Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Ingénierie
  2. Conception de sites web

PPE 4-1 - Webnode

publicité 
03/03/2014
PPE 4-1
Partie Réseau
Steveen Hanta ; Mathieu Collin ; Jordan Dutaillis ; Ismaël Sacko
KOS INFORMATIQUE
TABLE DES MATIERES
Table des matières
I.
Les risques d’une interconnexion avec Internet ________________________________ 1
A. Ecoute passive ____________________________________________________________ 1
B.
II.
Vol de données par logiciel ________________________________________________ 1
1.
Les « bombes » __________________________________________________________ 2
2.
Les virus _________________________________________________________________ 2
3.
Vers ____________________________________________________________________ 2
Comment limiter ces risques ? ________________________________________________ 3
A. Protection pour le serveur web _____________________________________________ 3
B.
protection pour les autres menaces ________________________________________ 3
III. Comment accéder au réseau Internet à partir d’un réseau privé ? _____________ 5
A. Introduction _______________________________________________________________ 5
B.
nat statique _______________________________________________________________ 5
C. Nat dynamique ___________________________________________________________ 5
D. Choix du type de nat mis en place _________________________________________ 6
IV. La politique de filtrage _______________________________________________________ 7
I.
Les risques d’une interconnexion avec Internet
Le système d’interconnexion internet permet de faire communiquer plusieurs
machines sur un réseau informatique à l’échelle mondial. L’accès à internet est
possible depuis plusieurs plateformes, que ce soit de façon filaire (ADSL, fibre…) ou sans
fil (4G, satellitaire…).
La connexion internet va permettre une meilleure productivité pour l’utilisateur, une
communication plus rapide et performante (email, messagerie instantanée, réseau
social d’entreprise…) ainsi, le partage de données est simplifié.
Cependant, le réseau internet comporte aussi plusieurs risques pour notre système
d’information et nos données. Telles que la mise en question de la confidentialité de
nos données, leur sécurité ou encore leur intégrité.
Le réseau internet possède aussi des risques pour l’utilisateur, plus précisément pour ces
données. En effet, il existe des failles de sécurité qui pourraient permettre à des
personnes mal intentionnées d’infiltrer le réseau et voler, détruire ou encore modifier
des données.
A.
ECOUTE PASSIVE
L’écoute est une pratique non autorisé sur un réseau informatique qui consiste à se
connecter à un réseau informatique et d’analyser toutes les données qui transitent.
Cette méthode permet de découvrir toutes les données du réseau et les sauvegarder.
Les trames qui circulent peuvent être interprétées de façon directe grâce à plusieurs
logiciels.
Il existe aussi d’autres formes d’autres formes d’écoute telles que l’interception de
signaux. Ici, la personne malintentionnée va intercepter un réseau sans fil local ou
étendu afin d’en tirer des données confidentielles.
B.
VOL DE DONNEES PAR LOGICIEL
D’autres solutions sont aussi mises en place par des personnes malintentionnées
pour récupérer les données des différentes entités qui communiquent sur le réseau,
il s’agit ici de différents logiciels et applications cachés derrière des logiciels ou
encore sous forme de fausse mise à jour.
Page 1
1.
Les « bombes »
C’est un programme qui s’installe à l’insu de l’utilisateur sur son poste et qui va
s’exécuter à une date programmé par le créateur afin d’effectuer certaines tâches
telles que l’affichage de message ou même la suppression de données sur le système.
2.
Les virus
Un virus est un programme qui s’incruste dans un système. Il a la capacité de se
reproduire pour contaminer d’autres systèmes en s’incrustant dans un logiciel. Il aura
pour première intention de nuire à l’intégrité des informations du système infecté, il a
aussi des fonctions de dégradation.
3.
Vers
Le ver est un programme qui circule à travers à un réseau afin de perturber la
connexion au point de le rendre indisponible. Le ver est aussi capable de sonder un
réseau à la recherche d’information.
Tous ces différents risques nuisent au bon fonctionnement des systèmes d’informations
et la connexion sur laquelle ils sont raccordés. De plus, ces risques peuvent nuire à la
confidentialité des données stockées sur les différentes machines.
Page 2
II.
Comment limiter ces risques ?
La meilleure façon de limiter les risques lié à internet est de former et de sensibilisé les
salariées aux risques d’internet. Il a été démontré que dans 80 % des incidents lié à un
malware/virus, l’employé était en cause car il n’avait pas respecté les règles de base
de précaution en sécurité informatique.
A.
PROTECTION POUR LE SERVEUR WEB
Dans le cas de la sécurisation du serveur web et de ses applications, l’ANSSI détaille
les différentes solutions possibles telles que la mise en place d’un filtrage :

