Au regard du périmètre de la société ACME décrit dans le chapitre 4.2 - un certain nombre de cas typiques d’utilisation peuvent être relevés. Pour chacun de ces cas d’utilisation une réponse en terme de solutions de sécurité peut être envisagée. Ces choix ont conduit à la réalisation de la présente maquette.
La prédominance de la topologie Ethernet dans le monde industriel pousse à choisir cette technologie. Elle induit par contre un certain nombre de vulnérabilités qui obligeront par exemple à chiffrer l’ensemble des communications sensibles.
Au regard du paragraphe 6.4.2.A - s’il apparaît évident que le protocole TCP/IP doit être retenu, la question de la version du protocole reste posée. Le protocole IP version 6 apporte un grand nombre d’améliorations de sécurité et il semble raisonnable de retenir cette version en lieu et place de la version 4 actuellement utilisée au sein de la société ACME. Après audit il apparaît que les équipements actifs de réseau de la société ACME ne permettent pas l’utilisation de ce protocole. Le protocole IPv4 sera donc retenu et la migration vers le protocole IPv6 planifiée à moyen terme.
Dans le cadre de la maquette, il a été fait le choix de mettre en œuvre des zones démilitarisées à double bastion intégrant des firewalls basés sur une technologie de filtrage de paquets ainsi qu’un firewall de filtrage applicatif. Les firewalls de paquets retenus sont des firewalls « Iptables » tandis que le firewall applicatif est un firewall « Raptor » de la société Symantec.
Compte tenu de son caractère modulaire, de la possibilité de segmenter chaque démon ainsi que du nombre important d’attaques recensées contre les systèmes d’exploitation Microsoft, les serveurs seront préférentiellement sous environnement Unix. Dans le cadre de la maquette et pour des questions de disponibilité de produits, certains serveurs exploitant des solutions Symantec seront cependant sous environnement Windows.
La domination sans partage de la suite Microsoft Office ne permet pas d’envisager sérieusement une autre solution que des stations clientes sous environnement Microsoft.
Au regard du nombre d’attaques recensées sur les environnements Microsoft, des coûts associés à ce système d’exploitation et des paragraphes 6.3.1.A - et 6.3.1.B.2 - le choix des serveurs de fichiers SAMBA sous environnement Unix peut être raisonnablement proposé. Corrélé à la mise en place de tunnels IPSEC (cf. paragraphe 7.1.2 - ) ce dispositif homogène permet d’atteindre un niveau de sécurité correct. De manière à durcir le niveau de sécurité, de mesures organisationnelles devront être édictées par la société ACME pour que les données sensibles hébergées par ce type de serveur soient au besoin chiffrées à l’aide d’un outil de chiffrement évolué.
Les serveurs Web d’applications métiers contiennent des données sensibles qu’il faut absolument protéger. Compte tenu du paragraphe 6.3.3 - les serveurs retenus sont des serveurs Apache dont l’accès sera protégé par un système d’authentification forte, type carte à puce et dont les communications seront systématiquement chiffrées à l’aide du protocole SSL.
De manière à mettre en place un dispositif de connexion unique (SSO) et de façon à scinder la partie authentification des utilisateurs de la partie hébergement de données, il a été fait le choix dans le cadre de la maquette de tester
Dans le cadre de la maquette il a été fait le choix de tester le produit E-Sentry de la société Bull. Ce produit concurrent du produit SiteMinder de la société Netegrity (utilisé en Gendarmerie) permet de mettre en œuvre ces différents mécanismes.
Compte tenu du paragraphe 6.3.4 - les serveurs de messagerie retenus dans le cadre de cette maquette sont des serveurs Postfix sous environnement Linux. Les différentes communications serveurs-utilisateurs et inter-serveurs seront chiffrées soit à l’aide du protocole IMAPS (IMAP over SSL) pour ce qui concerne la lecture des messages, soit à l’aide du protocole SSMTP (TLS over SMTP) pour l’envoi de messages.
