SlideShare une entreprise Scribd logo
Firewall et NAC OpenSource
Pr´esentation Clusir-Est
Johan Moreau
IRCAD/IHU
3 juin 2014
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 1 / 37
Le monde de l’OpenSource `a notre niveau
Plan
1 Le monde de l’OpenSource `a notre niveau
2 IPTables et PF
3 802.1X et NAC
4 Pourquoi maintenant
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 2 / 37
Le monde de l’OpenSource `a notre niveau
Historique
Quelques exemples de soci´et´es ayant choisies des outils UNIX et
opensource :
Outils BSD IPv4 Microsoft 9*
OSX et iOS bas´e sur BSD 4.4
Juniper JunOS bas´e FreeBSD
NetApp DataOnTap bas´e FreeBSD
Google Android
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 3 / 37
Le monde de l’OpenSource `a notre niveau
Les fondements
Les motivations :
Acc`es aux sources :
pour v´erifier mais c’est rare
pour corriger si le temps ou si pas d’autres solutions
pour g´erer la p´erennit´e ou l’interop´erabilit´e
avec les jolis contre exemples de Debian, OpenSSL, TrueCrypt( ?)
Licences contaminantes ou non
Adapat´e aux logiciels mais aussi aux donn´ees
Communaut´e d’utilisateurs
Coˆut d’exploitation
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 4 / 37
Le monde de l’OpenSource `a notre niveau
Plus que jamais d’actualit´es
Android / Linux
OpenStack / docker
open/libre office
Hadoop
Firefox
Apache
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 5 / 37
Le monde de l’OpenSource `a notre niveau
Exemple dans la SSI
Architecture robuste : RAID logiciel, LXC, Xen, Keepalived, Heartbeat
Firewall : IPTables, PF, IPF, NuFW
IDS/HIDS/SIEM : prelude, snort, suricata, bro, ossec, OSSIM, ...
Authentification : FreeRadius, OpenLDAP, Shibboleth, ...
Antivirus/antispam/proxy : ClamAV, SpamAssassin, ASSP, squid, ...
Chiffrement : OpenSSL, GPG, OpenVPN, ...
Renforcement OS : SELinux, AppArmor, ...
Audit : OpenVAS, Metasploit, Nikto, Kismet, ...
Supervision : Nagios/Shinken, Cacti, Munin, ...
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 6 / 37
IPTables et PF
Plan
1 Le monde de l’OpenSource `a notre niveau
2 IPTables et PF
3 802.1X et NAC
4 Pourquoi maintenant
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 7 / 37
IPTables et PF
Architecture r´eseau mini-campus
Segmenter en VLAN (mˆeme si attaque possible, mˆeme si l´eg`ere
augmentation de la complexit´e du SI, ...) : chez nous 1 VLAN par
entit´e juridique disctince ou par service au sein d’une mˆeme entit´e
(plus tous ceux n´ecessaires au SI lui-mˆeme) > 60
Redondance r´eseau : maillage tr`es fort : 2 `a 3 attachements par
´equipements (802.1ad, VRRP, STP), stack/chassis, 3 rattachements
data, 2 pour la voix
Filtrage `a tout va : ACL r´eseaux, filtrage machines, filtrage r´eseaux
Particularit´es :
Mutliples infog´erences chez nos partenaires
Mutliples domaines d’authentification
Double-stack IP v4/v6
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 8 / 37
IPTables et PF
VLAN
Je laisse de cˆot´e les probl´ematiques de t´el´ephonies, visioconf´erence,
reverse-proxy, ...
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 9 / 37
IPTables et PF
VLAN
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 10 / 37
IPTables et PF
VLAN
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 11 / 37
IPTables et PF
VLAN
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 12 / 37
IPTables et PF
Le filtrage IP
Un pare-feu (ou firewall) est un ´equipement r´eseau de filtrage agissant au
niveau 2, 3 et 4 du mod`ele OSI (on parle aussi de firewall de
niv7/applicatif avec le DPI).
Son objectif est d’inspecter puis d’appliquer des politiques sur le trafic
r´eseau en fonction de divers crit`eres :
Interface d’entr´eee dans un routeur
Appartenance `a un r´eseau IP
Utilisation d’un protocole de couche transport sp´ecifique
Communication vers des ports / services r´eseaux pr´ecis
Il peut choisir de le d´etruire, le laisser passer, r´epondre qu’il n’est pas
int´eress´e, etc...
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 13 / 37
IPTables et PF
Le filtrage IP
Un filtre `a paquets est un programme qui examine l’en-tˆete des
paquets qui passent, et d´ecide du sort du paquet entier.
Sous Linux, le filtrage de paquets s’effectue au niveau du noyau.
Successeur d’Ipchains (noyau linux 2.2) et Ipfwadm (noyau linux 2.0)
Netfilter : architecture de filtrage IP du noyau
IPTables : application de contrˆole de cette architecture
En cours d’´evolution vers nftable
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 14 / 37
IPTables et PF
IPtables
Code Listing 1– sch´ema iptables
A p p l i c a t i o n s
. . . . . . . . . . . . . .
. ˆ . |
| | OUTPUT
INPUT | |−−−−+ +−−−>| |
. ˆ . 
| 
| 
d e c i s i o n de 
routage −−−−−−−−>| |FORWARD−−+
. ˆ . |
| V
PREROUTING | |−+
. ˆ . | |POSTROUTING
| |
| V
I n t e r f a c e d ’ e n t r e e I n t e r f a c e de s o r t i e
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 15 / 37
IPTables et PF
IPtables
La commande iptables sert `a administrer ces fonctionnalit´es de filtrage.
Cette commande accepte de nombreuses options. Pour ajouter des r`egles
de filtrage qui s’applique aux paquets rout´es, la premi`ere forme de la
commande utilis´ee est :
Code Listing 2– iptables avec une r`egle simple
iptables −A FORWARD rule
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 16 / 37
IPTables et PF
IPtables
La r`egle suivante autorise les paquets en provenance de l’adresse ip IpSrc,
port PortSrc et `a destination de l’adresse IP IpDst, port PortDst, de
protocole Proto (qui peut ˆetre tcp ou udp).
Code Listing 3– iptables avec autorisation
iptables −A FORWARD −p Proto −s IpSrc/Nbm −−sport PortSrc −d IpDst/Nbm −−
dport PortDst −j ACCEPT
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 17 / 37
IPTables et PF
IPtables
La r`egle suivante bloque les paquets en provenance de IpSrc et `a
destination de IpDst, de protocole Proto (qui peut ˆetre tcp, udp ou icmp ;
en l’absence de protocole la r`egle bloquera tous les paquets IP
correspondants).
Code Listing 4– iptables avec refus
iptables −A FORWARD −p Proto −s IpSrc/Nbm −d IpDst/Nbm −j DROP
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 18 / 37
IPTables et PF
IPtables
