SlideShare una empresa de Scribd logo

La sécurité : enjeu majeur à l'heure de la convergence des réseaux

ISACA Chapitre de Québec
ISACA Chapitre de Québec

Journée de formation sur la sécurité des systèmes d’information (2009-10-28) Louis Denoncourt

Tecnología
1 de 47
La sécurité : un enjeu majeur à l’heure de la convergence des réseaux Louis Denoncourt, ing. Directeur – Développement stratégique (418) 780-8066 28 octobre 2009
Au programme • La convergence des réseaux est une réalité • Les frontières du réseau s’estompent • Concepts fondamentaux en sécurité • Protocoles et mécanismes associés à la sécurité des réseaux convergés • Une bonne nouvelle!
La convergence des réseaux est une réalité
Réseau convergé à multiples services… Voix ATM/RT IP Réseau par paquets 2 14 6 18 1 34 45 Service e Super Phon 4 7 1 2 By SEN BA n 5 D w dr e 8 3 0 6 9 1 EN D IP Sans fil 2 14 6 18 1 34 45 Service e Super Phon 4 7 1 2 By SEN BA n 5 D w dr e 8 3 0 6 9 1 EN D …amenant de nouvelles applications
Un important effort de normalisation 7 couches du modèle OSI (« Open Systems Interconnection ») Application Présentation Session Transport Réseau Liaison données IP Physique
Les technologies clés Protocole Internet (IP) La base de l'informatique de réseau Langage de IP Protocole balisage d'initialisation extensible de session (XML) (SIP) Architecture Un format universel d'échange de XML Applications Engagées SIP Permet à l'application enga- données gée de s'adapter de façon dynamique à La reconnaissance de l'appareil que vous la parole devient utilisez en ce facilement une extension des Web moment Intergiciel d'applications Intergiciel d'applications applications Web Intergiciel d'applications Web (J2EE & .Net) assure une interface normalisée avec les systèmes commerciaux de l'entreprise
Le réseau IP: Une matrice de commutation à haute performance PBX Serveur de conventionnel RTPC, PBX signalisation Sans fil, WAN SS7 Gestionnaire Internet Système Serveur d’appels Passerelles Serveur multi-services ” ie Traitement p hon des appels “Télé libre Réseau IP Ca Matrice de commutation à haute TDM performance Périphériques (Accès & Tronçons) Postes téléphoniques Gestionnaire Serveurs réseau d’applications
Le défi au point de vue technologique: Transmission de la voix et des images au moyen d’un réseau de données (par paquets) Les attributs du réseau IP à haute performance : • Efficacité et évolutivité du réseau • Disponibilité du réseau (99.999%) e ” • Qualité de service (QdS) phoni Télé ib re “ • Sécurité C al Réseau IP à haute • Gestion performance
Un environnement de travail virtuel … En tout temps, en tout lieu, de toutes les façons PC Collaboration / Vidéo Assistants personnels Téléphonie Blackberry Peu importe ce Courriel Peu importe ce que vous que vous faites employez Cellulaire Applications Peu importe où vous corporatives vous trouvez Au bureau Dans les airs En succursale Sur la route À la maison En ville
Architecture du réseau local (LAN) Piles de commutateurs Téléphones 2ième étage 1er étage Réseau sans fil Postes Postes Commutateurs modulaires ou piles de commutateurs Serveurs
Les frontières du réseau s’estompent
Approche traditionnelle pour les VPN IP Client A Commutateur Client B Client C Routeurss Multiples boîtes Maillage de PVC Ports supplém. Plusieurs systèmes de gestion
L’approche MPLS (entre autres)... Passport Client A VR Client B VR VR Client C Pas de routeur “client” Pas de maillage de PVC Moins de ports requis Utilisation des classes de service ...un dispositif, plusieurs routeurs
Interconnexion par un réseau unique grâce au protocole IP Partenaires et fournisseurs Clients et usagers distants Intranet Sites distants et succursales Réseau IP Serveurs privés
Extranet sécurisé avec SSL Fournit un accès à distance sécurisé pour certaines applications à l’aide d’un navigateur Web courant Siège social Fournisseurs Télétravailleurs SSL Applications Partenaires Internet • Courriel • Applications SSL Web • Transfert de fichiers • Telnet Clients • Autres Personnel mobile
Services sans fil privés et publics Bases de données Locaux sur l’intranet du client Bureaux Intranet distants d’entreprise Aéroports Serveurs de courriel Entreprise Public Campus Hors-campus Couverture sans fil sur le campus Couverture du réseau étendu sans fil
Les frontières du réseau s’estompent Les limites ne sont plus fixées par la topologie… Qui, quoi, où, pourquoi, comment… et est-il sécurisé ????
Concepts fondamentaux en sécurité
La sécurité est un PROCESSUS, pas un projet… Planifier Configurer Appliquer Vérifier
Quel est le bon niveau de sécurité? Justification: tout dépend du risque et de la protection requise Élevé Coût de la menace Coût de la protection Coût Dépense justifiée Faible Niveau de sécurité Élevé Formule de pertes attendues par année Revenus x panne x probabilité = perte attendue par année
La sécurité – Un faisceau de mesures croisées Garde-barrière applicatifs Détection d’intrusion et d’abus Filtrage Chiffrement VPN & tunnels VLAN 802.1X / EAP Contrôle des droits Sécurité absolue Sécurité intermédiaire Sécurité de Base Aucune sécurité
La défense par couches Sécuriser les communications, l’information et les applications partout et en tout temps Layered Defense Défense par couches • Comment atteindre cet objectif ? • À l’aide d’une stratégie de Défense par couches • En recourant à des solutions ouvertes reposant sur des partenariats stratégiques et sur l’adhésion aux standards • En réduisant le coût de revient par une emphase sur la simplicité, l’efficacité et une réponse proactive • En comprenant qu’une sécurité solide implique non seulement la technologie, mais aussi des gens et des processus
