Créateur de livres
 Ajouter cette page à votre livre

Créateur de livres
 Retirer cette page de votre livre 

 Voir ou modifier le livre ( 0 pages)

 Aide

====== Mécanisme de sécurité de niveau 2 ======


===== Problématique =====


Contrer menaces externes (hacker)


Contrer les menaces internes (employés non vigilant)


==== Principe ====

Séparer un réseau physiques en plusieurs réseaux (physiques ou logiques)

Communications intra et inter domaines de sécurité

Les communications entre deux entités de domaine de sécurité différents seront soit impossible, soit sécurisées (filtrage, chiffrement, contrôle d'intégrité, contrôle de contenu, authentification,...)

Rogue Access point : point d’accès wifi non déclaré

* Non sécurisé
* personnes externes pouvant accédé au réseaux

==== Objectif ====

Appliquer la politique de sécurité des systèmes d'informations au niveau réseau

C'est la PSSI qui doit définir les définir les différents domaines de sécurité et les communications autorisées entre chacun d'eux

**Réseau à plat** -> A Éviter

**Cloisonnement :**

* utilisateurs
* serveurs
* production/recettes/test

* + RH/comptabilité/Paie/direction

Identification des entités qui nécessite le système autorisations sur le réseau d'entreprise

En fonction des populations d'utilisateurs

Regroupement de ces entités dur des réseaux de confiance

==== Cloisonnement ====

**Physique**

**Logique**

**DMZ**

Maîtrise des flux réseau est la garantie d'un cloisonnement logique efficace

Pas d’accès en provenance d'un point d’accès non maîtrisé :

* Le défilement filtrant doit être le seul point d’accès entre le réseau non sûr et le réseau interne

* Les accès externes (fournisseurs, clients, sous-traitants) doivent entrer ^par un élément filtrant (routeur, pare-feu).

==== OSI Niveau 2 ====

Tables utilisées pour la communication

CAM : Content addressable memory

stocke l'association adresse MAC <=> port/VLAN

Elle est mise à jour à chaque trame reçue

TCAM : Ternary content-addressable memory

Stockent les ACLS

=== Vunérabilités ===

Absences de contrôles sur les adresses MAC

Menaces d'une machine sur port libre

Usurpation de l’adresse IP

Absences de filtrage de trames

Menaces de saturation du réseau, de déni de service sur le commutateur


=== Solutions ===

Cloisonnement logiques à l'aide de réseaux locaux virtuels (VLAN)

Fonctions de filtrage statique sur tout ou partie du contenu de la trame

Possibilités d'envoi d'alarme (SNMP) en cas de détection d'une nouvelle adresse MAC


===== VLAN =====

Attribution des VLAN en fonction des ports physiques du commutateur

**Avantage :**

En cas de déménagements des utilisateurs des utilisateurs nomades, les VLAN sont dynamiquement attribués sur les ports correspondants.

**Inconvénients:**

Non maîtrise des attributions de vlan sur les ports des commutateurs.

==== Intérêts ====

Segmentation

contribution à la réduction de la taille des domaines de broadcast

Flexibilité (VLAN dynamique)

Permet d'associer une machine à un réseau précis selon son adresse MAC et IP, quelque soit son emplacement physique sur le réseau


==== OSI ====

Les VLANS sont de niveaux deux, pour une communication, il faut effectuer du routage intervlan,par un routeur de niveau trois.

==== Encapsulation ====

{{ :architecture:trunk.png?600 |}}


==== VTP ====

**Statique :**

Configuration manuelle des interfaces

**VTP :**

Domaine VTP

Propagation des VLANS sur tous les commutateurs du domaine

Rôles VTP

Server Mode : création des VLAN et propagation des informations

Client Mode : Reçoit les VLANS, et créer les VLANS sur l’équipement

=== STP ===

Circulation en boucle des trames et multiplication <=> Tempêtes de broadcast

===STP :===

* Crée un chemin sans boucle basé sur le chemin le plus court
* Choix du chemin en fonction de la somme des coûts de liens entre les commutateurs
* Les coûts sont basés sur la vitesse des ports

STP échange régulièrement des informations (BPDU, Bridge Protocol DATA Unit) afin qu'une éventuelle modification de topologie puisse être adaptée sans boucle.


===États des ports===

* listening : le commutateur « écoute » les BPDU et détermine la topologie réseau ;
* learning : le commutateur construit une table faisant correspondre les adresses MAC aux numéros des ports ;
* forwarding : un port reçoit et envoie des données, opération normale ;
* blocking : un port provoquant une boucle, aucune donnée n'est envoyée ou reçue mais le port peut passer en mode forwarding si un autre lien tombe ;
* disabled : désactivé, un administrateur peut manuellement désactiver un port s'il le souhaite.