Lorsqu’une r`egle est ajout´ee avec la commande iptables, elle est
imm´ediatement active.
Les ports et le protocole sont optionnels. Ainsi on peut simplement
construire un filtre sur des adresses IP (comme les access-list simples
sur cisco).
iptables supporte l’inspection de paquet via des modules optionnels
(par exemple ip conntrack ftp pour le FTP)
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 19 / 37
IPTables et PF
IPtables
Code Listing 5– iptables avec blocage du icmp
# ping −c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1) : 56 data bytes
64 bytes from 127.0.0.1: icmp seq=0 ttl=64 time=0.2 ms
−−− 127.0.0.1 ping statistics −−−
1 packets transmitted , 1 packets received , 0% packet loss
round−trip min/avg/max = 0.2/0.2/0.2 ms
# iptables −A INPUT −s 127.0.0.1 −p icmp −j DROP
# ping −c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1) : 56 data bytes
−−− 127.0.0.1 ping statistics −−−
1 packets transmitted , 0 packets received , 100% packet loss
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 20 / 37
IPTables et PF
nftable
Am´elioration des performances
Gestion des ensembles
Bas´e sur une pseudo-machine `a ´etat
Migration progressive possible
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 21 / 37
IPTables et PF
OpenBSD
Bas´e sur 4.4BSD, orient´e s´ecurit´e
Seulement 2 vuln´erabilit´es `a distance dans l’installation par d´efaut en
quasiment 20 ans
Protection de pages m´emoires (WˆX, ProPolice, StackGhost, ...)
Protection de certains appels syst`emes (strlcpy, ...)
S´eparation/r´evocation de privil`eges, ...
R´eimpl´ementation de logiciels (smptd, ntpd, ssh, pf, ...)
Utilis´e chez nous depuis la version 3.0, d´ecembre 2001
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 22 / 37
IPTables et PF
PF sur OpenBSD
FreeBSD, NetBSD, DragonFly BSD, Mac OS X, Apple iOS, QNX
Gestion de configuration atomique
ALTQ, gestion des priorit´es (http>smpt,ipvoice,...)
Pas d’inspection de service (`a faire en userland)
Syntaxe lisible, souple et claire
Redondance (HA) via pfsync/CARP
pf + dhcpd pour bloquer les adresses fix´ees a la main
Exemple de fichier pf.conf
block all pass in on em0 proto tcp from 192.168.0.0/24 to !192.
port 80
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 23 / 37
IPTables et PF
PF sur OpenBSD
Ecriture int´eressante :
table <my_network> 192.168.160.0/21, 192.168.199.10
set block-policy drop
pass in quick on proxy inet proto tcp from <proxy_network> to
<fs> port 80
pass in quick on supervision proto udp from <monitor> to <mo-
nitoring_network> port 161
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 24 / 37
802.1X et NAC
Plan
1 Le monde de l’OpenSource `a notre niveau
2 IPTables et PF
3 802.1X et NAC
4 Pourquoi maintenant
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 25 / 37
802.1X et NAC
Multi-OS et Multi-domaine
Nouvelles contraintes :
Multi-OS (Windows XP/7/8, Linux Ubuntu 12.04/14.04, OSX 10.6+)
T´el´ephonie IP avec cˆablage mutualis´e
Multi-domaine d’authentification
Zone filaire invit´ee
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 26 / 37
802.1X et NAC
FreeRadius pour le 802.1X
802.1X
AAA (Authentification : qui me parle ? Authorization : Quelles
autorisations je lui accorde ? Accounting : Que fait-il ?)
Supplicant : le client
Authenticator : le switch dans notre cas
Authentication Server : FreeRadius dans notre cas
FreeRadius
Support EAP (MD5, SIM TLS TTLS, PEAP, MSCHAPv2, ...)
50 dictionnaires vendor-specific
Sait fonctionner avec un backend LDAP,mySQL,SAMBA,PAM,...
Distribution PacketFence dans les cas simples
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 27 / 37
802.1X et NAC
VLAN
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 28 / 37
802.1X et NAC
VLAN
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 29 / 37
802.1X et NAC
Politique de s´ecurit´e
V´erification de l’utilisateur
Affectation dynamique du VLAN
D´etection de l’OS
En fonction de l’OS, mise en conformit´e
Mise en conformit´e via l’antivirus
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 30 / 37
Pourquoi maintenant
Plan
1 Le monde de l’OpenSource `a notre niveau
2 IPTables et PF
3 802.1X et NAC
4 Pourquoi maintenant
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 31 / 37
Pourquoi maintenant
Le cloud hybrid et la mobilit´e
Nouveaux acteurs/concepts : Arista/Cumulus Networks
(commutateurs 10G/bits linux natif), virtualisation du stockage
(NetApp, HDS, ...), Scale-Out NAS
Densit´e d’´equipements, d’OS, de logiciels, de donn´ees en explosition
Performance et qualit´e toujours plus importante
Dynamique des entreprises (rachat, fusion, r´eorganisation)
Liaison de plus en plus proche entre logiciels/os/r´eseaux et donc
impact tr`es important sur les ´equipes en charge (tendance m´ethodes
agiles voir devops)
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 32 / 37
Pourquoi maintenant
L’automatisation, la seul voie possible
Outils de gestion de configuration/orchestration
Outils tr`es pr´esents dans le monde du d´eveloppement
Orient´es pour l’IT : Puppet, Chef, CfEngine, Saltstack
Exemple avec Saltstack
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 33 / 37
Pourquoi maintenant
SaltStack
Un framework d’ex´ecution `a distance (ZMQ/AES256)
Un gestionnaire de configuration centralis´e (YAML/jinja2)
Un outil de Cloud Provisionning
Un gestionnaire de machines virtuelles
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 34 / 37
Pourquoi maintenant
SaltStack
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 35 / 37
Pourquoi maintenant
SaltStack
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 36 / 37
Pourquoi maintenant
La continuit´e d’activit´e, la valeur ajout´ee
Les points forts
Am´elioration des performances / possibilt´e d’´evoluer
Travail en production / flexibilit´e
Travail en maquette
Les ´evolutions
Liaison plus forte avec l’inventaire (glpi/fusioninventory)
Liaison plus forte avec la supervision (shinken,snmp)
D´eveloppement des parties IDS/SIEM
Faire du TDD sur l’infrastructure
Les gros changements `a venir (cloud priv´e/hybrid, explosition des
mat´eriels et donn´ees, ...)
Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 37 / 37