Bâtissez votre “château” en PIERRE, pas en SABLE • Toutes les composantes du système doivent être solides et sécuritaires en elles-mêmes. • Chaque élément doit être renforcé: • Systèmes d’exploitation • Applications • Infrastructure • Administrateurs • Utilisateurs • Défense par couches
Protocoles et mécanismes associés à la sécurité des réseaux convergés
Principes de base en sécurité Protégez votre information et vos communications 1 NE PARLEZ PAS AUX INCONNUS Authentification: 802.1x, EAP, RADIUS 2 RENFORCEZ LES S/E, LES APPLICATIONS, LES USAGERS Systèmes embarqués / renforcés, “Environnement de sécurité unifiée” 3 APPLIQUEZ LES centralisé, conformité, antivirus, GB personnel Serveur de politiques RÈGLES 4 DONNEZ ACCÈS EN FONCTION DU RÔLE DE CHACUN Assignation de VLAN, Classe de service/Classe de restriction, Accès 5 CHIFFREZ LE Tunnels VPN TERRAIN INCONNU IPsec, SSL, TLS, TRAFIC EN 6 CONTRÔLEZ Filtrage, Inspection, Politiques de sécurité Prévention DdS, LE “MAUVAIS” TRAFIC 7 NE TUEZ PAS LA PERFORMANCE DES APPLICATIONS Garde-barrière et passerelles avec accélération matérielle
Définitions des réseaux virtuels (VLAN) VLAN par protocoles VLAN par ports VLAN A VLAN A 198.16.10.0 IPv4 198.16.10.6 198.16.10.54 VLAN B VLAN B IPv6 Commutateur Ethernet VLAN par sous-réseaux IP VLAN par adresses MAC source VLAN A VLAN A 198.16.10.0 @MAC1 @MAC2 198.16.10.6 198.16.10.54 @MAC1 @MAC2 VLAN B VLAN B 198.16.24.100 198.16.24.100 198.16.24.101 @MAC3 @MAC3 @M AC4 198.16.24.101 @MAC4 Note: VLAN pour “Virtual LAN” (réseau local virtuel)
Étiquette IEEE 802.1Q dans l’entête Ethernet • Priorités de l’usager 802.1p • VLAN ID est employé (8 classes de trafic) pour regrouper des • Associe 802.1p aux queues usagers avec des besoins similaires • DSCP converti vers ou à partir des priorités de l’usager 802.1p • Filtrage sur VLAN ID • Filtrage sur une plage d’adresses MAC
Multiplexage des VLAN avec IEEE 802.1Q Piles de commutateurs IEEE 802.1Q Tronçons IEEE 802.3ad 1er étage 2ième étage 100 Mbps Connexions 1000 10/100/1000 Mbps Mbps Liaisons Gigabit ou 10G Postes Postes Commutateur d’ossature Tronçons IEEE 802.3ad Grappe de serveurs
Architecture du réseau local (LAN) IEEE 802.1Q Piles de commutateurs Téléphones IEEE 802.1Q 2ième étage 1er étage IEEE 802.1Q IEEE 802.1Q Réseau sans fil Postes Postes Commutateurs modulaires ou piles de commutateurs Serveurs
Établissement de l’identité des utilisateurs Employé • Identité RADIUS - Identité connue existante - Logiciel client • Authentification géré • Identité unique 802.1X établie pour chacun des utilisateurs Usager fiable sans exception • Identité RADIUS - Identité connue existante • Base pour toutes - N’importe quel logiciel client • Authentification Web les politiques de sécurité et de gestion du trafic Invité • Création d’une identité RADIUS • Valide pour tous - Identité inconnue temporaire les types de - N’importe quel • Accès limité pour connexions logiciel client les invités
Mécanismes d’authentification 802.1x • Standard IEEE reconnu pour le contrôle d’accès aux réseaux LAN filaires et sans fil • 802.1x fournit la possibilité d’authentifier et d’autoriser les dispositifs qui veulent se connecter à un port LAN. • Ce standard définit le protocole EAP (“Extensible Authen- tication Protocol”) qui emploie un serveur central pour authentifier chaque poste sur le réseau. • Protocole de niveau 2 • 802.1x est appliqué avant que RADIUS la liaison TCP/IP ne soit établie ? ? 1. “Ne parlez pas ? ? aux inconnus!” ? ? ?
Fonctionnement de 802.1x - LDAP - RADIUS - Active Directory EAP -… Utilisateur Commutateur over Ethernet Radius Authentificateur Répertoire LDAP (« authenticator ») Suppliant Serveur (« supplicant ») d’authentification Base de données d’authentification • Lien entre l’accès physique et la politique de sécurité de l’entreprise • Le port du commutateur est bloqué pour un utilisateur non authentifié • Recours à “Extensible Authentication Protocol” (EAP) pour validation de l’utilisateur • Le commutateur envoie la requête d’authentification au serveur d’authentification avec l’identifiant du commutateur (switch ID), le port et l’adresse MAC de l’utilisateur. Le serveur assigne le VLAN (.Q) et la priorité (.p) en fonction de cette authentification, si elle est fructueuse
802.1x… Ça se complique! - Différents modes sont requis sur les commutateurs • SHSA: “Single Host, Single Authentication” sans VLAN d’invités • SHSA+GVLAN: “Single Host, Single Authentication” avec VLAN d’invités • MHMA: “Multiple Hosts, Multiple Authentications” avec ou sans VLAN d’invités • MHSA: “Multiple Hosts, Single Authentication” avec ou sans VLAN d’invités • NEAP: “Non EAP” – authentification sur la base des adresses MAC Commutateur Ethernet Utilisateur EAP unique Multiples utilisateurs EAP Concentrateur ou commutateur intermédiaire
Accès au réseau sur la base des rôles Rôle/Identité = Rôle/Identité = Partenaire Client Privilèges restreints avec Accès spécifique via un Rôle/Identité = format personnalisé portail/page personnalisé Rôle/Identité = Télétravailleur Employés mobiles Privilèges d’accès complet Besoins pour le Web multimédia Portail d’accès personnalisé/dynamique avec vérification du point de terminaison VLAN rouge Accès virtuel étendu VLAN vert VLAN de quarantaine jaune Application commune des politiques de sécurité 4. “Donnez accès en fonction du rôle de chacun”
Accès au réseau sur la base des rôles Application de politiques uniques pour les usagers et les groupes Serveur d’authentification Commutateur d’accès (Radius) (authentificateur) Serveur Suppliant d’applications des “Dr Einstein” “Professeurs” Serveur de politiques 1. L’utilisateur accède au réseau et reçoit une demande d’identification de la part de l’authentificateur EAP. À ce point-ci, ce dernier est en mode bloquant. L’utilisateur fournit son identifiant et son mot de passe à l’authentificateur.
