rapport mir2

5/8/2018 Rapport Mir2 - slidepdf.com

http://slidepdf.com/reader/full/rapport-mir2 1/62

VORTECH MEDIA

01 décembre 2008 – 02 février 2009

Projet MIR

Étude sécurité



1

PROJET MIR : SECURITE

Sommaire

1 - INTRODUCTION N.O.S .................................................................................................... 5 I. SOLUTION WINDOWS : ................................................................................................. 5

1. ANNUAIRE NT ........................................................................................................ 52. ANNUAIRE ACTIVE DIRECTORY : .................................................................................. 5

2.1. LES AVANTAGES: ............................................................................................... 52.2. L’INCONVENIENT : ............................................................................................ 5

II. SOLUTION LINUX........................................................................................................ 6 1. SAMBA ................................................................................................................ 6

1.1. LES AVANTAGES : .............................................................................................. 61.2. LES INCONVENIENTS : ........................................................................................ 6

2. OPENLDAP ........................................................................................................... 62.1. LES AVANTAGES: ............................................................................................... 62.2. L’INCONVENIENT : ............................................................................................ 6

3. CHOIX DU N.O.S POUR LA SOLUTION LINUX : ................................................................. 6III. SOLUTION MIXTE : ...................................................................................................... 7

1. SAMBA.................................................................................................................. 71.1. LES AVANTAGES : .............................................................................................. 71.1. LES INCONVENIENTS : ........................................................................................ 7

2. CENTRIFY. ............................................................................................................. 72.1. LES AVANTAGES : .............................................................................................. 7

2.2. L’INCONVENIENT : ............................................................................................ 73. CHOIX DU N.O.S POUR LA SOLUTION MIXTE................................................................... 7

2 - ARCHITECTURE ANTI VIRUS .............................................................................................. 9 I. SOLUTION WINDOWS ET LINUX ...................................................................................... 9

1. LES SOLUTIONS ANTIVIRUS ......................................................................................... 92. MISE EN PLACE DE L’ANTIVIRUS KASPERSKY TOTAL SPACE.................................................. 11

2.1. PRESENTATION DES NIVEAUX DE PROTECTIONS ........................................................ 112.1.1. NIVEAU 1 : PROTECTION DES POSTES (WORK SPACE SECURITY) ............................. 11SPECIFICATION WINDOWS : ...................................................................................... 11SPECIFICATION LINUX : ........................................................................................... 11

AVANTAGE: ......................................................................................................... 112.1.2. NIVEAU 2 : PROTECTION DES SERVEURS DE FICHIERS (BUSINESS SPACE SECURITY) ....... 12SPECIFICATION WINDOWS : ...................................................................................... 12SPECIFICATION LINUX : ........................................................................................... 12AVANTAGE : ........................................................................................................ 122.1.3. NIVEAU 3 : PROTECTION DES SERVEURS DE MESSAGERIE (TOTAL SPACE SECURITY) ..... 122.1.4. NIVEAU 4 : PROTECTION DES PASSERELLES INTERNET (TOTAL SPACE SECURITY) ......... 13SPECIFICATION WINDOWS : ...................................................................................... 13AVANTAGE : ........................................................................................................ 13

II. COUTS DE LA SOLUTION KASPERSKY TOTAL SPACE SECURITY................................................. 14

3 - INFRASTRUCTURE A CLE PUBLIQUE .................................................................................... 15 I. INTRODUCTION........................................................................................................ 15



2

1. ROLE DE L’INFRASTRUCTURE A CLES PUBLIQUE............................................................... 152. COMPOSANTS DE L’ICP ........................................................................................... 153. LES CERTIFICATS : ................................................................................................. 164. OBJECTIFS : ......................................................................................................... 17

II. SOLUTION WINDOWS ................................................................................................ 17

1. ARCHITECTURE GLOBALE ........................................................................................ 182. CONCLUSION ....................................................................................................... 18

III. SOLUTION LINUX...................................................................................................... 19 IV. SOLUTION MIXTE................................................................................................... 19 4 - IMPLEMENTATION D’UN MUR PARE-FEU .............................................................................. 21 I. INTRODUCTION AUX PARE FEU : .................................................................................... 21

1. FONCTIONNEMENT D'UN SYSTEME PARE-FEU.................................................................. 221.1. LE FILTRAGE SIMPLE DE PAQUETS ......................................................................... 221.2. LE FILTRAGE DYNAMIQUE .................................................................................. 231.3. LE FILTRAGE APPLICATIF.................................................................................... 23

2. NOTION DE PARE-FEU PERSONNEL .............................................................................. 243. LES LIMITES DES FIREWALLS....................................................................................... 24

II. SOLUTION WINDOWS : ............................................................................................... 25 1. MICROSOFT ISA SERVER 2006. .................................................................................. 25

1.1. OBJECTIFS : ................................................................................................... 251.2. AVANTAGE : .................................................................................................. 26

III. SOLUTION LINUX : .................................................................................................... 26 1. IPCOP (DISTRIBUTION DEDIE) .................................................................................... 26

1.1. PRESENTATION : ............................................................................................. 261.2. OBJECTIFS : ................................................................................................... 27

1.3. AVANTAGE : .................................................................................................. 27IV. SOLUTION RETENUE ............................................................................................... 27 5 - RESEAU PRIVE VIRTUEL.................................................................................................. 28 I. INTRODUCTION AUX VPN. .......................................................................................... 28

1. CONNEXIONS VPN ................................................................................................ 292. CONNEXION VPN D'ACCES DISTANT............................................................................ 293. CONNEXION VPN DE SITE A SITE ................................................................................ 294. PROTOCOLES VPN ................................................................................................ 29

4.1. PPTP .......................................................................................................... 294.2. L2TP .......................................................................................................... 29

II. SOLUTION WINDOWS : ............................................................................................... 30 1. ISA SERVER .......................................................................................................... 301.1. PRESENTATION : ............................................................................................. 301.2. OBJECTIF : .................................................................................................... 301.3. AVANTAGE : .................................................................................................. 30

III. SOLUTION LINUX : .................................................................................................... 30 1. PFSENSE.............................................................................................................. 30

1.1. PRESENTATION : ............................................................................................. 301.2. OBJECTIF : .................................................................................................... 301.3. AVANTAGE : .................................................................................................. 30

IV. SOLUTION RETENUE ............................................................................................... 30 6 - SECURITE DES ACCES INTERNET ........................................................................................ 31 I. INTRODUCTION : ...................................................................................................... 31



3

1. MAIS QU’EST-CE QU’UN PROXY ?................................................................................ 31

2. OUVERTURE DE CONNEXION ET APPLICATION DES REGLES DE FILTRAGE : ................................ 32

3. SOLUTIONS PROPOSEES :......................................................................................... 33II. SOLUTION WINDOWS : ............................................................................................... 33 III. SOLUTION LINUX : .................................................................................................... 34

IV. SOLUTION MIXTE : ................................................................................................. 35 7 - PROJET DE RESEAU SANS FIL............................................................................................. 36 I. INTRODUCTION........................................................................................................ 36

1. PROBLEMATIQUE DES ACCES SANS FILS.......................................................................... 36

2. LES BASES D’UN SYSTEME DE CRYPTAGE ...................................................................... 37

2.1. WPA-PSK (TKIP) : ........................................................................................ 37

2.2. MAIS QU’ELLE DIFFERENCE AVEC WEP ? ............................................................... 38

2.3. WPA2-ENTREPRISE......................................................................................... 38

2.4. L’ AUTHENTIFICATION 802.1X: .............................................................................. 382.4.1. EAP-TLS : ............................................................................................. 392.4.2. EAP-TTLS : ........................................................................................... 392.4.3. EAP-PEAP : ........................................................................................... 39

II. SOLUTION LINUX...................................................................................................... 41 III. SOLUTION WINDOWS ................................................................................................ 41 IV. SOLUTION MIXTE .................................................................................................. 41 V. AUTHENTICATOR : .................................................................................................... 41 VI. CONCLUSION : ..................................................................................................... 42 8 – SECURISATION DES SERVICES INTERNES ACCESSIBLES VIA HTTP/HTTPS DEPUIS L’EXTERIEUR ............. 43 I. INTRODUCTION........................................................................................................ 43 II. SOLUTION WINDOWS : ............................................................................................... 45 III. SOLUTION LINUX : .................................................................................................... 45 IV. SOLUTION PROPOSEE : ............................................................................................ 46 9 - IDENTIFICATION UNIQUE ............................................................ ERREUR ! SIGNET NON DEFINI. 10 - GESTION DES MISES A JOURS DE SECURITE........................................................................... 52 I. LA SOLUTION WINDOWS. ........................................................................................... 52

1. PRESENTATION DES SOLUTIONS.................................................................................. 521.1. MICROSOFT UPDATE ....................................................................................... 521.2. WINDOWS SERVER UPDATE SERVICES (WSUS) ......................................................... 521.3. SYSTEM CENTER CONFIGURATION MANAGER 2007 (SCCM) ........................................ 53

2. LA SOLUTION RETENU............................................................................................. 53

3. DEPLOIEMENT DE LA SOLUTION WSUS ........................................................................ 543.1. LES DIFFERENTES ARCHITECTURES........................................................................ 54

3.1.1. L’ARCHITECTURE WSUS SIMPLE: .................................................................. 543.1.2. L’ARCHITECTURE WSUS CHAINES:................................................................ 543.1.3. L’ARCHITECTURE RESEAU DECONNECTE D'INTERNET: ......................................... 55

3.2. LE CHOIX DE L’ARCHITECTURE POUR LE CLIENT PASCAL ........................................... 553.2.1. LE RESEAU DECONNECTE D’INTERNET. .......................................................... 553.2.2. LE WSUS CHAINE. ................................................................................... 553.2.3. WSUS SIMPLE. ........................................................................................ 56

4. CONFIGURATIONS MATERIELLES ET LOGICIELS REQUIS. ..................................................... 56

4.1. CONFIGURATION LOGICIELLE REQUIS POUR WSUS 3.0 .................................................. 564.1.1. POUR LE SERVEUR :...................................................................................... 56



4

4.1.2. POUR LA CONSOLE D’ADMINISTRATION : ............................................................ 564.2. CONFIGURATION MATERIEL REQUIS POUR WSUS 3.0 ................................................... 56

4.2.1. POUR LE SERVEUR :...................................................................................... 56II. LA SOLUTION LINUX .................................................................................................. 57

1. LA SOLUTION APT ................................................................................................. 57

2. LA SOLUTION APT PROXY......................................................................................... 573. LA SOLUTION MIROIR LOCAL..................................................................................... 584. LE CHOIX DE LA SOLUTION POUR LE CLIENT PASCAL : ..................................................... 585. L’ARCHITECTURE :................................................................................................. 586. OUTIL DE MISE EN PLACE D’UN MIROIR LOCAL : .............................................................. 587. CONFIGURATION MATERIEL REQUIS ............................................................................ 59

III. LA SOLUTION MIXTE.................................................................................................. 59



5

1 - INTRODUCTION N.O.S

Guillaume Arsicaud

Objectif du N.O.S (Network Operating System) :Un système d’exploitation réseau (N.O.S) est un logiciel de gestion du réseau, du trafic, des files

d’attentes, des contrôles d’accès par de multiples utilisateurs aux ressources du réseau tel que des fichiers, et

fournie des fonctions administratives, incluant la sécurité.

Il existe différents Network Operating System (N.O.S) ou système d’exploitation réseau en français. Quelque soit

leur positionnement (Linux ou Windows) le but est le même, ils sont utilisés pour assurer le partage deressources communes (périphérique, fichier…). Par conséquent le terme réseau prend toute son importance, on

se positionne au niveau d’un ensemble.

I. Solution Windows :

1. Annuaire NT

Cet annuaire est encore utilisé dans une entreprise, pour des raisons historique. En effet l’installationd’un nouveau système d’exploitation réseau n’est plus envisageable sous NT mais généralement dans un

environnement Windows Active directory.

2. Annuaire Active directory :

2.1. Les avantages:

Dans une solution exclusivement Microsoft, il serait plus couteux de choisir un autre produit (comme« edirectory ») puisqu’une fois Windows serveur 2003 acheté Active directory est compris dans le

prix de la licence. Alors que si on choisit un autre produit, il faudra l’acheter ainsi qu’une licence

CAL par utilisateur. Ce qui apporte un cout supplémentaire.

D’un point de vue compatibilité, il est également recommandé d’utiliser un produit qui est entièrement

associable (Active directory étant développé par Microsoft). Ce qui permet d’avoir un système

d’information rationnel.

D’un point de vue sécurité, les stratégies de groupes sont un point fort d’Active Directory. Ils

permettent une configuration minutieuse au niveau des comptes utilisateurs ou des machines (pour parexemple paramétrer leurs mots de passe, leurs droits de connexion à certaines ressources en local, sur un

domaine, sur une forêt ou sur un ensemble de forêt.)

2.2. L’inconvénient :

On ne peut pas parler d’inconvénient sur la mise en œuvre d’Active directory sur un environnement

Microsoft. Cependant sur un aspect critique, sa mise en œuvre, l’étude de l’implémentation de cet annuaire est

complexe puisqu’il faut penser à son évolution (comment puis-je intégrer une nouvelle entreprise dans monschéma Active directory par exemple).



6

II. Solution LinuxVoici les principaux N.O.S linux :

1. SAMBA

SAMBA est une solution orientée mixte. En effet les utilisateurs Linux peuvent avoir accès auxressources du monde Microsoft et inversement (soit à des partages réseaux avec notion d’identités et de

domaine.)

1.1. Les avantages :

Son principal avantage est un faible cout d’un point de vue logiciel (en effet ce logiciel est gratuit, ainsi

que ses mises à jour).

C’est un outil très fiable (très stable).

Il simplifie l’administration des postes clients : il assure la transparence, d’un point de vu client sur

des serveurs de type Linux mais également Microsoft.

1.2. Les inconvénients : Malgré sa gratuité, l'installation et l'administration d'un serveur Linux SAMBA nécessitent des

compétences et il paraît peu raisonnable de confier cela à une personne non formée.

SAMBA ne permet pas d’émuler des applications Microsoft sur Linux et à l’inverse d’utiliser une

application Microsoft sur Linux en production, cela signifie que si le serveur de l'entreprise fait à la foisoffice de serveur de fichiers et de serveur d'applications, la solution Linux/Samba est inadaptée.

2. OpenLDAP

OPEN LDAP est considéré comme un N.O.S à la condition d’inclure de la sécurité (type Kerberos). En

effet la fonction première d’OPENLDAP est de fournir une base de gestion (dans notre cas des utilisateurs).

Kerberos permet d’ajouter une notion de sécurité, d’authentifications.

2.1. Les avantages:

C’est un outil de centralisation. De nombreuses applications sont capables d’interroger un même

annuaire LDAP comme un proxy (Squid), web (Apache), POP3, IMAP etc. Et les utilisateurs de cesservices s’authentifient une seule fois sur le réseau.

Des mécanismes de réplication entre des annuaires maitres et des réplicas permettent d’assurer un haut niveau de disponibilité.