Contenu connexe

Tendances

Trunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpnTrunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpn
Yaya N'Tyeni Sanogo
 
Les Vpn
Les VpnLes Vpn
Les Vpn
medalaa
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Network
julienlfr
 
Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)
EL AMRI El Hassan
 
Ingénieur Réseaux Sécurité
Ingénieur Réseaux SécuritéIngénieur Réseaux Sécurité
Ingénieur Réseaux Sécurité
Aurore de Cosnac
 
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Stephen Salama
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCop
Mohammed Zaoui
 
Vpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERVpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPER
Hermann Gbilimako
 
Acl cisco
Acl ciscoAcl cisco
Acl cisco
Bou Diop
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
Dimitri LEMBOKOLO
 
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurationsMise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Stephen Salama
 
Cours SNMP
Cours SNMPCours SNMP
Cours SNMP
EL AMRI El Hassan
 

Tendances (20)

Trunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpnTrunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpn
 
Les Vpn
Les VpnLes Vpn
Les Vpn
 
vpn
vpnvpn
vpn
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Network
 
Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)
 
Pfsense
PfsensePfsense
Pfsense
 
Ingénieur Réseaux Sécurité
Ingénieur Réseaux SécuritéIngénieur Réseaux Sécurité
Ingénieur Réseaux Sécurité
 
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpn
 
Ccna4
Ccna4Ccna4
Ccna4
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCop
 
Ccna4
Ccna4Ccna4
Ccna4
 
Vpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERVpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPER
 
Version Final Presentation
Version Final PresentationVersion Final Presentation
Version Final Presentation
 
Acl cisco
Acl ciscoAcl cisco
Acl cisco
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
 
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurationsMise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
 
VPN: SSL vs IPSEC
VPN: SSL vs IPSECVPN: SSL vs IPSEC
VPN: SSL vs IPSEC
 
Cours SNMP
Cours SNMPCours SNMP
Cours SNMP
 
Exposéréseau
ExposéréseauExposéréseau
Exposéréseau
 

En vedette

Creating a firewall in UBUNTU
Creating a firewall in UBUNTUCreating a firewall in UBUNTU
Creating a firewall in UBUNTU
Mumbai University
 
Report Master
Report MasterReport Master
Report Master
Bilel Trabelsi
 
Présentation Master
Présentation Master Présentation Master
Présentation Master
Bilel Trabelsi
 
