SÉCURISATION D’UNE ARCHITECTURE RÉSEAU DANS UN CENTRE HOSPITALIER SOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAM EMMANUEL DOREAU 18 DÉCEMBRE 2007
SÉCURISATION D’UNE ARCHITECTURE RÉSEAU DANS UN
CENTRE HOSPITALIER
SOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAM
EMMANUEL DOREAU
18 DÉCEMBRE 2007
PLAN
• INTRODUCTIONINTRODUCTION
• PRPRÉÉSENTATION DES OBJECTIFSSENTATION DES OBJECTIFS
• LES PROTOCOLES 802.1X ET EAPLES PROTOCOLES 802.1X ET EAP
• MISE EN APPLICATION : LA MAQUETTEMISE EN APPLICATION : LA MAQUETTE
• LES PROBLLES PROBLÈÈMES RENCONTRMES RENCONTRÉÉSS
• LES SOLUTIONS IDENTIFILES SOLUTIONS IDENTIFIÉÉESES
• GESTION DU PROJETGESTION DU PROJET
• CONCLUSIONCONCLUSION
SOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAMSOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAM EMMANUEL DOREAUEMMANUEL DOREAU 22/18/18
INTRODUCTION
• PRPRÉÉSENTATION DE L’HÔPITAL DE MONTPELLIER :SENTATION DE L’HÔPITAL DE MONTPELLIER :– PLUS DE 11 000 EMPLOYPLUS DE 11 000 EMPLOYÉÉS,S,– 6 HÔPITAUX ET UN CENTRE DE LOGISTIQUE.6 HÔPITAUX ET UN CENTRE DE LOGISTIQUE.
• PRPRÉÉSENTATION DU CONTEXTE :SENTATION DU CONTEXTE :– FINANCIER : RFINANCIER : RÉDUCTION DES BUDGETS,ÉDUCTION DES BUDGETS,– TECHNIQUE : RÉSEAU INFORMATIQUE TRÈS VASTE (CAMPUS).TECHNIQUE : RÉSEAU INFORMATIQUE TRÈS VASTE (CAMPUS).
• PRPRÉÉSENTATION DES PROBLSENTATION DES PROBLÉÉMATIQUES :MATIQUES :– MAÎTRISER L’ACCMAÎTRISER L’ACCÈÈS AU RS AU RÉÉSEAU INFORMATIQUE,SEAU INFORMATIQUE,– PROPOSER UN ACCPROPOSER UN ACCÈÈS AUX INTERVENANTS EXTERNES.S AUX INTERVENANTS EXTERNES.
SOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAMSOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAM EMMANUEL DOREAUEMMANUEL DOREAU 33/18/18
PRÉSENTATION DES OBJECTIFS (1/2)
• SSÉCURISER L’ACCÈS AU RÉSEAU INFORMATIQUE LOCAL DE ÉCURISER L’ACCÈS AU RÉSEAU INFORMATIQUE LOCAL DE L’HÔPITAL POUR :L’HÔPITAL POUR :– CONTRÔLER LES ÉQUIPEMENTS DE L’HÔPITAL,CONTRÔLER LES ÉQUIPEMENTS DE L’HÔPITAL,– DONNER ACCÈS, À UN UTILISATEUR EXTERNE, AU RÉSEAU DONNER ACCÈS, À UN UTILISATEUR EXTERNE, AU RÉSEAU
INFORMATIQUE DE MANIÈRE LIMITÉE.INFORMATIQUE DE MANIÈRE LIMITÉE.
• DÉTECTER LES INTRUSIONS.DÉTECTER LES INTRUSIONS.
• ASSOUPLIR LES TÂCHES QUOTIDIENNES DE PRODUCTION ASSOUPLIR LES TÂCHES QUOTIDIENNES DE PRODUCTION COMME :COMME :– INSTALLATION D’UN ÉQUIPEMENT,INSTALLATION D’UN ÉQUIPEMENT,– DÉMÉNAGEMENT D’UN ÉQUIPEMENT.DÉMÉNAGEMENT D’UN ÉQUIPEMENT.
SOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAMSOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAM EMMANUEL DOREAUEMMANUEL DOREAU 44/18/18
PRÉSENTATION DES OBJECTIFS (2/2)Demande de connexion au
réseau
Authentification
Vérification type machine
Blocage
NOK
OK
Profil machine ?
