Technologies LAN Paul TAVERNIER Issus des slides originaux co-réalisés par Paul Tavernier/Cédric Foll version 2016.1
Technologies LAN
Paul TAVERNIER
Issus des slides originaux co-réaliséspar Paul Tavernier/Cédric Foll
version 2016.1
Plan
2
Infrastructures réseau
Commutation et VLAN
Infrastructures de sécurité
Firewall
Translation d’adresses
Serveurs mandataires
Proxy
Reverse proxy
Détection d’intrusion
HIDS
NIDS
IPS
Réflexions autour d'architectures de sécurité
LES VLAN
Rappel sur les switchs
4
Équipement de niveau 2
Maintient pour chacune de ses interfaces, la liste des équipements connectés
ie les adresses MAC (L2)
L’adresse MAC source sert à peupler une table de commutation interne(dite table CAM ou table FDB)
La connaissance de la liste de ces adresses MAC se fait parapprentissage au fur et à mesure des besoins de commutation
Quand le switch reçoit une trame, il inspecte l'adresse MAC dedestination
S’il la possède dans la FDB, il la commute sur le port de destination
Sinon, il diffuse la trame sur l’ensemble de ses ports (broadcast L2)
Un commutateur ne manipule jamais d’informations de couche 3 (IP)
Rappel sur les routeurs
5
Un routeur permet d’interconnecter (au moins) deux réseauxdifférents (ie subnets)
A la réception d’un datagramme (L3) sur une de ses interfaces, ilconsulte sa table de routage et sur la foi de l’adresse de destination,prend une décision de routage et transmet le datagramme
La table de routage d’un routeur est peuplée soit statiquement(saisie manuelle) soit dynamiquement (par des protocols dédiés telsRIP, OSPF, BGP, etc.)
On dit qu'un routeur «adosse» des domaines de diffusion différents(broadcast domains)
Chacune de ses interfaces appartient à chacun de ces domaines dediffusion
Un réseau hier
6
Problématique posée HIER
7
Je veux placer physiquement dans la salle machine/baie duréseau 192.168.2.0/24 un serveur du réseau 192.168.1.0/24
Il faut tirer un câble jusqu'au réseau 192.168.2.0/24.
Ou déplacer physiquement le serveur
Si l'on désire segmenter (ip) un réseau, il faut installer unnouveau routeur s'il n'y a plus de port physique libre sur celuiexistant…
La réponse: les VLAN
8
Concept
L’implémentation des VLAN (Virtual LAN) a permis de fairecoexister, de manière étanche (au sens logiciel), plusieursdomaines de diffusion de type L2 (broadcast) sur un mêmeéquipement physique (switch)
Buts
Simplifier le brassage! «Comment changer un host de réseausans avoir à le déplacer physiquement (brassage)» ?
Subnetter facilement
Limiter le nombre de routeurs
Limiter le nombre de ports sur les routeurs et firewalls
Rentabiliser l'investissement des commutateurs
Ex: VLAN sur un switch physique
9
2 ports appartiennent au VLAN1, un troisième au VLAN2
10.0.0.1 et 10.0.0.2 peuvent communiquer sur un même VLAN(ie sont dans le même domaine de diffusion L2 )
Les hosts sur le VLAN 1 (bleu) ne peuvent communiquer avecceux appartenant au VLAN 2 (rouge)
Le réseau d'hier....aujourd'hui!
10
Notion de trames 802.1Q («port tagging»)
Un lien 802.1q dit trunk port ou tagged link permet de faire transiter plusieurs VLAN sur un lien physique unique
Afin de savoir à quel VLAN appartient une trame d'un lien 802.1q, un «tag» (dit vlan_id) est ajouté dans la trame
11
« 0x8100 » dans le
cas de 802.1Q
8 niveaux de
priorité entre VLAN
4094 vlan possibles
(de 1 à 4094)
Comparaison trame Ethernet & Trame 802.1q
Ethernet
Ethernet 802.1Q
12
Le même réseau avec un trunk
13
Pour simplifier, ici, un seul switch estreprésenté mais des “liens 802.1q”relient généralement entre eux lescommutateurs propageant de procheen proche l’appurtenance d’une trameà un vlan donné
Les switchs dits de niveau 3
14
Une sémantique douteuse...;o)
Ils permettent de faire du routage Inter-VLAN
Ils ont donc des adresses IP comme des routeurs(au moins 1 par VLAN)
La différence entre routeur et switch L3 devient ténue au fil dutemps
Les switches L3 sont généralement “mono-protocole” (Ethernet!)