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
Microsoft
 
Ubuntu
UbuntuUbuntu
Ubuntu
essa
 
Clusif 2014 Annexes référentiels de sécurité système information industriel /...
Clusif 2014 Annexes référentiels de sécurité système information industriel /...Clusif 2014 Annexes référentiels de sécurité système information industriel /...
Clusif 2014 Annexes référentiels de sécurité système information industriel /...
echangeurba
 
Implementing and Running SIEM: Approaches and Lessons
Implementing  and Running SIEM: Approaches and LessonsImplementing  and Running SIEM: Approaches and Lessons
Implementing and Running SIEM: Approaches and Lessons
Anton Chuvakin
 
SIEM Architecture
SIEM ArchitectureSIEM Architecture
SIEM Architecture
Nishanth Kumar Pathi
 
Beginner's Guide to SIEM
Beginner's Guide to SIEM Beginner's Guide to SIEM
Beginner's Guide to SIEM
AlienVault
 
HP ArcSight
HP ArcSight HP ArcSight
HP ArcSight
Mohamed Zohair
 
Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)
k33a
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
marwenbencheikhali
 
Ubuntu OS Presentation
Ubuntu OS PresentationUbuntu OS Presentation
Ubuntu OS Presentation
Loren Schwappach
 
Investigation de cybersécurité avec Splunk
Investigation de cybersécurité avec SplunkInvestigation de cybersécurité avec Splunk
Investigation de cybersécurité avec Splunk
Ibrahimous
 
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
Danny Batomen Yanga
 
Le processus de gestion des habilitations
Le processus de gestion des habilitationsLe processus de gestion des habilitations
Le processus de gestion des habilitations
emc 2p
 
Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2
PRONETIS
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
Mohammed Zaoui
 
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
Hackfest Communication
 

En vedette (20)

Creating a firewall in UBUNTU
Creating a firewall in UBUNTUCreating a firewall in UBUNTU
Creating a firewall in UBUNTU
 
Report Master
Report MasterReport Master
Report Master
 
Présentation Master
Présentation Master Présentation Master
Présentation Master
 
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
 
Ubuntu
UbuntuUbuntu
Ubuntu
 
Splunk
SplunkSplunk
Splunk
 
Clusif 2014 Annexes référentiels de sécurité système information industriel /...
Clusif 2014 Annexes référentiels de sécurité système information industriel /...Clusif 2014 Annexes référentiels de sécurité système information industriel /...
Clusif 2014 Annexes référentiels de sécurité système information industriel /...
 
Implementing and Running SIEM: Approaches and Lessons
Implementing  and Running SIEM: Approaches and LessonsImplementing  and Running SIEM: Approaches and Lessons
Implementing and Running SIEM: Approaches and Lessons
 
SIEM Architecture
SIEM ArchitectureSIEM Architecture
SIEM Architecture
 
Beginner's Guide to SIEM
Beginner's Guide to SIEM Beginner's Guide to SIEM
Beginner's Guide to SIEM
 
HP ArcSight
HP ArcSight HP ArcSight
HP ArcSight
 
Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
 
Ubuntu OS Presentation
Ubuntu OS PresentationUbuntu OS Presentation
Ubuntu OS Presentation
 
Investigation de cybersécurité avec Splunk
Investigation de cybersécurité avec SplunkInvestigation de cybersécurité avec Splunk
Investigation de cybersécurité avec Splunk
 
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
 
Le processus de gestion des habilitations
Le processus de gestion des habilitationsLe processus de gestion des habilitations
Le processus de gestion des habilitations
 
Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
 

Similaire à Firewall opensource et gestion de configuration pour l'infrastructure

Cours Firewalls.pdf
Cours Firewalls.pdfCours Firewalls.pdf
Cours Firewalls.pdf
AnisSalhi3
 
Protection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelProtection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard Lebel
Web à Québec
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Trésor-Dux LEBANDA
 
Etude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU LinuxEtude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU Linux
Thierry Gayet
 
Parinux 2009
Parinux 2009Parinux 2009
Protection des Seveurs contre les attaques DOS et DDOS
Protection des Seveurs contre les attaques DOS et DDOSProtection des Seveurs contre les attaques DOS et DDOS
Protection des Seveurs contre les attaques DOS et DDOS
Mohamet Lamine DIOP
 
Projet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégraleProjet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégrale
Olivier MJ Crépin-Leblond
 
system de gestion Nfs (Network File System)
system de gestion Nfs (Network File System)system de gestion Nfs (Network File System)
system de gestion Nfs (Network File System)
ninanoursan
 
Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014
Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014
Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014
O10ée
 
IPv6 au Clusir-Est
IPv6 au Clusir-EstIPv6 au Clusir-Est
IPv6 au Clusir-Est
Johan Moreau
 
Wrap up SSTIC 2013
Wrap up SSTIC 2013Wrap up SSTIC 2013
Wrap up SSTIC 2013
quack1
 
Recommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSHRecommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSH
Fabwice Bend'j
 
ofpptmaroc.com__Rapport-etude-et-simulation-sous-GNS-3-des-ACL.pdf
ofpptmaroc.com__Rapport-etude-et-simulation-sous-GNS-3-des-ACL.pdfofpptmaroc.com__Rapport-etude-et-simulation-sous-GNS-3-des-ACL.pdf
ofpptmaroc.com__Rapport-etude-et-simulation-sous-GNS-3-des-ACL.pdf
AchrafNC1
 
firewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxfirewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptx
AbdellahELMAMOUN
 
