Architecture réseau sécurisé pour une ouverture à l'Internet et processus qualité - Page 1 - Félix Guy ANOMA-KANIE Architecture réseau sécurisé pour une ouverture à l’Internet et processus qualité Editions EDILIVRE APARIS Collection Universitaire 75008 Paris – 2010 5 Tous nos livres sont imprimés dans les règles environnementales les plus strictes Il est interdit de reproduire intégralement ou partiellement la présente publication sans autorisation du Centre Français d’exploitation du droit de Copie (CFC) – 20 rue des Grands-Augustins – 75006 PARIS – Tél. : 01 44 07 47 70 / Fax : 01 46 34 67 19. ©Éditions Edilivre – Collection Universitaire – 2010 ISBN : 978-2-8121-3408-1 Dépôt légal : Juin 2010 Tous droits de reproduction, d’adaptation et de traduction, intégrale ou partielle réservés pour tous pays 6 REMERCIEMENTS Je souhaite remercier Monsieur Michel GONIAU, Madame Marie Pierre JARRIGE et Monsieur Xavier BENTES, respectivement Directeur Général, Directeur des Développement et la Directeur Commercial d’Albiran pour m’avoir fait confiance pour la conduite de ce projet dont le mémoire fait l’objet. Je remercie également Monsieur Didier JACQUEMIN Directeur Informatique de Gan Euro courtage sans qui ce stage ne se serait pas fait. Je remercie Le Dr. Joëlle GERINIER, Directeur – Adjoint, Hôpital Avicenne, Docteur en Droit, Maître de conférences associé ; Le Pr. Luc MARCO, Directeur du DRT, Professeur des Universités ; Le Pr. Jan STEPNIESWKI, Maître de conférences, HDR ; Le Pr. Ali SMIDA, Maître de conférences, HDR ; Le Dr. Louise SHRIVEUR, Professeur Honoraire, Animateur ; Pour l’honneur qu’ils me font de prendre pars au jury. Je remercie les professeurs de l’Université Paris 13 Nord, de Villetaneuse, de Bobigny, de l’IUT Saint Denis, de l’Hôpital Avicenne et tous les intervenants extérieur, ainsi que les services administratif, pour les enseignements qu’ils m’ont apportés et leur aide. Je remercie particulièrement le Pr. Gilbert SOL, Directeur du DESS ART et du Visio P7, ainsi que tous les enseignants du DESS ART de l’Université Paris 7, pour la qualité de la formation dispensée et du temps passé à mon écoute. Je remercie également les équipes de développement, Technique et commerciale pour l’accueil qu’ils m’ont témoigné et l’aide qu’ils m’ont apporté et Monsieur Eric BRUNETON Administrateur Système et Réseau pour sa patience et la confiance qu’il m’a témoigné. Je souhaite aussi remercier ma famille et tous mes collègues et ami(e)s pour leur soutien et leur patience. 9 SOMMAIRE REMERCIEMENTS ......................................................................................................... INTRODUCTION ............................................................................................................. 1 1.1 1.1.1 1.1.2 6 19 21 21 21 22 PRESENTATION DE L’ENTREPRISE ................................................................ La société ........................................................................................................................... L’équipe ...................................................................................................................................... Les dirigeants .............................................................................................................................. 1.2 1.2.1 1.2.2 1.2.3 La solutions EBIZA.......................................................................................................... Description générale de la solution ............................................................................................. la solution EBIZA 4.0 est composé de huits modules ................................................................. Architecture technique EBIZA .................................................................................................... 22 22 23 30 1.3 1.3.1 L’activité de l’entreprise.................................................................................................. Les assurances ............................................................................................................................. 30 30 1.4 1.4.1 Exemple de Mise en œuvre d’une Architecture............................................................. Présentation ................................................................................................................................. 32 32 1.5 1.5.1 1.5.2 1.5.3 Exemple d’Architecture des machines pendant les différentes phases de projet ....... Phase de dévelloppement ............................................................................................................ Phase d’homologation et de recette ............................................................................................. Phase de production..................................................................................................................... 34 34 34 35 1.6 Références ......................................................................................................................... 35 2 2.1 L’OUVERTURE VERS L’INTERNET : LES RISQUES ET LES SOLUTIONS. 37 Cerner l’organisation ....................................................................................................... La prise d’empreinte .................................................................................................................... Définition de la notion de prise d’empreinte ...................................................................... Prise d’empreinte Internet .................................................................................................. Détermination du champ d’activité de prise d’empreinte................................................... Recensement des éléments de réseau ................................................................................. Interrogation de serveurs DNS ........................................................................................... Transfert de zone ................................................................................................................ 2.1.1.1 2.1.1.2 2.1.1.3 2.1.1.4 2.1.1.5 2.1.1.6 2.1.2 37 38 38 38 40 40 42 42 43 43 44 11 2.1.1 Balayage systématique ................................................................................................................ Sondages réseau de type ping ............................................................................................. Balayage systématique de ports ......................................................................................... 2.1.2.1 2.1.2.2 2.1.2.3 2.1.2.4 La prise d’empreinte de pile active. .................................................................................... Outils de découverte automatisés. ...................................................................................... 45 46 2.2 2.2.1 Méthode du recensement ................................................................................................. Recensement windows NT/2000 ................................................................................................. Les connexions nulles ......................................................................................................... Recensement NetBIOS ....................................................................................................... Recensement SNMP Windows NT/2000 ........................................................................... Recensement Active Directory ........................................................................................... Capture de bannières Windows NT/2000 ........................................................................... Capture de bannières et recensement de base de registre ................................................... 