La sécurité : un enjeu majeur à l’heure de la              convergence des réseauxLouis Denoncourt, ing.Directeur – Dévelo...
Au programme • La convergence des réseaux est une réalité • Les frontières du réseau s’estompent • Concepts fondamentaux e...
La convergence des réseaux      est une réalité
Réseau convergé à multiples services…                                                                        Voix         ...
Un important effort de normalisation     7 couches du modèle OSI(« Open Systems Interconnection »)            Application ...
Les technologies clés                                 Protocole Internet (IP)                                  La base de ...
Le réseau IP: Une matrice de commutation à haute performance     PBX                                              Serveur ...
Le défi au point de vue technologique:Transmission de la voix et des images au moyend’un réseau de données (par paquets) L...
Un environnement de travail virtuel  … En tout temps, en tout lieu, de toutes les façons                                 P...
Architecture du réseau local (LAN)                                          Piles de                                      ...
Les frontières du réseau s’estompent
Approche traditionnelle pour les VPN IPClient A                          Commutateur Client B Client C              Routeu...
L’approche MPLS (entre autres)...                                     Passport                Client A                    ...
Interconnexion par un réseau unique grâce au protocole IP   Partenaires et   fournisseurs   Clients etusagers distants    ...
Extranet sécurisé avec SSL     Fournit un accès à distance sécurisé pour     certaines applications à l’aide d’un     navi...
Services sans fil privés et publics Bases de  données                                                                   Lo...
Les frontières du réseau s’estompentLes limites ne sont plus fixées par la topologie…       Qui, quoi, où, pourquoi, comme...
Concepts fondamentaux en sécurité
La sécurité est un PROCESSUS,pas un projet…                 Planifier    Configurer                  Appliquer            ...
Quel est le bon niveau de sécurité?Justification: tout dépend du risque et de la protection requise     Élevé             ...
La sécurité  – Un faisceau de mesures croisées                                                                     Garde-b...
La défense par couches   Sécuriser les communications, l’information et les applications   partout et en tout temps       ...
Bâtissez votre “château” en PIERRE,pas en SABLE• Toutes les composantes du  système doivent être solides et  sécuritaires ...
Protocoles et mécanismes associésà la sécurité des réseaux convergés
Principes de base en sécuritéProtégez votre information et vos communications1 NE PARLEZ PAS AUX INCONNUS  Authentificatio...
Définitions des réseaux virtuels (VLAN)                                                                        VLAN par pr...
Étiquette IEEE 802.1Q dans l’entête Ethernet    •   Priorités de l’usager 802.1p       • VLAN ID est employé        (8 cla...
Multiplexage des VLAN avec IEEE 802.1Q                                 Piles de                               commutateurs...
Architecture du réseau local (LAN)IEEE 802.1Q                                              Piles de                       ...
Établissement de l’identité des utilisateurs     Employé                      • Identité RADIUS - Identité connue         ...
Mécanismes d’authentification 802.1x•   Standard IEEE reconnu pour le contrôle d’accès aux    réseaux LAN filaires et sans...
Fonctionnement de 802.1x                                                                  - LDAP                          ...
802.1x… Ça se complique!- Différents modes sont requis sur les commutateurs•   SHSA: “Single Host, Single Authentication” ...
Accès au réseau sur la base des rôles                                Rôle/Identité =                           Rôle/Identi...
Accès au réseau sur la base des rôlesApplication de politiques uniques pour les usagers et les groupes                    ...
Accès au réseau sur la base des rôlesApplication de politiques uniques pour les usagers et les groupes                    ...
Accès au réseau sur la base des rôlesApplication de politiques uniques pour les usagers et les groupes                    ...
Accès au réseau sur la base des rôlesApplication de politiques uniques pour les usagers et les groupes                    ...
Accès au réseau sur la base des rôlesApplication de politiques uniques pour les usagers et les groupes                    ...
NAC : “Network Access Control” Validation de l’intégrité du poste1.Le dispositif est démarré2.Une adresse IP temporaire es...
Authentification WebSécurité simplifiée, contrôle accru• Établit l’identité de chaque  utilisateur• L’authentification séc...