Les switches L3 sont potentiellemnt plus performants que les routeurs
CEF chez Cisco: le premier paquet d’une conversation remonte par lemoteur de routage (L3), les suivants sont commutés (L2)
Les implémentations des protocoles de routages dynamiques sont pluslimitées (rarement BGP, IS-IS, etc.)
Quelle configuration ?
15
Les switchs L2
A configurer sur chaque port (approche Cisco)
A quel VLAN appartient le port?
Si c'est un TRUNK, quels sont les VLANS à propager?
Quel est mon VLAN natif (trames Ethernet non taggées)?
Les switchs L3
Identique au niveau L2
Ajouter une IP par VLAN (comme sur un routeur, on ajoute une IP parinterface logique)
Il est possible d'automatiser la propagation des VLAN vers les switchsd'extrémité
GVRP
VTP (propriétaire CISCO)
Quelle configuration? (2)
# Native VLAN X
Sur un lien agrégé (802.1Q), il spécifie que les trames non taggées appartiennent au VLAN X.
Par défaut, c'est généralement le vlan_id 1
Private/Isolated VLAN
Mécanismes permettant à deux ports d'un même VLAN de ne pas pouvoir communiquer
Typiquement, empêche les machines d'un même LAN de se voir (ieles oblige à passer par leur defaultgateway)
Peut-être réalisé aussi au travers de moteurs d’ACL spécifiques
VLAN MAPS chez Cisco
16
Exemple de configuration (Cisco)
Sur ce port, sont propagées des trames non taggées,membres du VLAN 600
interface GigabitEthernet0/1
switchport access vlan 600
switchport mode access
Sur ce port, les trames sont taggées et les VLANS 600 à 610 peuvent transiter
interface GigabitEthernet0/2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 600-610
switchport mode trunk
17
Un réseau typique
18
Les switchs d'extrémité possèdent un port dit de cascade en mode«tagged» et tous les autres sont configurés avec un VLAN donné (surlesquels sont branchés les serveurs, les postes clients)
Ils sont reliés directement (ou en cascade) aux switchs de niveau 3« de coeur » effectuant SEULs le routage inter-VLAN
La redondance est assurée en doublant les liens et en créant desboucles physiques entre les switchs
Spanning Tree Protocol (STP) est chargé d'empêcher les boucleslogiques “L2” en désactivant dynamiquement certains chemins
Des technologies propriétaires (plus performantes) sont déployées dansles switches modernes (Flexlink chez Cisco, EAPS chez Extreme)
802.1aq (SPB pour shortest path bridging) est la réponse normalisée àces technologies propriétaires et devrait supplanter STP et ses dérivéspour des convergences plus rapides
Routage inter-VLAN
19
Aujourd'hui un routeur/firewall n'a plus besoin que d'uneinterface physique s'il implémente le standard IEEE « 802.1q »
La trame entre avec un tag indiquant qu'elle appartient auVLANid X et ressort en indiquant qu'elle appartient auVLANid Y.
Linux et Windows implémentent ces mécanismes normalisésde routage dits “inter-VLAN”, ainsi que la plupart des routeurset firewalls modernes
Routage inter-VLAN sous Linux
Activer le coeur de routage(natif dans nombre de distributions modernes :o( )
# echo 1 > /proc/sys/net/ipv4/ip_forward
Chargement du module noyau de VLAN
# modprobe 8021q
Création des VLAN 100 et VLAN 200
# vconfig add eth0 100
# vconfig add eth0 200
20
Routage inter-VLAN sous Linux
Attribution d'adresses IP
# ifconfig eth0.100 192.168.1.1 netmask 255.255.255.0 up
# ifconfig eth0.200 192.168.2.1 netmask 255.255.255.0 up
Conclusion
Sur eth0 la machine est capable de recevoir un agrégat (trunk) véhiculant les VLAN100 et VLAN200
Elle est capable de router 192.168.1.0/24 et 192.168.2.0/24, les paquets rentrent et sortent sur la même interface mais avec un tag 802.1q différent
Les trames non taggées arrivent sur eth0, à laquelle on attribueen général une adresse IP (dédiée au management)
21
Routage inter-VLAN
22
En résumé...802.1q
L’utilisation des technologies 802.1q crée un niveaud’abstraction entre la topologie physique du réseau et satopologie logique permettant de réduire les coûts et desimplifier les évolutions
Les VLANs permettent de faire coexister de manière étancheplusieurs domaines de diffusion L2 sur un même switch
IEEE 802.1q (aka trunk, port-tagging, ..) permet de fairetransiter de manière étanche plusieurs VLANs sur un mêmelien physique de niveau 1 via l’ajout d’informations dans latrame Ethernet 802.3...devenant alors une trame 802.1Q
Les switches L3 sont des switches implémentant des fonctionsde routage simple entre des interfaces logiques (VLAN)
INFRASTRUCTURES DE SECURITE
Infrastructure de sécurité
« If you think technology can solve your security problems, then you don't understand the problems and you don't understand the
technology....»
