Nouveau cadre de gouvernance de la sécurité de l'information
La sécurité : enjeu majeur à l'heure de la convergence des réseaux
1. La sécurité : un enjeu majeur à l’heure de la
convergence des réseaux
Louis Denoncourt, ing.
Directeur – Développement stratégique
(418) 780-8066
28 octobre 2009
2. Au programme
• La convergence des réseaux est une réalité
• Les frontières du réseau s’estompent
• Concepts fondamentaux en sécurité
• Protocoles et mécanismes associés à la sécurité
des réseaux convergés
• Une bonne nouvelle!
4. Réseau convergé à multiples services…
Voix
ATM/RT
IP Réseau
par paquets
2 14
6 18
1
34 45
Service e
Super
Phon
4
7
1
2
By
SEN
BA n
5
D
w
dr e
8
3
0
6
9
1
EN
D
IP
Sans fil 2 14
6 18
1
34 45
Service e
Super
Phon
4
7
1
2
By
SEN
BA n
5
D
w
dr e
8
3
0
6
9
1
EN
D
…amenant de nouvelles applications
5. Un important effort de normalisation
7 couches du modèle OSI
(« Open Systems Interconnection »)
Application
Présentation
Session
Transport
Réseau
Liaison données
IP
Physique
6. Les technologies clés
Protocole Internet (IP)
La base de l'informatique de
réseau
Langage de IP Protocole
balisage d'initialisation
extensible de session
(XML) (SIP)
Architecture
Un format universel
d'échange de
XML Applications
Engagées SIP Permet à
l'application enga-
données gée de s'adapter de
façon dynamique à
La reconnaissance de l'appareil que vous
la parole devient utilisez en ce
facilement une
extension des
Web moment
Intergiciel d'applications
Intergiciel d'applications
applications Web
Intergiciel d'applications Web
(J2EE & .Net) assure une interface normalisée
avec les systèmes commerciaux de l'entreprise
7. Le réseau IP:
Une matrice de commutation à haute performance
PBX Serveur de
conventionnel RTPC, PBX signalisation
Sans fil, WAN SS7
Gestionnaire Internet
Système Serveur
d’appels
Passerelles
Serveur multi-services ”
ie
Traitement p hon
des appels “Télé
libre
Réseau IP
Ca
Matrice de
commutation
à haute
TDM performance
Périphériques
(Accès & Tronçons)
Postes
téléphoniques
Gestionnaire
Serveurs réseau
d’applications
8. Le défi au point de vue technologique:
Transmission de la voix et des images au moyen
d’un réseau de données (par paquets)
Les attributs du réseau IP à haute performance :
• Efficacité et évolutivité du réseau
• Disponibilité du réseau (99.999%)
e ”
