8.1.2 -
Propositions de choix de solutions de
sécurité :
Au regard du périmètre de la société ACME
décrit dans le chapitre
4.2 - un certain nombre de cas typiques
d’utilisation peuvent être relevés. Pour chacun de ces cas
d’utilisation une réponse en terme de solutions de
sécurité peut être envisagée. Ces choix ont conduit
à la réalisation de la présente maquette.
8.1.2.A - Quel réseau
choisir ?
8.1.2.A.1 - La topologie
réseau :
La prédominance de la topologie Ethernet dans le monde industriel
pousse à choisir cette technologie. Elle induit par contre un certain
nombre de vulnérabilités qui obligeront par exemple à
chiffrer l’ensemble des communications sensibles.
8.1.2.A.2 - Le protocole
utilisé :
Au regard du paragraphe
6.4.2.A -
s’il apparaît évident que le protocole TCP/IP doit
être retenu, la question de la version du protocole reste posée. Le
protocole IP version 6 apporte un grand nombre d’améliorations de
sécurité et il semble raisonnable de retenir cette version en
lieu et place de la version 4 actuellement utilisée au sein de la
société ACME. Après audit il apparaît que les
équipements actifs de réseau de la société ACME ne
permettent pas l’utilisation de ce protocole. Le protocole IPv4 sera donc
retenu et la migration vers le protocole IPv6 planifiée à moyen
terme.
8.1.2.B - Quel architecture de
sécurité choisir ?
Dans le cadre de la maquette, il a été fait le choix de
mettre en œuvre des zones démilitarisées à double
bastion intégrant des firewalls basés sur une technologie de
filtrage de paquets ainsi qu’un firewall de filtrage applicatif. Les
firewalls de paquets retenus sont des firewalls « Iptables »
tandis que le firewall applicatif est un firewall « Raptor »
de la société Symantec.
8.1.2.C - Quel système d’exploitation
choisir ?
Compte tenu de son caractère modulaire, de la possibilité de
segmenter chaque démon ainsi que du nombre important d’attaques
recensées contre les systèmes d’exploitation Microsoft, les
serveurs seront préférentiellement sous environnement Unix. Dans
le cadre de la maquette et pour des questions de disponibilité de
produits, certains serveurs exploitant des solutions Symantec seront cependant
sous environnement Windows.
8.1.2.D - Quels logiciels choisir ?
8.1.2.D.1 - Les postes de travail
utilisateurs :
La domination sans partage de la suite Microsoft Office ne permet pas
d’envisager sérieusement une autre solution que des stations
clientes sous environnement Microsoft.
8.1.2.D.2 - Les serveurs de fichiers
bureautique :
Au regard du nombre d’attaques recensées sur les
environnements Microsoft, des coûts associés à ce
système d’exploitation et des paragraphes
6.3.1.A - et
6.3.1.B.2 - le choix des serveurs de fichiers
SAMBA sous environnement Unix peut être raisonnablement proposé.
Corrélé à la mise en place de tunnels IPSEC (cf. paragraphe
7.1.2 - ) ce dispositif homogène
permet d’atteindre un niveau de sécurité correct. De
manière à durcir le niveau de sécurité, de mesures
organisationnelles devront être édictées par la
société ACME pour que les données sensibles
hébergées par ce type de serveur soient au besoin chiffrées
à l’aide d’un outil de chiffrement
évolué.
8.1.2.D.2.a - Les serveurs Web
d’applications métier :
Les serveurs Web d’applications métiers contiennent des
données sensibles qu’il faut absolument protéger. Compte
tenu du paragraphe
6.3.3 - les serveurs
retenus sont des serveurs Apache dont l’accès sera
protégé par un système d’authentification forte, type
carte à puce et dont les communications seront systématiquement
chiffrées à l’aide du protocole SSL.
De manière
à mettre en place un dispositif de connexion unique (SSO) et de
façon à scinder la partie authentification des utilisateurs de la
partie hébergement de données, il a été fait le
choix dans le cadre de la maquette de tester
Dans le cadre de la maquette il
a été fait le choix de tester le produit E-Sentry de la
société Bull. Ce produit concurrent du produit SiteMinder de la
société Netegrity (utilisé en Gendarmerie) permet de mettre
en œuvre ces différents mécanismes.
8.1.2.D.2.b - Les serveurs de
messagerie :
Compte tenu du paragraphe
6.3.4 - les
serveurs de messagerie retenus dans le cadre de cette maquette sont des serveurs
Postfix sous environnement Linux. Les différentes communications
serveurs-utilisateurs et inter-serveurs seront chiffrées soit à
l’aide du protocole IMAPS (IMAP over SSL) pour ce qui concerne la lecture
des messages, soit à l’aide du protocole SSMTP (TLS over SMTP) pour
l’envoi de messages.
