messages signés et/ou chiffrés. Nous utiliseronscet outil pour récupérer le certificat public du site de mise à jour debian permettant de garantirl’authenticité.
Rsync (remote synchronization) est un logiciel libre de synchronisation de fichiers. La synchronisationest unidirectionnelle, c'est-à-dire qu'elle copie les fichiers de la source vers la destination uniquement.Rsync est donc utilisé pour réaliser des sauvegardes incrémentales ou pour diffuser le contenu d'unrépertoire de référence.
La synchronisation peut être utilisée en fonction de deux cas présentés ci-dessous :
Mode distant : le programme client contacte le programme serveur, habituellement grâce auprotocole ssh, ce qui permet par exemple une communication sécurisée à travers l'Internet (dansnotre situation entre le serveur local et le serveur officiel.)
Mode local : Le programme client se charge de comparer les deux versions des répertoires etd’ef fectuer la synchronisation (ce qui sera la solution utilisé pour les postes client dans le LAN).
Pour information Debian comporte trois branches : « stable », « testing » et « unstable ». Ces trois branches sontdes indicateurs qui permettent de s’assurer de la stabilité des mises à jour, « unstable » étant une version en coursde développement. Pour les serveurs il est recommandé d’utilisé les versions « Stable ». Et pour les clients lesversions « Stable » ou « Testing ». De ce fait aucun groupe de test ne sera mis en place.
7. Configuration matériel requis
Pour les serveursLa configuration matérielle recommandée est un P4 1GHz avec 512Mo de ram. Pour la distribution de mise à
jour de sécurité un disque dur de 40 Go est recommandé.
Pour les clientsLa conf iguration d’un poste client demande les mêmes recommandations que le serveur (l’espace disque
recommandé n’est pas de 40 Go mais de 10go).
Conclusion :
Cette solution en plus de répondre au cahier des charges, apporte une réelle valeur ajoutée avec uneéconomie de bande passante, une centralisation d’administration permettant d’optimiser le processus de mise à
jour. Son utilisation est relativement simple (des documentations peuvent être fournis), a noter qu’il n’y a pas
d’interface graphique.
III. La solution MixteIl n’est pas possible de mettre à jour des postes Linux par le biais de WSUS ou d’un autre produit de la gamme
Microsoft. De même, Linux ne propose pas de solution pour la mise à jour des postes Windows. Il faudra doncmettre en place la solution retenu dans la solution Windows (voir La solution Windows) et Linux (voir la solutionLinux).
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 61/62
60
5/8/2018 Rapport Mir2 - slidepdf.com
http://slidepdf.com/reader/full/rapport-mir2 62/62
61
LES COUTS
ygkgky