C’est un logiciel gratuit et stable.


Malgré sa gratuité, l'installation et l'administration d'un serveur Linux OpenLdap nécessitent descompétences et il paraît peu raisonnable de confier cela à une personne non formée.

3. Choix du N.O.S pour la solution linux :

OpenLDAP sera finalement retenu car contrairement à SAMBA il a été développé pour un systèmed’information purement Linux, de plus SAMBA est utilisé dans le cas d’un environnent mixte. L’utilisation de

SAMBA ou de OpenLdap n’est pas la même, les besoins ne sont pas les mêmes. On peut le vérifier carOpenLDAP permet de répondre à de nombreuse requêtes venant d’applications diverses comme cité

précédemment dans les avantages.

OpenLDAP est la solution qui répond le mieux aux besoins du cahier des charges. Il apporte unegestion centralisé des comptes et de la sécurité grâce à l’ajout du Kerberos.



7

III. Solution Mixte :

1. Samba


Son principal avantage est un faible cout d’un point de vue logiciel (en effet ce logiciel est gratuit, ainsique ses mises à jour).

C’est un outil très fiable (très stable).

Il simplifie l’administration des postes clients : il assure la transparence, d’un point de vu client sur

des serveurs de type Linux mais également Microsoft.

1.1. Les inconvénients :

Malgré sa gratuité, l'installation et l'administration d'un serveur Linux SAMBA nécessitent descompétences et il paraît peu raisonnable de confier cela à une personne non formée.

SAMBA ne permet pas d’émuler des applications Microsoft sur Linux et à l’inverse d’utiliser une

application Microsoft sur Linux en production, cela signifie que si le serveur de l'entreprise fait à la foisoffice de serveur de fichiers et de serveur d'applications, la solution Linux/Samba est inadaptée.

2. Centrify.

Centrify n’est pas un N.O.S mais un outil permettant d’intégrer grâce au composant Active directory lessystèmes Unix, Linux, Mac OS et bien sur Windows sur un domaine et de les faire cohabiter.


Une solution très simple, qui permet d’administrer les utilisateurs Windows, Linux et Mac depuis unActive directory, permettant de centraliser l’administration.

Il est possible d’appliquer la règle du moindre privilège (permettant d’augmenter le niveau desécurité du système d’information).

Cet outil ne demande pas de compétence avancée Linux.

Il est possible d’utiliser les stratégies de groupes d’Active directory (propre à Microsoft) sur desmachines Linux

Le Sigle sign-on est intégré, l’utilisateur aura accès à de nombreuses ressources en fonction de ses

droits. L’utilisateur Linux qui se connecte à son compte sur l’annuaire active directory utilise le

Kerberos pour s’authentifier (il est possible d’ajouter un package pour créer une connexion SSH

renforcent ainsi la sécurité).


Le Cout (350 euros par serveur et 44 euros par système d’exploitation (clients et serveurs).

Cette solution repose sur l’annuaire Active Directory (la présence d’un serveur Windows est donc

obligatoire).

3. Choix du N.O.S pour la solution Mixte

Centrify propose un produit offrant un réel intérêt, permettant de diminuer les couts d’administrations tout en apportant une réelle centralisation. Toutefois à un cout logiciel supérieur au coutde SAMBA.

Mais sur le long terme, SAMBA demande une personne formé et ayant de bonnes compétences surLINUX à la différence de Centrify. Donc le cout en ressource humaine est diminué par Centrify.

L’administration étant plus avancé sur l’outil de Centrify, l’équipe en charge du réseau sera plusefficace/productive et perdra moins de temps.



8

Par conséquent l’outil de Centrify présente un réel intérêt autant pour le réseau, la sécurité, que d’un point devue financier, c’est donc ce produit qui sera retenu.



9

2 - ARCHITECTURE ANTI VIRUS

Fabien Massot

Rappel du cahier des chargesL’objectif est de mettre en place une architecture d’installation d’un moteur d’antivirus pour l’ensemble

du système d’information en incluant la protection en temps réel et la protection de tout le système de stockage.

L’architecture prendra en compte le déploiement simplifié pour les équipements d’administration non seulement

des moteurs antivirus mais aussi des signatures antivirus.

Un antivirus est un logiciel spécialisé dans la lutte contre les virus informatiques. Il est généralementcomposé de deux modules : le moniteur (surveillance permanente) et le scanneur (analyse sur demande). Celogiciel est la base de la stratégie de sécurité d’une entreprise car il permet de protéger ses outils de travail commeles postes utilisateurs et les serveurs. Un antivirus doit être capable de bloquer ou d’éliminer rapidement toutesmenaces d’un système à partir de sa base de signature antivirale qui doit être mise en permanence à jour. Il estdonc important de choisir un antivirus dont les mises à jours sont fréquentes et disponible le weekend, périodependant la qu’elle l’entreprise est souvent sans défense. De nos jours, la majorité des antiviru s intègrent denouvelles fonctions de protection notamment les anti-malware (logiciel espion), anti-trojan (cheval de Troie quiouvre une porte dans un système informatique afin de laisser passer des virus) et anti-spam (publicité intempestivesur les boites mails) qui ont constitué près de 96% du trafic messagerie en 2007.

D’après l’étude de 2008 du CLUSIF sur la sécurité des systèmes informatique des entreprises en France,30% d’entres elles ont été victime d’attaque virale au cours de l’année 2008. Et c eux malgré le déploiement desolution d’antivirus dans 97% des cas.

Dans une architecture antivirus, il est important de recenser les points clés du système d’information à

protéger. Ses points clés sont :

La protection des postes utilisateurs contre les attaques interne et externe La protection des serveurs de fichiers et de messagerie La protection des accès Internet

I. Solution Windows et Linux

1. Les solutions Antivirus

Dans le monde de l’antivirus, il existe trois concepteurs majeurs Kaspersky, BitDefender et Symantec.Ces trois antivirus propose des solutions pour les entreprises toutes aussi complètes les unes que les autres.

Voici donc un comparatif des trois solutions d’antivirus.

Dans ce tableau, sont présenté les différentes solutions et leurs fonctionnalités principales.



10

Antivirus Kaspersky

Total Space Security

BitDefender

Corporate Security

Symantec

Multi-tier Protection

Poste de travail

Serveur de fichiers

Serveur de messagerie

Passerelle Internet ×

Administration à distance

Le tableau suivant compare les environnements supportés par chacune des fonctionnalités de chaque antivirus.

Antivirus Kaspersky BitDefender Symantec Kaspersky BitDefender Symantec

Système Windows Linux

Poste de travail ×

Serveur de fichiers ×

Serveur demessagerie ×

Comparatif des protections assurées contre les différentes menaces :

Menaces Virus Trojan Vers Spyware Malware RootKit Spam Anti-

phishing

Kaspersky

BitDefender

Symantec

En conclusion de ce comparatif, l’antivirus Kaspersky Total Space Security semble être le plus complet.En effet, il s’intègre parfaite dans un environnement Windows où Linux. De plus, il protège chaque nœud duréseau informatique de l’entreprise, ce qui permet à celle-ci de disposer d’une protection optimale.



11

2. Mise en place de l’antivirus Kaspersky Total Space

Pour une sécurité totale du système d’information de l’entreprise, nous recommandons la versionKaspersky Total Space Sécurity. Cette version intègre les trois versions précédentes c'est-à-dire Work SpaceSécurity, Business Space Security et Entreprise Space Security. Ce qui permet d’assurer la protection des postesde travail, des serveurs de fichiers, des serveurs de messageries et des passerelles Internet.

Kaspersky est un antivirus complet et très réactif que se soit dans un environnement Linux ou Windows,il assure une protection de tous les instants sur l’ensemble du système d’information.

Cet antivirus met donc en place quatre niveaux de protection.

2.1. Présentation des niveaux de protections

2.1.1. Niveau 1 : Protection des postes (Work Space Security)

Kaspersky Work Space Security assure la protection centralisée des postes de travail au sein duréseau d’entreprise ou distants. Le filtrage gère toutes les menaces actuelles d’Internet : virus, logiciels espions,piratage et spam. En contrôlant toutes les données en entrée ou en sorties (messagerie, trafic Internet etinteractions réseau) directement sur le poste de travail, Kaspersky Work Space Security assure la protection desutilisateurs fixes ou mobiles.

Spécification Windows :

Supporte les systèmes :98/ME/NT4/2000/XP et Vista

Supporte les core2duo d’Intel, fonctionnalitémultitâches

Pare-feu intégré Restauration des données endommagées Contrôle du trafic internet « à la volé »

Spécification Linux :

Supporte les distributions : RedHat, Fedora,Debian, Mandriva, Suse, Free BSD, OpenBSD

Dossier de sauvegarde des objets avant

traitement/suppression

Avantage:

Déploiement et administration centralisé via l’admin Kit de Kaspersky Configuration sur mesure de la politique de sécurité

Mise à jour automatique des bases antivirales des postes

Rapport graphique sur l’état de protection du système



12

2.1.2. Niveau 2 : Protection des serveurs de fichiers (Business

Space Security)

Kaspersky Business Space Security garantit une protection de haute qualité du capital d’information de

l’entreprise. Il agit comme une coupole protectrice des postes de travail et des serveurs de fichiers contre toute ssortes de virus, chevaux de Troie et vers. Il permet d’éviter les épidémies et préserve la sécurité et l’intégralitédes données pour les utilisateurs du réseau.


Prévention des épidémies de virus Supporte les systèmes : 2000/2003/2008 en

version Standard/Entreprise/Storage/ Compatible système 32 et 64bits Blocage des postes infectés Programmation de la durée d’analyse Utilisation de la console MMC (Microsoft

Management Console) comme outil decontrôle principale

Spécification Linux :

Supporte les distributions : RedHat, Fedora,Debian, Mandriva, Suse, Free BSD, OpenBSD

Supporte le serveur de partage Samba2.2.7/3 et versions supérieures

Protection des partages de fichier du serveur

Samba en temps réel Notification des évènements (log) Gestion a distance via interface web (serveur

Samba)

Avantage :

Administration centralisé pour les systèmes Linux et Windows Mise à jour automatique des bases antivirales

Rapport graphique de l’état de protection

2.1.3. Niveau 3 : Protection des serveurs de messagerie (Total

Space Security)

Kaspersky Total Security disposes de l’application Kaspersky Mail Gateway. Cette application forme lasolution universelle pour la protection avancée des utilisateurs des services de messageries contres les virus et lescourriers indésirables. Mail Gateway est installée entre le pare-feu de l’entreprise et Internet, il recherche laprésence d’éventuels virus dans le courrier et assure un filtrage centralisé de flux de messagerie pour identifier lecourrier indésirable. Et ceux afin de protéger les serveurs de messageries de l’entreprise. Mail Gateway esttotalement compatible avec les serveurs de messageries Windows comme Exchange (v5.5/2000/2007) et Linux(SendMail/Qmail/PostFix/Exim). Cette application s’installe sur un système Linux. Nous recommandons aussil’installation de l’antivirus Kaspersky sur le serveur de mail en plus de Mail Gateway, afin de disposer d’uneprotection maximum pour les emails.

Serveur demessagerie

Kaspersky MailGateway

Pare-Feu

RouteurInternet

Internet

Kaspersky Mail Gateway



13

2.1.4. Niveau 4 : Protection des passerelles Internet (Total

Space Security)

Kaspersky Total Space Security permet de protéger les passerelles Internet de l’entreprise, afin de

disposer d’une protection optimale pour l’entreprise contre les attaques extérieures. L’antivirus protègera le réseau de l’entreprise des menaces transitant sur les protocoles http et ftp. Cette solution s’applique pour lespasserelles Internet de Windows et Linux.


Supporte les systèmes :ISA 2000/2004/2006 en version standard etentreprise

Protection des serveurs en modeArray/Ferme/Cluster

Configuration de règle de groupes d’analyses

de données

Spécification Linux et autressystèmes:

Serveur Proxy Linux

Supporte les systèmes :RedHat/Fedora/Suse/Debian/Free BSB/Squid/Cisco Content Engine

Politique de sécurité de groupes

Sélection des paramètres de filtrage

Avantage :

Administration à distance via interface Web Analyse des fichiers archivés


Kaspersky MailGateway

Pare-FeuRouteurInternet

Internet

Protection des accès Internet

Serveur Proxyou

Serveur ISA

LAN

Accès à Internet de manière

sécurisée pour les utilisateursdu réseau de l’entreprise

Kaspersky Total Sécurity offre donc une protection complète et optimale pour l’entreprise, elle couvrel’ensemble des points importants du système informatique de celle-ci. De plus, les solutions Kaspersky sonttotalement compatibles avec les environnements Linux et Windows et peuvent très bien fonctionner en mêmetemps.



14

Voici donc un schéma de l’installation type d’une solution Kaspersky Total Space Sécurity


KasperskyMail Gateway

Pare-FeuRouteur

InternetInternet

Solution Kaspersky Total Space Security

ServeurProxy

ouServeur ISA

LAN 1 LAN 2

WIFI

PC Portables

Serveurs defichiers

Admin KitKaspersky

II. Coûts de la solution Kaspersky Total Space SecurityLe coût de cette solution est basé sur le nombre de poste à équiper. Chaque serveur et poste de travail

compte pour un poste. Nous comptons donc un ensemble de 1032 poste (1000 postes et 32 serveurs). Le prix de

reviens par poste est de 36.50 euros après négociation avec notre partenaire Kaspersky.Le coût total est donc de : 37.668 euros



15

3 - INFRASTRUCTURE A CLE PUBLIQUE

Fabien Massot

Rappel du cahier des charges

Mise en place d’une infrastructure a clés publique de type exploitation, c'est -à-dire une architecturecomprenant une autorité racine et secondaire. Le déploiement et le renouvellement des certificats machines etutilisateurs doit se faire de la manière la plus simple voir automatique.

I. Introduction

1. Rôle de l’ infrastructure à clés publique

Une infrastructure à clés publique (ICP) est un ensemble de composant physique (ordinateur, carte àpuce etc..), de procédures humaines (vérification, validation), et de logiciels (système et application) en vue degérer le cycle de vie des certificats numériques ou électroniques.

Une infrastructure à clés publiques délivre donc un ensemble de services à ses utilisateurs, ses services sont lessuivants :

Enregistrement des utilisateurs (ou équipement informatique) Génération de certificats Renouvellement de certificats Révocation de certificats

Publication des certificats Publication des listes de révocation (comprenant la liste des certificats révoqués) Identification et authentification des utilisateurs (administrateurs ou utilisateurs qui accèdent à l'ICP) Archivage, séquestre et recouvrement des certificats (option)

Une infrastructure à clés publique délivre un certificat numérique. Certains de ses certificats permettentdes opérations de cryptographie, comme le chiffrement ou la signature numérique qui offrent les garantiessuivantes lors de transaction électroniques. Voici donc la sécurité assuré par les certificats.

Confidentialité : Seul le propriétaire et/ou le destinataire légitime d’une donnée auront une visionintelligible de celle-ci.