8.1.2.D.2.c - Les autres serveurs :
Les mécanismes de sécurité des serveurs Unix
prônent l’utilisation de tels serveurs. Dans le cadre de la maquette
et dans un cadre financier contraint, l’utilisation du système
Linux est retenue dans sa distribution Debian. Cette distribution offre en effet
une stabilité et un respect des différents composants des
programmes serveurs particulièrement reconnu dans le monde du logiciel
libre.
8.1.2.D.2.d - La gestion des flux en provenance ou
en direction du Web :
Compte tenu des dangers inhérents au raccordement du réseau
interne de la société ACME au réseau Internet, une DMZ
à double bastion basée sur trois firewall ainsi que sur un reverse
proxy sera mise en oeuvre. La consultation d’informations depuis Internet
sera effectuée au travers d’un reverse Proxy Apache en charge
d’effectuer la requête souhaitée.
8.1.2.E - Comment authentifier les
utilisateurs ?
La population des utilisateurs est particulièrement vaste et
variée. Un système souple permettant d’effectuer la
distinction entre les différents utilisateurs doit être
recherché. Un annuaire LDAP supportant la sécurisation de ses
interrogations (utilisation du protocole SSL) semble être la solution
adéquate. Compte tenu de sa position centrale, cet annuaire se doit de
reposer sur un système d’exploitation robuste et
sécurisé. Compte tenu des budgets impartis pour la maquette de
cette étude, le choix se porte ainsi sur un annuaire OpenLDAP sous
environnement Unix.
8.1.2.F - Quelles fonctionnalités offrir
aux utilisateurs ?
8.1.2.F.1 - Les utilisateurs
anonymes :
Compte tenu de leur caractère anonyme ces utilisateurs seront
cantonnés au sein d’une DMZ contenant les données
publiques.
8.1.2.F.2 - Les utilisateurs
authentifiés :
Après passage par deux firewalls basés sur les
mécanismes de filtrage applicatifs et par paquets examinés au
paragraphe
7.4.1.A.1 - et authentification
forte ces utilisateurs devront avoir accès à la DMZ contenant les
applications métiers. L’utilisation de tunnels IPSec
associée à une authentification LDAP + SSL permettra de leur
offrir l’accès à un serveur de fichiers.
8.1.2.G - L’échange
d’informations avec les sociétés partenaires :
L’utilisation de mécanismes basés sur le protocole SOAP
(Simple Object Access Protocol) encapsulé dans le protocole HTTPS permet
d’échange des informations avec les sociétés
partenaires de manière sécurisée. Cette partie ne sera pas
mise en œuvre dans le cadre de la maquette.
8.1.2.H - La problématique
d’administration des équipements du système
d’information :
8.1.2.H.1 - L’administration à
distance :
Le protocole SSH permet l’administration à distance en mode
ligne de commandes : le serveur SSH associé au client SSH sous Unix
ou au client Putty sous Windows doit impérativement être mis en
œuvre sur l’ensemble des serveurs.
8.1.2.H.2 - La concentration des journaux
d’événements :
La multiplicité des serveurs et autres équipements actifs
impose de concentrer en un point l’ensemble des logs des différents
serveurs Unix ou Windows. La mise en œuvre d’un serveur
« Syslog » (intégré au sein des
systèmes d’exploitation Unix) et le déport des
événements sur ce serveur permettront d’obtenir une vue
centralisée et globale des événements systèmes sur
l’ensemble des serveurs.
8.1.2.H.3 - La gestion des équipements
réseaux (SNMP) :
Compte tenu des nombreuses vulnérabilités du protocole SNMP
(cf. paragraphe
6.4.2.D - ) il est fait le
choix de ne pas remonter d’alertes SNMP. Ce choix est discutable ...
8.1.2.H.4 - La mise à l’heure des
serveurs :
La mise en place de protocoles sécurisés nécessite la
conservation à l’heure des différents serveurs
impliqués. L’utilisation du protocole NTP ne présente pas de
failles connues et le firewall tête de pont entre Internet et le reste des
serveurs devra donc se comporter en source de temps pour les différents
serveurs tandis que lui même ira se mettre à l’heure
auprès de serveurs de l’heure publics.
8.1.2.I - Un pré requis : une
infrastructure à clés publiques
Les solutions proposées ci-dessous s’appuient pour beaucoup
sur l’utilisation de certificats. Une infrastructure à clés
publiques s’avère indispensable pour gérer les
différents certificats générés (révocation,
délivrance de certificats ...). Il est important de souligner que la
difficulté majeure de la mise en place d’une telle infrastructure
(cf. paragraphe
7.2.1.E.3.b - ) réside
dans les mesures organisationnelles à mettre en place au sein de la
société ACME.
Dans le cadre de la maquette, une infrastructure
de gestion de clés de tests (basée sur Microsoft Certificate
Server) sera utilisée.