Accès au réseau sur la base des rôles Application de politiques uniques pour les usagers et les groupes Serveur d’authentification Commutateur d’accès (Radius) (authentificateur) Serveur Suppliant d’applications des “Dr Einstein” “Professeurs” Serveur de politiques 2. L’autentificateur EAP déclenche le processus d’authentification auprès du serveur RADIUS. Il présente l’identifiant “Dr Einstein” et le mot de passe au serveur.
Accès au réseau sur la base des rôles Application de politiques uniques pour les usagers et les groupes Serveur d’authentification Commutateur d’accès (Radius) (authentificateur) Serveur Suppliant d’applications des “Dr Einstein” “Professeurs” Serveur de politiques 2. Le EAP access point initiates base de authentication with thedesktop PC) and > The serveur RADIUS scrute sa RADIUS données (ou celle en arrière-plan) pour The 3. The user logs in from a network access point (for example, a RADIUS server. déterminer lapoint presents the user’s Username “Fredattribut additionnel qui point, EAP access validité des informations. Il retourne tout Watson” point. At this receives an identity request (login prompt) from the EAP access and Password the EAP access point is in EAP blocking mode. The Jfkdjfdkfjdkfjdkjfkdjfkdjfkdjf credentials to the RADIUS server for authentication. user provides Username and Password credentialsàto the EAP access point. rôle par exemple). Dans cet pourrait être associé l’utilisateur (comme son jfkdjfdkfj exemple, le serveur confirme que “Dr Einstein” est membre du groupe “Professeurs”.
Accès au réseau sur la base des rôles Application de politiques uniques pour les usagers et les groupes Serveur d’authentification Commutateur d’accès (Radius) (authentificateur) Serveur Suppliant d’applications des “Dr Einstein” “Professeurs” Serveur de politiques 4. L’authentificateur EAP communique avec le serveur de politiques pour activer le port et le configurer sur la base des politiques de sécurité et de qualité de service associées au rôle “Professeurs”. Ces attributs demeurent valides pour la durée de la session.
Accès au réseau sur la base des rôles Application de politiques uniques pour les usagers et les groupes Serveur d’authentification Commutateur d’accès (Radius) (authentificateur) Serveur Suppliant d’applications des “Dr Einstein” “Professeurs” Serveur de politiques 5. Le docteur Einstein, qui est membre du groupe des “Professeurs”, peut maintenant rejoindre le serveur d’applications des professeurs et n’importe quel autre associé à ce rôle avec un niveau de qualité de service approprié (les professeurs peuvent avoir un niveau de qualité de service plus élevé que celui des étudiants par exemple).
NAC : “Network Access Control” Validation de l’intégrité du poste 1.Le dispositif est démarré 2.Une adresse IP temporaire est émise par le serveur DHCP 3.Le commutateur envoie le numéro de Serveurs de port, l’adresse MAC et l’adresse IP au sécurité DHCP contrôleur (politiques) DNS Contrôleur NAC 4.L’usager lance son navigateur, la requête DNS le renvoit à un portail captif Active Directory 5.L’usager fournit l’information d’authentification 6.La vérification d’intégrité est effectuée 7.Le contrôleur assigne un VLAN en conséquence 8.Le port physique est associé au VLAN 9.Une adresse IP finale est assignée VLAN rouge 10.Le monitoring se poursuit Agents Agents Agents VLAN vert Intranet Clients locaux Clients locaux VLAN de quarantaine jaune 1. Si le poste manque un test d’intégrité: 2. On le confine à un VLAN de quarantaine
Authentification Web Sécurité simplifiée, contrôle accru • Établit l’identité de chaque utilisateur • L’authentification sécurisée (HTTPS) ne requiert pas de suppliant (“clientless”) • Réseautage sur la base de Panoramas personnalisés l’identité sans le recours à 802.1x • Accès simplifié pour les utilisateurs connus • Lancement d’un navigateur et entrée d’un identifiant / mot de passe • Identification et session sécurisées
Authentification pour les réseaux sans fil • Un commutateur de sécurité sans fil (“wireless security switch” – WSS) prend en charge Usager Usager filaire filaire plusieurs types d’utilisateurs 802.1x AAA AAA Web • Usagers connectés à des points d’accès natifs • Usagers branchés directement ou indirectement à des ports physiques • Usagers connectés via des WSS points d’accès de tierce partie Nortel 2332 Aironet 1231G • Un WSS peut authentifier les utilisateurs de multiples façons • MAC (adresse Ethernet) • 802.1x (Accélération ou relais) • Accès ouvert • Portail captif Usager Sans fil Sans fil Usager Usager Sans fil MAC AAA Web AP tierce AP tierce • Les solutions de validation 802.1x partie partie d’intégrité sont compatibles AAA Web 802.1x
Authentification en mode SSL (accès distant) Jean Tremblay 7:00 – Maison/PC Jean Tremblay 11:00 – Aéroport /Kiosque Jean Tremblay 20:00 - Hotel/Portatif Authentifie l’usager à partir de n’importe quel dispositif ou endroit: • Identifiant / Mot de passe • Certificat numérique X.509 • Jeton ou carte à puces • RADIUS / LDAP / NTLM
Une bonne nouvelle!
La sécurité – Un faisceau de mesures croisées 1. “Ne parlez pas aux inconnus!” Sécurité absolue Sécurité intermédiaire Sécurité de Base Aucune sécurité 4. “Donnez accès en fonction du rôle de chacun”
Les communications unifiées sécurisées Une bonne nouvelle! • Plusieurs organisations se sentent incapables de garantir la sécurité et la fiabilité des systèmes de communications unifiées. • Cela les empêche de déployer de nouveaux services de communication et ainsi d’accroître leur productivité. • Mais il y a une bonne nouvelle… Il existe des façons de déployer sécuritairement du multimédia et de la téléphonie IP en combinant des solutions couramment disponibles pour les applications, les infrastructures et les services de sécurité.
La sécurité : enjeu majeur à l'heure de la convergence des réseaux