Bruce Schneier
25
Les Firewalls
26
Pourquoi?
Élément d’infrastructure permettant de filtrer des flux réseaux,en bloquant certains, en autorisant d'autres
2 grandes familles de firewalls
Personal Firewall
Protège la machine sur laquelle il est installé
Traite la problématique des applications locales
Network Firewall (ce dont nous allons discuter)
Effectue le routage inter-zones tout en appliquant des règles defiltrage
En général, il se place en coupure entre le réseau de l'entreprise etInternet
Qu'est ce que filtre un firewall ?
27
Un firewall est historiquement vu comme un équipement decouche 4
Il s’appuit sur une liste de règles et une politique par défaut pourautoriser ou non le routage en fonction
D’informations de couche 3
IP source et IP destination
D’informations de couche 4
port source (udp/tcp), port destination, message icmp, ...
Une grande règle à observer « On INTERDIT TOUT sauf... »
La politique par défaut interdit le routage du paquet(sa délivrance)
Des règles spécifiques explicites l’autorise
Notions de stateful/stateless
28
Un firewall stateless ne sait pas si un paquet appartient à une connexiondéjà établie
Pour un flux TCP, la «solution» consiste à analyser les drapeaux TCP SYN, SYN-ACK et ACK
Pour chaque flux autorisé, il faut explicitement autoriser les paquets entrantsET sortants
Incomplet en terme de sécurité, en particulier, ne sait pas gérer les flux UDP,ICMP
complexe à maintenir
technologie pratiquement disparue aujourd’hui!
Un firewall stateful connaît l'état de chaque connexion
Qui a initié la connexion (SYN flag)
Plus sécurisé et plus simple à gérer
Mais demande plus de ressource CPU et de mémoire
Génère dynamiquement des règles pour autoriser les retours de connexion(SERVEUR -> CLIENT)
2 grandes familles de network firewalls
29
Firewall stateless
les routeurs d'entrée de gamme voire certains firewalls «tout-en-un»destinés aux particuliers (premières générations de box ADSL)
Ex: ipchains (firewall embarqué dans les OS linux 2.2.X)
Tendent à disparaitre
Firewall stateful
Netfilter (firewall opensource des noyaux linux 2.4 et suivant)
IPFilter (FreeBSD, NetBSD, Solaris)
Packetfilter (openBSD, MacOS X)
NetSh (Microsoft)
Tous les firewalls propriétaires modernes
PaloAlto Networks, Checkpoint Software, ForcePoint (ex StoneSoft),Stormshield (ex NetASQ/Arkoon), Netscreen (Juniper), Fortigate(Fortinet), SonicWall (Dell)
Firewall stateless (ipchains)
30
On autorise tous les flux de 192.168.1.0/24 vers 192.168.2.0/24 en 80 TCP
ipchains -A forward -p TCP -s 192.168.1.0/24 1024: -d 192.168.2.0/24 80 -j ACCEPT
On autorise tous les flux de 192.168.2.0/24 vers 192.168.1.0/24 sauf les SYN (-y)
ipchains -A forward -p TCP-s 192.168.2.0/24 80 -d 192.168.1.0/24 :1024 -j !-y ACCEPT
Tous les paquets venant de 192.168.2.0 avec comme port source 80 et sans SYN sont autorisés
Pour chaque règle autorisant un flux il faut écrire une règle autorisant la réponse
Firewall stateful (netfilter/iptables)
31
On autorise tous les paquets appartenant à une connexion déjà établie
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j
ACCEPT
On autorise tous les flux de 192.168.1.0/24 vers 192.168.2.0/24 en80/tcp
iptables -A FORWARD -p tcp -m tcp -m state --state NEW
-s 192.168.1.0/24 -d 192.168.2.0/24 --dport 80 -j ACCEPT
Seuls les paquets appartenant à une connexion établie sont autorisés
NAT: NETWORK ADDRESSTRANSLATION
Network address translation
33
Problèmes
Il n'y a plus assez d'adresses IPv4 (hors RFC1918) disponibles pour lenombre de machines connectées à internet sur la planète
Les adresses IPv4 coûtent cher
Solution: La translation d’adresse (NAT)
Les réseaux internes (particuliers, entreprises) sont en adressage privé(RFC1918), un routeur/firewall translate les adresses entre le réseauprivé et le réseau public (et inversement). On parle de SNAT or DNAT
Les subnets IPV4 dits “RFC 1918”
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
NAT
34
NAT
35
Inconvénients
Ne constitue pas, à proprement parler, un mécanisme desécurité, par opposition à un service de « proxying »
pas de rupture de connexion!