Authentification pour les réseaux sans fil• Un commutateur de sécurité  sans fil (“wireless security switch”  – WSS) prend...
Authentification en mode SSL (accès distant)    Jean Tremblay   7:00 – Maison/PC Jean Tremblay11:00 – Aéroport    /Kiosque...
Une bonne nouvelle!
La sécurité  – Un faisceau de mesures croisées      1. “Ne parlez pas       aux inconnus!”                                ...
Les communications unifiées sécuriséesUne bonne nouvelle!• Plusieurs organisations se sentent  incapables de garantir la s...
La sécurité : enjeu majeur à l'heure de la convergence des réseaux
Prochain SlideShare
Chargement dans…5
×

La sécurité : enjeu majeur à l'heure de la convergence des réseaux

1 254 vues

Publié le

Journée de formation sur la sécurité des systèmes d’information (2009-10-28)
Louis Denoncourt

Publié dans : Technologie
1 commentaire
2 j’aime
Statistiques
Remarques
Aucun téléchargement
Vues
Nombre de vues
1 254
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
0
Commentaires
1
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

La sécurité : enjeu majeur à l'heure de la convergence des réseaux

  1. 1. La sécurité : un enjeu majeur à l’heure de la convergence des réseauxLouis Denoncourt, ing.Directeur – Développement stratégique(418) 780-806628 octobre 2009
  2. 2. Au programme • La convergence des réseaux est une réalité • Les frontières du réseau s’estompent • Concepts fondamentaux en sécurité • Protocoles et mécanismes associés à la sécurité des réseaux convergés • Une bonne nouvelle!
  3. 3. La convergence des réseaux est une réalité
  4. 4. Réseau convergé à multiples services… Voix ATM/RT IP Réseau par paquets 2 14 6 18 1 34 45 Service e Super Phon 4 7 1 2 By SEN BA n 5 D w dr e 8 3 0 6 9 1 EN D IP Sans fil 2 14 6 18 1 34 45 Service e Super Phon 4 7 1 2 By SEN BA n 5 D w dr e 8 3 0 6 9 1 EN D …amenant de nouvelles applications
  5. 5. Un important effort de normalisation 7 couches du modèle OSI(« Open Systems Interconnection ») Application Présentation Session Transport Réseau Liaison données IP Physique
  6. 6. Les technologies clés Protocole Internet (IP) La base de linformatique de réseau Langage de IP Protocole balisage dinitialisation extensible de session (XML) (SIP) Architecture Un format universel déchange de XML Applications Engagées SIP Permet à lapplication enga- données gée de sadapter de façon dynamique àLa reconnaissance de lappareil que vous la parole devient utilisez en ce facilement une extension des Web moment Intergiciel dapplications Intergiciel dapplications applications Web Intergiciel dapplications Web (J2EE & .Net) assure une interface normalisée avec les systèmes commerciaux de lentreprise
  7. 7. Le réseau IP: Une matrice de commutation à haute performance PBX Serveur de conventionnel RTPC, PBX signalisation Sans fil, WAN SS7 Gestionnaire Internet Système Serveur d’appels Passerelles Serveur multi-services ” ie Traitement p hon des appels “Télé libre Réseau IP Ca Matrice decommutation à haute TDM performance Périphériques(Accès & Tronçons) Postes téléphoniques Gestionnaire Serveurs réseau d’applications
  8. 8. Le défi au point de vue technologique:Transmission de la voix et des images au moyend’un réseau de données (par paquets) Les attributs du réseau IP à haute performance :• Efficacité et évolutivité du réseau• Disponibilité du réseau (99.999%) e ”• Qualité de service (QdS) phoni Télé ib re “• Sécurité C al Réseau IP à haute• Gestion performance