Architecture hétérogène au service de l'IoT industriel ?
Architecture hétérogène au service de l'IoT industriel ?Architecture hétérogène au service de l'IoT industriel ?
Architecture hétérogène au service de l'IoT industriel ?
Pierre-jean Texier
 
Prez Administration Réseau 1 (ICDN 1).pdf
Prez Administration Réseau 1 (ICDN 1).pdfPrez Administration Réseau 1 (ICDN 1).pdf
Prez Administration Réseau 1 (ICDN 1).pdf
Leandre Cof's Yeboue
 
Asterisk to ip_rapport
Asterisk to ip_rapportAsterisk to ip_rapport
Asterisk to ip_rapport
Gilles Samba
 
éTude des techno de stockage
éTude des techno de stockageéTude des techno de stockage
éTude des techno de stockage
khech123
 
Développement Noyau Et Driver Sous Gnu Linux
Développement Noyau Et Driver Sous Gnu LinuxDéveloppement Noyau Et Driver Sous Gnu Linux
Développement Noyau Et Driver Sous Gnu Linux
Thierry Gayet
 

Similaire à Firewall opensource et gestion de configuration pour l'infrastructure (20)

Cours Firewalls.pdf
Cours Firewalls.pdfCours Firewalls.pdf
Cours Firewalls.pdf
 
Protection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelProtection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard Lebel
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
 
Etude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU LinuxEtude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU Linux
 
Parinux 2009
Parinux 2009Parinux 2009
Parinux 2009
 
Protection des Seveurs contre les attaques DOS et DDOS
Protection des Seveurs contre les attaques DOS et DDOSProtection des Seveurs contre les attaques DOS et DDOS
Protection des Seveurs contre les attaques DOS et DDOS
 
Projet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégraleProjet IPv6 Matrix / Version française intégrale
Projet IPv6 Matrix / Version française intégrale
 
system de gestion Nfs (Network File System)
system de gestion Nfs (Network File System)system de gestion Nfs (Network File System)
system de gestion Nfs (Network File System)
 
Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014
Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014
Présentation Système d’exploitation Open Source Lepton - MEITO Mai 2014
 
IPv6 au Clusir-Est
IPv6 au Clusir-EstIPv6 au Clusir-Est
IPv6 au Clusir-Est
 
Wrap up SSTIC 2013
Wrap up SSTIC 2013Wrap up SSTIC 2013
Wrap up SSTIC 2013
 
Cdt juin2011 21
Cdt juin2011 21Cdt juin2011 21
Cdt juin2011 21
 
Recommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSHRecommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSH
 
ofpptmaroc.com__Rapport-etude-et-simulation-sous-GNS-3-des-ACL.pdf
ofpptmaroc.com__Rapport-etude-et-simulation-sous-GNS-3-des-ACL.pdfofpptmaroc.com__Rapport-etude-et-simulation-sous-GNS-3-des-ACL.pdf
ofpptmaroc.com__Rapport-etude-et-simulation-sous-GNS-3-des-ACL.pdf
 
firewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxfirewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptx
 
Architecture hétérogène au service de l'IoT industriel ?
Architecture hétérogène au service de l'IoT industriel ?Architecture hétérogène au service de l'IoT industriel ?
Architecture hétérogène au service de l'IoT industriel ?
 
Prez Administration Réseau 1 (ICDN 1).pdf
Prez Administration Réseau 1 (ICDN 1).pdfPrez Administration Réseau 1 (ICDN 1).pdf
Prez Administration Réseau 1 (ICDN 1).pdf
 
Asterisk to ip_rapport
Asterisk to ip_rapportAsterisk to ip_rapport
Asterisk to ip_rapport
 
éTude des techno de stockage
éTude des techno de stockageéTude des techno de stockage
éTude des techno de stockage
 
Développement Noyau Et Driver Sous Gnu Linux
Développement Noyau Et Driver Sous Gnu LinuxDéveloppement Noyau Et Driver Sous Gnu Linux
Développement Noyau Et Driver Sous Gnu Linux
 

Plus de Johan Moreau

Les premières minutes d’une cyberattaque
Les premières minutes d’une cyberattaqueLes premières minutes d’une cyberattaque
Les premières minutes d’une cyberattaque
Johan Moreau
 
Actions prioritaires pour la SSI
Actions prioritaires pour la SSI Actions prioritaires pour la SSI
Actions prioritaires pour la SSI
Johan Moreau
 
Production logicielle, outils et pratiques
Production logicielle, outils et pratiquesProduction logicielle, outils et pratiques
Production logicielle, outils et pratiques
Johan Moreau
 
Intégration continue
Intégration continueIntégration continue
Intégration continue
Johan Moreau
 
Implications des objets connectés sur la sécurité de l'entreprise
Implications des objets connectés sur la sécurité de l'entrepriseImplications des objets connectés sur la sécurité de l'entreprise
Implications des objets connectés sur la sécurité de l'entreprise
Johan Moreau
 