Les mécanismes de sécurité des serveurs Unix prônent l’utilisation de tels serveurs. Dans le cadre de la maquette et dans un cadre financier contraint, l’utilisation du système Linux est retenue dans sa distribution Debian. Cette distribution offre en effet une stabilité et un respect des différents composants des programmes serveurs particulièrement reconnu dans le monde du logiciel libre.
Compte tenu des dangers inhérents au raccordement du réseau interne de la société ACME au réseau Internet, une DMZ à double bastion basée sur trois firewall ainsi que sur un reverse proxy sera mise en oeuvre. La consultation d’informations depuis Internet sera effectuée au travers d’un reverse Proxy Apache en charge d’effectuer la requête souhaitée.
La population des utilisateurs est particulièrement vaste et variée. Un système souple permettant d’effectuer la distinction entre les différents utilisateurs doit être recherché. Un annuaire LDAP supportant la sécurisation de ses interrogations (utilisation du protocole SSL) semble être la solution adéquate. Compte tenu de sa position centrale, cet annuaire se doit de reposer sur un système d’exploitation robuste et sécurisé. Compte tenu des budgets impartis pour la maquette de cette étude, le choix se porte ainsi sur un annuaire OpenLDAP sous environnement Unix.
Compte tenu de leur caractère anonyme ces utilisateurs seront cantonnés au sein d’une DMZ contenant les données publiques.
Après passage par deux firewalls basés sur les mécanismes de filtrage applicatifs et par paquets examinés au paragraphe 7.4.1.A.1 - et authentification forte ces utilisateurs devront avoir accès à la DMZ contenant les applications métiers. L’utilisation de tunnels IPSec associée à une authentification LDAP + SSL permettra de leur offrir l’accès à un serveur de fichiers.
L’utilisation de mécanismes basés sur le protocole SOAP (Simple Object Access Protocol) encapsulé dans le protocole HTTPS permet d’échange des informations avec les sociétés partenaires de manière sécurisée. Cette partie ne sera pas mise en œuvre dans le cadre de la maquette.
Le protocole SSH permet l’administration à distance en mode ligne de commandes : le serveur SSH associé au client SSH sous Unix ou au client Putty sous Windows doit impérativement être mis en œuvre sur l’ensemble des serveurs.
La multiplicité des serveurs et autres équipements actifs impose de concentrer en un point l’ensemble des logs des différents serveurs Unix ou Windows. La mise en œuvre d’un serveur « Syslog » (intégré au sein des systèmes d’exploitation Unix) et le déport des événements sur ce serveur permettront d’obtenir une vue centralisée et globale des événements systèmes sur l’ensemble des serveurs.
Compte tenu des nombreuses vulnérabilités du protocole SNMP (cf. paragraphe 6.4.2.D - ) il est fait le choix de ne pas remonter d’alertes SNMP. Ce choix est discutable …
La mise en place de protocoles sécurisés nécessite la conservation à l’heure des différents serveurs impliqués. L’utilisation du protocole NTP ne présente pas de failles connues et le firewall tête de pont entre Internet et le reste des serveurs devra donc se comporter en source de temps pour les différents serveurs tandis que lui même ira se mettre à l’heure auprès de serveurs de l’heure publics.
Les solutions proposées ci-dessous s’appuient pour beaucoup sur l’utilisation de certificats. Une infrastructure à clés publiques s’avère indispensable pour gérer les différents certificats générés (révocation, délivrance de certificats …). Il est important de souligner que la difficulté majeure de la mise en place d’une telle infrastructure (cf. paragraphe 7.2.1.E.3.b - ) réside dans les mesures organisationnelles à mettre en place au sein de la société ACME.
Dans le cadre de la maquette, une infrastructure de gestion de clés de tests (basée sur Microsoft Certificate Server) sera utilisée.