  9. 9. Un environnement de travail virtuel … En tout temps, en tout lieu, de toutes les façons PC Collaboration / Vidéo Assistants personnels TéléphonieBlackberry Peu importe ce Courriel Peu importe ce que vous que vous faites employezCellulaire Applications Peu importe où vous corporatives vous trouvez Au bureau Dans les airs En succursale Sur la route À la maison En ville
  10. 10. Architecture du réseau local (LAN) Piles de commutateurs Téléphones 2ième étage 1er étage Réseau sans fil Postes Postes Commutateurs modulaires ou piles de commutateurs Serveurs
  11. 11. Les frontières du réseau s’estompent
  12. 12. Approche traditionnelle pour les VPN IPClient A Commutateur Client B Client C Routeurss Multiples boîtes Maillage de PVC Ports supplém. Plusieurs systèmes de gestion
  13. 13. L’approche MPLS (entre autres)... Passport Client A VR Client B VR VR Client C Pas de routeur “client” Pas de maillage de PVC Moins de ports requis Utilisation des classes de service ...un dispositif, plusieurs routeurs
  14. 14. Interconnexion par un réseau unique grâce au protocole IP Partenaires et fournisseurs Clients etusagers distants Intranet Sites distants et succursales Réseau IP Serveurs privés
  15. 15. Extranet sécurisé avec SSL Fournit un accès à distance sécurisé pour certaines applications à l’aide d’un navigateur Web courant Siège social FournisseursTélétravailleurs SSL ApplicationsPartenaires Internet • Courriel • Applications SSL Web • Transfert de fichiers • Telnet Clients • Autres Personnel mobile
  16. 16. Services sans fil privés et publics Bases de données Locauxsur l’intranet du client Bureaux Intranet distants d’entreprise AéroportsServeurs de courriel Entreprise Public Campus Hors-campus Couverture sans fil sur le campus Couverture du réseau étendu sans fil
  17. 17. Les frontières du réseau s’estompentLes limites ne sont plus fixées par la topologie… Qui, quoi, où, pourquoi, comment… et est-il sécurisé ????
  18. 18. Concepts fondamentaux en sécurité
  19. 19. La sécurité est un PROCESSUS,pas un projet… Planifier Configurer Appliquer Vérifier
  20. 20. Quel est le bon niveau de sécurité?Justification: tout dépend du risque et de la protection requise Élevé Coût de la menace Coût de la protection Coût Dépense justifiée Faible Niveau de sécurité Élevé Formule de pertes attendues par année Revenus x panne x probabilité = perte attendue par année
  21. 21. La sécurité – Un faisceau de mesures croisées Garde-barrière applicatifs Détection d’intrusion et d’abus Filtrage Chiffrement VPN & tunnels VLAN 802.1X / EAP Contrôle des droits Sécurité absolue Sécurité intermédiaire Sécurité de BaseAucune sécurité
  22. 22. La défense par couches Sécuriser les communications, l’information et les applications partout et en tout temps Layered Defense Défense par couches• Comment atteindre cet objectif ? • À l’aide d’une stratégie de Défense par couches • En recourant à des solutions ouvertes reposant sur des partenariats stratégiques et sur l’adhésion aux standards • En réduisant le coût de revient par une emphase sur la simplicité, l’efficacité et une réponse proactive • En comprenant qu’une sécurité solide implique non seulement la technologie, mais aussi des gens et des processus