• Qualité de service (QdS) phoni
Télé
ib re “
• Sécurité C al Réseau IP
à haute
• Gestion
performance
9. Un environnement de travail virtuel
… En tout temps, en tout lieu, de toutes les façons
PC Collaboration / Vidéo
Assistants
personnels
Téléphonie
Blackberry Peu importe ce Courriel
Peu importe ce
que vous
que vous faites
employez
Cellulaire Applications
Peu importe où vous
corporatives
vous trouvez
Au bureau Dans les airs
En succursale Sur la route
À la maison En ville
10. Architecture du réseau local (LAN)
Piles de
commutateurs
Téléphones
2ième étage
1er étage
Réseau
sans fil
Postes
Postes
Commutateurs
modulaires ou
piles de
commutateurs
Serveurs
12. Approche traditionnelle pour les VPN IP
Client A
Commutateur
Client B
Client C
Routeurss
Multiples boîtes Maillage de PVC
Ports supplém. Plusieurs systèmes de gestion
13. L’approche MPLS (entre autres)...
Passport
Client A
VR
Client B
VR
VR
Client C
Pas de routeur “client” Pas de maillage de PVC
Moins de ports requis Utilisation des classes de service
...un dispositif, plusieurs routeurs
14. Interconnexion par un réseau unique
grâce au protocole IP
Partenaires et
fournisseurs
Clients et
usagers distants
Intranet
Sites distants
et succursales Réseau IP
Serveurs privés
15. Extranet sécurisé avec SSL
Fournit un accès à distance sécurisé pour
certaines applications à l’aide d’un
navigateur Web courant Siège
social
Fournisseurs
Télétravailleurs SSL
Applications
Partenaires
Internet • Courriel
• Applications
SSL Web
• Transfert de
fichiers
• Telnet
Clients
• Autres
Personnel mobile
16. Services sans fil privés et publics
Bases de
données Locaux
sur l’intranet du client
Bureaux
Intranet distants
d’entreprise
Aéroports
Serveurs de
courriel
Entreprise Public
Campus Hors-campus
Couverture sans fil sur le campus Couverture du réseau
étendu sans fil
17. Les frontières du réseau s’estompent
Les limites ne sont plus fixées par la topologie…
Qui, quoi, où, pourquoi, comment… et est-il sécurisé ????
19. La sécurité est un PROCESSUS,
pas un projet…
Planifier
Configurer Appliquer
Vérifier
20. Quel est le bon niveau de sécurité?
Justification: tout dépend du risque et de la protection requise
Élevé
Coût de la menace Coût de la protection
Coût
Dépense justifiée
Faible Niveau de sécurité Élevé
Formule de pertes attendues par année
Revenus x panne x probabilité = perte attendue par année
21. La sécurité
– Un faisceau de mesures croisées
Garde-barrière applicatifs
Détection d’intrusion et d’abus
Filtrage
Chiffrement VPN & tunnels
VLAN
802.1X / EAP
Contrôle des droits Sécurité absolue
Sécurité intermédiaire
Sécurité de Base
Aucune sécurité
22. La défense par couches
Sécuriser les communications, l’information et les applications
partout et en tout temps
Layered Defense
Défense par couches
• Comment atteindre cet objectif ?
• À l’aide d’une stratégie de
Défense par couches
• En recourant à des solutions
ouvertes reposant sur des
partenariats stratégiques et
sur l’adhésion aux standards
• En réduisant le coût de
revient par une emphase sur
la simplicité, l’efficacité et
une réponse proactive
• En comprenant qu’une
sécurité solide implique non
seulement la technologie,
mais aussi des gens et des
processus
23. Bâtissez votre “château” en PIERRE,
pas en SABLE
• Toutes les composantes du
système doivent être solides et
sécuritaires en elles-mêmes.
• Chaque élément doit être
renforcé:
• Systèmes d’exploitation
• Applications
• Infrastructure
• Administrateurs
• Utilisateurs
• Défense par couches
25. Principes de base en sécurité
Protégez votre information et vos communications
1 NE PARLEZ PAS AUX INCONNUS
Authentification: 802.1x, EAP, RADIUS
2 RENFORCEZ LES S/E, LES APPLICATIONS, LES USAGERS
Systèmes embarqués / renforcés, “Environnement de sécurité unifiée”