2.2.1.1 2.2.1.2 2.2.1.3 2.2.1.4 2.2.1.5 2.2.1.6 46 47 47 47 47 48 48 48 48 48 2.2.2 Recensement UNIX ..................................................................................................................... Capture de banières UNIX ................................................................................................. 2.2.2.1 2.3 2.3.1 Piratage de systèmes ......................................................................................................... Piratage Windows NT/2000 ........................................................................................................ Outils de portes dérobées des stations clientes Windows ................................................... Cheval de troie et remontée des paliers de droits d’accès................................................... Le décryptage d’un mot de passe........................................................................................ Extraction des données de hachage du fichier SAM .......................................................... Protection du fichier SAM .................................................................................................. Mise en œuvre de SYSKEY ............................................................................................... Duplication des identifiants Administrateur de domaine et Administrateur local .............. Renifleurs ........................................................................................................................... Services et blocage des ports .............................................................................................. Filtres IPSec........................................................................................................................ NetBIOS/SMB sur Windows 2000..................................................................................... 2.3.1.1 2.3.1.2 2.3.1.3 2.3.1.4 2.3.1.5 2.3.1.6 2.3.1.7 2.3.1.8 2.3.1.9 2.3.1.10 2.3.1.11 49 49 49 49 50 51 51 52 52 52 52 54 54 54 55 56 57 57 58 59 2.3.2 Piratage d’UNIX .......................................................................................................................... Attaque par force brute ....................................................................................................... Attaque par débordement de tampon .................................................................................. Attaque par validation d’entrée .......................................................................................... Sendmail ............................................................................................................................. Services RPC ...................................................................................................................... DNS .................................................................................................................................... 2.3.2.1 2.3.2.2 2.3.2.3 2.3.2.4 2.3.2.5 2.3.2.6 2.4 2.4.1 2.4.2 Piratage de Réseau ........................................................................................................... Piratage de réseau commuté, PABX ............................................................................................ Équipements de réseaux .............................................................................................................. Repérage des routeurs ......................................................................................................... Fuite de paquets .................................................................................................................. Failles SNMP...................................................................................................................... 60 60 61 62 62 62 62 63 2.4.2.1 2.4.2.2 2.4.2.3 2.4.3 Vulnérabilité ................................................................................................................................ Mib en écriture « sur Cisco et Ascend » ............................................................................. 2.4.3.1 12 2.4.3.2 2.4.3.3 2.4.3.4 2.4.4 Décryptage de mots de passe.............................................................................................. Parade à TFTP .................................................................................................................... Parade contre les fichiers Bay Network ............................................................................. 63 63 63 63 64 64 65 Supports partagés ou commutés .................................................................................................. Détection du support sur lequel on se trouve ..................................................................... Dsniff ................................................................................................................................. Snmpsniff ........................................................................................................................... 2.4.4.1 2.4.4.2 2.4.4.3 2.5 2.5.1 Murs pare feu ................................................................................................................... Comment mettre en place un mur pare feu solide ? .................................................................... Identification d’un mur pare-feu ........................................................................................ Balayage direct ................................................................................................................... Repérage de trajet ............................................................................................................... Capture de banière .............................................................................................................. 2.5.1.1 2.5.1.2 2.5.1.3 2.5.1.4 65 65 65 65 65 66 66 66 66 66 2.5.2 Attaques de refus de services ...................................................................................................... Smurf .................................................................................................................................. Inondation SYN ................................................................................................................. 2.5.2.1 2.5.2.2 2.5.3 Attaques de refus de service UNIX et Windows NT ................................................................... 2.6 2.6.1 2.6.2 Piratage de logiciels .......................................................................................................... Logiciels de commande à distance .............................................................................................. Techniques avancées ................................................................................................................... Technique du détournement TCP (détournement de session) ............................................ Portes dérobées................................................................................................................... 67 67 72 73 73 2.6.2.1 2.6.2.2 3 3.1 LE PROJET EN ENTREPRISE .............................................................................. Description du projet ....................................................................................................... Présentation de la solution ........................................................................................................... Préconisation d’architecture de réseau avec filtrages pour améliorer la sécurité ........................ Situation ...................................................................................................................................... Risque de la connectivité totale du site Albiran (liberté totale de communication entre les machines internes et l’Internet ?) ............................. 