  23. 23. Bâtissez votre “château” en PIERRE,pas en SABLE• Toutes les composantes du système doivent être solides et sécuritaires en elles-mêmes.• Chaque élément doit être renforcé: • Systèmes d’exploitation • Applications • Infrastructure • Administrateurs • Utilisateurs• Défense par couches
  24. 24. Protocoles et mécanismes associésà la sécurité des réseaux convergés
  25. 25. Principes de base en sécuritéProtégez votre information et vos communications1 NE PARLEZ PAS AUX INCONNUS Authentification: 802.1x, EAP, RADIUS2 RENFORCEZ LES S/E, LES APPLICATIONS, LES USAGERS Systèmes embarqués / renforcés, “Environnement de sécurité unifiée”3 APPLIQUEZ LES centralisé, conformité, antivirus, GB personnel Serveur de politiques RÈGLES4 DONNEZ ACCÈS EN FONCTION DU RÔLE DE CHACUN Assignation de VLAN, Classe de service/Classe de restriction, Accès5 CHIFFREZ LE Tunnels VPN TERRAIN INCONNU IPsec, SSL, TLS, TRAFIC EN6 CONTRÔLEZ Filtrage, Inspection, Politiques de sécurité Prévention DdS, LE “MAUVAIS” TRAFIC7 NE TUEZ PAS LA PERFORMANCE DES APPLICATIONS Garde-barrière et passerelles avec accélération matérielle
  26. 26. Définitions des réseaux virtuels (VLAN) VLAN par protocoles VLAN par ports VLAN AVLAN A 198.16.10.0 IPv4 198.16.10.6 198.16.10.54VLAN B VLAN B IPv6 Commutateur Ethernet VLAN par sous-réseaux IP VLAN par adresses MAC source VLAN A VLAN A 198.16.10.0 @MAC1 @MAC2 198.16.10.6 198.16.10.54 @MAC1 @MAC2 VLAN B VLAN B 198.16.24.100 198.16.24.100 198.16.24.101 @MAC3 @MAC3 @M AC4 198.16.24.101 @MAC4 Note: VLAN pour “Virtual LAN” (réseau local virtuel)
  27. 27. Étiquette IEEE 802.1Q dans l’entête Ethernet • Priorités de l’usager 802.1p • VLAN ID est employé (8 classes de trafic) pour regrouper des • Associe 802.1p aux queues usagers avec des besoins similaires • DSCP converti vers ou à partir des priorités de l’usager 802.1p • Filtrage sur VLAN ID • Filtrage sur une plage d’adresses MAC
  28. 28. Multiplexage des VLAN avec IEEE 802.1Q Piles de commutateurs IEEE 802.1Q Tronçons IEEE 802.3ad 1er étage 2ième étage 100Mbps Connexions 1000 10/100/1000 Mbps Mbps Liaisons Gigabit ou 10G Postes Postes Commutateur d’ossature Tronçons IEEE 802.3ad Grappe de serveurs
  29. 29. Architecture du réseau local (LAN)IEEE 802.1Q Piles de commutateurs Téléphones IEEE 802.1Q 2ième étage 1er étage IEEE 802.1Q IEEE 802.1Q Réseau sans fil Postes Postes Commutateurs modulaires ou piles de commutateurs Serveurs
  30. 30. Établissement de l’identité des utilisateurs Employé • Identité RADIUS - Identité connue existante - Logiciel client • Authentification géré • Identité unique 802.1X établie pour chacun des utilisateurs Usager fiable sans exception • Identité RADIUS - Identité connue existante • Base pour toutes - N’importe quel logiciel client • Authentification Web les politiques de sécurité et de gestion du trafic Invité • Création d’une identité RADIUS • Valide pour tous- Identité inconnue temporaire les types de- N’importe quel • Accès limité pour connexions logiciel client les invités
  31. 31. Mécanismes d’authentification 802.1x• Standard IEEE reconnu pour le contrôle d’accès aux réseaux LAN filaires et sans fil• 802.1x fournit la possibilité d’authentifier et d’autoriser les dispositifs qui veulent se connecter à un port LAN.• Ce standard définit le protocole EAP (“Extensible Authen- tication Protocol”) qui emploie un serveur central pour authentifier chaque poste sur le réseau.• Protocole de niveau 2• 802.1x est appliqué avant que RADIUS la liaison TCP/IP ne soit établie ? ? 1. “Ne parlez pas ? ? aux inconnus!” ? ? ?