Authentification : Connaissance de l’émetteur ou de l’utilisateur d’une donnée.

Intégrité : Assure la non corruption des données par un tiers lors d’un échange. Non-répudiation : L’auteur d’une donnée ne peut nier en être l’auteur.

L’ICP permet l'obtention de ces garanties par l'application de processus de vérification d'identité rigoureux e t parla mise en œuvre de solutions cryptographiques fiables, conditions indispensables à la production et à la gestiondes certificats électroniques.

2. Composants de l ’ ICP

Cette infrastructure se distingue par quatre entités distinctes, chaque entité à un rôle particulier et quis’enchaine dans un ordre bien précis.

Les entités composant une infrastructure à clés publique sont :



16

Autorité de certification (AC): Signe les demandes de certificats (CSR : Certificate Signing Request) et leslistes de révocation (CRL : Certificates Revocation List). Cette autorité est la plus importante car c’est elle quiautorise les demande de certificat des postes ou des utilisateurs et signe les révocations. Elle assure donc lecontrôle principale c'est-à-dire à qui je donne l’autorisation sur le réseau.

Autorité d’enregistrement (AE): Elle a pour mission de générer les certificats, et d'effectuer les vérifications

d'usage sur l'identité de l'utilisateur final (les certificats numériques sont nominatifs et uniques pour l'ensemble del'ICP).

Autorité de Dépôt (Repository ) : Elle a pour mission de stocker les certificats numériques ainsi que les listesde révocation (CRL).

Entité Finale (EE : End Entity) : L’utilisateur ou le système qui est le sujet d’un certificat.

Une cinquième entité peut être ajoutée à cette liste. En effet, en France on a l’obligation légale de fournir auxautorités un moyen de déchiffrement des données chiffrées pour un utilisateur de l’ICP. C'est là qu'intervient leSéquestre, cette entité a pour mission de stocker de façon sécurisée les clés de chiffrement qui ont été généréespar l'ICP, pour pouvoir les restaurer le cas échéant.

Autorité de Séquestre : Stock les clés de chiffrements des certificats délivrés.

3. Les certif icats :

Un certificat électronique est une donnée publique, qui contient selon la technique des clefs asymétriquesune clé privé à garder soigneusement et une clé publique à diffuser.

Un certificat numérique porte lui les caractéristiques de son titulaire. Pour une personne, son pris en compte sonnom, prénom ou le nom de son entreprise. Pour une machine informatique l’URI (Uniform Ressource Identifier)sera pris en compte.

Le certificat numérique est donc, à l'échelle d'une organisation, un outil pour témoigner, de façon

électroniquement sûre, d'une identité.L'usage conjoint des clefs cryptographiques publiques (contenue dans le certificat) et privée (protégée parl'utilisateur, par exemple au sein d'une carte à puce), permet de disposer de fonctions de sécurité importante.

Schéma d’une inf rastructure à clés publique classique :



17

4. Objectifs :

L’échange d’informations non protégées à travers un réseau (aussi bien local qu’Internet) présenteaujourd’hui un risque majeur pour toute organisation : il est devenu vital d’empêcher toute tentative d’ ’écouteindiscrète ou d’usurpation d’identité.

C’est pourquoi il est devenu courant d’utiliser des certificats afin de prouver son identité et d’établir unecommunication sécurisé, donc par exemple afin de crypter des documents, d’authentifier des e-mails, de sécuriserdes communications via VPN ou WiFi, etc.

Ces certificats sont décernés par une autorité de certification, qui peut soit être une entreprise tierce, soit uneautorité interne. Dans le cas d’un service proposé au public, il est utile de p asser par une autorité tierce; mais dansle cas d’une infrastructure interne ou privée, il est tout à fait possible et intéressant de s’en passer et de déployersa propre autorité de certification.

II. Solution Windows

Windows Serveur 2008 permet le déploiement d’une infrastructure à clés publique, via le rôle Servicesde certificats Active Directory (appelé également Active Directory Certification Services ou AD CS).Ce rôle permet de concentrer en un même point l’autorité de certification ( AC), l’autorité d’enregistrement(AE) et l’autorité de dépôt (Repository). Ce qui permet une gestion centralisé de l’infrastructure a clé publique(ICP).

Une infrastructure de type exploitation requière une autorité racine et secondaire. Une autorité de certificationracine autonome constitue l’élément central de l’approbation. Elle sera utilisée pour délivrer des certificats àl’autorité de certification émettrice secondaire. En raison du rôle crucial qu’elle joue pour la sécurité del’infrastructure à clé publique (PKI), cette autorité de certification est hors connexion sauf s’il est nécessaire dedélivrer des certificats à l’autorité de certification secondaire

Nous déploierons donc une autorité de certification secondaire en mode entreprise ; dans ce mode, l’autorité de certification est intégrée à l’Active Directory. Ce mode sert en général pour les autorités qui décernenteffectivement des certificats (de façon automatisée), et doit donc être déployé sur des serveurs membres dudomaine et hautement disponibles.

Nous pouvons donc mettre en place un déploiement automatique des certificats machines et/ou utilisateur dudomaine Active Directory, et ainsi validé toutes les machines internes de l’entreprise pour sécurisé les échangesinterne et externe. Ce déploiement automatique des certificats se fera par l’application d’une GPO (Group PolicyObject) via la stratégie de groupe de Windows Serveur 2008.

Voici donc le schéma de l’infrastructure à clé publique sous Windows Serveur 2008 pour un site:



18

1: Demande decertificat utilisateur

via interface web

Autorité

secondaire(entreprise)

Autorité racine(autonome)

Annuaire ActiveDirectory

2: Reçois lademande decertificat del’utilisateur .

3: Recherche l’utilisateur

dans AD pour validé lademande de certification

5: Réception etinstallation du

certificat utilisateur

Client

enregistrerdans AD

X

Répondeur en

Ligne

Demande d ‘état de son

certificat

4: Valide lademande,génère etenvois lecertificat àl’utilisateur

Nous mettrons aussi en place le répondeur en ligne, ce serveur permet de rapidement répondre a une demanded’état d’un certificat. Ce moyen est beaucoup rapide et nécessite moins de bande passante que de généré une listede révocation de certificat (CRL) qui contient trop d’information souvent inutile pour simplement vérifier l’étatde validité d’un certificat.

1. Architecture Globale

Cette architecture nécessite donc l’installation d’une seule autorité de certification racine qui sera installésur le site d’Orsay dans le local technique de Ficus. Chaque site disposera de son autorité secondaire et d’unrépondeur en ligne dans son local technique principale. Cette répartition des serveurs secondaire et des

répondeurs en ligne permet de réduire le trafic sur les liaisons inter-site et ainsi permet une gestion des certificatspar site.

Pour cette solution sont requis comme matériel :

Matériel Quantité Prix total

Windows Serveur 2008

Entreprise

3500 euros / serveur

Soit 3500 *10 pour 10 serveurs

35000 euros

Serveurs HP Proliant DL320 9 *950 8550 euros

Total 43550 euros

2. Conclusion

Cette solution pour l’environnement Windows a été retenue pour sa simplicité et son intégration totale

avec l’annuaire Active Directory, ce qui permet un déploiement automatique des certificats et une

authentification plus forte et sécurisé pour l’entreprise. De plus cette solution répond parfaitement au cahier descharges. Désormais, cette infrastructure à clés publique forme une base de sécurisation et d’authentification forte

des utilisateurs. Elle peut servir pour un serveur Radius pour les clients Wifi , de base d’authentification pour les

serveurs de fichier et/ou serveurs web, ainsi que la protection de la messagerie par l’envoie de mail crypté grâceaux certificats.



19

III. Solution Linux

Il existe bon nombre de solution d’infrastructure à clés publique pour l’environnement Linux/Unix,

mais beaucoup sont des projets Open source gérer par une communauté de développeur particulier. Beaucoup de

ses projets ont été abandonnés en cours de développement de part leur faible utilisation et leur faibleperformance. Mais certain projet libre ont réussit et son devenues des solutions alternative performante. Parmi,c’est projet se trouve OpenCA, EJBCA qui sont des solutions libre de ICP pour entreprise. Il existe aussi dessolutions payantes telles qu’OpenTrust qui est un des leaders des ICP pour les grandes entreprises. OpenTrustest une solution qui s’intègre aux environnements Linux que Windows, néanmoins sont coût étant très élevé ce

produit s’adresse plus particulièrement aux grosses multinationales. Nous choisirons donc une solution libre doncla reconnaissance est importante dans le monde Linux. EJBCA est la solution la plus complète et qui répond auxattentes du cahier des charges. De plus, elle est mieux reconnue que son concurrent OpenCA et supportebeaucoup de distribution Linux.

EJBCA fonctionne sur le même principe que Windows serveur 2008 et son rôle Services de certificats Active

Directory, il permet de centralisé ou de décentralisé les entités d’une infrastructure a clés publique ; a savoirl’autorité de certification, l’autorité d’enregistrement et l’autorité de dépôts. Cette solution s’appuis elle aussi sur

un annuaire d’entreprise sous la norme LDAP. Son architecture est similaire à celle proposé pour la solutionWindows. La différence est que les autorités secondaires n’existent pas sur EJBCA, mais elle dispose toute fois du

répondeur en ligne basé sur le protocole OCSP (Online Certificate Status Protocol) pour vérifier l’état de validité

d’un certificat. Et tout comme Windows Serveur 2008, cette solution permet un déploiement des certificatsautomatique ou par demande de l’utilisateur via une interface web.

EJBCA permet aussi les échanges sécurisé via IPSEC en supportant OpenVPN, tous les algorithmes de cryptageet hachage les plus utilisés sont compris (SHA1, MD5, RSA). De plus, il supporte l’authentification et la

publication de certificat Windows.




EJBCA PKI Entreprise ----- Gratuit (licence LGPL)

Total 8550 euros

IV. Solution mixtePour une solution mixte intégrant des postes Linux et Windows, nous préconisons la solution Windows

précédemment développé avec l’intégration des postes Linux dans l’annuaire Active Directory. Pour intégrer des

postes Linux dans un domaine et un annuaire Active Directory nous recommandons l’utilisation de Centrify. Celogiciel s’installe sur la majorité des grandes distributions linux et permet une interaction total entre les

environnements Linux et Windows. En effet, il permet d’inscrire les postes Linux dans l’annuaire Active

Directory, d’appliquer les GPO Windows ou de créer des GPO spécifique aux postes linux. Désormais tous les

postes Linux feront parties intégrante de votre environnement Windows.

Ce qui permet donc d’utiliser la solution d’infrastructure à clés publique Windows puisque celle-ci est beaucoup

complète et facile à administrer que ne l’est EJBCA. L’architecture de cette solution mixte sera donc



20

exactement la même que pour l’environnement Windows, seul les postes Linux s’implémenterons dans cettearchitecture.



Windows Serveur 2008

Entreprise

3500 euros / serveur

Soit 3500 *10 pour 10 serveurs

35000 euros


Likewise Entreprise Workstation 100 postes linux * 50 euros 5000 euros

Total 48500 euros



21

4 - IMPLEMENTATION D’UN MUR PARE-FEU

Anthony Olazabal

Rappel des besoins :Il est demandé d’implémenter un mur par feu pour protéger les différents réseaux du système informatique des

éventuelles attaques provenant du réseau Internet.

Les règles doivent uniquement autoriser les trafics utiles pour l’entreprise.

Cette solution doit permettre l’usage de filtres applicatifs afin de permettre l’accès direct à des applications situées

sur le réseau interne de l’entreprise.

I. Introduction aux pare feu :

Un firewall ou pare-feu est un dispositif physique (matériel) ou logique (logiciel) servant de système deprotection pour les ordinateurs de l’entreprise. Il peut également servir d'interface entre un ou plusieurs

réseaux d’entreprise afin de contrôler et éventuellement bloquer la circulation des données en analysant

les informations contenues dans les flux de données (cloisonnement réseau).

Firewall

DMZ

LAN

Chaque ordinateur connecté à internet (et d'une manière plus générale à n'importe quel réseau informatique) estsusceptible d'être victime d'une attaque d'un pirate informatique. La méthodologie généralement employée par lespirates informatiques consiste à scruter le réseau (en envoyant des paquets de données de manière aléatoire) à larecherche d'une machine connectée, puis à chercher une faille de sécurité afin de l'exploiter et d'accéder auxdonnées s'y trouvant.

Cette menace est d'autant plus grande que la machine est connectée en permanence à internet pour plusieursraisons :

- La machine cible est susceptible d'être connectée sans pour autant être surveillée ;

- La machine cible est généralement connectée avec une plus large bande passante ;- La machine cible ne change pas (ou peu) d'adresse IP.



22

Ainsi, il est nécessaire, autant pour les réseaux d'entreprises que pour les internautes possédant une connexion detype câble ou ADSL, de se protéger des intrusions réseaux en installant un dispositif de protection.

Un pare-feu (appelé aussi coupe-feu, garde-barrière ou firewall en anglais), est donc un système permettant deprotéger un ordinateur ou un réseau d'ordinateurs des intrusions provenant d'un réseau tiers (notamment

internet). Le pare-feu est un système filtrant les paquets de données échangés avec le réseau, il s'agit ainsi d'unepasserelle filtrante comportant au minimum les interfaces réseau suivante :

- une interface pour le réseau à protéger (réseau interne)- une interface pour le réseau externe

Le système firewall est un système logiciel, reposant parfois sur un matériel réseau dédié, constituant unintermédiaire entre le réseau local (ou la machine locale) et un ou plusieurs réseaux externes. Il est possible demettre un système pare-feu sur n'importe quelle machine et avec n'importe quel système pourvu que :

La machine soit suffisamment puissante pour traiter le traffic, le système soit sécurisé, aucun autre service que leservice de filtrage de paquets ne fonctionne sur le serveur.

Dans le cas où le système pare-feu est fourni dans une boîte noire « clé en main », on utilise le termed'« appliance ».

1. Fonctionnement d'un système pare-feu

Un système pare-feu contient un ensemble de règles prédéfinies permettant :

- D'autoriser la connexion (allow)

- De bloquer la connexion (deny)

- De rejeter la demande de connexion sans avertir l'émetteur (drop).

L'ensemble de ces règles permet de mettre en oeuvre une méthode de filtrage dépendant de la politique desécurité adoptée par l'entité. On distingue habituellement deux types de politiques de sécurité permettant :

- soit d'autoriser uniquement les communications ayant été explicitement autorisées : "Tout ce qui n'estpas explicitement autorisé est interdit".

- soit d'empêcher les échanges qui ont été explicitement interdits.

La première méthode est sans nul doute la plus sûre, mais elle impose toutefois une définition précise et

contraignante des besoins en communication.

1.1. Le fi ltrage simple de paquets

Un système pare-feu fonctionne sur le principe du filtrage simple de paquets (en anglais « stateless packetfiltering »). Il analyse les en-têtes de chaque paquet de données (datagramme) échangé entre une machine duréseau interne et une machine extérieure.