Recomendados

Fiche offre adsl standard par futur telecom
Fiche offre adsl standard par futur telecomFiche offre adsl standard par futur telecom
Fiche offre adsl standard par futur telecom
Futur
 
Ville de Niort pour l'égalite professionnelle
Ville de Niort pour l'égalite professionnelleVille de Niort pour l'égalite professionnelle
Ville de Niort pour l'égalite professionnelle
EmploiPublic
 
Passion
PassionPassion
Passion
Noel Mijares
 
Khaled B E N D R I S S Www Journaldunet Com Solutions 1oul3kih
Khaled B E N D R I S S Www Journaldunet Com Solutions 1oul3kihKhaled B E N D R I S S Www Journaldunet Com Solutions 1oul3kih
Khaled B E N D R I S S Www Journaldunet Com Solutions 1oul3kih
Khaled Ben Driss
 
I gotta feeling violino 1
I gotta feeling violino 1I gotta feeling violino 1
I gotta feeling violino 1
Leandro Meira da Silva
 
Smart city 19juin2013
Smart city 19juin2013Smart city 19juin2013
Smart city 19juin2013
Pascal Flamand
 
Conocimiento de si mismo y de las normas del colegio
Conocimiento de si mismo y de las normas del colegioConocimiento de si mismo y de las normas del colegio
Conocimiento de si mismo y de las normas del colegio
inscomer
 
Cours professionnels langues
Cours professionnels languesCours professionnels langues
Cours professionnels langues
Laurent Cheret
 

Recomendados

Fiche offre adsl standard par futur telecom
Fiche offre adsl standard par futur telecomFiche offre adsl standard par futur telecom
Fiche offre adsl standard par futur telecom
Futur
 
Ville de Niort pour l'égalite professionnelle
Ville de Niort pour l'égalite professionnelleVille de Niort pour l'égalite professionnelle
Ville de Niort pour l'égalite professionnelle
EmploiPublic
 
Passion
PassionPassion
Passion
Noel Mijares
 
Khaled B E N D R I S S Www Journaldunet Com Solutions 1oul3kih
Khaled B E N D R I S S Www Journaldunet Com Solutions 1oul3kihKhaled B E N D R I S S Www Journaldunet Com Solutions 1oul3kih
Khaled B E N D R I S S Www Journaldunet Com Solutions 1oul3kih
Khaled Ben Driss
 
I gotta feeling violino 1
I gotta feeling violino 1I gotta feeling violino 1
I gotta feeling violino 1
Leandro Meira da Silva
 
Smart city 19juin2013
Smart city 19juin2013Smart city 19juin2013
Smart city 19juin2013
Pascal Flamand
 
Conocimiento de si mismo y de las normas del colegio
Conocimiento de si mismo y de las normas del colegioConocimiento de si mismo y de las normas del colegio
Conocimiento de si mismo y de las normas del colegio
inscomer
 
Cours professionnels langues
Cours professionnels languesCours professionnels langues
Cours professionnels langues
Laurent Cheret
 
ThirdBrain Weatlh Management
ThirdBrain Weatlh ManagementThirdBrain Weatlh Management
ThirdBrain Weatlh Management
Pierre Jean Duvivier
 
Référencement video deborah calef
Référencement video deborah calefRéférencement video deborah calef
Référencement video deborah calef
deborah_calef
 
Appartement
AppartementAppartement
Appartement
Frederic HELAINE
 
Software de Computadoras
Software de ComputadorasSoftware de Computadoras
Software de Computadoras
Mitzy De Gracia
 
Obm : bilan, nouveautés et perspectives
Obm : bilan, nouveautés et perspectivesObm : bilan, nouveautés et perspectives
Obm : bilan, nouveautés et perspectives
OBM
 
Tarea 001
Tarea 001Tarea 001
Tarea 001
Judit Kstillo
 
Extra...unidad 3.
Extra...unidad 3.Extra...unidad 3.
Extra...unidad 3.
Deicyconsuelo
 
Mon problème avec les mesures de l'audience des médias tamara silina - 17 f...
Mon problème avec les mesures de l'audience des médias tamara silina - 17 f...Mon problème avec les mesures de l'audience des médias tamara silina - 17 f...
Mon problème avec les mesures de l'audience des médias tamara silina - 17 f...
Tamara Silina
 
exposicion competencias
exposicion competenciasexposicion competencias
exposicion competencias
Juan Ibañez Guzman
 
Relaciones de access
Relaciones de accessRelaciones de access
Relaciones de access
Adrian Arias
 
TIC pour un développement durable de la société (ICT for Sustainable Developm...
TIC pour un développement durable de la société (ICT for Sustainable Developm...TIC pour un développement durable de la société (ICT for Sustainable Developm...
TIC pour un développement durable de la société (ICT for Sustainable Developm...
Reza Farrahi Moghaddam, PhD, BEng
 
Créer un Micro PaaS avec Docker et Maven
Créer un Micro PaaS avec Docker et MavenCréer un Micro PaaS avec Docker et Maven
Créer un Micro PaaS avec Docker et Maven
Amico Fabien
 
Acompañamiento tutorial en e mediador UNAD
Acompañamiento tutorial en e mediador UNADAcompañamiento tutorial en e mediador UNAD
Acompañamiento tutorial en e mediador UNAD
Rafael Hernandez Castellanos
 
Allemagne : Plus de 3300 jobs d'été 2020
Allemagne : Plus de 3300 jobs d'été 2020Allemagne : Plus de 3300 jobs d'été 2020
Allemagne : Plus de 3300 jobs d'été 2020
Club TELI
 
Memoria Actividades 2013 CRTS Córdoba
Memoria Actividades 2013 CRTS CórdobaMemoria Actividades 2013 CRTS Córdoba
Memoria Actividades 2013 CRTS Córdoba
Centro de Transfusión Sanguínea de Córdoba
 