la suppression des méta-caractères

le contrôle des paramètres passés en argument, de leur valeur, et de leur nom

la limitation de la longueur des données

le respect du type de données (chaine de caractères, date, caractères
numériques)
Si un filtrage des données au niveau des applications n'est pas possible, il faut protéger
le serveur HTTP lui-même ou mettre en place un dispositif de sécurité extérieur au
serveur.
Concernant la sécurité du serveur HTTP, citons par exemple le module mod_security du
serveur Apache ou le service ISA (Internet Security and Acceleration) pour le
serveur IIS de Microsoft.
Il est également possible de filtrer des URLs au moyen d'un relais inverse (ou reverseproxy). Grâce à des expressions régulières, seules les URLs spécifiquement autorisées
ne sont pas rejetées.
Il est important de restreindre le champ des URLs autorisées au strict minimum. Il est
également nécessaire de modifier ces règles au fur et à mesure de l'évolution des
applications sur le serveur Web.
B.

Page 3
PROTECTION POUR LES AUTRES MENACES
Mise en place d’un firewall



Page 4
Mise en place d’un anti-virus
Mise à jour régulière des programmes
Segmentation du réseau et mise en place de VLANs
III. Comment accéder au réseau Internet à partir
d’un réseau privé ?
A.
INTRODUCTION
Le réseau de M2L est un réseau privé et possède donc des adresses locales internes. Il
s’agit d’une IP attribuée à un hôte du réseau interne non routable sur le réseau Internet,
ce qui ne permet pas aux utilisateurs d’aller sur ce réseau.
Pour pouvoir accéder à Internet à partir d’un réseau privé, il faut transformer les
adresses locales internes en adresses globales externes (adresse IP réelle routable qui
se situe à l’extérieur du réseau).
Afin de pouvoir effectuer cette translation, nous allons mettre en place de la NAT
(Network Address Translation).
Il existe 2 types principaux de NAT, la NAT statique et dynamique.
B.
NAT STATIQUE
La NAT statique consiste à faire une correspondance de type un à un entre une
adresse IP locale interne et une adresse IP globale interne. Elles sont utiles lorsqu'un
hôte interne doit être accessible de l'extérieur, ce qui doit être le cas pour le serveur
Web.
C.
NAT DYNAMIQUE
La NAT dynamique consiste à faire une correspondance de type plusieurs à plusieurs
entre un ensemble d'adresses IP locales et un groupe d'adresses IP globales.
Page 5
D.
CHOIX DU TYPE DE NAT MIS EN PLACE
De la NAT statique seras mise en place pour le serveur Web afin qu’il soit accessible de
l’extérieur.
De la NAT statique seras également mis en place le reste du réseau M2L.
Page 6
IV. La politique de filtrage
Afin de filtrer les trames qui entrent et qui sortent du réseau, nous devons mettre en
place une politique de filtrage. Cette politique sera basée sur les Access Control List
(ACL). En effet, les ACL sont des séries de règles de filtrage qui gèrent les connexions
réseau. Nous pouvons la configurer par le biais d’un pare-feu ou d’un routeur.
Il existe néanmoins deux types d’ACL :
-
Les ACL standards qui ne prennent en compte que les adresses IP
Les ACL étendues qui prennent en compte les protocoles, les ports et les
adresses IP