Ainsi, les paquets de données échangées entre une machine du réseau extérieur et une machine du réseau internetransitent par le pare-feu et possèdent les en-têtes suivants, systématiquement analysés par le firewall :

- adresse IP de la machine émettrice ;- adresse IP de la machine réceptrice ;



23

- type de paquet (TCP, UDP, etc.) ;

- numéro de port (rappel: un port est un numéro associé à un service ou une application réseau).

Les adresses IP contenues dans les paquets permettent d'identifier la machine émettrice et la machine cible, tandis

que le type de paquet et le numéro de port donnent une indication sur le type de service utilisé.

Les ports reconnus (dont le numéro est compris entre 0 et 1023) sont associés à des services courants (les ports25 et 110 sont par exemple associés au courrier électronique, et le port 80 au Web). La plupart des dispositifspare-feu sont au minimum configurés de manière à filtrer les communications selon le port utilisé. Il estgénéralement conseillé de bloquer tous les ports qui ne sont pas indispensables (selon la politique de sécuritéretenue).

Le port 23 est par exemple souvent bloqué par défaut par les dispositifs pare-feu car il correspond au protocoleTelnet, permettant d'émuler un accès par terminal à une machine distante de manière à pouvoir exécuter descommandes à distance. Les données échangées par Telnet ne sont pas chiffrées, ce qui signifie qu'un individu est

susceptible d'écouter le réseau et de voler les éventuels mots de passe circulant en clair. Les administrateurs luipréfèrent généralement le protocole SSH, réputé sûr et fournissant les mêmes fonctionnalités que Telnet.

1.2. Le fi ltrage dynamique

Le filtrage simple de paquets ne s'attache qu'à examiner les paquets IP indépendamment les uns des autres, ce quicorrespond au niveau 3 du modèle OSI. Or, la plupart des connexions reposent sur le protocole TCP, qui gère lanotion de session, afin d'assurer le bon déroulement des échanges. D'autre part, de nombreux services (le FTP parexemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (c'est-à-dire de manièrealéatoire) un port afin d'établir une session entre la machine faisant office de serveur et la machine cliente.

Ainsi, il est impossible avec un filtrage simple de paquets de prévoir les ports à laisser passer ou à interdire. Pour yremédier, le système de filtrage dynamique de paquets est basé sur l'inspection des couches 3 et 4 du modèle OSI,permettant d'effectuer un suivi des transactions entre le client et le serveur. Le terme anglo-saxon est « statefulinspection » ou « stateful packet filtering », traduisez « filtrage de paquets avec état ».

Un dispositif pare-feu de type « stateful inspection » est ainsi capable d'assurer un suivi des échanges, c'est-à-direde tenir compte de l'état des anciens paquets pour appliquer les règles de filtrage. De cette manière, à partir dumoment où une machine autorisée initie une connexion à une machine situé de l'autre côté du pare-feu;l'ensemble des paquets transitant dans le cadre de cette connexion seront implicitement acceptés par le pare-feu.

Si le filtrage dynamique est plus performant que le filtrage de paquets basique, il ne protège pas pour autant del'exploitation des failles applicatives, liées aux vulnérabilités des applications. Or ces vulnérabilités représentent lapart la plus importante des risques en terme de sécurité.

1.3. Le fi ltrage applicatif

Le filtrage applicatif permet de filtrer les communications application par application. Le filtrage applicatif opèredonc au niveau 7 (couche application) du modèle OSI, contrairement au filtrage de paquets simple (niveau 4). Lefiltrage applicatif suppose donc une connaissance des protocoles utilisés par chaque application.

Le filtrage applicatif permet, comme son nom l'indique, de filtrer les communications application par application.

Le filtrage applicatif suppose donc une bonne connaissance des applications présentes sur le réseau, et notammentde la manière dont elle structure les données échangées (ports, etc.).



24

Un firewall effectuant un filtrage applicatif est appelé généralement « passerelle applicative » (ou « proxy »), car ilsert de relais entre deux réseaux en s'interposant et en effectuant une validation fine du contenu des paquetséchangés. Le proxy représente donc un intermédiaire entre les machines du réseau interne et le réseau externe,subissant les attaques à leur place. De plus, le filtrage applicatif permet la destruction des en-têtes précédant lemessage applicatif, ce qui permet de fournir un niveau de sécurité supplémentaire.

Il s'agit d'un dispositif performant, assurant une bonne protection du réseau, pour peu qu'il soit correctementadministré. En contrepartie, une analyse fine des données applicatives requiert une grande puissance de calcul etse traduit donc souvent par un ralentissement des communications, chaque paquet devant être finement analysé.

Par ailleurs, le proxy doit nécessairement être en mesure d'interpréter une vaste gamme de protocoles et deconnaître les failles afférentes pour être efficace.

Enfin, un tel système peut potentiellement comporter une vulnérabilité dans la mesure où il interprète lesrequêtes qui transitent par son biais. Ainsi, il est recommandé de dissocier le pare-feu (dynamique ou non) duproxy, afin de limiter les risques de compromission.

2. Notion de pare-feu personnel

Dans le cas où la zone protégée se limite à l'ordinateur sur lequel le firewall est installé on parle de firewallpersonnel (pare-feu personnel).

Ainsi, un firewall personnel permet de contrôler l'accès au réseau des applications installées sur la machine, etnotamment empêcher les attaques du type cheval de Troie, c'est-à-dire des programmes nuisibles ouvrant unebrèche dans le système afin de permettre une prise en main à distance de la machine par un pirate informatique.Le firewall personnel permet en effet de repérer et d'empêcher l'ouverture non sollicitée de la part d'applicationsnon autorisées à se connecter.

3. Les l imites des firewalls

Un système pare-feu n'offre bien évidemment pas une sécurité absolue, bien au contraire. Les firewalls n'offrentune protection que dans la mesure où l'ensemble des communications vers l'extérieur passe systématiquement parleur intermédiaire et qu'ils sont correctement configurés. Ainsi, les accès au réseau extérieur par contournementdu firewall sont autant de failles de sécurité. C'est notamment le cas des connexions effectuées à partir du réseauinterne à l'aide d'un modem ou de tout moyen de connexion échappant au contrôle du pare-feu.

De la même manière, l'introduction de supports de stockage provenant de l'extérieur sur des machines internes au

réseau ou bien d'ordinateurs portables peut porter fortement préjudice à la politique de sécurité globale.

Enfin, afin de garantir un niveau de protection maximal, il est nécessaire d'administrer le pare-feu et notammentde surveiller son journal d'activité afin d'être en mesure de détecter les tentatives d'intrusion et les anomalies. Parailleurs, il est recommandé d'effectuer une veille de sécurité (en s'abonnant aux alertes de sécurité des CERT parexemple) afin de modifier le paramétrage de son dispositif en fonction de la publication des alertes.

La mise en place d'un firewall doit donc se faire en accord avec une véritable politique de sécurité.



25

II. Solution Windows :

1. Microsoft ISA Server 2006.

Microsoft Internet Security and Acceleration Server (ISA Server) 2006 est un serveur pare-feu

d’entreprise et de cache extensible pour le Web, compatible avec le système d’exploitationMicrosoft Windows 2003, offrant des fonctions de sécurité par stratégies, d’accélération et degestion des interconnexions de réseaux.

ISA Server présente deux modes étroitement intégrés : un serveur pare-feu multicouche et unserveur de cache pour le Web très performant. Le pare-feu assure le filtrage au niveau des couchesde paquets, de circuits et d’applications ; l’examen des états pour examiner les données traversant lepare-feu ; le contrôle de la stratégie d’accès et le routage du trafic. Le cache améliore la performancedu réseau et l’expérience de l’utilisateur final en stockant le contenu du Web fréquemmentdemandé. Les services de pare-feu et de cache peuvent être déployés séparément sur des serveursdédiés ou intégrés sur un même serveur.

Les outils de gestion sophistiqués simplifient la définition des stratégies, le routage du trafic, lapublication serveur et l’analyse.

ISA Server s’appuie sur la sécurité, l’annuaire, la connexion réseau privée virtuelle (VPN) et lecontrôle de la bande passante de Windows 2003. Qu’il soit déployé comme serveurs pare-feu et decache séparés ou en mode intégré, ISA Server est utilisé pour accroître la sécurité du réseau, mettreen œuvre une stratégie cohérente pour l’utilisation d’Internet, accélérer l’accès à Internet etoptimiser la productivité des employés dans les entreprises de toutes tailles.

ISA Server

DMZ

LAN

1.1. Objectifs :

Implémenter une solution firewall.



26

1.2. Avantage :

En utilisant ISA Server nous bénéficions, entre autres, des fonctionnalités et des technologies suivantes :

- Pare-feu multicouche

- Examen des états- Prise en charge étendue d’applications - Réseau privé virtuel (VPN) intégré- Renforcement du système- Détection d’intrusion intégrée - Filtres d’applications intelligents - Transparence pour tous les clients- Authentification avancée- Publication sécurisée- Filtrage du contenu de la messagerie électronique- Inspection du trafic SSL (Secure Sockets Layer)

III. Solution Linux :

1. Ipcop (distribution dédié)

1.1. Présentation :

IPCop est un projet Open Source dont le but est d’obtenir une distribution Linuxcomplètement dédiée à la sécurité et aux services essentiels d'un réseau. Plus concrètement,IPCop va jouer le rôle d’intermédiaire entre un réseau considéré comme non sûr (Internet) etun réseau que l’on souhaite sécuriser (le réseau local par exemple), tout en fournissant desservices permettant la gestion et le suivi de celui-ci.

Développé initialement à partir du code source d’un projet similaire nommé SmoothWall, IPCop et celui-ci ont maintenant pris une orientation différente (cependant la procédured’installation des deux systèmes reste quasi identique, ce dossier pourra donc vous servir si vousle souhaitez à installer un serveur SmoothWall…).

La configuration des services via l’interface web d’administration fera quant à elle l’objet d’unfutur dossier.

http://www.generation-nt.com/divers/click.php?url=A2hXIFF3VXddaFd4ASxWJAx6AX5dc1I9D3ABMwBsUCQFKFU5V3cEMVp6

http://www.generation-nt.com/divers/click.php?url=VT5RJgUjAyEIPQAvVHkCcAF3WSYOIAdyCmhaZFU5BHQAa1cjV2QJNw9sU31QPVUiAmRbfA%3D%3D

http://www.generation-nt.com/divers/click.php?url=VT5RJgUjAyEIPQAvVHkCcAF3WSYOIAdyCmhaZFU5BHQAa1cjV2QJNw9sU31QPVUiAmRbfA%3D%3D

http://www.generation-nt.com/divers/click.php?url=A2hXIFF3VXddaFd4ASxWJAx6AX5dc1I9D3ABMwBsUCQFKFU5V3cEMVp6



27

1.2. Objectifs :

Implémenter une solution firewall.

1.3. Avantage :

L’implémentation d’IPCOP apporte les avantages suivants :

Gratuité Services réseaux de base (DHCP, DNS, NTP, Proxy …) Service de détection d’intrusion

IV. Solution retenueLa solution la mieux adaptée à notre infrastructure est la solution Windows, elle permettra par la suite

une authentification unique pour l’accès aux ressources du réseau. Nous implémenterons donc ISA serveur dans la

configuration suivante :



28

5 - RESEAU PRIVE VIRTUEL

Anthony Olazabal

Rappel des besoins :Il est demandé de mettre en place un serveur de Réseaux Privés Virtuels. Les protocoles d’authentification

utiliseront une haute sécurité ainsi qu’un protocole de cryptage renforcé.

Les comptes d’utilisateurs pourront être pris dans l’annuaire de sécurité. La liaison entre le serveur VPN et

l’annuaire se fera au moyen du protocole radius.

I. Introduction aux VPN.

Serveur VPN

DMZ

LAN

Liaison Privée VirtuelUtilisateur

Un réseau privé virtuel (VPN) est l'extension d'un réseau privé qui englobe les liaisons sur des réseaux partagés oupublics, tels qu'Internet. Il permet d'échanger des données entre deux ordinateurs sur un réseau partagé oupublic, selon un mode qui émule une liaison privée point à point. La mise en réseau privé virtuel désigne lacréation et la configuration d'un réseau privé virtuel.

Pour émuler une liaison point à point, les données sont encapsulées, ou enrobées, à l'aide d'un en-tête quicontient les informations de routage pour leur permettre de traverser le réseau partagé ou public jusqu'à leurdestination finale. Pour émuler une liaison privée, les données sont cryptées à des fins de confidentialité. Lespaquets interceptés sur le réseau partagé ou public restent indéchiffrables sans clé de décryptage. La liaisonservant à l'encapsulation et au cryptage des données privées est une connexion VPN.



29

Les connexions VPN permettent aux utilisateurs qui travaillent à domicile ou qui effectuent des déplacementsd'accéder à distance à un serveur d'entreprise par l'intermédiaire d'une infrastructure de réseau public, tellequ'Internet. Pour l'utilisateur, la connexion VPN est tout simplement une liaison point à point entre l'ordinateur(le client VPN) et un serveur d'entreprise (le serveur VPN). L'infrastructure exacte du réseau partagé ou public apeu d'importance dans la mesure où les données sont transmises de la même manière que sur une liaison privée

dédiée.

Les connexions VPN permettent également aux entreprises de disposer de connexions routées partagées avecd'autres entreprises sur un réseau public, tel qu'Internet, et de continuer à disposer de communicationssécurisées, pour relier, par exemple, des bureaux éloignés géographiquement. Une connexion VPN routée viaInternet fonctionne logiquement comme une liaison de réseau étendu (WAN) dédiée.

1. Connexions VPN

Il existe deux types de connexions VPN :

Connexion VPN d'accès distant

Connexion VPN de site à site

2. Connexion VPN d'accès distant

Un client d'accès distant établit une connexion VPN d'accès distant qui se connecte à un réseau privé.

3. Connexion VPN de site à site

Un routeur établit une connexion VPN de site à site qui relie deux segments d'un réseau privé.

4. Protocoles VPN

Deux protocoles VPN sont utilisés pour les connexions des clients itinérants :

Protocole PPTP (Point to Point Tunneling Protocol) Protocole L2TP (Layer Two Tunneling Protocol)

4.1. PPTP

Le protocole de réseau PPTP autorise le transfert sécurisé des données provenant d'un client distant vers unserveur privé en créant une connexion VPN entre des réseaux de données TCP/IP. Il prend en charge les réseauxprivés virtuels multi protocoles à la demande sur des réseaux publics, tels qu'Internet. Le protocole PPTP autorisele cryptage du trafic IP, puis son encapsulation dans un en-tête IP qui est envoyé sur un réseau d'entreprise ou unréseau public IP comme Internet.

4.2. L2TP

Le protocole L2TP est un protocole de tunnel Internet normalisé qui permet d'encapsuler l'envoi de cadres PPP(Point-to-Point Protocol) sur un média orienté paquet. Il permet le cryptage du trafic IP, puis son envoi sur unmédia prenant en charge la remise de datagrammes point à point comme IP. L'implémentation du protocole L2TPpar Microsoft fait appel au cryptage IPSec (Internet Protocol Security) pour protéger le flux de données entre leclient VPN et le serveur VPN. Le mode de tunnel IPSec autorise le cryptage des paquets IP, puis leurencapsulation dans un en-tête IP qui est envoyé sur un réseau d'entreprise ou un réseau public IP comme Internet.