Trabajo de realidad vi
Trabajo de realidad viTrabajo de realidad vi
Trabajo de realidad vi
Irene Carlosama
 
Presentación TDL Liber 2013
Presentación TDL Liber 2013Presentación TDL Liber 2013
Presentación TDL Liber 2013
Oscar García-Rama García
 
La familia como núcleo vital de sociedad
La familia como núcleo vital de sociedadLa familia como núcleo vital de sociedad
La familia como núcleo vital de sociedad
Cristina Armas
 
Fabila pedraza sergio obj est 02 act apre 01
Fabila pedraza sergio obj est 02 act apre 01Fabila pedraza sergio obj est 02 act apre 01
Fabila pedraza sergio obj est 02 act apre 01
SergioFabila
 
Gestion de conocimiento
Gestion de conocimientoGestion de conocimiento
Gestion de conocimiento
Jenny Berrocal
 
ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
ISACA Chapitre de Québec
 

Más contenido relacionado

Destacado

Référencement video deborah calef
Référencement video deborah calefRéférencement video deborah calef
Référencement video deborah calef
deborah_calef
 
Obm : bilan, nouveautés et perspectives
Obm : bilan, nouveautés et perspectivesObm : bilan, nouveautés et perspectives
Obm : bilan, nouveautés et perspectives
OBM
 
Relaciones de access
Relaciones de accessRelaciones de access
Relaciones de access
Adrian Arias
 
La familia como núcleo vital de sociedad
La familia como núcleo vital de sociedadLa familia como núcleo vital de sociedad
La familia como núcleo vital de sociedad
Cristina Armas
 
Fabila pedraza sergio obj est 02 act apre 01
Fabila pedraza sergio obj est 02 act apre 01Fabila pedraza sergio obj est 02 act apre 01
Fabila pedraza sergio obj est 02 act apre 01
SergioFabila
 
Gestion de conocimiento
Gestion de conocimientoGestion de conocimiento
Gestion de conocimiento
Jenny Berrocal
 

Destacado (20)

ThirdBrain Weatlh Management
ThirdBrain Weatlh ManagementThirdBrain Weatlh Management
ThirdBrain Weatlh Management
 
Référencement video deborah calef
Référencement video deborah calefRéférencement video deborah calef
Référencement video deborah calef
 
Appartement
AppartementAppartement
Appartement
 
Software de Computadoras
Software de ComputadorasSoftware de Computadoras
Software de Computadoras
 
Obm : bilan, nouveautés et perspectives
Obm : bilan, nouveautés et perspectivesObm : bilan, nouveautés et perspectives
Obm : bilan, nouveautés et perspectives
 
Tarea 001
Tarea 001Tarea 001
Tarea 001
 
Extra...unidad 3.
Extra...unidad 3.Extra...unidad 3.
Extra...unidad 3.
 
Mon problème avec les mesures de l'audience des médias tamara silina - 17 f...
Mon problème avec les mesures de l'audience des médias tamara silina - 17 f...Mon problème avec les mesures de l'audience des médias tamara silina - 17 f...
Mon problème avec les mesures de l'audience des médias tamara silina - 17 f...
 
exposicion competencias
exposicion competenciasexposicion competencias
exposicion competencias
 
Relaciones de access
Relaciones de accessRelaciones de access
Relaciones de access
 
TIC pour un développement durable de la société (ICT for Sustainable Developm...
TIC pour un développement durable de la société (ICT for Sustainable Developm...TIC pour un développement durable de la société (ICT for Sustainable Developm...
TIC pour un développement durable de la société (ICT for Sustainable Developm...
 
Créer un Micro PaaS avec Docker et Maven
Créer un Micro PaaS avec Docker et MavenCréer un Micro PaaS avec Docker et Maven
Créer un Micro PaaS avec Docker et Maven
 
Acompañamiento tutorial en e mediador UNAD
Acompañamiento tutorial en e mediador UNADAcompañamiento tutorial en e mediador UNAD
Acompañamiento tutorial en e mediador UNAD
 
Allemagne : Plus de 3300 jobs d'été 2020
Allemagne : Plus de 3300 jobs d'été 2020Allemagne : Plus de 3300 jobs d'été 2020
Allemagne : Plus de 3300 jobs d'été 2020
 
Memoria Actividades 2013 CRTS Córdoba
Memoria Actividades 2013 CRTS CórdobaMemoria Actividades 2013 CRTS Córdoba
Memoria Actividades 2013 CRTS Córdoba
 
Trabajo de realidad vi
Trabajo de realidad viTrabajo de realidad vi
Trabajo de realidad vi
 
Presentación TDL Liber 2013
Presentación TDL Liber 2013Presentación TDL Liber 2013
Presentación TDL Liber 2013
 
La familia como núcleo vital de sociedad
La familia como núcleo vital de sociedadLa familia como núcleo vital de sociedad
La familia como núcleo vital de sociedad
 
Fabila pedraza sergio obj est 02 act apre 01
Fabila pedraza sergio obj est 02 act apre 01Fabila pedraza sergio obj est 02 act apre 01
Fabila pedraza sergio obj est 02 act apre 01
 
Gestion de conocimiento
Gestion de conocimientoGestion de conocimiento
Gestion de conocimiento
 

Más de ISACA Chapitre de Québec

Más de ISACA Chapitre de Québec (20)

ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge Lapointe
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
 
Identification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetIdentification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry Brisset
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’information
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'information
 