3 APPLIQUEZ LES centralisé, conformité, antivirus, GB personnel
Serveur de politiques
RÈGLES
4 DONNEZ ACCÈS EN FONCTION DU RÔLE DE CHACUN
Assignation de VLAN, Classe de service/Classe de restriction, Accès
5 CHIFFREZ LE Tunnels VPN TERRAIN INCONNU
IPsec, SSL, TLS,
TRAFIC EN
6 CONTRÔLEZ Filtrage, Inspection, Politiques de sécurité
Prévention DdS,
LE “MAUVAIS” TRAFIC
7 NE TUEZ PAS LA PERFORMANCE DES APPLICATIONS
Garde-barrière et passerelles avec accélération matérielle
26. Définitions des réseaux virtuels (VLAN)
VLAN par protocoles
VLAN par ports
VLAN A
VLAN A 198.16.10.0
IPv4
198.16.10.6 198.16.10.54
VLAN B
VLAN B
IPv6
Commutateur Ethernet
VLAN par sous-réseaux IP VLAN par adresses MAC source
VLAN A VLAN A
198.16.10.0 @MAC1
@MAC2
198.16.10.6 198.16.10.54 @MAC1 @MAC2
VLAN B VLAN B
198.16.24.100 198.16.24.100 198.16.24.101 @MAC3 @MAC3 @M AC4
198.16.24.101 @MAC4
Note: VLAN pour “Virtual LAN” (réseau local virtuel)
27. Étiquette IEEE 802.1Q dans l’entête Ethernet
• Priorités de l’usager 802.1p • VLAN ID est employé
(8 classes de trafic) pour regrouper des
• Associe 802.1p aux queues usagers avec des
besoins similaires
• DSCP converti vers ou à partir
des priorités de l’usager 802.1p • Filtrage sur VLAN ID
• Filtrage sur une plage
d’adresses MAC
28. Multiplexage des VLAN avec IEEE 802.1Q
Piles de
commutateurs
IEEE 802.1Q
Tronçons
IEEE
802.3ad
1er étage 2ième étage
100
Mbps Connexions
1000 10/100/1000 Mbps
Mbps
Liaisons
Gigabit
ou 10G
Postes Postes
Commutateur
d’ossature
Tronçons IEEE 802.3ad
Grappe de serveurs
29. Architecture du réseau local (LAN)
IEEE 802.1Q
Piles de
commutateurs
Téléphones
IEEE
802.1Q
2ième étage
1er étage IEEE
802.1Q
IEEE 802.1Q
Réseau
sans fil
Postes
Postes
Commutateurs
modulaires ou
piles de
commutateurs
Serveurs
30. Établissement de l’identité des utilisateurs
Employé
• Identité RADIUS
- Identité connue
existante
- Logiciel client
• Authentification
géré • Identité unique
802.1X
établie pour chacun
des utilisateurs
Usager fiable
sans exception
• Identité RADIUS
- Identité connue
existante • Base pour toutes
- N’importe quel
logiciel client
• Authentification Web les politiques de
sécurité et de
gestion du trafic
Invité
• Création d’une
identité RADIUS • Valide pour tous
- Identité inconnue
temporaire les types de
- N’importe quel
• Accès limité pour connexions
logiciel client
les invités
31. Mécanismes d’authentification 802.1x
• Standard IEEE reconnu pour le contrôle d’accès aux
réseaux LAN filaires et sans fil
• 802.1x fournit la possibilité d’authentifier et d’autoriser les
dispositifs qui veulent se connecter à un port LAN.
• Ce standard définit le protocole EAP (“Extensible Authen-
tication Protocol”) qui emploie un serveur central pour
authentifier chaque poste sur le réseau.
• Protocole de niveau 2
• 802.1x est appliqué avant que RADIUS
la liaison TCP/IP ne soit établie
? ?
1. “Ne parlez pas ? ?
aux inconnus!”
? ? ?
32. Fonctionnement de 802.1x
- LDAP
- RADIUS
- Active Directory
EAP -…
Utilisateur Commutateur
over
Ethernet Radius
Authentificateur Répertoire LDAP
(« authenticator »)
Suppliant Serveur
(« supplicant ») d’authentification
Base de données
d’authentification
• Lien entre l’accès physique et la politique de sécurité de l’entreprise
• Le port du commutateur est bloqué pour un utilisateur non authentifié
• Recours à “Extensible Authentication Protocol” (EAP) pour validation de
l’utilisateur
• Le commutateur envoie la requête d’authentification au serveur
d’authentification avec l’identifiant du commutateur (switch ID), le port et
l’adresse MAC de l’utilisateur. Le serveur assigne le VLAN (.Q) et la priorité
(.p) en fonction de cette authentification, si elle est fructueuse
33. 802.1x… Ça se complique!