la sécurité par l’obscurité est un leurre (principe de Kerckhoffs,maxime de Shannon)
Certains protocoles fonctionnent pas ou mal avec lesmécanismes de translation d'adresse (H323, SIP, ...)
Avantages
Economie du nombre d'adresses IP publiques
Gestion fine de la présentation du plan d’adressage du réseauprivé vers/depuis le réseau public (masquage)
FW et NAT, en résumé
Un pare-feu (firewall) permet d’analyser les datagrammes decouche 3 et 4 pour filtrer les échanges
Les firewalls modernes (dits NG) permettent une inspection depaquets jusqu’en couche 7 (L7 filter)
Un firewall dit stateful possède une table d’état des connexions
La translation d’adresse (NAT) permet de translater desadresses IP sources ou destinations.
Généralement, cette opération est effectuer par le FW entre leréseau privé et le réseau public pour palier la pénuried’adresses publiques IPv4
Netfilter
Apparu dans le noyau 2.4
Firewall stateful
Fonctions de translation d'adresses très évoluées
Très répandu, fiable, il concurrence des firewalls commerciauxdans le traitement des couches 3 et couches 4
En cours de réécriture pour sa partie interfaçage
les interfaces {ip,eb,arp, ip6}tables sont remplacées par la nouvelle interface nftables
37
Netfilter en pratique
38
iptables: commande permettant d'interagir avec netfilter
iptable-save: affiche la configuration du firewall
iptables ajoute/modifie/supprime des règles netfilter (noyau)
en cours de réécriture (nftables)
Dans la pratique on utilise souvent une GUI pour gérer laconfiguration des règles
ex. fwbuilder: http://www.fwbuilder.org
Netfilter: interface iptables
iptables –t TABLES CHAINES REGLES –j ACTIONS
TABLES
filter (defaut, table de filtrage)
nat (translation d'adresse)
CHAINES
INPUT (trafic à destination du fw)
OUTPUT (trafic émis par le firewall)
FORWARD (trafic routé)
POSTROUTING, PREROUTING (pour les translations d'adresse (-t NAT))
REGLES
Comment est caractérisé le paquet (ip src/dst, port src/dst, proto, interface in/out) ? Appartient-il à la connexion initialisée ou pas ?
ACTIONS
ACCEPT|DROP|REJECT
Manipulation de paquet (pour le nat): SNAT, DNAT, ...
39
Netfilter: interface iptables
40
Netfilter: interface iptables
Police par défaut, option -P
iptables -P FORWARD DROP
Effacer toutes les règles d'une chaîne, option -F
iptables -F FORWARD
Effacer une règle donnée -D
iptables -D num règle
iptables -D toute la règle
Lister les règles
iptables-save
41
netfilter: cookbook
Police par défaut sur le forward DROP
iptables -P FORWARD DROP
Accepter toutes les connexions actives
iptables -A FORWARD -m state –state ESTABLISHED,RELATED -j
ACCEPT
Accepter les ssh de pc1 vers pc2
iptables -A FORWARD -m state –state NEW -s pc1 -d pc2 -p tcp
–dport 22 -j ACCEPT
42
netfilter: cookbook
Masquerading (pour partager une IP publique sur eth0, eventuellement récupérée via dhcp)
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
SNAT (comme le précédent mais avec une autre IP):
Altérer l'ip source du trafic routé (et/ou sortant)
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source
192.168.0.1
43
netfilter: cookbook
REDIRECT (redirige un flux en local), utile pour faire du proxy transparent ou mener des attaques man in the middle.