  32. 32. Fonctionnement de 802.1x - LDAP - RADIUS - Active Directory EAP -…Utilisateur Commutateur over Ethernet Radius Authentificateur Répertoire LDAP (« authenticator ») Suppliant Serveur (« supplicant ») d’authentification Base de données d’authentification • Lien entre l’accès physique et la politique de sécurité de l’entreprise • Le port du commutateur est bloqué pour un utilisateur non authentifié • Recours à “Extensible Authentication Protocol” (EAP) pour validation de l’utilisateur • Le commutateur envoie la requête d’authentification au serveur d’authentification avec l’identifiant du commutateur (switch ID), le port et l’adresse MAC de l’utilisateur. Le serveur assigne le VLAN (.Q) et la priorité (.p) en fonction de cette authentification, si elle est fructueuse
  33. 33. 802.1x… Ça se complique!- Différents modes sont requis sur les commutateurs• SHSA: “Single Host, Single Authentication” sans VLAN d’invités• SHSA+GVLAN: “Single Host, Single Authentication” avec VLAN d’invités• MHMA: “Multiple Hosts, Multiple Authentications” avec ou sans VLAN d’invités• MHSA: “Multiple Hosts, Single Authentication” avec ou sans VLAN d’invités• NEAP: “Non EAP” – authentification sur la base des adresses MAC Commutateur Ethernet Utilisateur EAP unique Multiples utilisateurs EAP Concentrateur ou commutateur intermédiaire
  34. 34. Accès au réseau sur la base des rôles Rôle/Identité = Rôle/Identité = Partenaire Client Privilèges restreints avec Accès spécifique via un Rôle/Identité = format personnalisé portail/page personnalisé Rôle/Identité = Télétravailleur Employés mobilesPrivilèges d’accès complet Besoins pour le Web multimédia Portail d’accès personnalisé/dynamique avec vérification du point de terminaison VLAN rouge Accès virtuel étendu VLAN vert VLAN de quarantaine jaune Application commune des politiques de sécurité 4. “Donnez accès en fonction du rôle de chacun”
  35. 35. Accès au réseau sur la base des rôlesApplication de politiques uniques pour les usagers et les groupes Serveur d’authentification Commutateur d’accès (Radius) (authentificateur) Serveur Suppliant d’applications des “Dr Einstein” “Professeurs” Serveur de politiques 1. L’utilisateur accède au réseau et reçoit une demande d’identification de la part de l’authentificateur EAP. À ce point-ci, ce dernier est en mode bloquant. L’utilisateur fournit son identifiant et son mot de passe à l’authentificateur.
  36. 36. Accès au réseau sur la base des rôlesApplication de politiques uniques pour les usagers et les groupes Serveur d’authentification Commutateur d’accès (Radius) (authentificateur) Serveur Suppliant d’applications des “Dr Einstein” “Professeurs” Serveur de politiques 2. L’autentificateur EAP déclenche le processus d’authentification auprès du serveur RADIUS. Il présente l’identifiant “Dr Einstein” et le mot de passe au serveur.
  37. 37. Accès au réseau sur la base des rôlesApplication de politiques uniques pour les usagers et les groupes Serveur d’authentification Commutateur d’accès (Radius) (authentificateur) Serveur Suppliant d’applications des “Dr Einstein” “Professeurs” Serveur de politiques 2. Le EAP access point initiates base de authentication with thedesktop PC) and > The serveur RADIUS scrute sa RADIUS données (ou celle en arrière-plan) pour The 3. The user logs in from a network access point (for example, a RADIUS server. déterminer lapoint presents the user’s Username “Fredattribut additionnel qui point, EAP access validité des informations. Il retourne tout Watson” point. At this receives an identity request (login prompt) from the EAP access and Password the EAP access point is in EAP blocking mode. The Jfkdjfdkfjdkfjdkjfkdjfkdjfkdjf credentials to the RADIUS server for authentication. user provides Username and Password credentialsàto the EAP access point. rôle par exemple). Dans cet pourrait être associé l’utilisateur (comme son jfkdjfdkfj exemple, le serveur confirme que “Dr Einstein” est membre du groupe “Professeurs”.
  38. 38. Accès au réseau sur la base des rôlesApplication de politiques uniques pour les usagers et les groupes Serveur d’authentification Commutateur d’accès (Radius) (authentificateur) Serveur Suppliant d’applications des “Dr Einstein” “Professeurs” Serveur de politiques 4. L’authentificateur EAP communique avec le serveur de politiques pour activer le port et le configurer sur la base des politiques de sécurité et de qualité de service associées au rôle “Professeurs”. Ces attributs demeurent valides pour la durée de la session.