Les connexions PPTP ne requièrent qu'une authentification au niveau de l'utilisateur via un protocoled'authentification PPP. Les connexions L2TP sur IPSec nécessitent le même niveau d'authentification avec, enplus, une au niveau de l'ordinateur à l'aide de certificats.



30


1. ISA server


Microsoft Internet Security and Acceleration (ISA) Server fournit des fonctions de réseau privé virtuel (VPN,Virtual Private Network) sécurisé aux clients itinérants.

1.2. Objectif :

Fournir un service VPN pour les itinérants. Mettre en place des connexions VPN site à site.

1.3. Avantage :

lSA server intègre par défaut un puissant service fournissant aux itinérants la possibilité de se connecter demanière sécurisé au réseau de l’entreprise.


1. PFsense


PFsense n’est pas qu’une solution de pare feu, elle intègre aussi un serveur VPN gérant IPsec (IP

security). Ce serveur fournit le cryptage et l’authentification pour gérer les VPN. PFsense gère deux

types de VPN, le site à site et les accès distant de clients. Les VPN permettent de remplacerd’éventuelles autres solutions comme les liaisons louées spécialisées qui sont couteuses.

1.2.

Objectif :Fournir un service VPN pour les itinérants. Mettre en place des connexions VPN site à site.

1.3. Avantage :

Solution gratuite.

IV. Solution retenue

La solution retenue est l’utilisation d’ISA server pour la gestion des accès VPN. Le couple Firewall et

serveur VPN d’ISA serveur étant puissant et performant, et le mélange d’univers (Linux et Windows) n’est pas

conseillé, car certain problèmes de cohabitation et de failles de sécurité peuvent êtres problématiques.



31

6 - SECURITE DES ACCES INTERNET

Nicolas Guillon

I. Introduction :L’un des points faibles d’une société est l’accès Internet. Etant un média libre, Internet propose de

multiples services pouvant être parfois dangereux pour une société. De plus certains protocoles peuvent remettreen cause la confidentialité des données. Par exemple un protocole de transfert de fichier par Internet (FTP) peuts’avérer néfaste pour une société. Le protocole Web utilisé est http et HTTPS pour les liaisons sécurisées.Cependant même ceux-ci peuvent être dangereux selon les sites consultés. Pour cela il existe des solutions defiltrage de protocoles pouvant ainsi autoriser l’accès aux FTP, ou http/HTTPS.

Le filtrage peut ainsi se faire selon le poste utilisé, c’est-à-dire qu’un poste client désigné pour un service

pourra connaitre des restrictions d’accès. Cette méthode de blocage est appelé Filtrage IP (adresse IP du poste).

Il serait alors possible pour un utilisateur de se connecter sur un autre poste ayant une restriction moinssévère et ainsi naviguer librement sur Internet.

Un autre système de filtrage permet, cette fois de créer des restrictions d’accès Internet en fonction du

profil de l’utilisateur en cours. Ainsi un même poste client peut avoir accès librement à Internet pour unutilisateur autorisé et avoir une règle de filtrage plus forte pour un utilisateur n’étant pas autorisé à naviguer sur

n’importe quels sites.

Cette dernière solutions est ainsi plus souples du fait d’un filtrage sur l’identité de l’utilisateur et non pas

par adresse IP, donc par poste. L’utilisateur se verra affecté de la même règle de filtrage sur n’importe quel postequ’il utilisera, ce qui n’est pas vrai avec un filtrage par IP.

Cependant pour un utilisateur ayant tous les droits de navigations sur Internet pourra connaitre quelquesrefus de connexion pour certains sites. Les sites sensibles ou jugé interdit par la société pourront être ainsirenseigné dans une black-liste ou liste noire. Cette liste sera alors assignés à tous les utilisateurs quelque soit leurprofil.

Rappel du cahier des charges :

Accès Internet selon profil de l’utilisateur Création de liste blanches (sites autorisés) et liste noires (sites interdits)Accès Internet selon des plages horaires.Le filtrage par profil est réalisé par un serveur mandataire (serveur proxy).

1. Mais qu’est -ce qu’un Proxy ?

Un proxy est un serveur d’accès Internet. Il gère les multi-connexions des utilisateurs sur une seuleinterface Internet. Ainsi lorsqu’un utilisateur souhaite se connecter à un site, il consultera le serveur proxy qui va

se charger de faire la requête vers le monde extérieur. Ainsi l’utilisateur ne sort jamais du réseau interne.

De plus le serveur mandataire accélère l’accès aux pages, car après consultation d’un site, le serveur

garde en cache les pages du site. Ainsi un utilisateur qui sollicitera plusieurs fois un même site dans la journéeconsultera le serveur proxy. Celui-ci va consulter son cache et comparer la version de sa page par rapport au site



32

Internet, si sa version est bonne alors le proxy donnera accès au site Web via son cache. Pour les requêtes nepouvant être résolus par le cache, le proxy les transférera vers le site Internet.

Tout ceci est totalement transparent pour un utilisateur.

2. Ouverture de connexion et appl icat ion des règles de f i l t rage :

Lorsqu’un utilisateur souhaite se connecter à un site Web, il passe par son Browser (Internet Explorer,

Mozilla…). Avant de taper l’adresse Web à consulter une page d’accueil l’invitera à entrer son login et mot de

passe de connexion. Ainsi le proxy va consulter sa base de données locale ou LDAP des utilisateurs puis appliquerles règles de filtrage à l’utilisateur correspondant. Cette manipulation est totalement transparente à l’utilisateur

qui entrera l’adresse qu’il souhaite consulter, les règles de filtrage établies par le proxy lui permettront ou non

d’accéder à sa requête.

Schéma simplifié d’ouverture de connexion Internet

Les règles de filtrages sont contenues dans une base de données locale au serveur proxy. Dans cette basesont contenu les ID des utilisateurs, les protocoles autorisés, la liste des sites autorisés ou non.

La liste des sites peut être une liste de sites interdits (black Liste) ou des sites autorisés (White Liste). Ladifférence se fait par une option à cocher sur le proxy afin de définir si la liste établie et un black liste ou une whiteliste. Cette option est importante et simplifie l’utilisation du proxy. En effet si un utilisateur se voit affecté d’une

règle de filtrage très stricte, il sera alors plus simple de définir les sites auxquels il sera autorisé à aller (car ilsseront moins nombreux que les sites refusés). Cette liste sera alors définit comme white Liste.

Dans l’autre cas, si un utilisateur est assez libre d’accès, il faudra alors lui définir une liste de sites

interdits (black liste) qui sera plus courtes que les sites autorisés.



33

Voici un exemple de règles définit par un proxy ainsi que ces différentes tables.

ID Groupes

Utilisateurs

Règle de

filtrage

Black

Liste(B) ou

White

Liste(W)

Liste n°

12 2 B 2

15 1 W 1

Règles Accept Deny Listes Sites

1 http ; https ftp ;sftp 1 www.pagesjaunes.fr

www.meteo.fr

2 all 2 www.emulfrance.fr

www.torrent.com

3. Solut ions proposées :

Il existe plusieurs solutions toutes autant performantes et administrable facilement. La différence se joue

surtout sur le prix des solutions. La rapidité d’installations est tout de même plus rapide sous Windows que souslinux, qui demande plusieurs package et l’installation en plus d’une interface Web afin de configurer plus

aisément le système.

La solution sous Linux demande alors l’aide d’un technicien connaissant le fonctionnement d’un Linux

afin d’optimiser le temps d’installation.


OS : Windows Server 2003LDAP : Windows Server 2003Module : ISA Server

Cette solution est totalement orienté accès Internet. Elle permet de faire du filtrage avec le pare-feu etdes règles de proxy. Une gestion des utilisateurs via LDAP et RADIUS permet de créer des règles en fonction dulogin et mot de passe et/ou des groupes LDAP. Les autorisations peuvent se faire sur les protocoles demandés, lessites consultés.

La solution ainsi proposée est performante, est permet d’être intégrable dans un grand réseau ayant

plusieurs serveurs proxy. Cependant l’installation et l’administration n’est pas simple, il est alors nécessaired’avoir un technicien connaissant parfaitement le fonctionnement de ISA server ainsi que les termes de WindowsServeur avec les relations d’approbations et les notions de PDC (Primary Domain Controler).

http://www.pagesjaunes.fr/


http://www.meteo.fr/


http://www.emulfrance.fr/


http://www.torrent.com/








34

L’intérêt de cette solution est la possibilité de gestion du dialogue proxy avec un serveur RADIUS.


OS : RedHatLDAP :OpenLDAP ou base SQLModules : Squid+SquidGuard+Webmin

La solution Linux ne propose pas une installation plus simple que sous Windows. Il sera nécessaired’installer plusieurs packages permettant de faire du Proxy ainsi que l’installation d’une interface Web avec

Webmin. Cette dernière permettra d’administrer plus aisément le serveur via une interface graphique accessible

par un navigateur web local.

L’installation complexe, les manipulations dans les fichiers de configurations peuvent s’avérer difficiles.Une fois cette étape passée, l’interface administration via un navigateur Web simplifie la gestion du serveur.

La base des utilisateurs peut être locale avec une base SQL ou par interrogation d’un serveur LDAP.

Cependant la configuration des utilisateurs dans le serveur proxy est nécessaire. A l’ouverture d’un navigateur, un

prompt demandera le login et le mot de passe de l’utilisateur. Le dialogue sera alors établi entre le serveur LDAPet le proxy. Cette première phase d’identification permet seulement de vérifier que l’utilisateur fait parti du

domaine. Le filtrage sera ensuite établi par le proxy qui utilisera le login de l’utilisateur envoyé précédemment.

Voici un exemple d’application d’une règle de filtrage possible sur un groupe d’utilisateur :

Groupe Règle de filtrage

Production Filtrage_Prod

Voici le détail des groupes créés dans la base du proxy :

Groupes (ID)

Production (12) Liste utilisateurs

User1

User2

User3

Administration (15) Liste utilisateurs

User4

User5

User6



35

Voici le détail de la règle de filtrage :

Nom règle

Filtrage_Prod Liste des sites

Le filtrage va ainsi s’appliquer sur un groupe d’utilisateurs.

IV. Solution mixte :

OS Proxy : RedhatLDAP : Windows Server 2003

Modules : Squid+SquidGuard+Webmin

Il n’existe pas de solution mixte à proprement parlé. En effet les solutions de proxy font parties

intégrante d’un simple et même système, ce qui inclut soit une solution totalement Linux ou Windows. Ladifférence est connue lors de l’intégration d’une authentification par LDAP, d’un domaine AD gérer par un

Windows Server.

Notre choix se portera sur une solution Microsoft entièrement. Le serveur ISA permet de regrouper tous lesfiltres d’accès pare-feu et proxy. Ainsi la gestion est simplifiée malgré une installation rigoureuse.L’administration demande une bonne compréhension de chaque option afin de ne pas laisser une faille de sécu rité.

Cependant cette solution permet de répondre parfaitement à la demande du client (gestion des listes d’accès,authentification) avec une multitude possibilité élevées.



36

7 - PROJET DE RESEAU SANS FIL

Nicolas Guillon

I. IntroductionDe plus en plus d’entreprise souhaitent pouvoir accueillir des postes nomades sans pour autant

augmenter le nombre de prises réseaux. Pour cela le système sans fils comme le Wifi répond parfaitement àl’attente du client. Vous trouverez dans cette partie une étude des solutions sous Linux et Windows permettantd’implémenter une solution Wifi sécurisée.

Plusieurs systèmes de cryptage existent pour assurer la confidentialité des données. Cependant certainessont moins robustes et présentent des faiblesses à ne pas négliger.

Nous retrouvons parmi les protocoles de cryptages le :

WEPWPA-PSK (TKIP)WPA2-Entreprise.

Aujourd’hui nous connaissons les faiblesses des clés WEP qui peuvent être crackées en quelques minutes

de par la faiblesse de l’IV (vecteur d’initialisation) qui est transporté en clair et qui est utilisé pour le chiffrementdu texte. Il est concaténé avec la clé WEP. Ainsi avec le texte chiffré et l’IV il est possible de retrouver la clé.

Cette méthode de cryptage ne sera alors pas retenue.

Afin de comprendre le fonctionnement du système de cryptage que nous retiendrons (WPA-Entreprise)Voici une brève explication du système de clé WPA-PSK.

Rappel du cahier des charges

Prévoir une infrastructure d’accès au réseau sécurisé via un média sans fils.

1. Problématique des accès sans fi ls

Sans

filsConfidentialité Intégrité

Authentification

Contrôler et gérer

les droits d’accèsau réseau.

S’assurer de lanon modificationdes données entransit.

Protéger les donnéessur le réseau sansfils.

Rendre inaccessibleles données stockées

dans l’entreprise aux

personnes nonautorisés.



37

De plus lors d’une connexion sans fils nous avons :

La présence de poste non maitrisé par les administrateurs du réseau.Rayonnement des ponts d’accès à l’extérieur. Plusieurs classes à gérer (Recherche, Production etc.).

Pour palier ces problèmes nous avons les solutions de cryptage des données ainsi que l’authentification

des usagers (802.1x).

La norme 802.1X met en jeu trois acteurs :« L’authenticator » : borne wifiLe « supplicant » : le poste sans filsLe serveur d’authentification : Radius + annuaire des utilisateurs.

Schéma simplifié des relations :

2. Les bases d’un système de cryptage

Afin de comprendre le fonctionnement du système de cryptage que nous retiendrons (WPA-Entreprise) jevais expliquer brièvement le système de clé WPA-PSK.

2.1. WPA-PSK (TKIP) :

Le système de cryptage de WPA-PSK (Pre-Shared Key) réside dans la clé partagée. Cette méthodedemeure plus robuste que WEP mais connait aussi des faiblesses.

Lors d’une demande d’association à une borne, le client s’annonce et la borne lui demande une

passphrase(PSK). Une fois la passphrase donnée, la borne wifi va créer un tunnel en WEP afin de donnerrapidement une clé temporaire (TKIP)(Temporal Key Integrity Protocol). Une fois l’échange terminé le tunnel

est fermé et le dialogue est établi avec un système de cryptage à l’aide de la clé échangé (TKIP)



38

Le tunnel ne demande pas d’avoir une haute sécurité, car il permet seulement d’échanger la clé se qui ne

prend que quelques secondes. Le crackage de la clé WEP est supérieur à celui de l’échange, de plus le nombre

d’IV permettant de la crackage est trop faible (<100 IV alors qu’il en faudrait au moins 35000 pour casser la clé).