- Différents modes sont requis sur les commutateurs
• SHSA: “Single Host, Single Authentication” sans VLAN d’invités
• SHSA+GVLAN: “Single Host, Single Authentication” avec VLAN d’invités
• MHMA: “Multiple Hosts, Multiple Authentications” avec ou sans VLAN d’invités
• MHSA: “Multiple Hosts, Single Authentication” avec ou sans VLAN d’invités
• NEAP: “Non EAP” – authentification sur la base des adresses MAC
Commutateur Ethernet Utilisateur
EAP unique
Multiples
utilisateurs
EAP
Concentrateur ou
commutateur intermédiaire
34. Accès au réseau sur la base des rôles
Rôle/Identité = Rôle/Identité =
Partenaire Client
Privilèges restreints avec Accès spécifique via un
Rôle/Identité = format personnalisé portail/page personnalisé Rôle/Identité =
Télétravailleur Employés mobiles
Privilèges d’accès complet Besoins pour le Web
multimédia
Portail d’accès
personnalisé/dynamique avec
vérification du point de terminaison VLAN rouge
Accès virtuel étendu
VLAN vert
VLAN de
quarantaine jaune
Application commune des politiques de sécurité
4. “Donnez accès en fonction du rôle de chacun”
35. Accès au réseau sur la base des rôles
Application de politiques uniques pour les usagers et les groupes
Serveur
d’authentification
Commutateur d’accès (Radius)
(authentificateur)
Serveur
Suppliant d’applications des
“Dr Einstein” “Professeurs”
Serveur de
politiques
1. L’utilisateur accède au réseau et reçoit une demande d’identification de la part de
l’authentificateur EAP. À ce point-ci, ce dernier est en mode bloquant. L’utilisateur
fournit son identifiant et son mot de passe à l’authentificateur.
36. Accès au réseau sur la base des rôles
Application de politiques uniques pour les usagers et les groupes
Serveur
d’authentification
Commutateur d’accès (Radius)
(authentificateur)
Serveur
Suppliant d’applications des
“Dr Einstein” “Professeurs”
Serveur de
politiques
2. L’autentificateur EAP déclenche le processus d’authentification auprès du serveur
RADIUS. Il présente l’identifiant “Dr Einstein” et le mot de passe au serveur.
37. Accès au réseau sur la base des rôles
Application de politiques uniques pour les usagers et les groupes
Serveur
d’authentification
Commutateur d’accès (Radius)
(authentificateur)
Serveur
Suppliant d’applications des
“Dr Einstein” “Professeurs”
Serveur de
politiques
2. Le EAP access point initiates base de authentication with thedesktop PC) and
> The serveur RADIUS scrute sa RADIUS données (ou celle en arrière-plan) pour The
3. The user logs in from a network access point (for example, a RADIUS server.
déterminer lapoint presents the user’s Username “Fredattribut additionnel qui point,
EAP access validité des informations. Il retourne tout Watson” point. At this
receives an identity request (login prompt) from the EAP access and Password
the EAP access point is in EAP blocking mode. The Jfkdjfdkfjdkfjdkjfkdjfkdjfkdjf
credentials to the RADIUS server for authentication. user provides Username and
Password credentialsàto the EAP access point. rôle par exemple). Dans cet
pourrait être associé l’utilisateur (comme son
jfkdjfdkfj
exemple, le serveur confirme que “Dr Einstein” est membre du groupe “Professeurs”.
38. Accès au réseau sur la base des rôles
Application de politiques uniques pour les usagers et les groupes
Serveur
d’authentification
Commutateur d’accès (Radius)
(authentificateur)
Serveur
Suppliant d’applications des
“Dr Einstein” “Professeurs”
Serveur de
politiques
4. L’authentificateur EAP communique avec le serveur de politiques pour activer le port
et le configurer sur la base des politiques de sécurité et de qualité de service
associées au rôle “Professeurs”. Ces attributs demeurent valides pour la durée de la
session.
