===== Architecture =====
==== Recensement des besoins ====
* Bureautique
* Serveurs d'application
* Base de données
* Administration
* Développement
* Impression ...
==== Réseau IP ====
Cours sur les réseaux FIXME
=== Norme RFC 1914 ===
----
Address Allocations for Private Internets
10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.16.255.255 (24
----
=== LACP ===
----
FIXME
----
=== DHCP ===
----
=== STP ===
----
=== VLAN ===
----
=== Questions ===
Comment contrôler l'accès à des réseaux à l'aide du routage ?
ACL, ne pas mettre de routeur par défaut
Comment un routeur peut-il rendre un site inaccessible ?
Il suffit qu'un routeur se rendre maître de résolution de nom pour le routage d'un site, sachant que se routeur n'ai pas capable réellement de résoudre se nom (ex:youtube)
Pourquoi désactiver la résolution de noms sur les pare feu ?
Préférez mettre en dur les adresses IP des mises jour des firewall, et désactiver les DNS (attaques DDOS)
Que faire en cas de dysfonctionnement d'un DNS ?
En cas de dysfonctionnent DNS, il faut injecter des règles statiques, ainsi le proxy pourra injecter ces règles à tous les postes
Les serveurs en DMZ ont-ils accès au DNS ?
NON, il utilise uniquement leurs fichiers HOSTS, il faudra le remplir ou utiliser un proxy dans la DMZ
=== PROXY ===
=== Intérêt ===
* masque l'adresse IP des postes clients
* accéder à intranet via une seule @IP
=== Fonctionnalité ===
* Le Système de cache
* Le Filtrage de sites
* Le Filtrage Réseau
* La publication statistiques
* Translation d’adresses
==== NAT ====
=== Firewall ====
=== Stateful ===
=== Paramétrage ===
* Tout ce qui n’est pas autorisé est interdit
* Réglés implicites (sppofing, synflooding, ...)
=== Technologie avancées de contrôle ===
* suivi des connexions (stateful)
* contrôle protocolaire (HTTP, SMTP, DNS , POP, FTP, ...)
* Testé par des organismes spécialisés
* Critère Commun (ISO15408)
* Evaluation Assurance Level EAL
* Proxy applicatif (niveau 7 OSI)
==== Matrice des flux / protocole ====
=== HTTP ===
HTTP Entrant
HTTP Administration et Documentation
FIXME
==== Netfilter/iptables ====
**INPUT**
**OUTPUT**
**FORWARD**
Quels sont les critères de sélection d'un pare feu ?
Contrôle de niveau 4 ou 7
Certification EAL (5+ ou équivalent)
Débit en Front, combien de millions de paquets peut-il envoyer par secondes
==== Perméabilité des pare-feux ====
{{ :architecture:image0013.jpg |}}
mod sécurity
==== HNO ====
Comment augmenter la sécurité un VPN ?
algoritme mis en oeuvre : hachage 256, AES fort
authentification forte : certification token
LDAP décentralisé
Pas de pré-share keys
==== PRA ou PCA V4.1 ====
{{ :architecture:apache-reverse-proxy-modsecurity.png |}}
Module de l'UTM / pare feu
Apache 2.4 + mod security + OWSAP + liste blanche => Permet de bloquer les attaques
==== La haute disponibilité ====
=== RAID ===
RAID 10 pour les serveurs
RAID 5 pour les données