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT -
-to-ports 8080
DNAT (transformation de l'IP destination), utile pour man in the middle ou pour l'accès public à un serveur en adressage privé (port forwarding):
iptables -t nat -A PREROUTING -p tcp -d www.google.com --
dport 80 -j DNAT --to-destination www.faux-google.com
iptables -t nat -A PREROUTING -p tcp -d 194.167.196.100 --
dport 80 -j DNAT --to-destination 192.168.0.10
44
Netfilter, en résumé
Moteur de Firewalling linux post 2.4
Se configure via la commande iptables :
Iptables –t TABLE –A CHAINE REGLE –j ACTION
Permet le filtrage (table filter) sur les paquets :
Entrants (INPUT)
Sortant (OUTPUT)
Traversant (FORWARD)
Permet la translation d’adresse (table nat) :
Avant le routage (PREROUTING) => translation de l’adresse destination
Après le routage (POSTROUTING) => translation de l’adresse source
Match via des règles basées sur les adresses / protocoles / port /interface
LES SERVEURS MANDATAIRES
Les Proxys
47
Pour sortir sur internet, le client passe par un serveur mandataire
Avantages
Possibilité d'analyser plus finement le trafic.
Des journaux de connexions.
Sur les flux HTTP, possibilité de filtrer certains sites, de faire du contrôleanti-virus.
Confinement avec coupure
contrairement à des mécanismes de NAT
Le proxy maintient 2 connexions TCP ouvertes
Inconvénients
Moins performant en terme de débit.
Ne fonctionne que pour quelques protocoles.
Les Proxys
48
Les Proxys
49
Solutions libres
Squid, très largement utilisé
Pour le filtrage
Dansguardian
Filtrage par listes noires
Filtres de contenu (par mots clefs)
Filtrage anti-virus (par ClamAV ou anti-virus propriétaire)
Les Reverses Proxys
Permettre à des machines en adressage privé d'être accessibles de l'extérieur
Faire de la répartition de charge entre plusieurs serveurs webs.
Filtrer les attaques.
Réaliser de l'accélération HTTP
Pré-loading
Mise en cache des pages dynamiques
...
50
Les Reverses Proxys
51
Les Reverse Proxys
52
Solutions libres
Squid
Apache
mod_proxy
mod_security
Varnish
Le plus abouti, orienté accélération
LA DÉTECTION D’INTRUSION
Les IDS
54
Types d'IDS
Les NIDS
Les HIDS
Analyse de logs
Empreinte
Ce qu'ils détectent et ce qu'ils ne détectent pas
Les NIDS
55
Network Intrusion Detection System
Analyse les flux réseau et recherche des signatures d'attaques
Ex: /etc/passwd dans une urls, User-Agent: nikto,...
La plupart des NIDS fonctionnent ainsi, dont snort
Vérification du respect de la conformité des protocoles aux RFC
Ex: le paramètre de GET dans une requête HTTP possède moinsde 1024 bytes
Ne nombreux IDS fonctionnent ainsi
Analyse statistique (ou analyse comportementale)
Mesure de la déviation entre le trafic réseau habituel et le traficà un instant T
Les NIDS
56
Qu'est ce qu'ils vont détecter ?
Toutes les attaques venant des outils de tests automatiques
Nessus, nikto, whisker, nmap, ...
Certaines attaques visibles
En particulier certaines failles webs génériques
XSS
L'exploitation de failles sur des applis web connues (phpbb,webcalendar, phpnuke, ...)
L'exploitation de faille touchant un logiciel connu (apache, IIS, CS-IOS, ...)
Les NIDS
57
Qu'est ce qu'ils ne vont pas détecter ?
Les attaques faites à la main
Les injections SQL, Remote include PHP
Les forces brutes sur des applis webs (sauf celles réalisant uneanalyse statistique)
La plupart des attaques forces brutes (POP3, FTP, telnet, ...)
Les flux chiffrés
HTTPS
SSH
IPSec
Les NIDS
58
Dans le monde libre
Snort, très actif et efficace. Fonctionne par signature d'attaque
BRO, vérification de conformité protocolaire
Les NIDS: Pourquoi cet insuccès ?
59
Les réseaux deviennent trop gros
«difficile» d'analyser des liens 10GE...
Les attaques sont trop fréquentes
On ne va pas réagir à chaque attaque
Seules les attaques les plus visibles donnent lieu à unsignalement (en gros, l'utilisation de logiciels d'écoute active(scan))
Les flux chiffrés (tels que HTTPS) ne peuvent être analysés
L'exploitation demande des personnes qualifiées (et c'est untravail ingrat!)