La sécurité : enjeu majeur à l'heure de la convergence des réseaux

  • 1. La sécurité : un enjeu majeur à l’heure de la convergence des réseaux Louis Denoncourt, ing. Directeur – Développement stratégique (418) 780-8066 28 octobre 2009
  • 2. Au programme • La convergence des réseaux est une réalité • Les frontières du réseau s’estompent • Concepts fondamentaux en sécurité • Protocoles et mécanismes associés à la sécurité des réseaux convergés • Une bonne nouvelle!
  • 3. La convergence des réseaux est une réalité
  • 4. Réseau convergé à multiples services… Voix ATM/RT IP Réseau par paquets 2 14 6 18 1 34 45 Service e Super Phon 4 7 1 2 By SEN BA n 5 D w dr e 8 3 0 6 9 1 EN D IP Sans fil 2 14 6 18 1 34 45 Service e Super Phon 4 7 1 2 By SEN BA n 5 D w dr e 8 3 0 6 9 1 EN D …amenant de nouvelles applications
  • 5. Un important effort de normalisation 7 couches du modèle OSI (« Open Systems Interconnection ») Application Présentation Session Transport Réseau Liaison données IP Physique
  • 6. Les technologies clés Protocole Internet (IP) La base de l'informatique de réseau Langage de IP Protocole balisage d'initialisation extensible de session (XML) (SIP) Architecture Un format universel d'échange de XML Applications Engagées SIP Permet à l'application enga- données gée de s'adapter de façon dynamique à La reconnaissance de l'appareil que vous la parole devient utilisez en ce facilement une extension des Web moment Intergiciel d'applications Intergiciel d'applications applications Web Intergiciel d'applications Web (J2EE & .Net) assure une interface normalisée avec les systèmes commerciaux de l'entreprise
  • 7. Le réseau IP: Une matrice de commutation à haute performance PBX Serveur de conventionnel RTPC, PBX signalisation Sans fil, WAN SS7 Gestionnaire Internet Système Serveur d’appels Passerelles Serveur multi-services ” ie Traitement p hon des appels “Télé libre Réseau IP Ca Matrice de commutation à haute TDM performance Périphériques (Accès & Tronçons) Postes téléphoniques Gestionnaire Serveurs réseau d’applications
  • 8. Le défi au point de vue technologique: Transmission de la voix et des images au moyen d’un réseau de données (par paquets) Les attributs du réseau IP à haute performance : • Efficacité et évolutivité du réseau • Disponibilité du réseau (99.999%) e ” • Qualité de service (QdS) phoni Télé ib re “ • Sécurité C al Réseau IP à haute • Gestion performance
  • 9. Un environnement de travail virtuel … En tout temps, en tout lieu, de toutes les façons PC Collaboration / Vidéo Assistants personnels Téléphonie Blackberry Peu importe ce Courriel Peu importe ce que vous que vous faites employez Cellulaire Applications Peu importe où vous corporatives vous trouvez Au bureau Dans les airs En succursale Sur la route À la maison En ville
  • 10. Architecture du réseau local (LAN) Piles de commutateurs Téléphones 2ième étage 1er étage Réseau sans fil Postes Postes Commutateurs modulaires ou piles de commutateurs Serveurs
  • 11. Les frontières du réseau s’estompent
  • 12. Approche traditionnelle pour les VPN IP Client A Commutateur Client B Client C Routeurss Multiples boîtes Maillage de PVC Ports supplém. Plusieurs systèmes de gestion
  • 13. L’approche MPLS (entre autres)... Passport Client A VR Client B VR VR Client C Pas de routeur “client” Pas de maillage de PVC Moins de ports requis Utilisation des classes de service ...un dispositif, plusieurs routeurs
  • 14. Interconnexion par un réseau unique grâce au protocole IP Partenaires et fournisseurs Clients et usagers distants Intranet Sites distants et succursales Réseau IP Serveurs privés
  • 15. Extranet sécurisé avec SSL Fournit un accès à distance sécurisé pour certaines applications à l’aide d’un navigateur Web courant Siège social Fournisseurs Télétravailleurs SSL Applications Partenaires Internet • Courriel • Applications SSL Web • Transfert de fichiers • Telnet Clients • Autres Personnel mobile
  • 16. Services sans fil privés et publics Bases de données Locaux sur l’intranet du client Bureaux Intranet distants d’entreprise Aéroports Serveurs de courriel Entreprise Public Campus Hors-campus Couverture sans fil sur le campus Couverture du réseau étendu sans fil
  • 17. Les frontières du réseau s’estompent Les limites ne sont plus fixées par la topologie… Qui, quoi, où, pourquoi, comment… et est-il sécurisé ????
  • 19. La sécurité est un PROCESSUS, pas un projet… Planifier Configurer Appliquer Vérifier
  • 20. Quel est le bon niveau de sécurité? Justification: tout dépend du risque et de la protection requise Élevé Coût de la menace Coût de la protection Coût Dépense justifiée Faible Niveau de sécurité Élevé Formule de pertes attendues par année Revenus x panne x probabilité = perte attendue par année
  • 21. La sécurité – Un faisceau de mesures croisées Garde-barrière applicatifs Détection d’intrusion et d’abus Filtrage Chiffrement VPN & tunnels VLAN 802.1X / EAP Contrôle des droits Sécurité absolue Sécurité intermédiaire Sécurité de Base Aucune sécurité
  • 22. La défense par couches Sécuriser les communications, l’information et les applications partout et en tout temps Layered Defense Défense par couches • Comment atteindre cet objectif ? • À l’aide d’une stratégie de Défense par couches • En recourant à des solutions ouvertes reposant sur des partenariats stratégiques et sur l’adhésion aux standards • En réduisant le coût de revient par une emphase sur la simplicité, l’efficacité et une réponse proactive • En comprenant qu’une sécurité solide implique non seulement la technologie, mais aussi des gens et des processus
  • 23. Bâtissez votre “château” en PIERRE, pas en SABLE • Toutes les composantes du système doivent être solides et sécuritaires en elles-mêmes. • Chaque élément doit être renforcé: • Systèmes d’exploitation • Applications • Infrastructure • Administrateurs • Utilisateurs • Défense par couches