2.2. Mais qu’elle différence avec WEP ?

La différence se joue surtout par la clé TKIP. En effet cette clé ne sert pas à crypter toutes les données,elle est renouvelée au bout d’un nombre définit d’échange. La borne wifi va ainsi établir une procédure derégénération de clé avant l’expiration de celle en cours. Lors de cet échange la nouvelle clé sera acheminée auclient via un tunnel crypté par une clé WEP. Suite à cela le dialogue sera crypté par la nouvelle clé TKIP.WPAajoute un système d’intégrité en utilisant en plus le protocole MIC.

Le problème de se système est la non répudiation et de se fait la sécurité. Avec un système par PSK tousles utilisateurs possèdent la même clé pré-partagé. L’inconvénient de ce système se mesure dans le cas d’un réseau

d’entreprise. En effet si plusieurs personnes souhaitent s’associer à une borne Wifi ceci engendrera un grand

nombre de demande d’association avec la même clé PSK envoyée. Il sera alors difficile de connaitre l’émetteur dela demande et surtout il sera plus facile d’obtenir une clé PSK et d’établir une connexion par un utilisateur

malveillant.

2.3. WPA2-Entreprise

Ce système est aujourd’hui celui le plus sécurisé pour un réseau sans fils d’entreprise.

S’appuyant sur un système de clé tournante (TKIP) l’échange de celle-ci ne se fait plus à l’aide d’une clé

préétabli (PSK) mais via une authentification de l’utilisateur. Ainsi chaque utilisateur possède un login et un mot

de passe, la non répudiation est ainsi levé, et le nombre de passphrase est considérablement réduit.

Le client envoie alors son login et son mot de passe, qui vont être réceptionné par la borne, celle-ci vaensuite envoyé les identifiants à un serveur dit Radius qui va contrôler les données envoyés. Le serveur Radiuspeut posséder sa propre base de données ou alors consulter un autre serveur de type LDAP afin d’augmenter la

sécurité. Ainsi si le serveur RADIUS est corrompu, la base ne le sera pas.

Une fois les données contrôlé le serveur RADIUS ouvre l’accès au réseau avec un système de chiffrement de type

AES sur 128 ou 256 bits. Ce type de chiffrement est le plus robuste connu. De plus le système TKIP est toujoursd’actualité avec WPA2-Entreprise.

2.4. L’authentification 802.1X:

La norme 802.1X utilise un protocole de transport d’authentification permettant le dialogue entre le

supplicant, l’authenticator et le serveur d’authentification. Le protocole de base utilisé est EAP. Celui-ci seranommé EAP over LAN entre le poste client et le serveur RADIUS, puis EAP in RADIUS entre le RADIUS et leserveur d’authentification, simplifié au protocole dit RADIUS (voir figure 1).



39

Figure 1 : couche 1 et 2 d’authentification.

FIGURE 1 SOURCE : HSC

Il est possible d’augmenter l’authentification à l’aide certificat. EAP évolue alors en :

EAP-TLSEAP-TTLSEAP-PEAP

Les certificats permettront ainsi de s’assurer des acteurs du dialogue.

2.4.1. EAP-TLS :

L’authentification est réalisé mutuellement (client et serveur) par des certificats électroniques.

2.4.2. EAP-TTLS :

Ici seul le serveur dispose d’un certificat, ainsi le client s’assure que le serveur qui répond est bien le

serveur de l’entreprise, tandis que l’utilisateur est authentifié par son login et mot de passe.

2.4.3. EAP-PEAP :

Nous avons le même principe de fonctionnement que EAP-TTLS cependant cette solution estpropriétaire Microsoft.

Le principe de EAP-TLS offre l’avantage de s’assurer du client voulant accéder aux ressources de

l’entreprise. Cependant cette méthode est lourde de part le fait que chaque utilisateur doit posséder un certificat

signé par une autorité de certification ou auto signée.

Si nous choisissons un schéma par autorité de certification il faut alors posséder un serveur decertification afin que chaque partie puisse dialoguer avec et s’assurer de la validité du certificat. Dans le cas de

certificat auto-signé il faut alors que chaque acteur du dialogue (supplicant-serveur) possède les certificats de l’un

et de l’autre.



40

2.4.3.1. EAP-TLS sans autori té de cert i f icat ion :

2.4.3.2. EAP-TLS avec autori té de cert i f icat ion :

2.4.3.3. EAP-TTLS avec cert i f icat auto-signé :



41

Afin de simplifier la gestion des certificats et des utilisateurs il sera alors préférable d’utiliser EAP-TTLS.

II. Solution LinuxPré Requis :

OS : DebianRadius : Free Radius

Base de données : MYSQL ou OpenLDAP

La base de données MYSQL sera installée sur le serveur RADIUS tandis que le serveur Open LDAPrépond parfaitement à une architecture réseau d’entreprise. Afin de facilité l’administration du RADIUS nous

installerons le service WEBMIN qui permettre par interface web d’administrer le serveur.

Cette solution est totalement gratuite et performante.

III. Solution WindowsOS : Windows Server 2003 ou 2008.

Base de données : LDAP

Radius : IAS Windows server 2003 ou 2008

Cette solution est onéreuse mais présente une ergonomie et une facilité d’installation appréciable. Il estici possible d’avoir le serveur RADIUS sur le même serveur que le LDAP, cependant cette méthode est très

risqué, si le RADIUS présente une faille alors le serveur LDAP présente une faille de sécurit é. Nous avons alorsle choix de multiplié par deux le nombre de serveur (un serveur Windows pour Radius et un pour LDAP), d’où

la solution onéreuse.

IV. Solution MixteOS : Debian

Base de donnée LDAP sous Windows server 200x

Radius : Free Radius.

La solution mixte présente tous les avantages de chacun des environnements. Ainsi performance etsécurité sont liées avec un rapport qualité prix raisonnable. Nous opterons alors cette solution pour répondre aucahier des charges.

V. Authenticator :

Pour toutes les solutions évoquées, l’acteur majeur est la borne Wifi ( authenticator) qui fera la liaisonentre le monde filaire et sans fils. Voici un modèle de borne Cisco qui offre toutes les performances demandées(Protocole EAP-RADIUS, VLAN etc.)



42

1. DETAIL DES BORNES :

Le matériel que nous utiliserons pour les bornes sera de type CISCO Aironet minimum 1130AG.

Celles-ci présentent les caractéristiques suivantes :

Prend en compte les VLANSAdministrable par interface Web ou port console.Prise PoE (système d’alimentation électrique et réseau par la même interface) Accepte le trafic RADIUSFiltrage par adresse MACPossibilité de changer la polarité d’émission de la borne pour un meilleur recouvrement. Choix du canal d’émission.

En plus de ceci les bornes CISCO Aironet 1130AG peuvent ajouter une sécurité contre le type Fonéra.En effet il serait possible d’installer une borne Fonéra à la place d’une borne Cisco ou alors de brancher une

Fonéra sur une prise et partage la connexion. Afin de palier cela, CSICO à pis en place un système de brouillage,

ainsi chaque borne Cisco connait l’adresse mac des autres bornes Cisco, et si une borne vient émettre et que son

adresse mac n’est pas connu alors elle sera brouillé et ne pourra émettre.

Prévoir un switch PoE qui permettra de connecter les bornes Wifi au réseau et à l’alimentation

électrique.

VI. Conclusion :La solution retenue par notre société est la solution mixte. Un serveur radius sous Linux qui nous

permettra de configurer parfaitement les accès Wifi. Elle permet de répondre parfaitement au cahier des chargesavec les mêmes fonctionnalités qu’une solution payante. Cependant la gestion des utilisateurs sera réalisée via un

Active Directory et un annuaire LDAP de Windows Server. La gestion est centralisé et facilement administrable.Avec cette solution mixte nous diminuons les coûts sans pour autant négliger la sécurité ainsi que lesperformances.

Prix des solutions : ( A ne pas mettre dans la partie)

Licence Windows server 2003 : 5053,95 € 4 229,00 € HT

Redhat entreprise standart : 764,24 € (639,00 € HT)

Borne Cisco Aironet 1130AG : 439,40 € (367,39 € HT) x3 par batiment

Switch PoE 8 ports 10/100MPS LInksys : 269,10 € (225 € HT) x2



43

8 – SECURISATION DES SERVICES INTERNES

ACCESSIBLES VIA HTTP/HTTPS DEPUIS L’EXTERIEUR

Jean Labarussiat

Des sites et services web ainsi que des services ftp doivent être accessibles

depuis l’extérieur de l’entreprise.

Toutes les demandes d’accès mappés sur une adresse publique de

l’entreprise seront donc transférées et contrôlés vers le serveur concerné.

La publication de services sur le réseau interne (autre que le périmètre ou

DMZ) exigera une analyse du contenu du niveau applicatif.

I. Introduction

Afin de mettre à disposition des utilisateurs et/ou des clients certains services accessibles via

internet, nous utilisons le protocole HTTP. Par ailleurs, nous devons également envisager de leur

mettre à disposition un service FTP pour qu’ils puissent récupérer des fichiers.

A. HTTP et HTTPS

Le principe initial du protocole HTTP est de transférer du texte depuis un serveur vers un

client. Il peut fonctionner sur n’importe quelle connexion fiable et s’appui sur le protocole detransport TCP. Il fonctionne par défaut sur le port 80.

HTTPS, S pour sécuriser est la simple combinaison du protocole HTTP avec SSL ou TLS.

Il permet au visiteur de vérifier l'identité du site auquel il accède grâce à un certificat

d'authentification. Il garantit la confidentialité et l'intégrité des données envoyées par l'utilisateur

(notamment des informations entrées dans les formulaires) et reçues du serveur.

Il est généralement utilisé pour les transactions financières en ligne : commerce électronique,

banque en ligne, courtage en ligne, etc. Il est aussi utilisé pour la consultation de données privées,

comme les courriers électroniques par exemple.

B. FTP et FTPS

Le File Transfer Protocol (protocole de transfert de fichiers), ou FTP, est un protocole de

communication destiné à l'échange informatique de fichiers sur un réseau TCP/IP. Il permet, depuis

un ordinateur, de copier des fichiers vers un autre ordinateur du réseau, d'administrer un site web,

ou encore de supprimer ou de modifier des fichiers sur cet ordinateur.

La variante de FTP protégée par les protocoles SSL ou TLS (SSL étant le prédécesseur de TLS)

s'appelle FTPS.

http://fr.wikipedia.org/wiki/Certificat_num%C3%A9rique

http://fr.wikipedia.org/wiki/Authentification

http://fr.wikipedia.org/wiki/Commerce_%C3%A9lectronique

http://fr.wikipedia.org/wiki/Protocole_de_communication


http://fr.wikipedia.org/wiki/Informatique

http://fr.wikipedia.org/wiki/R%C3%A9seau_informatique

http://fr.wikipedia.org/wiki/TCP/IP

http://fr.wikipedia.org/wiki/Transport_Layer_Security

http://fr.wikipedia.org/wiki/FTPS

http://fr.wikipedia.org/wiki/FTPS

http://fr.wikipedia.org/wiki/Transport_Layer_Security

http://fr.wikipedia.org/wiki/TCP/IP

http://fr.wikipedia.org/wiki/R%C3%A9seau_informatique

http://fr.wikipedia.org/wiki/Informatique



http://fr.wikipedia.org/wiki/Commerce_%C3%A9lectronique

http://fr.wikipedia.org/wiki/Authentification

http://fr.wikipedia.org/wiki/Certificat_num%C3%A9rique



44

FTP obéit à un modèle client-serveur, c'est-à-dire qu'une des deux parties, le client, envoie

des requêtes auxquelles réagit l'autre, appelé serveur. En pratique, le serveur est un ordinateur sur

lequel fonctionne un logiciel lui-même appelé serveur FTP, qui rend public une arborescence de

fichiers similaire à un système de fichiers Unix. Pour accéder à un serveur FTP, on utilise un logiciel

client FTP (possédant une interface graphique ou en ligne de commande).

Le protocole, qui appartient à la couche session du modèle OSI et à la couche application du

modèle ARPA, utilise une connexion TCP. Il peut s'utiliser de deux façons différentes :

1) Mode actif: c'est le client FTP qui détermine le port de connexion à utiliser pour

permettre le transfert des données. Ainsi, pour que l'échange des données puisse se

faire, le serveur FTP initialisera la connexion de son port de données (port 20) vers le port

spécifié par le client. Le client devra alors configurer son pare-feu pour autoriser les

nouvelles connexions entrantes afin que l'échange des données se fasse. De plus, il peut

s'avérer problématique pour les utilisateurs essayant d'accéder à des serveurs FTP

lorsqu'ils sont derrière une passerelle NAT. Étant donnée la façon dont fonctionne leNAT, le serveur FTP lance la connexion de données en se connectant à l'adresse externe

de la passerelle NAT sur le port choisi. Certaines passerelles NAT n'ayant pas de

correspondance pour le paquet reçu dans la table d'état, le paquet sera ignoré et ne sera

pas délivré au client.

2) Mode passif : le serveur FTP détermine lui-même le port de connexion à utiliser pour

permettre le transfert des données (data connexion) et le communique au client. En cas

de présence d'un pare-feu devant le serveur, celui-ci devra être configuré pour autoriser

la connexion de données. L'avantage de ce mode, est que le serveur FTP n'initialise

aucune connexion. Ce mode fonctionne sans problèmes avec une passerelle NAT. Dans

les nouvelles implémentations, le client initialise et communique directement par le port

21 du serveur; cela permet de simplifier les configurations des pare-feu serveurs.

C. SSL

La connexion va être donc sécurisée avec un certificat créant ainsi un tunnel entre un tiers et

le serveur, ceci assurera uniquement l’intégrité des données transitant dans ce tunnel, pas

l’authenticité des hôtes d’extrémités.

http://fr.wikipedia.org/wiki/Client-serveur

http://fr.wikipedia.org/wiki/Serveur_FTP

http://fr.wikipedia.org/wiki/Syst%C3%A8me_de_fichiers

http://fr.wikipedia.org/wiki/Unix

http://fr.wikipedia.org/wiki/Network_address_translation










http://fr.wikipedia.org/wiki/Unix

http://fr.wikipedia.org/wiki/Syst%C3%A8me_de_fichiers

http://fr.wikipedia.org/wiki/Serveur_FTP

http://fr.wikipedia.org/wiki/Client-serveur



45

Pour sécuriser ces flux, il existe diverses solutions. Nous avons le choix de nous orienter vers

des outils propriétaires, l’univers open-source ou une implémentation mixte. Nous avons également

la possibilité d’opter pour des solutions logicielleset/ou matérielles.

D’une manière générale, nous fonctionneront sur les mêmes principes selon l’environnement

choisi, c’est-à-dire que nous proposons une solution sécurisé de services web et de firewall-proxy.


A. Serveur HTTP :

En plus de fournir un service de gestion des sites, IIS permet d’ajouter des règles de sécurité

sur chacun d’eux.

Avantage Inconvénient

- Grande simplicité d'installation et d'utilisation - Coût du support technique- Très gourmand en ressources matérielles

Il existe également des solutions tout-en-un telles que Wampp et Xampp qui sont en fait les

services apache, php et mysql pour Windows.

B. Serveur FTP :

Le service FTP est un composant Windows. Il est possible de l’installer indépendamment

d’autres fonctions.