Grosse mobilisation de ressources techniques évoluées (doncchère)
Les HIDS
60
Host-based Intrusion Detection System
Deux grandes familles
Logiciels fonctionnant par scellement de fichiers (ex: tripwire, samhain)
Logiciels analysant les journaux
Détecte les forces brutes et les crash/redémarrage de processus
le nombre de processus
le nombre d’utilisateurs connectés, etc.
Avantages
Peu de faux-positifs
Inconvénients
Avec un grand nombre de serveurs...un grand nombre de HIDS, doncune maintenance lourde....
Les IPS
61
Intrusion Prevention System
Grand succès marketing
Tous les firewalls propriétaires sont aujourd'hui des IPS
En fait un firewall qui réalise de l'analyse de couche 7 (commeun IDS) et qui bloque sur la base de signatures d'attaques ou deconformité protocolaire
Solution libre: snort-inline
Une version de snort compilée pour intéragir avec netfilter
IDS,IPS,PROXY, en résumé
Les HIDS permettent de détecter les attaques en surveillant lesfichiers d’une machine
Les NIDS permettent de détecter les attaques en surveillant lesflux réseaux (couches 3 à 7)
Les IPS (ou firewall de couche 7) sont des NIDS qui bloquent lesflux en cas de détection
La configuration et l’exploitation efficace de ces équipementsest extrêmement chronophage
Les proxys (ou serveurs mandataires) permettent le filtrageavec coupure de certains flux réseaux (généralementHTTP/POP)
ARCHITECTURES DE SECURITE
Architectures
64
Comment concevoir son réseau en termes de sécurité ?
Compartimentation/Confinement
Répartition des équipements de sécurité(1)
Buts
Maximiser l’impact des protections
Minimiser l’effet d’escalade en cas d’intrusion
(1) Illustrations extraites de ”Building Internet Firewalls”,éditions O’Reilly
Filtre Simple
65
Filtre simple
66
Seul le trafic sortant est autorisé, système de la diode
Avantage
Simple
On est moins exposé aux attaques externes
Limitations
Pas de possibilité d'offrir l'accès à des services depuis l'extérieur
Pas de traçabilité sur ce que font les utilisateurs en interne (sitesvisités, ...)
Pas de protection contre la récupération de code hostile (web,pop3, ...)
Bastion filtrant (fw+proxy)
67
Bastion filtrant (fw+proxy)
Avantages
Un seul équipement
Filtrage applicatif possible (proxy web, pop3, ...)
Inconvénients
Ne fonctionne qu'avec les flux «proxyfiables»
Un serveur avec beaucoup de services (les différents proxy) très exposé (branché en direct sur internet sans firewall).
L'hébergement est possible mais risqué (pas de protection par un firewall).
68
Filtre & Bastion
69
Filtre & bastion
70
Avantages
Le bastion est mieux protégé
Inconvénients
Pas d'hébergement possible (ou alors via une redirection de portqui rend extrêmement vulnérable le réseau interne)
Les postes de travail peuvent contourner la politique defiltrage/log du bastion via des attaques de couche 2 (arp cachepoisoning et NAT pour se faire passer pour le bastion).
Bastion en sandwich
71
Bastion en sandwich
72
Avantages
Le bastion est protégé à la fois des utilisateurs internes et del'exterieur.
On peut commencer à envisager un hébergement de services
Inconvénients
Deux firewalls...
Besoins d'une table de routage avec deux passerelles sur lebastion (trop compliqué pour un sysadmin ;-)).
En cas de compromission du serveur d'hébergement, le pirate aaccès à la zone par laquelle transite tous les flux entre l'extérieuret l'intérieur (très grave!)
Le bastion en DMZ
73
Le bastion en DMZ
74
Avantages
Comme le précédent en plus simple
Inconvénients
Les mêmes que dans le précédent si ce n'est que lacompromission est un peu moins grave car elle ne permetl'écoute et l'altération «que» des flux proxysés.
Pistes vers de meilleures solutions?
75
Un firewall avec deux DMZ
Une (ou plusieurs) DMZ pour le(s) serveur(s) hébergeant desservices
Impact d'une compromission faible, pas d'accès aux postes internesou aux flux sortant des postes.
Une DMZ pour le(s) proxy(s)
Protection contre les compromissions éventuelles des serveursd'hébergement.
Pas de risque d'attaque de couche 2 des postes de travail pourcontourner la protection.