Évolution de l`architecture de réseau avec garde - ARESU

JRES 2003
Lille, 20 novembre 2003
Évolution de l’architecture de
réseau avec garde-barrière, VPN,
accès distants
Marie-Claude QUIDOZ & Catherine GRENET
CNRS/UREC
Évolution de l’architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
1
Introduction
Situation actuelle
Évolutions
• Attaques
• Besoins
Nouvelle architecture réseau
• Réalisations « pratiques »
• VPN
Des problèmes encore en suspens
Point de vue d’un laboratoire du CNRS
Évolution de l’architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
2
Situation des années 2000
Nous sommes totalement dépendants
• De la disponibilité des équipements informatiques
• Du réseau interne et de la connexion à Internet
« Notre » Internet a changé
• Réseau académique -> Réseau universel
• Malheureusement nos réseaux et nos accès à Renater ont été
conçus en 94-95 pour un Internet académique « familial »
Recommandations d’architecture de réseau avec
filtrages pour améliorer la sécurité
Évolution de l’architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
3
Architecture réseau recommandée : rappel
Entité 1
WEB
MAIL
DNS
Internet
R1
….
Entité N
R2
R2
Base de
données
publique
Administration
Serveurs internes
Zone semi-ouverte
Zone interne
Utile si et seulement si des mécanismes de filtrage sont mis en place
Évolution de l’architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
4
Situation actuelle
Mise en place progressive
• Au niveau du laboratoire, institut, campus, …
• Avec un routeur, un garde-barrière, avec ipchains, …
• Avec un nombre de zones variables (au minimum 2)
• Avec une politique de contrôle d’accès de + en + stricte
De nombreux points positifs
• Limiter le nombre de piratages et leurs conséquences
• Prendre en compte plus facilement de nouveaux besoins
• Améliorer le dialogue au sein du laboratoire
Mais la situation évolue …
Évolution de l’architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
5
Évolutions des attaques
Au niveau contrôle d’accès
• But : profiter des faiblesses du contrôle d’accès mis en place
• Exemple : installation de chevaux de troie sur un port non
filtré ; forger une trame avec SYN=1 et RST=1
• Moyen de protection : limiter les ports ouverts et considérer
les connexions dans leur contexte
Au niveau application
• But : contourner les politiques de contrôle d’accès
• Exemple : exploitation d’une vulnérabilité d’un service (buffer
overflow) ; utilisation « non conforme » d’un service
• Moyen de protection : appliquer les correctifs, intercepter les
connexions et examiner le contenu des paquets
Évolution de l’architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
6
Modes de filtrage
Filtre de paquets
sans état
Proxy
Simple examen d’entête IP, TCP, UDP
- pour : simple et rapide
- contre : laisse de nombreux ports ouverts
Réécriture des paquets - 2 connexions
- pour : bon niveau de sécurité
- contre : 1 « proxy » par application ; lourd
Filtre de paquets à Mémorisation de l’état des connexions
- pour : moins de ports ouverts - FTP, H.323, …
états
- contre : application spécifique
Passerelle
applicative
Analyse approfondie du contenu du paquet
- pour : bonne protection / virus, P2P,…
- contre : technologie très récente - pas de recul
Évolution de l’architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
7
Quelques conseils pour faire un choix
Pas de réponse unique
Dépend principalement des applications utilisées
Cependant un consensus existe
• Certaines faiblesses pour les filtres de paquets statiques
• Corrigées avec les filtres de paquets dynamiques
Actuellement le « must » semble être le filtrage applicatif
• Apporte une protection beaucoup plus fine / applications
• C’est LA réponse aux attaques actuelles
• Est-ce que ce sera la réponse aux attaques de demain ?
Attention aux effets de modes !
