Sécurité des systèmes et des réseaux télécoms Gérard Peliks Marketing Solutions Entreprise EADS TELECOM [email protected] Plan • • Un monde plein de menaces Comment se protéger ? • • • • • • La protection périphérique de l’Intranet L’authentification forte du nomade Le chiffrement des échanges (VPN) La protection du poste de travail La protection des informations Deux applications • • La téléphonie sur IP Les réseaux sans fil pour une entreprise étendue et sécurisée 2 Attaques et vulnérabilités répertoriées par le CERT 2003 nombre d'attaques 100000 82094 80000 52658 60000 40000 21756 20000 9859 3734 0 1998 1999 2000 2001 2002 Total d’incidents reportés (1988-2002): 182463 nombre de vulnérabilités 5000 4129 4000 2437 3000 2000 1090 1000 262 417 1998 1999 0 2000 2001 Total de vulnérabilités reportées (1995-2002): 9162 3 2002 Principaux accidents de sécurité en coûts Source OMNI Consulting Group 2002 aux USA et en Europe Attaques de l'intérieur 12% Effacement de données 8% Authentification illicite 16% Vers et virus 33% 4 Attaque de l'extérieur 31% LA PROTECTION PERIPHERIQUE Pour que l’Intranet soit un réseau privé Le Firewall, une protection périphérique ? Firewall ? ? Réseau non protégé DMZ Danger 6 Réseau protégé Les différents niveaux de sécurité Précision Pourquoidu le traitement filtrage, haute applicatif sécurité ? U A … paquets … Entête Données applicatives Filtre de paquets avancé dynamique Traitement applicatif 7 L’AUTHENTIFICATION FORTE Qu’est-ce que c’est ? Internet et l’entreprise Entreprise 9 Image RSA “Sur internet, personne ne sait que tu es un chien” 10 Quel média pour l’authentification ? Par ce qu’on est Par ce qu’on sait Par ce qu’on a Par une combinaison de deux de ces facteurs 11 LE RESEAU PRIVE VIRTUEL (VPN) Grandeur et servitude Passerelle Tunnel Passerelle tunnel Réseau privé 13 Passerelle tunnel Réseau non protégé Réseau privé Tunnel client Firewall Passerelle tunnel Réseau privé 14 Réseau non protégé Tunnel client Poste nomade Le mécanisme des clés asymétriques Numéro de série: ... Valable : du … au … Nom : ... Société : ... Service : ... Qualité : ... e-mail : ... Émis par : ... Algorithme : … clé publique clé publique Numéro de série: ... Valable : du … au … Nom : ... Société : ... Service : ... Qualité : ... e-mail : ... Émis par : ... Algorithme : … clé publique clé privée Clé A clé publique clé publique Clé B Numéro de série: ... Valable : du … au … Nom : ... Société : ... Service : ... Qualité : ... e-mail : ... Émis par : ... Algorithme : … Numéro de série: ... Valable : du … au … Nom : ... Société : ... Service : ... Qualité : ... e-mail : ... Émis par : ... Algorithme : … clé publique clé publique clé publique Message clair Message clair Numéro de série: ... Valable : du … au … Nom : ... Société : ... Service : ... Qualité : ... e-mail : ... Émis par : ... Algorithme : … clé publique Message chiffré Autorité de Confiance clé publique Numéro de série: ... Valable : du … au … Nom : ... Société : ... Service : ... Qualité : ... e-mail : ... Émis par : ... Algorithme : … clé publique clé publique PKI 15 Numéro de série: ... Valable : du … au … Nom : ... Société : ... Service : ... Qualité : ... e-mail : ... Émis par : ... Algorithme : … clé publique clé publique Attaque d’un poste client durant un VPN Agresseur rebond Réseau protégé 16 Réseau non protégé Poste nomade COMPATIBILITE ET INTEROPERABILITE SHA1 IPSec AH RSA IP MD5 DES/3DES/AES ESP Compatibilité et interopérabilité avec tous types de flux, protocoles, algorithmes, standards … 17 LA PROTECTION DU DISQUE Contre la perte d’informations La protection des informations du poste nomade 19 La protection des informations du poste nomade La " partition T: " confidentielle apparaît, son contenu est déchiffré. 20 La protection des informations du poste nomade X X La " partition T: " confidentielle disparaît, son contenu est chiffré. 21 La Téléphonie sécurisée sur IP Migration de la base installée des PBX Telephonie sur IP PBX traditionnels IP backbone Succession 6500 OU M6500 M6500 IP Migration vers IP 23 Carte IP La sécurité pour la ToIP Serveurs DMZ Voix Client VPN Gestion distante Media Gateway Site distant Autre DMZ IP WAN Passerelle VPN SOHO LAN Internet Télétravail LAN commun (VLAN) Client VPN IP phone 24 Telephony Manager Local Software PC Le problème des réseaux sans fils Une menace majeure INTEGRATION et ADMINISTRATION Le sans fil 26 Facilité d’installation Coût inférieur Mobilité Sensibilité au brouillage Déni de service Saturation des fréquences Destruction physique APPLICATIONS BACKBONE IP ACCES La sécurité des réseaux sans fil Intranet SSID 802.11b Code mac Authentication faible Chiffrement faible (WEP RC4) Contrôle d’intégrité faible 802.11i Bonne authentification 802.1x / EAP Bon chiffrement (AES) Bon contrôle d’intégrité Internet 27 La sécurité pour le réseau sans fil Internet DMZ Intranet terminaux mobiles Points d’accès Sans fil bulle de risque Serveur réseau 28 terminaux mobiles L’ENTREPRISE ETENDUE Pour concilier sécurité et mobilité dans et hors de l’entreprise Vers l’entreprise étendue et sécurisée 3 1 NOMADES FILIALE 1 ENTREPRISE 2 PARTENAIRES 1 2 FILIALE 2 30 Une entreprise = plusieurs interfaces Une entreprise = plusieurs sites Admin centralisée, SSO privilégiées avec l’extérieur FOURNISSEURS Je vous remercie pour votre attention Gérard Peliks Responsable Solutions de Sécurité Marketing Solutions Entreprise EADS TELECOM [email protected] +33 1 34 60 88 82 31