Les besoins actuels de M2L nous poussent à mettre en place des ACL standards afin
de manipuler les connexions entre les adresses IP.
Notre but sera:
-
De rendre accessible la DMZ depuis le réseau Internet (WAN)
De ne pas rendre accessible le réseau interne de M2L (LAN) depuis Internet
D’autoriser le réseau LAN à aller sur Internet (WAN)
De ne pas autoriser les connexions entre le Réseau Wifi Visiteurs et le LAN
D’autoriser le réseau Wifi Visiteurs vers Internet (WAN)
D’autoriser les connexions du réseau Wifi Permanent que pour l’Internet, le
réseau administratif et les ressources d’impression
Les réseaux que nous allons utiliser sont les suivants :
Page 7
Réseau Wifi « Visiteurs »
172.16.5.0/27
Réseau Wifi « Permanents »
172.16.5.32/27
WAN
10.0.0.0/24
LAN
172.16.0.0/16
DMZ
10.54.0.0/29
Bureau d’administration
172.16.4.0/27
Salle de reprographie
172.16.4.80/30
On arrive donc aux tableaux suivant :
La première ACL (Numéro 2) sera mis en place pour le réseau Wifi Visiteurs et sera
applicable sur l’interface GigabitEthernet 7/0.100 du routeur DMZ en out. Elle servira à
n’autoriser les connexions partant de ce réseau que vers Internet.
Règle
1
2
3
Default
IP source
172.16.5.0/27
172.16.5.0/27
Toutes
Toutes
IP Sortie
172.16.0.0/16
10.54.0.0/29
Toutes
Toutes
Action
Bloquer
Bloquer
Autoriser
Bloquer
La second ACL (Numéro 3) sera mis en place pour le Wifi Permanent et sera applicable
sur l’interface GigabitEthernet 7/0.101 du routeur DMZ en out. Elle servira à n’autoriser
les connexions partant de ce réseau que vers le réseau administratif et les ressources
d’impression et vers Internet.
Règle
1
2
3
Default
IP source
172.16.5.32/27
172.16.5.32/27
172.16.5.32/27
Toutes
IP Sortie
172.16.4.0/27
172.16.4.80/30
195.102.200.0/24
Toutes
Action
Autoriser
Autoriser
Autoriser
Bloquer
La Troisième ACL (Numéro 4) sera mis en place pour n’autoriser les connexions partant
d’Internet que vers le serveur WEB de la DMZ. Il sera configuré sur l’interface
GigabitEthernet 9/0 du routeur DMZ.
Règle
1
2
3
4
Default
Page 8
IP source
195.102.200.0/24
195.102.200.0/24
195.102.200.0/24
Toutes
Toutes
IP Sortie
10.54.0.6/29
10.54.0.3/32
172.16.0.0/24
Toutes
Toutes
Action
Bloquer
Autoriser
Bloquer
Autoriser
Bloquer
Documents connexes
Importance du commerce agricole pour le développement futur de l
Importance du commerce agricole pour le développement futur de l
Fiche TD2
Fiche TD2
II Ième année
II Ième année
A l`heure du « Grenelle de l`environnement », informez-vous
A l`heure du « Grenelle de l`environnement », informez-vous
Allemand Débutant – Module 2 Sommaire du cours
Allemand Débutant – Module 2 Sommaire du cours
TD1 ASR
TD1 ASR
Fiche Résumé () - Université Paris 8
Fiche Résumé () - Université Paris 8
II Ième année
II Ième année
Préparation de la société civile, des villes et des régions à la COP21
Préparation de la société civile, des villes et des régions à la COP21
Article complet
Article complet
L`amaurose congénitale de Leber (ACL) est une maladie génétique
L`amaurose congénitale de Leber (ACL) est une maladie génétique
Cours_7_Securite - Université de Bouira
Cours_7_Securite - Université de Bouira
Téléchargement
publicité