===Détermination des ports racine===

- Élection d'un commutateur maître
- Tous les commutateurs émettent des BPDU
- L'identification utilisé (Bridge ID) est la concaténation de la priorité (2 octets) et de l'adresse MAC (6 octets)
- Celui qui est le plus petit BPDU gagne l'élection
- Une fois le maître désigné, envoie de BPDU
- Le sports désignés sont en FORWARDING


===== Standard IEEE 802.1X =====

==== Architecture AAA ====

Centralisation des accès au réseau interne depuis plusieurs sources

Serveur d'accès distant (RAS)

Passerelle VPN, Commutateur, Point d'accès Wifi

**Authentification :**

identification et authentification des utilisateur

**Authorization :**

gestion des droits d’accès des utilisateurs

**Accounting :**

traçabilité des actions effectués par les utilisateurs


Quatre types d'entités interagissent:

* Utilisateur
* Organisation de base de cet utilisateur
* Serveur AAA
* L’équipement réseau

{{ :architecture:archi_aaa.jpg |}}

**RADIUS, TACAS+**

=== RADIUS ===


* Protocole de niveau 7
* Assurer l'authentification des utilisateur
* Gérer la traçabilité des connexions


Port UDP 1812


===== VPN =====

==== Problématique ====

Comment garantir la sécurité du transport des données au travers des réseaux non sûr => Internet

**VPN poste à site**

L'une des extrémités est un poste, accédant directement au réseau public.

L'autre extrémité une passerelle, interconnectant le réseau public et le réseau privé de l'organisme

Tunnel monter de façon permanente

**VPN site à site**

Les deux extrémités sont des passerelle interconnectant les sites

Dés que la communication est terminé, le tunnel est démonté

passerelle <=> passerelle

routeur ou firewal <=> routeur ou firewall

===== Protocoles =====

==== VPN de niveau 2 ===

=== PPP ===

Liaison permet de full duplex et garantit l'ordre d'arrivé des paquets

PPP => via PAP

PAP : Password Authentification Protocol

Le mot de passe passe en clair sur le réseau

=== PPTP ===

Deux canaux de communication

Un canal de contrôle pour la gestion du lien

Un canal pour le transport des datas

PPTP => MS-CHAP

Microsoft CHAP : grandes vulnérabilités => MS-CHAPv2

Envoi non simultané des hash LAN Manager et NTLM

Renouvellement de la clé de chiffrement MPPE

Chiffrement XOR des paquets => transformation booléennes par le ou exclusif

=== L2F ===

Layer 2 Fowarding

Protocole obsolète

Permet d'encapsuler des trames PPP entre un serveur distant et un serveur L2F

=== L2TP ===

Permet d'encapsuler des trames PPP pour les envoyer dur des réseaux IP, X25, Frame, Relay ou ATM

Fusion des deux protocoles PPTP et L2F

Attention pas de chiffrement des datas

Encapsulation des trames PPP dans des messages UDP

Un concentrateur LAC (L2TP Access Concentrator) permet l'encapsulater

Un serveur L2TP déencapsule les trames

{{ :architecture:l2tp.png |}}

**Inconvénients**

Encapsulation Lourde => en-tête de 14 octets

Aucune confidentialité des données n'ai assuré


==== VPN de niveau 3 ====

=== MPLS ===

Protocole de niveau 2.5 de communication de paquets par étiquette (label) => notion de routage + étiquetage

Permet de faire cohabiter sur une même infrastructure réseau (liens, routeurs) plusieurs services (données, voix, vidéo,...) et plusieurs protocoles (IPv4, IPv6...)

L'over-head est insérée entre l'en-tête de niveau 2 et 3, sans autre modification de la trame

** Principe de communication ***

Les routeurs de bord, commutent au centre

//Commutateur MPLS sont souvent appelés routeurs//

Routeur CE => Label => Routeur PE

Les trames sont taguées d’où la notion de réseaux virtuels

{{ :architecture:mpls.png |}}

** Création de cloisonnement logique **

Routeur virtuel VRF

Selon une table de routage prédéfinies en fonction des clients

Définition des routes entre les tables

Tout ce qui n'est pas autorisé et explicitement refusé

** Étiquette **

Label de 64 bits qui indique ce que l'on peut **router** et vers quelles **destinations**

{{ :architecture:mpls2.png |}}

**MPLS vs IPsec**

MPLS offre un service de contrôle d'accès au réseau, mais n'assure pas la confidentialité ni l'intégrité des données échangées sur le réseaux traversées.

IPsec offre des services de confidentialité de de contrôle d'intégrité basés sur la cryptologie

** Les deux approches peuvent être menées simultanément**


=== IPsec ===

PKI

AH

ESP

SPI

2 phases :

- Établissement

- Négociation

Mode Transport et Tunnel

Mises en cascade et surencapsulation

=== SSL/TLS ===

Protocole de niveau 5 (session) et de niveau 6 (présentation)

Cette suite protocolaire fournit des services de sécurité :

confidentialité : chiffrement des données

Intégrité: contrôle d'intégrité, anti-modification, anti répudiation

Authentification : authentification serveur, authentification client (optionnelle)

SSL est composé de 4 protocoles :

* Niveau 5
* Record Layer Protocol (RLP)

* Niveau 6
* Handshake Protocol (HP)
* Change Cipher Spec Protocol (CCSP)
* Alert Protocol (AP)

SSL v3 permet l'authentification mutuelle (client et serveur)

** Nouveau Besoin **

VPN est un réseau lourd à mettre en œuvre et à maintenir, consommateur de ressources

VPN SSL/TLS

SSL et TLS sont implémentés nativement dans les principaux système et logiciels du marché

SSL/TLS est trés utilisé pour sécuriser la plupart des protocoles anciens:

HTTPs, POP3s, SMTPs