Machine CHRUMachine externe
Profil CHRU
Profil Externe
Accès limitéAccès au Système
d’InformationDétection intrusion
SOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAMSOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAM EMMANUEL DOREAUEMMANUEL DOREAU 55/18/18
LE PROTOCOLE 802.1X (1/2)
• PROTOCOLE DE SÉCURISATION D’ACCPROTOCOLE DE SÉCURISATION D’ACCÈÈS AU RÉSEAU S AU RÉSEAU SUIVANT CETTE ARCHITECTURE :SUIVANT CETTE ARCHITECTURE :
SOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAMSOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAM EMMANUEL DOREAUEMMANUEL DOREAU 66/18/18
Système àauthentifier
Système authentificateur(Relais) Système serveur
d’authentification
LAN (support physique)
802.1XPAE
Système serveurd’annuaire
LE PROTOCOLE 802.1X (2/2)
SOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAMSOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAM EMMANUEL DOREAUEMMANUEL DOREAU 77/18/18
LAN (support physique)
Port contrôlé
Port non contrôlé
PAE authentificateur
Donne l’accès à la ressource contrôlée en cas de succès de
l’authentification
Sert à échanger les informations
d’autorisation (toujours accessible)
Point d’accès physique (ex :
RJ 45) ou logique (802.11)
• PAE : POINT D’ACCPAE : POINT D’ACCÈÈS AU RÉSEAU, SCINDE LE PORT S AU RÉSEAU, SCINDE LE PORT PHYSIQUE EN DEUX PORTS LOGIQUES :PHYSIQUE EN DEUX PORTS LOGIQUES :
LE PROTOCOLE EAP(EXTENSIBLE AUTHENTICATION PROTOCOL)
• PROTOCOLE D’AUTHENTIFICATION POUVANT S’APPUYER SUR PROTOCOLE D’AUTHENTIFICATION POUVANT S’APPUYER SUR UNE IDENTIFICATION VIA :UNE IDENTIFICATION VIA :– UN NOM D’UTILISATEUR / MOT DE PASSE,UN NOM D’UTILISATEUR / MOT DE PASSE,– UN CERTIFICAT NUMUN CERTIFICAT NUMÉRÉRIQUE,IQUE,– LA BIOMLA BIOMÉTÉTRIE,RIE,– UNE CARTE A PUCE, …UNE CARTE A PUCE, …
• DIFFDIFFÉÉRENTES MRENTES MÉTHODES D’AUTHENTIFICATION :ÉTHODES D’AUTHENTIFICATION :– EAP-MD5, EAP-MSCHAPV2,EAP-MD5, EAP-MSCHAPV2,– EAP-TLS, EAP-TTLS, EAP-PEAP,EAP-TLS, EAP-TTLS, EAP-PEAP,– EAP-LEAP, EAP-FAST, …EAP-LEAP, EAP-FAST, …
SOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAMSOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAM EMMANUEL DOREAUEMMANUEL DOREAU 88/18/18
MISE EN APPLICATION : LA MAQUETTE
• BUT : RÉALISER LES OBJECTIFS IDENTIFIÉS.BUT : RÉALISER LES OBJECTIFS IDENTIFIÉS.
• COMMENT : EN TESTANT LES PROTOCOLES 802.1X ET EAP EN COMMENT : EN TESTANT LES PROTOCOLES 802.1X ET EAP EN MAQUETTE.MAQUETTE.
SOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAMSOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAM EMMANUEL DOREAUEMMANUEL DOREAU 99/18/18
Systèmeauthentificateur
filaire
Système àauthentifier
Système àauthentifier
Systèmeauthentificateur
sans-fil
Système Serveurd’authentification
Système Serveurd’annuaire
Système àauthentifier
PIX
INSIDE OUTSIDE
Système àauthentifier
LES PROBLÈMES RENCONTRÉS
• PROBLPROBLÈÈMES RENCONTRMES RENCONTRÉÉS :S :– GGÉRER ÉRER DES DES ÉÉQUIPEMENTS NON 802.1X,QUIPEMENTS NON 802.1X,– CHOISIR UNE OU DESCHOISIR UNE OU DES MÉTHODES D’AUTHENTIFICATION EAP, MÉTHODES D’AUTHENTIFICATION EAP,– CLOISONNER LES RÉSEAUX,CLOISONNER LES RÉSEAUX,– SÉCURISER LES RÉSEAUX,SÉCURISER LES RÉSEAUX,– AFFECTER UN PARAMÉTRAGE IP EN FONCTION DU RÉSEAU.AFFECTER UN PARAMÉTRAGE IP EN FONCTION DU RÉSEAU.
SOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAMSOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAM EMMANUEL DOREAUEMMANUEL DOREAU 1010/18/18
• SOLUTIONS :SOLUTIONS :– FILTRAGE PAR ADRESSE MAC,FILTRAGE PAR ADRESSE MAC,– CHOIX EN FONCTION DU PROTOCOLE ET DE L’CHOIX EN FONCTION DU PROTOCOLE ET DE L’ÉQUIPEMENT,ÉQUIPEMENT,– UTILISATION DES VLAN,UTILISATION DES VLAN,– UTILISATION D’UN PIX,UTILISATION D’UN PIX,– UTILISATION D’UN SERVEUR DHCP.UTILISATION D’UN SERVEUR DHCP.