  39. 39. Accès au réseau sur la base des rôlesApplication de politiques uniques pour les usagers et les groupes Serveur d’authentification Commutateur d’accès (Radius) (authentificateur) Serveur Suppliant d’applications des “Dr Einstein” “Professeurs” Serveur de politiques 5. Le docteur Einstein, qui est membre du groupe des “Professeurs”, peut maintenant rejoindre le serveur d’applications des professeurs et n’importe quel autre associé à ce rôle avec un niveau de qualité de service approprié (les professeurs peuvent avoir un niveau de qualité de service plus élevé que celui des étudiants par exemple).
  40. 40. NAC : “Network Access Control” Validation de l’intégrité du poste1.Le dispositif est démarré2.Une adresse IP temporaire est émise par le serveur DHCP3.Le commutateur envoie le numéro de Serveurs de port, l’adresse MAC et l’adresse IP au sécurité DHCP contrôleur (politiques) DNS Contrôleur NAC4.L’usager lance son navigateur, la requête DNS le renvoit à un portail captif Active Directory5.L’usager fournit l’information d’authentification6.La vérification d’intégrité est effectuée7.Le contrôleur assigne un VLAN en conséquence8.Le port physique est associé au VLAN9.Une adresse IP finale est assignée VLAN rouge10.Le monitoring se poursuit Agents Agents Agents VLAN vert Intranet Clients locaux Clients locaux VLAN de quarantaine jaune1. Si le poste manque un test d’intégrité:2. On le confine à un VLAN de quarantaine
  41. 41. Authentification WebSécurité simplifiée, contrôle accru• Établit l’identité de chaque utilisateur• L’authentification sécurisée (HTTPS) ne requiert pas de suppliant (“clientless”)• Réseautage sur la base de Panoramas personnalisés l’identité sans le recours à 802.1x• Accès simplifié pour les utilisateurs connus • Lancement d’un navigateur et entrée d’un identifiant / mot de passe • Identification et session sécurisées
  42. 42. Authentification pour les réseaux sans fil• Un commutateur de sécurité sans fil (“wireless security switch” – WSS) prend en charge Usager Usager filaire filaire plusieurs types d’utilisateurs 802.1x AAA AAA Web • Usagers connectés à des points d’accès natifs • Usagers branchés directement ou indirectement à des ports physiques • Usagers connectés via des WSS points d’accès de tierce partie Nortel 2332 Aironet 1231G• Un WSS peut authentifier les utilisateurs de multiples façons • MAC (adresse Ethernet) • 802.1x (Accélération ou relais) • Accès ouvert • Portail captif Usager Sans fil Sans fil Usager Usager Sans fil MAC AAA Web AP tierce AP tierce• Les solutions de validation 802.1x partie partie d’intégrité sont compatibles AAA Web 802.1x
  43. 43. Authentification en mode SSL (accès distant) Jean Tremblay 7:00 – Maison/PC Jean Tremblay11:00 – Aéroport /Kiosque Jean Tremblay 20:00 - Hotel/Portatif Authentifie l’usager à partir de n’importe quel dispositif ou endroit: • Identifiant / Mot de passe • Certificat numérique X.509 • Jeton ou carte à puces • RADIUS / LDAP / NTLM
  44. 44. Une bonne nouvelle!
  45. 45. La sécurité – Un faisceau de mesures croisées 1. “Ne parlez pas aux inconnus!” Sécurité absolue Sécurité intermédiaire Sécurité de BaseAucune sécurité 4. “Donnez accès en fonction du rôle de chacun”
  46. 46. Les communications unifiées sécuriséesUne bonne nouvelle!• Plusieurs organisations se sentent incapables de garantir la sécurité et la fiabilité des systèmes de communications unifiées.• Cela les empêche de déployer de nouveaux services de communication et ainsi d’accroître leur productivité.• Mais il y a une bonne nouvelle… Il existe des façons de déployer sécuritairement du multimédia et de la téléphonie IP en combinant des solutions couramment disponibles pour les applications, les infrastructures et les services de sécurité.

×