  • 24. Protocoles et mécanismes associés à la sécurité des réseaux convergés
  • 25. Principes de base en sécurité Protégez votre information et vos communications 1 NE PARLEZ PAS AUX INCONNUS Authentification: 802.1x, EAP, RADIUS 2 RENFORCEZ LES S/E, LES APPLICATIONS, LES USAGERS Systèmes embarqués / renforcés, “Environnement de sécurité unifiée” 3 APPLIQUEZ LES centralisé, conformité, antivirus, GB personnel Serveur de politiques RÈGLES 4 DONNEZ ACCÈS EN FONCTION DU RÔLE DE CHACUN Assignation de VLAN, Classe de service/Classe de restriction, Accès 5 CHIFFREZ LE Tunnels VPN TERRAIN INCONNU IPsec, SSL, TLS, TRAFIC EN 6 CONTRÔLEZ Filtrage, Inspection, Politiques de sécurité Prévention DdS, LE “MAUVAIS” TRAFIC 7 NE TUEZ PAS LA PERFORMANCE DES APPLICATIONS Garde-barrière et passerelles avec accélération matérielle
  • 26. Définitions des réseaux virtuels (VLAN) VLAN par protocoles VLAN par ports VLAN A VLAN A 198.16.10.0 IPv4 198.16.10.6 198.16.10.54 VLAN B VLAN B IPv6 Commutateur Ethernet VLAN par sous-réseaux IP VLAN par adresses MAC source VLAN A VLAN A 198.16.10.0 @MAC1 @MAC2 198.16.10.6 198.16.10.54 @MAC1 @MAC2 VLAN B VLAN B 198.16.24.100 198.16.24.100 198.16.24.101 @MAC3 @MAC3 @M AC4 198.16.24.101 @MAC4 Note: VLAN pour “Virtual LAN” (réseau local virtuel)
  • 27. Étiquette IEEE 802.1Q dans l’entête Ethernet • Priorités de l’usager 802.1p • VLAN ID est employé (8 classes de trafic) pour regrouper des • Associe 802.1p aux queues usagers avec des besoins similaires • DSCP converti vers ou à partir des priorités de l’usager 802.1p • Filtrage sur VLAN ID • Filtrage sur une plage d’adresses MAC
  • 28. Multiplexage des VLAN avec IEEE 802.1Q Piles de commutateurs IEEE 802.1Q Tronçons IEEE 802.3ad 1er étage 2ième étage 100 Mbps Connexions 1000 10/100/1000 Mbps Mbps Liaisons Gigabit ou 10G Postes Postes Commutateur d’ossature Tronçons IEEE 802.3ad Grappe de serveurs
  • 29. Architecture du réseau local (LAN) IEEE 802.1Q Piles de commutateurs Téléphones IEEE 802.1Q 2ième étage 1er étage IEEE 802.1Q IEEE 802.1Q Réseau sans fil Postes Postes Commutateurs modulaires ou piles de commutateurs Serveurs
  • 30. Établissement de l’identité des utilisateurs Employé • Identité RADIUS - Identité connue existante - Logiciel client • Authentification géré • Identité unique 802.1X établie pour chacun des utilisateurs Usager fiable sans exception • Identité RADIUS - Identité connue existante • Base pour toutes - N’importe quel logiciel client • Authentification Web les politiques de sécurité et de gestion du trafic Invité • Création d’une identité RADIUS • Valide pour tous - Identité inconnue temporaire les types de - N’importe quel • Accès limité pour connexions logiciel client les invités
  • 31. Mécanismes d’authentification 802.1x • Standard IEEE reconnu pour le contrôle d’accès aux réseaux LAN filaires et sans fil • 802.1x fournit la possibilité d’authentifier et d’autoriser les dispositifs qui veulent se connecter à un port LAN. • Ce standard définit le protocole EAP (“Extensible Authen- tication Protocol”) qui emploie un serveur central pour authentifier chaque poste sur le réseau. • Protocole de niveau 2 • 802.1x est appliqué avant que RADIUS la liaison TCP/IP ne soit établie ? ? 1. “Ne parlez pas ? ? aux inconnus!” ? ? ?
  • 32. Fonctionnement de 802.1x - LDAP - RADIUS - Active Directory EAP -… Utilisateur Commutateur over Ethernet Radius Authentificateur Répertoire LDAP (« authenticator ») Suppliant Serveur (« supplicant ») d’authentification Base de données d’authentification • Lien entre l’accès physique et la politique de sécurité de l’entreprise • Le port du commutateur est bloqué pour un utilisateur non authentifié • Recours à “Extensible Authentication Protocol” (EAP) pour validation de l’utilisateur • Le commutateur envoie la requête d’authentification au serveur d’authentification avec l’identifiant du commutateur (switch ID), le port et l’adresse MAC de l’utilisateur. Le serveur assigne le VLAN (.Q) et la priorité (.p) en fonction de cette authentification, si elle est fructueuse
  • 33. 802.1x… Ça se complique! - Différents modes sont requis sur les commutateurs • SHSA: “Single Host, Single Authentication” sans VLAN d’invités • SHSA+GVLAN: “Single Host, Single Authentication” avec VLAN d’invités • MHMA: “Multiple Hosts, Multiple Authentications” avec ou sans VLAN d’invités • MHSA: “Multiple Hosts, Single Authentication” avec ou sans VLAN d’invités • NEAP: “Non EAP” – authentification sur la base des adresses MAC Commutateur Ethernet Utilisateur EAP unique Multiples utilisateurs EAP Concentrateur ou commutateur intermédiaire
  • 34. Accès au réseau sur la base des rôles Rôle/Identité = Rôle/Identité = Partenaire Client Privilèges restreints avec Accès spécifique via un Rôle/Identité = format personnalisé portail/page personnalisé Rôle/Identité = Télétravailleur Employés mobiles Privilèges d’accès complet Besoins pour le Web multimédia Portail d’accès personnalisé/dynamique avec vérification du point de terminaison VLAN rouge Accès virtuel étendu VLAN vert VLAN de quarantaine jaune Application commune des politiques de sécurité 4. “Donnez accès en fonction du rôle de chacun”
  • 35. Accès au réseau sur la base des rôles Application de politiques uniques pour les usagers et les groupes Serveur d’authentification Commutateur d’accès (Radius) (authentificateur) Serveur Suppliant d’applications des “Dr Einstein” “Professeurs” Serveur de politiques 1. L’utilisateur accède au réseau et reçoit une demande d’identification de la part de l’authentificateur EAP. À ce point-ci, ce dernier est en mode bloquant. L’utilisateur fournit son identifiant et son mot de passe à l’authentificateur.