Évolution de l’architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
8
Évolutions des besoins
Segmentation
Pour sécurité, performance,
administration
802.1Q
Nomadisme
Déplacement physique des
machines, accès à distance
SSL/TLS, SSH
VPN
802.1X
Interconnexion
Création d’un réseau privé sur
de sites distants une infrastructure publique
Translation
d’adresses
VPN
NAT, PAT
Pour pallier le manque
d’adresses IP
Pour faciliter l’écriture du routage
et du filtrage
Évolution de l’architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
9
Nouvelle architecture réseau
Zone semi-ouverte
(services externes)
I
N
T
E
R
N
E
T
BD
publiques
FTP
anonyme
LDAP
DNS
externe
Entité 1
X
HTTP
GB
C
X
SMTP/TLS
IMAPS
POPS
LDAPS
Serveur de calcul
Entité N
SMTP
R
Réseau administration
SMTP
Salles de TP
Visiteurs (portables, …)
POP
IMAP
FTP Serveur
interne fichiers
Serveur
NIS
Serveur de
domaine NT
Services
communs
SSH
(relais)
STUNNEL
HTTPS
Serveur calcul ou Serveur
HTTP
d’applications sauvegardes interne
Zone semi-ouverte authentifiée
(services accessibles par authentification forte)
Évolution de l’architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
Serveur
de log
DNS
interne
Zone interne
(services internes)
10
Configuration type
Réseau du laboratoire
Zone interne
Réseau de l’opérateur :
- Réseau de campus
- Réseau métropolitain
- Réseau régional
-…
Zone
semi-ouverte
Entité 1
R
GB
C/R
Entité N
Serveurs
internes
Zone
semi-ouverte
authentifiée
Évolution de l’architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
11
Réseau non segmenté connecté par un
commutateur Ethernet
Sans garde-barrière
Avec un garde-barrière
INTERNET
INTERNET
Routeur
Routeur
Laboratoire
Garde-barrière
Commutateur Ethernet
Poste
serveur
Poste
client
Commutateur Ethernet
Poste
serveur
Évolution de l’architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
Poste
client
12
Réseau non segmenté connecté par un routeur
IP à 2 ports
Sans garde-barrière
Laboratoire
Avec un garde-barrière
INTERNET
INTERNET
Routeur
Routeur
Routeur
Routeur
Garde-barrière
Commutateur Ethernet
Poste
serveur
Poste
client
Commutateur Ethernet
Poste
serveur
Évolution de l’architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
Poste
client
13
Réseau segmenté connecté par un routeur IP
multiport (1)
Sans garde-barrière
Avec un garde-barrière (mode pont)
INTERNET
INTERNET
Routeur
IP 1
Routeur
IP 1
Laboratoire
Garde-barrière
IP 2
IP α
IP 2
Routeur
IP α
IP β
Serveurs
Internet
Routeur
IP β
Serveurs
internes
Postes
clients
Serveurs Serveurs
Internet Internes
Évolution de l’architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
Postes
clients
14
Réseau segmenté connecté par un routeur IP
multiport (2)
Sans garde-barrière
Avec un garde-barrière (mode routeur)
INTERNET
INTERNET
Routeur
Routeur
IP 1
IP 1
Laboratoire
IP α
IP 2
IP α
Routeur
IP β
Serveurs
Internet
IP 2
Garde-barrière
IP A
IP B
Routeur
IP β
Serveurs
internes
Postes
clients
Serveurs Serveurs
Internet internes
Évolution de l’architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
Postes
clients
15
Réseau segmenté connecté par un commutateur
Ethernet
Sans garde-barrière
Avec un garde-barrière (mode pont)
INTERNET
INTERNET
Routeur
Routeur
Laboratoire
Transport de VLAN 802.1Q
Commutateur Ethernet
VLAN 1
Poste
serveur
VLAN 2
Garde-barrière
Commutateur Ethernet
VLAN 1
Poste
client
Évolution de l’architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
Poste
serveur
VLAN 2
Poste
client
16
Et les VPN ?
Réseau du laboratoire
Zone interne
Réseau de l’opérateur :
- Réseau de campus
- Réseau métropolitain
- Réseau régional
-…
Zone
semi-ouverte
Entité 1
R
GB
C/R
Entité N
Serveurs
internes
Zone
semi-ouverte
authentifiée
Évolution de l’architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
17
Architecture réseau avec VPN : les questions
Adressage
• Quelles adresses IP pour le site ou la machine distante ?
• Sous-réseau distinct, plage d’adresses dans le réseau du labo
Contrôle d’accès
• Veut-on faire du contrôle d’accès entre le site ou la machine distante
et le réseau interne ?
• Dépend du niveau de confiance accordé aux machines distantes
• Problème différent pour les sites distants et les itinérants
Accès Internet
• Le site ou la machine distante accède-t-il à Internet par l’intermédiaire
du laboratoire ou par son propre accès ?
Évolution de l’architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
18
VPN : accès Internet
Internet
Internet
Serveur
VPN
Réseau du
laboratoire
Serveur
VPN
Réseau du
laboratoire
Évolution de l’architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
19
VPN : une proposition d’architecture
Adressage : sous-réseau IP distinct
Contrôle d’accès :
• Se réserver la possibilité d’en faire
• Ne peut se faire qu’en sortie du tunnel, après déchiffrement
Accès Internet :
• Sites distants :
Choisir plutôt l’accès indépendant (par le réseau public)
• Itinérants :
Choisir plutôt l’accès par le laboratoire (à travers le tunnel)
Évolution de l’architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
20
VPN : choix du type d’équipement
Routeur, garde-barrière ou équipement dédié ?
Routeur ou garde-barrière :
• Simplification du routage
• Le contrôle d’accès en sortie du tunnel est fait par le même
équipement
Équipement dédié :
• Où le placer dans le réseau ?
Évolution de l’architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
21
Nouvelle architecture réseau avec boîtier VPN
Réseau de
l’opérateur
Réseau du laboratoire
Serveurs
accessibles
de l’Internet
R
GB
Vers réseau
interne
VPN
Évolution de l’architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
22
Des problèmes encore en suspens
• Grilles de calcul
• Applications spécifiques
Multicast
Visioconférence
• Application typique / ports
• Matériel dédié / visio sur poste de travail
Borne sans fil
• « Hot spot », extension d’un réseau, …
• Problème de sécurité et d’architecture
Une nouvelle architecture de réseau en 2004 ?
Évolution de l’architecture de réseau / Jres2003 - Marie-Claude QUIDOZ & Catherine GRENET - CNRS/UREC
23