De la chaîne de production au SI géré par des logiciels
De la chaîne de production au SI géré par des logicielsDe la chaîne de production au SI géré par des logiciels
De la chaîne de production au SI géré par des logiciels
Johan Moreau
 
Outils de construction pour la recherche
Outils de construction pour la rechercheOutils de construction pour la recherche
Outils de construction pour la recherche
Johan Moreau
 
Gestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de ShellshockGestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de Shellshock
Johan Moreau
 
BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?
BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?
BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?
Johan Moreau
 
Processus de développement
Processus de développementProcessus de développement
Processus de développement
Johan Moreau
 
2009 2010 Fip3 A Unix
2009 2010 Fip3 A Unix2009 2010 Fip3 A Unix
2009 2010 Fip3 A Unix
Johan Moreau
 

Plus de Johan Moreau (11)

Les premières minutes d’une cyberattaque
Les premières minutes d’une cyberattaqueLes premières minutes d’une cyberattaque
Les premières minutes d’une cyberattaque
 
Actions prioritaires pour la SSI
Actions prioritaires pour la SSI Actions prioritaires pour la SSI
Actions prioritaires pour la SSI
 
Production logicielle, outils et pratiques
Production logicielle, outils et pratiquesProduction logicielle, outils et pratiques
Production logicielle, outils et pratiques
 
Intégration continue
Intégration continueIntégration continue
Intégration continue
 
Implications des objets connectés sur la sécurité de l'entreprise
Implications des objets connectés sur la sécurité de l'entrepriseImplications des objets connectés sur la sécurité de l'entreprise
Implications des objets connectés sur la sécurité de l'entreprise
 
De la chaîne de production au SI géré par des logiciels
De la chaîne de production au SI géré par des logicielsDe la chaîne de production au SI géré par des logiciels
De la chaîne de production au SI géré par des logiciels
 
Outils de construction pour la recherche
Outils de construction pour la rechercheOutils de construction pour la recherche
Outils de construction pour la recherche
 
Gestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de ShellshockGestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de Shellshock
 
BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?
BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?
BYOD & Cloud : Les nouveaux paradigmes de l'informatique ?
 
Processus de développement
Processus de développementProcessus de développement
Processus de développement
 
2009 2010 Fip3 A Unix
2009 2010 Fip3 A Unix2009 2010 Fip3 A Unix
2009 2010 Fip3 A Unix
 