A. Serveur HTTP :

De par sa prédominance dans l’univers des serveurs web, le service Apache peut être couplé

à SSL avec le principe du tunnel SSL.


- Gratuité- Peu gourmand en ressources matérielles

- Excellente stabilité

- Installation et administration plus laborieuses(pas d'interface graphique)- Pas de support technique

Un autre serveur web cependant ressort du lot en ce moment et mérite d’être cité : lighttpd.

Sa rapidité vient du fait qu'il a une plus petite empreinte mémoire que d'autres serveurs HTTP ainsi

qu'une gestion intelligente de la charge CPU.

Beaucoup de langages, comme PHP, Perl, Ruby, Python sont supportés via FastCGI.



46

Le principal désavantage de lighttpd face à son concurrent Apache est de ne pas supporter

les fichiers « .htaccess » : les directives ne sont évaluées qu'une seule fois, au démarrage du serveur,

et nécessitent de le redémarrer afin d'être prises en compte.

B. Serveur FTP :Il existe une multitude de solution FTP dans l’univers open-source, parmi celles-ci prédomine

ProFTPd, VsFTPd et Pure-FTPd. Leur différence réside surtout dans la manière de les configurer. Ils

possèdent tous les trois les mêmes fonctionnalités. La différence majeure réside dans la

documentation que l’on peut trouver sur les sites officiels et de là se démarque ProFTPd.

IV. Solution proposée :

Nous proposons de mettre en place l’architecture suivante :

A. Pourquoi cette solution ?

Celle-ci est découpée en 3 zones distinctes. C’est -à-dire que nous allons avoir une zone WAN

qui est la zone Internet non sécurisée, la zone DMZ qui se trouve dans vos locaux, où seront

regroupés les serveurs accessibles aussi bien depuis l’extérieur que du réseau local et enfin, la zone

LAN qui doit être la plus sécurisée de toute. C’est donc le choix le plus optimal pour avoir un niveau

de sécurité fort. Nous pouvons envisager une solution avec un firewall dit « 3 pattes » mais nous

dégraderons par la même occasion notre niveau de sécurité.

Concernant le choix d’une solution précise, tout dépend de l’orientation des autres éléments,

nous intègrerons une solution propriétaire dans le cas d’une installation propriétaire et une solution

open-source dans le cas contraire. Il vaut mieux rester cohérent dans la structure, il est plus facile de

gérer un parc homogène.



47

B. Exemples de fonctionnement :

1) Les postes nomades se connectent via un navigateur web à une URL spéciale pour entrer

son login et mot de passe. Ceux-ci sont vérifiés auprès du serveur d’annuaire afin

d’authentifier l’utilisateur. Ainsi, il pourra avoir accès à divers services : FTP et webmail

notamment. Tous ces flux transitent par le proxy externe qui sera chargé de donner des

autorisations ou des interdictions de passage d’une zone à l’autre.

2) Les postes de travail interne ont besoin de s’authentifier le matin, le proxy interne fait le

relai vers le serveur d’annuaire. Les usagers souhaitent consulter leurs e-mails,

l’application cliente se connecte sur le serveur mail par l’intermédiaire du proxy. S’ils

souhaitent aller sur internet, les flux passeront par le proxy interne pour se connecter au

proxy interne et ainsi à internet en passant par la zone DMZ filtrante.

C. Que faut-il prévoir ?

Après avoir mis en place cette solution, un technicien sera nécessaire pour maintenir

l’annuaire. Lors de l’augmentation du personnel prévue, le technicien va être chargé de créer les

utilisateurs dans l’annuaire. Dans le cas de services web via HTTP ou FTP, il faut un technicien qui

gère les accès, les sites et les répertoires qui vont être accessibles depuis l’extérieur. Bien entendu, il

est possible de déléguer certaines de ces tâches à des chefs de services. Cela peut permettre

d’intégrer le personnel dans la politique de sécurité et ils se sentiront concerné par celle-ci.

D. Coût pour l’entreprise

Nous pouvons classifier les coûts dans deux grandes catégories :

Les coûts financiers et le temps de mise en œuvre. En ce qui concerne les coûts financier,nous les divisons en deux sous-catégories : fixe et variable. Ce qui va, en fait, nous donner le tableau

à double entrée suivant :

Windows Linux

Fixe

ISA Licence Windows IPcop Gratuit et libre

IIS Licence Windows Apache Gratuit et libre

FTP Licence Windows ProFTP Gratuit et libre

Frais d’installation de la solution par Vortech Media

Variables Salaire du technicien selon compétences

En ce qui concerne le temps de mise en œuvre d’une des solutions décrites plus hauts, nous

avons estimés la mise en production de tous les éléments de façon fonctionnelle à 2 jours :

installation et paramétrages des firewalls, des partages FTP et des services web.



48

9 - IDENTIFICATION UNIQUE

Jean Labarussiat

Il est demandé que lorsqu’un utilisateur est connecté sur un poste client interne de l’entreprise, l’accès aux différents services (partages de fichiers,

sites web, …) ne nécessite pas de nouveau la saisie du compte utilisateur et

du mot de passe.

De plus, l’utilisateur situé à l’extérieur de l’entreprise pourra bénéficier du

même service : Il s’identifiera la première fois qu’il se connecter à un service

interne ? Par la suite, il bénéficiera de l’identification qu’il a fournie pour la

consultation d’autres services.

I. Introduction

A. Définition :

L’identification unique (ou authentification unique ; en anglais Single Sign-On ou SSO)

est une méthode permettant à un utilisateur de ne s’authentifier qu’une seule fois pour

accéder à plusieurs applications informatiques, sites web sécurisés, partages réseaux...

B. Objectifs : simplifier pour l'utilisateur la gestion de ses mots de passe : plus l'utilisateur doit

gérer de mots de passe, plus il aura tendance à utiliser des mots de passe identiques

ou simples à mémoriser ;

simplifier la gestion des données personnelles détenues par les différents services en

ligne, en les regroupant dans un méta-annuaire ;

simplifier la définition et la mise en œuvre de politiques de sécurité.

C. Avantage :

La réduction de la fatigue de mot de passe : manque de souplesse liée à l'utilisationde différentes combinaisons de nom d'utilisateur et de mot de passe.

La réduction du temps passé à saisir le même mot de passe pour le même compte.

La réduction du temps passé en support informatique pour des oublis de mots de

passe.

La centralisation des systèmes d'authentification.

La sécurisation à tous les niveaux d'entrée/de sortie/d'accès aux systèmes sans

sollicitation multiple des utilisateurs.

Les technologies fournissant SSO utilisent des serveurs centralisés d'authentification

que toutes les autres applications et systèmes utilisent pour l'authentification,

http://fr.wikipedia.org/wiki/Mot_de_passe

http://fr.wikipedia.org/w/index.php?title=M%C3%A9ta-annuaire&action=edit&redlink=1

http://fr.wikipedia.org/wiki/Politique_de_s%C3%A9curit%C3%A9


http://fr.wikipedia.org/w/index.php?title=Fatigue_de_mot_de_passe&action=edit&redlink=1

http://fr.wikipedia.org/w/index.php?title=Fatigue_de_mot_de_passe&action=edit&redlink=1


http://fr.wikipedia.org/w/index.php?title=M%C3%A9ta-annuaire&action=edit&redlink=1

http://fr.wikipedia.org/wiki/Mot_de_passe



49

combinant ceci avec des techniques logicielles pour s'assurer que les utilisateurs

n'aient pas à entrer leurs identifiants plus d'une fois.

D. Inconvénient :

Comme SSO donne accès à de nombreuses ressources une fois l'utilisateurauthentifié, les pertes peuvent être importantes si une personne mal intentionnée a accès à

des informations d'identification des utilisateurs. Avec SSO, une attention particulière doit

donc être portée à ces informations et des méthodes d'authentification forte devraient être

combinées dans la mesure du possible.

E. Fonctionnement de l’authentification unique

Prenons l’exemple d’un utilisateur qui arrive en début de journée, se connecte à son poste. Il

ouvre à ce moment là le logiciel qui va s’occuper de lui fournir un ticket pour une durée de huit

heures maximum. Celle-ci se déroule en 6 étapes :

1) L’utilisateur demande un ticket d’authentification, le logiciel récupère ses identifiants de

connexion au domaine et les transfère ;

2) Le serveur « Kerberos » vérifie les informations auprès du serveur d’annuaire ;

3) Le serveur d’annuaire confirme l’exactitude des données fournies ;

4) Le serveur « Kerberos » fournit un ticket pour une durée prédéterminée ;

5) L’utilisateur peut consulter un site web déjà visiter auparavant pour lequel il a déjà rentré

des informations (ex : site de VPC) ;

6) Le serveur distant accepte la connexion de cet utilisateur.



50

II. Solutions Windows

Dans le cas d’une solution propriétaire, nous utiliserons Active Directory pour servir

d’annuaire LDAP auquel nous implémenterons la fonction Kerberos. Cela permettra de pouvoir

stocker les informations personnelles des utilisateurs ainsi que de leur délivrer des tickets

d’authentification pour une durée choisie. Une fois ce ticket en leur « possession » ils vont pouvoir se

connecter aux différents services web qui leur sont accessibles.

III. Solutions Linux

Dans le cas d’une solution open-source nous installerons un serveur d’annuaire (OpenLDAP)

couplé avec Kerberos et le module PAM.

Pour une SSO à partir de l’extérieur, nous pouvons mettre en œuvre CAS (Central

Authentication Service) qui permettra aux utilisateurs d’avoir accès depuis chez eux aux services en

ne s’identifiant qu’une seule fois.


CAS Echange de ticket via HTTPS

Interopérabilité avec lesystème d’authentification en

place (LDAP, Kerberos, NIS…)

Difficulté de mise en place etde gestion.

OpenLDAP + PAM + Kerberos Totalement libre et stable. Nécessite un technicienconfirmé pour maintenir lesystème.

IV. Solution Mixte

Il y a plusieurs solutions pouvant être implémentée à l’architecture de façon mixte. Nous

pouvons donc faire appel à OpenID qui est un service décentralisé de SSO, plutôt pour l’accès de

l’extérieur. Likewise qui permet d’appliquer des stratégies d’Active Directory sur des clients linux et

Macintosh (donc Unix) et qui gère un module SSO. Enfin un ensemble de solution Windows et Linux

interopérable.


OpenID Plusieurs clients : java, php,python, ruby.

Peu de site adhérent à l’heure

actuelle.

Likewise Interopérabilité des systèmesd’exploitation

AD + Kerberos + Samba + PAM Puissance d’Active Directory Nécessite un technicienconfirmé pour la mise en placeet la gestion.



51

V. Solution proposée :

La solution proposée va être exactement la même selon le type (propriétaire, open-source,

mixte) choisi. La seule différence va se trouver dans les produits utilisés.

Nous allons mettre en place un serveur d’annuaire couplé à un système Kerberos chargé de

délivrer des tickets pour un temps donné. Ceci va donc permettre aux utilisateurs de rentrer leurlogin/mot de passe une seule fois dans la journée, c’est ensuite le ticket délivré qui permettra de leur

accorder l’accès à tel ou tel service (web, partage réseau…).

Concernant le même système de SSO depuis l’extérieur, nous utiliserons CAS qui permet

donc aux utilisateurs d’avoir un accès SSO sur les différents services proposés.

A. Que faut-il prévoir ?

Après avoir mis en place cette solution, un technicien sera nécessaire pour maintenir

l’annuaire et l’ajout des utilisateurs. La solution ne nécessite pas de matériel et s’intègre en tantqu’application sur l’un des systèmes d’exploitation déjà en place.

B. Coût pour l’entreprise

Windows Linux

Fixe

AD Licence Windows OpenLDAP Gratuit et libre

Kerberos Licence Windows Kerberos Gratuit et libre

PAM Gratuit et libre

Frais d’installation de la solution par Vortech Media

Variables Salaire du technicien selon compétences



52

10 - GESTION DES MISES A JOURS DE SECURITE

Guillaume Arsicaud

Rappel des besoins :L'entreprise souhaite une solution de mise à jour automatique, de correctifs de sécurité sans que

l'utilisateur est à intervenir, tout en permettant aux administrateurs de valider ou non un correctif.

Pour les postes de travail, l'utilisateur ne doit pas pouvoir refuser la mise à jour, de plus tout doit êtreautomatique et le plus transparent possible pour celui-ci. Mais il doit avoir le choix de pouvoir redémarrer samachine lorsqu'il le souhaite (pour ne pas interrompre son travail).

Les serveurs qui peuvent être redémarré, doivent être programmés à certaines heures et ceux qui nedoivent pas être redémarré doivent être configurés à cet effet.

I. La Solution Windows.Windows propose 3 solutions de mise à jour qui sont :

Microsoft Update,

Windows server update services (WSUS),

System Center Configuration Manager 2007 (SCCM).

1. Presentation des solutions

1.1. Microsoft Update

La première solution est orienté particulier et utilisateur individuel. Cet outil permet de régler les misesà jour de façon automatique en sélectionnant le jour et l'heure. La seule contrainte est d'avoir l'ordinateur allumé.Mais elle ne permet pas la gestion d'un parc informatique (aucune gestion de déploiement), impossible de revenirsur une mise à jour, de plus chaque utilisateur doit se connecter à internet ce qui est consommateur de bandepassante.

1.2. Windows server update services (WSUS)

La seconde solution, WSUS est préconisé pour les petites/moyennes entreprises (une base de donnéesest nécessaire à son fonctionnement). Son but est de limiter l'utilisation de la bande passante vers Internet et des'assurer que les systèmes Windows possèdent les dernières mises à jour installées sur votre parc informatique, de

plus WSUS est gratuit. Ce service inclus une notion de reporting, permettant à l'administrateur d'être avertit dubon déroulement ou non de l'installation des mises à jours sur son parc informatique. Une interface graphique(MMC3), permet de gérer très simplement le ou les serveurs WSUS pour :

Récupérer les nouvelles mises à jour (des différents produits Microsoft) sur le site Microsoft ou sur unserveur de mise à jour de l'entreprise (une synchronisation manuel ou automatique est possible)

Dresser la liste d'approbation (se sont les mises à jour autorisé à être installées sur le parc informatique).

Créer des groupes de distribution des mises à jours (les postes ou serveurs peuvent être assignés à desgroupes de distribution grâce à la configuration de stratégie de groupe (GPO), à noter que le clientMicrosoft update doit être présent sur les postes clients). Une liste d'approbation peut également être

configurée en fonction d'un groupe.



53

Il est possible d'ajouter le serveur proxy de l'entreprise pour que le serveur WSUS l'utilise lors de lasynchronisation.