LE FILTRAGE PAR ADRESSE MAC(MEDIA ACCES CONTROL)
• RAPPEL DU PROBLRAPPEL DU PROBLÈÈME RENCONTRME RENCONTRÉÉ : :– GESTION DES GESTION DES ÉÉQUIPEMENTS NON 802.1X.QUIPEMENTS NON 802.1X.
• SOLUTION :SOLUTION :– FILTRAGE PAR ADRESSE MAC.FILTRAGE PAR ADRESSE MAC.
• COMMENT :COMMENT :– EN LISTANT, DANS LE SERVEUR D’AUTHENTIFICATION, LES EN LISTANT, DANS LE SERVEUR D’AUTHENTIFICATION, LES
ADRESSES MAC QUI PEUVENT SE CONNECTADRESSES MAC QUI PEUVENT SE CONNECTÉÉES AU RES AU RÉÉSEAU.SEAU.
SOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAMSOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAM EMMANUEL DOREAUEMMANUEL DOREAU 1111/18/18
MÉTHODES EAP RETENUES
• RAPPEL DU PROBLRAPPEL DU PROBLÈÈMES RENCONTRMES RENCONTRÉÉS :S :– CHOISIR UNE OU DESCHOISIR UNE OU DES MÉTHODES D’AUTHENTIFICATION EAP. MÉTHODES D’AUTHENTIFICATION EAP.
• SOLUTION :SOLUTION :– CHOIX EN FONCTION DE LA QUALITCHOIX EN FONCTION DE LA QUALITÉÉ INTRINS INTRINSÈÈQUE DE LA QUE DE LA
MÉTHODE,MÉTHODE,– CHOIX EN FONCTION DE L’ÉQUIPEMENT.CHOIX EN FONCTION DE L’ÉQUIPEMENT.
• CHOIX DES MCHOIX DES MÉÉTHODES :THODES :
SOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAMSOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAM EMMANUEL DOREAUEMMANUEL DOREAU 1212/18/18
TYPETYPE CONNEXIONCONNEXION MÉTHODEMÉTHODE
CHUCHU FILAIREFILAIRE EAP-FAST MACHINEEAP-FAST MACHINE
CHUCHU WIFIWIFI PEAP MACHINE ET LEAP UTILISATEURPEAP MACHINE ET LEAP UTILISATEUR
EXTERNEEXTERNE FILAIRE / WIFIFILAIRE / WIFI PEAP UTILISATEURPEAP UTILISATEUR
VLAN (1/2)(VIRTUAL LOCAL AREA NETWORK)
• RAPPEL DU PROBLRAPPEL DU PROBLÈÈMES RENCONTRMES RENCONTRÉÉS :S :– CLOISONNER LES RÉSEAUX.CLOISONNER LES RÉSEAUX.
• SOLUTION :SOLUTION :– UTILISER LA TECHNOLOGIE DES VLAN.UTILISER LA TECHNOLOGIE DES VLAN.
• COMMENT :COMMENT :– EN AFFECTANT UN VLAN EN FONCTION DE LA MEN AFFECTANT UN VLAN EN FONCTION DE LA MÉÉTHODE ET DU THODE ET DU
RRÉÉSULTAT DE L’AUTHENTIFICATION.SULTAT DE L’AUTHENTIFICATION.
SOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAMSOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAM EMMANUEL DOREAUEMMANUEL DOREAU 1313/18/18
PIX (1/2)(PRIVATE INTERNET EXCHANGE)
• RAPPEL DU PROBLRAPPEL DU PROBLÈÈMES RENCONTRMES RENCONTRÉÉS :S :– SÉCURISER LES RÉSEAUX.SÉCURISER LES RÉSEAUX.
• SOLUTION :SOLUTION :– UTILISER UN PAR-FEU : PIX.UTILISER UN PAR-FEU : PIX.
• COMMENT :COMMENT :– EN PARAMÉTRANT DES RÈGLES DE FILTRAGE SUR CHAQUE EN PARAMÉTRANT DES RÈGLES DE FILTRAGE SUR CHAQUE
VLAN.VLAN.
SOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAMSOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAM EMMANUEL DOREAUEMMANUEL DOREAU 1414/18/18
PIX (2/2)(PRIVATE INTERNET EXCHANGE)
SOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAMSOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAM EMMANUEL DOREAUEMMANUEL DOREAU 1515/18/18
VLAN : PROD_WIFI
PIX
VLAN : PEAP_Failed
VLAN : Integrity_Failed
VLAN : EAP_FAST_Failed
VLAN : GUESTVLAN :
PROD_MAC
VLAN : MAC_Failed
VLAN : PROD
VLAN 110
VLAN 600
VLAN 630
VLAN 620
VLAN 610
VLAN 130
VLAN 120
VLAN 100
INSIDEOUTSIDE
DHCP(DYNAMIC HOST CONFIGURATION PROTOCOL)
• RAPPEL DU PROBLRAPPEL DU PROBLÈÈMES RENCONTRMES RENCONTRÉÉS :S :– AFFECTER UN PARAMÉTRAGE IP EN FONCTION DU RÉSEAU.AFFECTER UN PARAMÉTRAGE IP EN FONCTION DU RÉSEAU.
• SOLUTION :SOLUTION :– UTILISER LE PROTOCOLE DHCP.UTILISER LE PROTOCOLE DHCP.
• COMMENT :COMMENT :– EN UTILISANT UN SERVEUR DHCP QUI ATTRIBUE UN EN UTILISANT UN SERVEUR DHCP QUI ATTRIBUE UN
PARAMPARAMÉÉTRAGE IP À L’ TRAGE IP À L’ ÉÉQUIPEMENT EN FONCTION DU RQUIPEMENT EN FONCTION DU RÉÉSEAU SEAU AUQUEL IL APPARTIENT (VLAN).AUQUEL IL APPARTIENT (VLAN).
SOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAMSOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAM EMMANUEL DOREAUEMMANUEL DOREAU 1616/18/18
GESTION DU PROJET
• UNE ÉQUIPE DE 8 PERSONNES DONT J’ÉTAIS LE CHEF DE UNE ÉQUIPE DE 8 PERSONNES DONT J’ÉTAIS LE CHEF DE PROJET.PROJET.
• MISE EN PLACE D’UN TABLEAU DE BORD.MISE EN PLACE D’UN TABLEAU DE BORD.
• RÉUNIONS ET COMPTES RENDUS.RÉUNIONS ET COMPTES RENDUS.
• MISE EN PLACE DE PROCÉDURES DE MIGRATION, MISE EN PLACE DE PROCÉDURES DE MIGRATION, D’INSTALLATION ET DE DÉMÉNAGEMENT.D’INSTALLATION ET DE DÉMÉNAGEMENT.
• PLANNING DE MIGRATION.PLANNING DE MIGRATION.
SOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAMSOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAM EMMANUEL DOREAUEMMANUEL DOREAU 1717/18/18
CONCLUSION
• BILAN :BILAN :– L’OBJECTIF QUI L’OBJECTIF QUI ÉTAIT ÉTAIT D’APPLIQUER UNE SD’APPLIQUER UNE SÉÉCURISATION FORTE CURISATION FORTE
A A ÉTÉ ATTEINT :ÉTÉ ATTEINT :• MAÎTRISE DES CONNEXIONS RMAÎTRISE DES CONNEXIONS RÉSEAUX,ÉSEAUX,• CONNEXION D’EXTERNE CONNEXION D’EXTERNE ÀÀ L’HÔPITAL, L’HÔPITAL,• DÉTECTION DES INTRUSIONS,DÉTECTION DES INTRUSIONS,• SIMPLIFICATION DES TÂCHES DE PRODUCTION,SIMPLIFICATION DES TÂCHES DE PRODUCTION,
– DDÉPLOIEMENT DE LA SOLUTION PRÉVUE EN 2008.ÉPLOIEMENT DE LA SOLUTION PRÉVUE EN 2008.
• LES PROCHAINES LES PROCHAINES ÉÉVOLUTIONS :VOLUTIONS :– RENFORCEMENT DU CONTRÔLE D’INTRENFORCEMENT DU CONTRÔLE D’INTÉGRITÉ EN EAP-FAST,ÉGRITÉ EN EAP-FAST,– UNIFORMISATION DES MÉTHODES D’AUTHENTIFICATION,UNIFORMISATION DES MÉTHODES D’AUTHENTIFICATION,– UTILISATION D’UN SUPPORT POUR L’AUTHENTIFICATION UTILISATION D’UN SUPPORT POUR L’AUTHENTIFICATION
COMME UN CERTIFICAT NUMÉRIQUE, CARTE COMME UN CERTIFICAT NUMÉRIQUE, CARTE À PUCE, …À PUCE, …
SOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAMSOUTENANCE DU MÉMOIRE D’INGÉNIEUR CNAM EMMANUEL DOREAUEMMANUEL DOREAU 1818/18/18
MERCI DE VOTRE ATTENTIONMERCI DE VOTRE ATTENTION