  • 36. Accès au réseau sur la base des rôles Application de politiques uniques pour les usagers et les groupes Serveur d’authentification Commutateur d’accès (Radius) (authentificateur) Serveur Suppliant d’applications des “Dr Einstein” “Professeurs” Serveur de politiques 2. L’autentificateur EAP déclenche le processus d’authentification auprès du serveur RADIUS. Il présente l’identifiant “Dr Einstein” et le mot de passe au serveur.
  • 37. Accès au réseau sur la base des rôles Application de politiques uniques pour les usagers et les groupes Serveur d’authentification Commutateur d’accès (Radius) (authentificateur) Serveur Suppliant d’applications des “Dr Einstein” “Professeurs” Serveur de politiques 2. Le EAP access point initiates base de authentication with thedesktop PC) and > The serveur RADIUS scrute sa RADIUS données (ou celle en arrière-plan) pour The 3. The user logs in from a network access point (for example, a RADIUS server. déterminer lapoint presents the user’s Username “Fredattribut additionnel qui point, EAP access validité des informations. Il retourne tout Watson” point. At this receives an identity request (login prompt) from the EAP access and Password the EAP access point is in EAP blocking mode. The Jfkdjfdkfjdkfjdkjfkdjfkdjfkdjf credentials to the RADIUS server for authentication. user provides Username and Password credentialsàto the EAP access point. rôle par exemple). Dans cet pourrait être associé l’utilisateur (comme son jfkdjfdkfj exemple, le serveur confirme que “Dr Einstein” est membre du groupe “Professeurs”.
  • 38. Accès au réseau sur la base des rôles Application de politiques uniques pour les usagers et les groupes Serveur d’authentification Commutateur d’accès (Radius) (authentificateur) Serveur Suppliant d’applications des “Dr Einstein” “Professeurs” Serveur de politiques 4. L’authentificateur EAP communique avec le serveur de politiques pour activer le port et le configurer sur la base des politiques de sécurité et de qualité de service associées au rôle “Professeurs”. Ces attributs demeurent valides pour la durée de la session.
  • 39. Accès au réseau sur la base des rôles Application de politiques uniques pour les usagers et les groupes Serveur d’authentification Commutateur d’accès (Radius) (authentificateur) Serveur Suppliant d’applications des “Dr Einstein” “Professeurs” Serveur de politiques 5. Le docteur Einstein, qui est membre du groupe des “Professeurs”, peut maintenant rejoindre le serveur d’applications des professeurs et n’importe quel autre associé à ce rôle avec un niveau de qualité de service approprié (les professeurs peuvent avoir un niveau de qualité de service plus élevé que celui des étudiants par exemple).
  • 40. NAC : “Network Access Control” Validation de l’intégrité du poste 1.Le dispositif est démarré 2.Une adresse IP temporaire est émise par le serveur DHCP 3.Le commutateur envoie le numéro de Serveurs de port, l’adresse MAC et l’adresse IP au sécurité DHCP contrôleur (politiques) DNS Contrôleur NAC 4.L’usager lance son navigateur, la requête DNS le renvoit à un portail captif Active Directory 5.L’usager fournit l’information d’authentification 6.La vérification d’intégrité est effectuée 7.Le contrôleur assigne un VLAN en conséquence 8.Le port physique est associé au VLAN 9.Une adresse IP finale est assignée VLAN rouge 10.Le monitoring se poursuit Agents Agents Agents VLAN vert Intranet Clients locaux Clients locaux VLAN de quarantaine jaune 1. Si le poste manque un test d’intégrité: 2. On le confine à un VLAN de quarantaine
  • 41. Authentification Web Sécurité simplifiée, contrôle accru • Établit l’identité de chaque utilisateur • L’authentification sécurisée (HTTPS) ne requiert pas de suppliant (“clientless”) • Réseautage sur la base de Panoramas personnalisés l’identité sans le recours à 802.1x • Accès simplifié pour les utilisateurs connus • Lancement d’un navigateur et entrée d’un identifiant / mot de passe • Identification et session sécurisées
  • 42. Authentification pour les réseaux sans fil • Un commutateur de sécurité sans fil (“wireless security switch” – WSS) prend en charge Usager Usager filaire filaire plusieurs types d’utilisateurs 802.1x AAA AAA Web • Usagers connectés à des points d’accès natifs • Usagers branchés directement ou indirectement à des ports physiques • Usagers connectés via des WSS points d’accès de tierce partie Nortel 2332 Aironet 1231G • Un WSS peut authentifier les utilisateurs de multiples façons • MAC (adresse Ethernet) • 802.1x (Accélération ou relais) • Accès ouvert • Portail captif Usager Sans fil Sans fil Usager Usager Sans fil MAC AAA Web AP tierce AP tierce • Les solutions de validation 802.1x partie partie d’intégrité sont compatibles AAA Web 802.1x
  • 43. Authentification en mode SSL (accès distant) Jean Tremblay 7:00 – Maison/PC Jean Tremblay 11:00 – Aéroport /Kiosque Jean Tremblay 20:00 - Hotel/Portatif Authentifie l’usager à partir de n’importe quel dispositif ou endroit: • Identifiant / Mot de passe • Certificat numérique X.509 • Jeton ou carte à puces • RADIUS / LDAP / NTLM
  • 45. La sécurité – Un faisceau de mesures croisées 1. “Ne parlez pas aux inconnus!” Sécurité absolue Sécurité intermédiaire Sécurité de Base Aucune sécurité 4. “Donnez accès en fonction du rôle de chacun”
  • 46. Les communications unifiées sécurisées Une bonne nouvelle! • Plusieurs organisations se sentent incapables de garantir la sécurité et la fiabilité des systèmes de communications unifiées. • Cela les empêche de déployer de nouveaux services de communication et ainsi d’accroître leur productivité. • Mais il y a une bonne nouvelle… Il existe des façons de déployer sécuritairement du multimédia et de la téléphonie IP en combinant des solutions couramment disponibles pour les applications, les infrastructures et les services de sécurité.