39. Accès au réseau sur la base des rôles
Application de politiques uniques pour les usagers et les groupes
Serveur
d’authentification
Commutateur d’accès (Radius)
(authentificateur)
Serveur
Suppliant d’applications des
“Dr Einstein” “Professeurs”
Serveur de
politiques
5. Le docteur Einstein, qui est membre du groupe des “Professeurs”, peut maintenant
rejoindre le serveur d’applications des professeurs et n’importe quel autre associé à
ce rôle avec un niveau de qualité de service approprié (les professeurs peuvent
avoir un niveau de qualité de service plus élevé que celui des étudiants par
exemple).
40. NAC : “Network Access Control”
Validation de l’intégrité du poste
1.Le dispositif est démarré
2.Une adresse IP temporaire est émise
par le serveur DHCP
3.Le commutateur envoie le numéro de Serveurs de
port, l’adresse MAC et l’adresse IP au sécurité
DHCP
contrôleur (politiques) DNS
Contrôleur NAC
4.L’usager lance son navigateur, la
requête DNS le renvoit à un portail
captif
Active Directory
5.L’usager fournit l’information
d’authentification
6.La vérification d’intégrité est effectuée
7.Le contrôleur assigne un VLAN en
conséquence
8.Le port physique est associé au VLAN
9.Une adresse IP finale est assignée VLAN rouge
10.Le monitoring se poursuit
Agents
Agents
Agents VLAN vert
Intranet
Clients locaux
Clients locaux
VLAN de quarantaine
jaune
1. Si le poste manque un test d’intégrité:
2. On le confine à un VLAN de quarantaine
41. Authentification Web
Sécurité simplifiée, contrôle accru
• Établit l’identité de chaque
utilisateur
• L’authentification sécurisée
(HTTPS) ne requiert pas de
suppliant (“clientless”)
• Réseautage sur la base de Panoramas personnalisés
l’identité sans le recours à
802.1x
• Accès simplifié pour les
utilisateurs connus
• Lancement d’un navigateur et
entrée d’un identifiant / mot de
passe
• Identification et session sécurisées
42. Authentification pour les réseaux sans fil
• Un commutateur de sécurité
sans fil (“wireless security switch”
– WSS) prend en charge Usager Usager
filaire filaire
plusieurs types d’utilisateurs 802.1x
AAA
AAA Web
• Usagers connectés à des
points d’accès natifs
• Usagers branchés directement
ou indirectement à des ports
physiques
• Usagers connectés via des WSS
points d’accès de tierce partie Nortel 2332 Aironet 1231G
• Un WSS peut authentifier les
utilisateurs de multiples façons
• MAC (adresse Ethernet)
• 802.1x (Accélération ou relais)
• Accès ouvert
• Portail captif Usager Sans fil Sans fil Usager Usager
Sans fil MAC AAA Web AP tierce AP tierce
• Les solutions de validation 802.1x partie partie
d’intégrité sont compatibles AAA Web 802.1x
43. Authentification en mode SSL (accès distant)
Jean Tremblay
7:00 – Maison/PC
Jean Tremblay
11:00 – Aéroport
/Kiosque
Jean Tremblay
20:00 - Hotel/Portatif
Authentifie l’usager à partir de n’importe quel
dispositif ou endroit:
• Identifiant / Mot de passe
• Certificat numérique X.509
• Jeton ou carte à puces
• RADIUS / LDAP / NTLM
45. La sécurité
– Un faisceau de mesures croisées
1. “Ne parlez pas
aux inconnus!”
Sécurité absolue
Sécurité intermédiaire
Sécurité de Base
Aucune sécurité
4. “Donnez accès en fonction du rôle de chacun”
46. Les communications unifiées sécurisées
Une bonne nouvelle!
• Plusieurs organisations se sentent
incapables de garantir la sécurité et la
fiabilité des systèmes de communications
unifiées.
• Cela les empêche de déployer de
nouveaux services de communication et
ainsi d’accroître leur productivité.
• Mais il y a une bonne nouvelle…
Il existe des façons de déployer sécuritairement du multimédia et de la téléphonie IP
en combinant des solutions couramment disponibles pour les applications, les
infrastructures et les services de sécurité.