Firewall opensource et gestion de configuration pour l'infrastructure

  • 1. Firewall et NAC OpenSource Pr´esentation Clusir-Est Johan Moreau IRCAD/IHU 3 juin 2014 Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 1 / 37
  • 2. Le monde de l’OpenSource `a notre niveau Plan 1 Le monde de l’OpenSource `a notre niveau 2 IPTables et PF 3 802.1X et NAC 4 Pourquoi maintenant Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 2 / 37
  • 3. Le monde de l’OpenSource `a notre niveau Historique Quelques exemples de soci´et´es ayant choisies des outils UNIX et opensource : Outils BSD IPv4 Microsoft 9* OSX et iOS bas´e sur BSD 4.4 Juniper JunOS bas´e FreeBSD NetApp DataOnTap bas´e FreeBSD Google Android Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 3 / 37
  • 4. Le monde de l’OpenSource `a notre niveau Les fondements Les motivations : Acc`es aux sources : pour v´erifier mais c’est rare pour corriger si le temps ou si pas d’autres solutions pour g´erer la p´erennit´e ou l’interop´erabilit´e avec les jolis contre exemples de Debian, OpenSSL, TrueCrypt( ?) Licences contaminantes ou non Adapat´e aux logiciels mais aussi aux donn´ees Communaut´e d’utilisateurs Coˆut d’exploitation Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 4 / 37
  • 5. Le monde de l’OpenSource `a notre niveau Plus que jamais d’actualit´es Android / Linux OpenStack / docker open/libre office Hadoop Firefox Apache Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 5 / 37
  • 6. Le monde de l’OpenSource `a notre niveau Exemple dans la SSI Architecture robuste : RAID logiciel, LXC, Xen, Keepalived, Heartbeat Firewall : IPTables, PF, IPF, NuFW IDS/HIDS/SIEM : prelude, snort, suricata, bro, ossec, OSSIM, ... Authentification : FreeRadius, OpenLDAP, Shibboleth, ... Antivirus/antispam/proxy : ClamAV, SpamAssassin, ASSP, squid, ... Chiffrement : OpenSSL, GPG, OpenVPN, ... Renforcement OS : SELinux, AppArmor, ... Audit : OpenVAS, Metasploit, Nikto, Kismet, ... Supervision : Nagios/Shinken, Cacti, Munin, ... Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 6 / 37
  • 7. IPTables et PF Plan 1 Le monde de l’OpenSource `a notre niveau 2 IPTables et PF 3 802.1X et NAC 4 Pourquoi maintenant Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 7 / 37
  • 8. IPTables et PF Architecture r´eseau mini-campus Segmenter en VLAN (mˆeme si attaque possible, mˆeme si l´eg`ere augmentation de la complexit´e du SI, ...) : chez nous 1 VLAN par entit´e juridique disctince ou par service au sein d’une mˆeme entit´e (plus tous ceux n´ecessaires au SI lui-mˆeme) > 60 Redondance r´eseau : maillage tr`es fort : 2 `a 3 attachements par ´equipements (802.1ad, VRRP, STP), stack/chassis, 3 rattachements data, 2 pour la voix Filtrage `a tout va : ACL r´eseaux, filtrage machines, filtrage r´eseaux Particularit´es : Mutliples infog´erences chez nos partenaires Mutliples domaines d’authentification Double-stack IP v4/v6 Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 8 / 37
  • 9. IPTables et PF VLAN Je laisse de cˆot´e les probl´ematiques de t´el´ephonies, visioconf´erence, reverse-proxy, ... Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 9 / 37
  • 10. IPTables et PF VLAN Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 10 / 37
  • 11. IPTables et PF VLAN Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 11 / 37
  • 12. IPTables et PF VLAN Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 12 / 37
  • 13. IPTables et PF Le filtrage IP Un pare-feu (ou firewall) est un ´equipement r´eseau de filtrage agissant au niveau 2, 3 et 4 du mod`ele OSI (on parle aussi de firewall de niv7/applicatif avec le DPI). Son objectif est d’inspecter puis d’appliquer des politiques sur le trafic r´eseau en fonction de divers crit`eres : Interface d’entr´eee dans un routeur Appartenance `a un r´eseau IP Utilisation d’un protocole de couche transport sp´ecifique Communication vers des ports / services r´eseaux pr´ecis Il peut choisir de le d´etruire, le laisser passer, r´epondre qu’il n’est pas int´eress´e, etc... Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 13 / 37
  • 14. IPTables et PF Le filtrage IP Un filtre `a paquets est un programme qui examine l’en-tˆete des paquets qui passent, et d´ecide du sort du paquet entier. Sous Linux, le filtrage de paquets s’effectue au niveau du noyau. Successeur d’Ipchains (noyau linux 2.2) et Ipfwadm (noyau linux 2.0) Netfilter : architecture de filtrage IP du noyau IPTables : application de contrˆole de cette architecture En cours d’´evolution vers nftable Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 14 / 37
  • 15. IPTables et PF IPtables Code Listing 1– sch´ema iptables A p p l i c a t i o n s . . . . . . . . . . . . . . . ˆ . | | | OUTPUT INPUT | |−−−−+ +−−−>| | . ˆ . | | d e c i s i o n de routage −−−−−−−−>| |FORWARD−−+ . ˆ . | | V PREROUTING | |−+ . ˆ . | |POSTROUTING | | | V I n t e r f a c e d ’ e n t r e e I n t e r f a c e de s o r t i e Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 15 / 37
  • 16. IPTables et PF IPtables La commande iptables sert `a administrer ces fonctionnalit´es de filtrage. Cette commande accepte de nombreuses options. Pour ajouter des r`egles de filtrage qui s’applique aux paquets rout´es, la premi`ere forme de la commande utilis´ee est : Code Listing 2– iptables avec une r`egle simple iptables −A FORWARD rule Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 16 / 37
  • 17. IPTables et PF IPtables La r`egle suivante autorise les paquets en provenance de l’adresse ip IpSrc, port PortSrc et `a destination de l’adresse IP IpDst, port PortDst, de protocole Proto (qui peut ˆetre tcp ou udp). Code Listing 3– iptables avec autorisation iptables −A FORWARD −p Proto −s IpSrc/Nbm −−sport PortSrc −d IpDst/Nbm −− dport PortDst −j ACCEPT Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 17 / 37
  • 18. IPTables et PF IPtables La r`egle suivante bloque les paquets en provenance de IpSrc et `a destination de IpDst, de protocole Proto (qui peut ˆetre tcp, udp ou icmp ; en l’absence de protocole la r`egle bloquera tous les paquets IP correspondants). Code Listing 4– iptables avec refus iptables −A FORWARD −p Proto −s IpSrc/Nbm −d IpDst/Nbm −j DROP Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 18 / 37