La fonction SSL peut être paramétrée sur WSUS (par le biais d’IIS). Une architecture de clé privé, clé public est

nécessaire, toutefois ce processus permet d'assurer la confidentialité, l'intégrité et l'authentification de données

échangées entre notre serveur et celui de Microsoft1.3. System Center Configuration Manager 2007 (SCCM)

La dernière solution, SCCM (qui est la nouvelle version de System Manager Serveur (SMS) est préconisépour les moyennes/grandes entreprises. Elle reprend les fonctionnalités de mise à jour de WSUS (qui est un pré-requis pour l’installation de SCCM) et y ajoute une solution complète de gestion de parc, pour :

la collecte de l'inventaire matériel et logiciel ;

la distribution et l'installation d'applications logicielles ;

le fonctionnement avec le serveur de stratégie réseau Système d'exploitation Windows Server 2008 pour

empêcher les ordinateurs d'accéder au réseau s'ils ne satisfont pas à la configuration requise spécifiée, parexemple si certaines mises à jour de sécurité sont manquantes ;

le déploiement de systèmes d'exploitation ;

la définition de la configuration souhaitée pour un ou plusieurs ordinateurs dont la conformité serait

surveillée par la suite ;

le contrôle de l'utilisation des logiciels ;

la prise de contrôle à distance d'ordinateurs pour le dépannage.

Cette solution à un cout de 33 euros par poste client utilisateur / 125 euros par poste client serveur et

470 euros pour le serveur (prix établie sur référence du site Microsoft).

Cette solution est donc la plus élaborée mais également la plus longue à configurer. Pour ne citer qu’un

exemple il est possible de faire un inventaire du parc informatique et d’utiliser cette ressource pour en faire un

filtre lors de la mise à jour. Par exemple je peux spécifier que la dernière mise à jour proposée par Windows sefera exclusivement sur des machines ayant plus de 150mo d’espace disque libre (il est impossible d’effectuer cette

opération sur WSUS.)

2. La solution retenu

Nous retiendrons la solution WSUS pour les raisons suivantes :

Ce logiciel répond parfaitement aux attentes de l'entreprise. Les mises à jour sont distribuées sansintervention de l'utilisateur. L'administrateur aura préalablement validé ou non les mises à jours, qu'il peutaffecter à des groupes (contenant les postes utilisateurs), pour réunir les postes par système d'exploitation parexemple, lui permettant d'organiser et d'automatiser les taches au maximum. Ces groupes peuvent être organiséspour créer un groupe de test, pour tester la stabilité de nouvelles mises à jour avant d'être déployer sur l'ensembledu parc informatique.

L'utilisateur sera avertis de la mise à jour de son poste, sans que celui-ci puisse la stopper (même si il venait àredémarrer, la mise à jour s'effectuera de nouveau au démarrage).

Une option permet de ne pas redémarrer le poste après une mise à jour (dépend d’une GPO), ainsi l'utilisateur

qui éteint son poste en partant de son travail effectuera le redémarrage de la machine. Cette règle sera appliqué



54

aux serveurs qui ne doivent pas être redémarré (pour ceux qui acceptent d'être redémarre, cette même optionpeut être paramétré pour effectuer cette tache à une heure précise.)

La solution SCCM n'a pas été retenu car l'entreprise n'a pas besoin des services de gestion de dépannagecentralisée, de distribution de logiciels, d'audit du réseau etc. De plus cette solution est couteuse.

Microsoft Update n'est pas envisageable car il ne permet aucune administration, aucune vérification oupossibilité de revenir sur une mise à jour. Son utilisation est limitée pour l'utilisateur (de plus l'administrateur n'aaucun moyen de « forcer » un utilisateur à mettre à jour son poste. Par conséquent cette solution ne répond pasaux besoins de l'entreprise.)

3. Déploiement de la solution WSUS

3.1. Les différentes architectures

3.1.1. L’architecture WSUS simple:

o Méthode la plus simple: un serveur derrière le pare feu qui se met à jour directement

sur les serveurs de Microsoft Updateo Les mises à jour sont gérés par la console d’administration et déployées par le biais duclient de mises à jour automatique: il faut leur renseigner l'adresse du site web surlequel il pourra récupérer les correctifs

o Création d'un site web par défaut ou alors sur un site personnalisé (port 8530)

3.1.2. L’architecture WSUS chaînés:

o Deux catégories de serveur: les serveurs amont et aval, un serveur aval se met à joursur un serveur amont

o Un serveur amont ne doit jamais se synchroniser sur un serveur aval, cela créerai uneboucle fermée qui n'est pas supportée par le protocole de communication entre lesserveurs.

o Une authentification peut être demandée, dans un environnement Active Directory,

sur le serveur amont sur la base d'une liste définie de serveurs avals.



55

o Microsoft recommande de ne pas dépasser un enchaînement de plus de trois serveursavals bien qu'en théorie aucune limite ne soit imposée par le protocole decommunication entre les serveurs. Par contre, aucun test supérieur à un enchaînementde plus de cinq serveurs n'a été réalisé par Microsoft.

3.1.3. L’architecture réseau déconnecté d'Internet:

o Si un segment de votre réseau n'est pas connecté à Internet, pour quelle que raison quece soit, il est possible d’exporter le contenu de la base de mises à jour, sur un media

physique, afin de les importer sur le serveur WSUS isolé.o Cette solution peut aussi être envisageable pour les entreprises ayant des liaisons

coûteuses ou une bande passante faible vers Internet

3.2. Le choix de l’architecture pour le client PASCAL

3.2.1. Le Réseau déconnecté d’Internet.

Il faut donc choisir la solution la plus adapté à la demande formulé dans le cahier des charges.Commençons par « le Réseau déconnecter d’Internet ». Ce choix ne serait pas judicieux car le client n’a pas

besoin de mettre un serveur WSUS à jour, de copier les données sur un disque dur externe ou sur une clé USB,pour ensuite mettre à jour un autre serveur WSUS à jour, puisque, tous les ordinateurs que se soient client ou

serveur auront accès au serveur local WSUS pour faire les mises à jour. Et donc on pourrait présenter cettesolution pour le cas d’une entreprise qui a deux réseaux. Un relié a Internet et un autre non relié a Internet et ces

deux réseaux ne communiquent pas entre eux. IL faut donc deux serveur WSUS, le premier pour récupérer lesmises à jour et les déployer sur le premier réseau et un seconde (qui n’est pas relié au premier et qui est donc

déconnecté d’Internet) pour communiquer les mises à jours par un média de type clé USB, disque dur externe.

3.2.2. le WSUS chaîné.

La seconde solution « le WSUS chainé » pourrait apparaitre comme la plus efficace pour le client Pascal.Nous avons 4 sites, qui sont reliés par des liens WAN. Mais cette solution serait consommateur de bande passantepour les liens WAN. Car il y aurait un serveur en amont sur le site principal d’Orsay par exemple et 3 serveurs en

aval qui se synchronisent sur ce site. Le problème est donc l’utilisation de lien WAN. Cette solution serait la plussimple à mettre en œuvre si un seul site est relié à internet.



56

Le nombre d’utilisateur par site ne dépasse pas les recommandations Microsoft (qui sont de 500utilisateurs du service WSUS), par conséquent il n’est pas nécessaire d’avoir deux serveurs par site pour répondre

à la charge. Cette solution ne répond pas au mieux au cahier des charges.

3.2.3. WSUS simple.

Passons au « WSUS simple », qui est comme son nom l’indique la solution de «base », mais qui n’enreste pas moins la plus efficace pour le client car elle nécessite un serveur qui se met à jour grâce à Internet sur lesite Microsoft Windows Update et une console d’administration pour gérer le logiciel de descente des mises à

jour, du reporting… Les postes clients une fois configurés peuvent récupérer les mises à jour sur ce serveur local.

C’est donc cette solution qui sera implémenté. Chaque site sera indépendant, seule la connexion internet serasollicitée.

4. Configurations matérielles et logiciels requis.

4.1. Configuration logicielle requis pour WSUS 3.0

4.1.1. Pour le serveur :

Windows Server 2003 Service Pack 1 ou un Service Packs ultérieur, Windows Serveur 2008WSUS 2.0, WSUS 2.0 desservent le pack 1 ou WSUS 3.0 RCServices Internet (IIS) 6.0 ou une version ultérieureMicrosoft .NET Framework 2.0Microsoft Management Console 3.0Rapport Microsoft visionneuseOptionnel: Microsoft SQL Server 2005 avec Service Pack 1

Remarque si une version compatible de SQL Server n'est pas installée, WSUS 3.0 installe Windows Internal

Database.

4.1.2. Pour la console d’administration :

Windows Vista, un Service Packs ultérieur, Windows XP avec Service Pack 2 ou Windows Server 2003 ServicePack 1RC WSUS 3.0Microsoft .NET Framework 2.0Microsoft Management Console 3.0Rapport Microsoft visionneuse

4.2. Configuration matériel requis pour WSUS 3.0

4.2.1. Pour le serveur :

Recommandation Microsoft pour 500 clients ou moins



57

RenommaConfiguration minimum Configuration recommandé

CPU 750 MHz 1 GHz RAM 512 MB 1 GB Base de donnée WMSDE/MSDE WMSDE/MSDE Disque dur 32 GB 32 GB

Conclusion :

Cette solution en plus de répondre au cahier des charges, apporte une réelle valeur ajoutée avec uneéconomie de bande passante, une centralisation d’administration permettant d’optimiser le processus de mise à

jour. Son utilisation est relativement simple (aucune formation n’est nécessaire, le produit est très simple àprendre en main).

II. La solution LinuxLes besoins formulés pour la partie linux restent identiques à ceux de Windows.

Au même titre que Windows, linux permet la mise à jour automatique de ses postes clients et serveurspar différent moyens à savoir :

APT Apt proxy

Le miroir local

1. La solution APT

Il est tout à fait possible d’utiliser la commande « atp-get update» pour télécharger les dernières mises à jourdisponibles. Mais elle ne permet pas la gestion d'un parc informatique (aucune gestion de déploiement),impossible de revenir sur une mise à jour, de plus chaque utilisateur doit se connecter à internet ce qui estconsommateur de bande passante.

2. La solution Apt proxy

Ce paquet permet de réduire la consommation de bande passante vers internet. En effet, une fois atp proxyinstallé sur un poste, il permet de centraliser les mises à jour d’un serveur Debian « officiel » sur un poste interneà l’entreprise. L’ensemble du parc informatique peut ensuite utiliser cet ordinateur comme ressource de mise à

jour et ainsi ne plus utiliser internet.



58

3. La solution miroir local

Cette solution consiste à mettre en place un serveur de mise à jour en interne comme la solution précédente, en yajoutant une notion de copie totale ou incrémental du serveur « officiel » de mise à jour. De plus l’administrateurpeut choisir d’exclure des paquets dont il n’a pas besoin et de déployer sur l’ensemble de son réseau les mises à

jour qu’il aura sélectionnées.

4. Le choix de la solution pour le cl ient PASCAL :

La solution Apt ne répond pas aux exigences du client, il n’y a aucune notion de centralisation, de

gestion et donc de contrôle.

Apt proxy permet une économie de bande passante, grâce à une centralisation des mises à jour, maisl’administrateur n’aura pas de contrôle sur leur déploiement.

Le miroir local est la solution qui répond à l’ensemble des besoins du client, car en plus d’une

centralisation, il sera possible d’avoir un contrôle total sur les mises à jour.

A noter que la configuration des postes (clients et serveurs) est également important pour définir l’heure desmises à jour et forcer le redémarrage. Tout ceci est possible grâce au « crontab » qui permet de configurerautomatiquement des scripts, des commandes ou des logiciels à une date et une heure spécifiées à l'avance.Permettant ainsi l’automatisation de la tache de récupération des mises à jour des postes clients sans interventionde l’administrateur (mais cet outil n’est pas propre à l’utilisation d’un serveur miroir).

5. L’architecture :

La demande étant la même que pour la solution Windows, nous organiserons notre architecture de la même façoncomme présenté ci-dessous :

Serveur

Miroir

Serveur

Debian

Les choix de cette architecture sont sensiblement les mêmes que la solution présentée dans la partie Windows quevous pouvez consulter dans « choix du déploiement de la solution WSUS ».

6. Outil de mise en place d’un miroir local :

La solution étant désigné, nous allons choisir les outils permettant la mise en place de site miroir.

La distribution Debian met à disposition l’utilisation d’un script « Debmirror » destiné à répliquer l’arborescence

des binaires et des sources du serveur Officiel.

Notre solution doit inclure les mises à jour de sécurité. Grâce à Debmirror il est possible de télécharger certaine

branche de l’arborescence du site officiel et dans notre cas nous aurons besoin de « security ». Mais il sera tout àfait possible de télécharger des paquets permettant par la suite la mise à jour du système d’exploitation.



59

Debmirror est généralement utilisé avec « Rsync » et « gnupg ». Leur utilisation est justifiée dans notre cas.

Gnupg (GNU privacy gard) permet de transmettre des messages signés et/ou chiffrés. Nous utiliseronscet outil pour récupérer le certificat public du site de mise à jour debian permettant de garantirl’authenticité.

Rsync (remote synchronization) est un logiciel libre de synchronisation de fichiers. La synchronisationest unidirectionnelle, c'est-à-dire qu'elle copie les fichiers de la source vers la destination uniquement.Rsync est donc utilisé pour réaliser des sauvegardes incrémentales ou pour diffuser le contenu d'unrépertoire de référence.

La synchronisation peut être utilisée en fonction de deux cas présentés ci-dessous :

Mode distant : le programme client contacte le programme serveur, habituellement grâce auprotocole ssh, ce qui permet par exemple une communication sécurisée à travers l'Internet (dansnotre situation entre le serveur local et le serveur officiel.)

Mode local : Le programme client se charge de comparer les deux versions des répertoires etd’ef fectuer la synchronisation (ce qui sera la solution utilisé pour les postes client dans le LAN).

Pour information Debian comporte trois branches : « stable », « testing » et « unstable ». Ces trois branches sontdes indicateurs qui permettent de s’assurer de la stabilité des mises à jour, « unstable » étant une version en coursde développement. Pour les serveurs il est recommandé d’utilisé les versions « Stable ». Et pour les clients lesversions « Stable » ou « Testing ». De ce fait aucun groupe de test ne sera mis en place.

7. Configuration matériel requis

Pour les serveursLa configuration matérielle recommandée est un P4 1GHz avec 512Mo de ram. Pour la distribution de mise à

jour de sécurité un disque dur de 40 Go est recommandé.

Pour les clientsLa conf iguration d’un poste client demande les mêmes recommandations que le serveur (l’espace disque

recommandé n’est pas de 40 Go mais de 10go).

Conclusion :

Cette solution en plus de répondre au cahier des charges, apporte une réelle valeur ajoutée avec uneéconomie de bande passante, une centralisation d’administration permettant d’optimiser le processus de mise à

jour. Son utilisation est relativement simple (des documentations peuvent être fournis), a noter qu’il n’y a pas

d’interface graphique.

III. La solution MixteIl n’est pas possible de mettre à jour des postes Linux par le biais de WSUS ou d’un autre produit de la gamme

Microsoft. De même, Linux ne propose pas de solution pour la mise à jour des postes Windows. Il faudra doncmettre en place la solution retenu dans la solution Windows (voir La solution Windows) et Linux (voir la solutionLinux).



60



61

LES COUTS

ygkgky

rapport mir2

Documents