  • 19. IPTables et PF IPtables Lorsqu’une r`egle est ajout´ee avec la commande iptables, elle est imm´ediatement active. Les ports et le protocole sont optionnels. Ainsi on peut simplement construire un filtre sur des adresses IP (comme les access-list simples sur cisco). iptables supporte l’inspection de paquet via des modules optionnels (par exemple ip conntrack ftp pour le FTP) Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 19 / 37
  • 20. IPTables et PF IPtables Code Listing 5– iptables avec blocage du icmp # ping −c 1 127.0.0.1 PING 127.0.0.1 (127.0.0.1) : 56 data bytes 64 bytes from 127.0.0.1: icmp seq=0 ttl=64 time=0.2 ms −−− 127.0.0.1 ping statistics −−− 1 packets transmitted , 1 packets received , 0% packet loss round−trip min/avg/max = 0.2/0.2/0.2 ms # iptables −A INPUT −s 127.0.0.1 −p icmp −j DROP # ping −c 1 127.0.0.1 PING 127.0.0.1 (127.0.0.1) : 56 data bytes −−− 127.0.0.1 ping statistics −−− 1 packets transmitted , 0 packets received , 100% packet loss Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 20 / 37
  • 21. IPTables et PF nftable Am´elioration des performances Gestion des ensembles Bas´e sur une pseudo-machine `a ´etat Migration progressive possible Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 21 / 37
  • 22. IPTables et PF OpenBSD Bas´e sur 4.4BSD, orient´e s´ecurit´e Seulement 2 vuln´erabilit´es `a distance dans l’installation par d´efaut en quasiment 20 ans Protection de pages m´emoires (WˆX, ProPolice, StackGhost, ...) Protection de certains appels syst`emes (strlcpy, ...) S´eparation/r´evocation de privil`eges, ... R´eimpl´ementation de logiciels (smptd, ntpd, ssh, pf, ...) Utilis´e chez nous depuis la version 3.0, d´ecembre 2001 Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 22 / 37
  • 23. IPTables et PF PF sur OpenBSD FreeBSD, NetBSD, DragonFly BSD, Mac OS X, Apple iOS, QNX Gestion de configuration atomique ALTQ, gestion des priorit´es (http>smpt,ipvoice,...) Pas d’inspection de service (`a faire en userland) Syntaxe lisible, souple et claire Redondance (HA) via pfsync/CARP pf + dhcpd pour bloquer les adresses fix´ees a la main Exemple de fichier pf.conf block all pass in on em0 proto tcp from 192.168.0.0/24 to !192. port 80 Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 23 / 37
  • 24. IPTables et PF PF sur OpenBSD Ecriture int´eressante : table <my_network> 192.168.160.0/21, 192.168.199.10 set block-policy drop pass in quick on proxy inet proto tcp from <proxy_network> to <fs> port 80 pass in quick on supervision proto udp from <monitor> to <mo- nitoring_network> port 161 Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 24 / 37
  • 25. 802.1X et NAC Plan 1 Le monde de l’OpenSource `a notre niveau 2 IPTables et PF 3 802.1X et NAC 4 Pourquoi maintenant Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 25 / 37
  • 26. 802.1X et NAC Multi-OS et Multi-domaine Nouvelles contraintes : Multi-OS (Windows XP/7/8, Linux Ubuntu 12.04/14.04, OSX 10.6+) T´el´ephonie IP avec cˆablage mutualis´e Multi-domaine d’authentification Zone filaire invit´ee Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 26 / 37
  • 27. 802.1X et NAC FreeRadius pour le 802.1X 802.1X AAA (Authentification : qui me parle ? Authorization : Quelles autorisations je lui accorde ? Accounting : Que fait-il ?) Supplicant : le client Authenticator : le switch dans notre cas Authentication Server : FreeRadius dans notre cas FreeRadius Support EAP (MD5, SIM TLS TTLS, PEAP, MSCHAPv2, ...) 50 dictionnaires vendor-specific Sait fonctionner avec un backend LDAP,mySQL,SAMBA,PAM,... Distribution PacketFence dans les cas simples Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 27 / 37
  • 28. 802.1X et NAC VLAN Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 28 / 37
  • 29. 802.1X et NAC VLAN Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 29 / 37
  • 30. 802.1X et NAC Politique de s´ecurit´e V´erification de l’utilisateur Affectation dynamique du VLAN D´etection de l’OS En fonction de l’OS, mise en conformit´e Mise en conformit´e via l’antivirus Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 30 / 37
  • 31. Pourquoi maintenant Plan 1 Le monde de l’OpenSource `a notre niveau 2 IPTables et PF 3 802.1X et NAC 4 Pourquoi maintenant Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 31 / 37
  • 32. Pourquoi maintenant Le cloud hybrid et la mobilit´e Nouveaux acteurs/concepts : Arista/Cumulus Networks (commutateurs 10G/bits linux natif), virtualisation du stockage (NetApp, HDS, ...), Scale-Out NAS Densit´e d’´equipements, d’OS, de logiciels, de donn´ees en explosition Performance et qualit´e toujours plus importante Dynamique des entreprises (rachat, fusion, r´eorganisation) Liaison de plus en plus proche entre logiciels/os/r´eseaux et donc impact tr`es important sur les ´equipes en charge (tendance m´ethodes agiles voir devops) Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 32 / 37
  • 33. Pourquoi maintenant L’automatisation, la seul voie possible Outils de gestion de configuration/orchestration Outils tr`es pr´esents dans le monde du d´eveloppement Orient´es pour l’IT : Puppet, Chef, CfEngine, Saltstack Exemple avec Saltstack Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 33 / 37
  • 34. Pourquoi maintenant SaltStack Un framework d’ex´ecution `a distance (ZMQ/AES256) Un gestionnaire de configuration centralis´e (YAML/jinja2) Un outil de Cloud Provisionning Un gestionnaire de machines virtuelles Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 34 / 37
  • 35. Pourquoi maintenant SaltStack Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 35 / 37
  • 36. Pourquoi maintenant SaltStack Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 36 / 37
  • 37. Pourquoi maintenant La continuit´e d’activit´e, la valeur ajout´ee Les points forts Am´elioration des performances / possibilt´e d’´evoluer Travail en production / flexibilit´e Travail en maquette Les ´evolutions Liaison plus forte avec l’inventaire (glpi/fusioninventory) Liaison plus forte avec la supervision (shinken,snmp) D´eveloppement des parties IDS/SIEM Faire du TDD sur l’infrastructure Les gros changements `a venir (cloud priv´e/hybrid, explosition des mat´eriels et donn´ees, ...) Johan Moreau (IRCAD/IHU) Firewall et NAC OpenSource 3 juin 2014 37 / 37