3.1.4.1 3.1.4.2 Systèmes avec des bogues .................................................................................................. Systèmes ouverts par défaut ............................................................................................... 75 75 77 77 77 3.1.1 3.1.2 3.1.3 3.1.4 79 79 79 3.2 3.2.1 3.2.2 3.2.3 3.2.4 L’architecture ................................................................................................................... Principes ...................................................................................................................................... Les services dans la zone semi-ouverte ....................................................................................... L’architecture interne .................................................................................................................. Les filtres ..................................................................................................................................... Les filtres sur le routeur d’entrée ....................................................................................... Les filtres sur le BackEnd de la société .............................................................................. 80 80 81 84 85 86 88 13 3.2.4.1 3.2.4.2 3.2.5 3.2.6 3.2.7 3.2.8 3.2.9 3.2.10 l’utilité d’une telle architecture ? ................................................................................................. Quel suivi ? .................................................................................................................................. Sécurité, sûreté, fiabilité .............................................................................................................. Sécurisation de l’Intranet : les firewalls ...................................................................................... Le cloisonnement du réseau......................................................................................................... Sécurisation de l’accès à Internet................................................................................................. Philosophie De Mur à l’épreuve du feu .............................................................................. Différents types de firewalls et d’architectures .................................................................. 88 89 90 90 92 92 92 93 95 95 96 97 97 97 98 98 99 99 99 99 100 101 102 102 102 103 103 104 3.2.10.1 3.2.10.2 3.2.11 Configuration du pare-feu............................................................................................................ Sécurisation du serveur ....................................................................................................... Définition de la sécurité système ........................................................................................ Application des modèles de sécurité................................................................................... Affichage des modifications de configuration .................................................................... Examen des réseaux périphériques ..................................................................................... Réseaux périphériques ........................................................................................................ Utilisations d’un réseau périphérique ................................................................................. Configurations d’un réseau périphérique ............................................................................ Réseau périphérique tri-résident ......................................................................................... 3.2.11.1 3.2.11.2 3.2.11.3 3.2.11.4 3.2.11.5 3.2.11.6 3.2.11.7 3.2.11.8 3.2.11.9 3.2.11.10 Installation de l’ordinateur.................................................................................................. 3.2.11.11 Configuration du réseau périphérique................................................................................. 3.2.11.12 Examen du filtrage des paquets et du routage IP ................................................................ 3.2.11.13 Exemple de fonctionnement de filtrage des paquets........................................................... 3.2.11.14 Configuration du filtrage des paquets et du routage IP ....................................................... 3.2.11.15 Configuration de filtres d’application ................................................................................. 3.2.12 3.2.13 Configuration du serveur Web ..................................................................................................... Préparation de l’installation des Services Internet ....................................................................... Configuration du site Web .................................................................................................. Configuration du répertoire de base ................................................................................... 3.2.13.1 3.2.13.2 3.3 3.3.1 Conception du réseau Windows 2000 sécurisé............................................................... Présentation des fonctionnalités de sécurité d’Active Directory ................................................. Relations d’approbation...................................................................................................... Administration à l’aide d’une stratégie de groupe .............................................................. Utilisation de l’authentification Kerberos version 5 ........................................................... Utilisation du protocole NTLM pour l’authentification ..................................................... Sécurisation des accès aux ressources ................................................................................ Description des identificateurs de sécurité ......................................................................... Contrôle de l’accès aux ressources ..................................................................................... Cryptage des données stockées et transmises ..................................................................... Cryptage de données transmises ......................................................................................... 3.3.1.1 3.3.1.2 3.3.1.3 3.3.1.4 3.3.1.5 3.3.1.6 3.3.1.7 3.3.1.8 3.3.1.9 106 106 107 108 108 109 109 110 110 111 111 112 112 3.3.2 Planification des accès administratifs .......................................................................................... Conception de l’infrastructure de clé publique ................................................................... 3.3.2.1 14 3.3.2.2 3.3.2.3 3.3.2.4 3.3.2.5 3.3.3 Présentation de l’infrastructure de clé publique ................................................................. Utilisation des certificats .................................................................................................... Identification de l’utilisation des certificats ....................................................................... Applications ....................................................................................................................... 112 113 113 113 114 114 115 115 116 117 117 117 119 120 121 122 122 123 123 123 Extension d’un réseau à des entreprises partenaires .................................................................... Conception du plan de sécurité .......................................................................................... Définition de la stratégie de sécurité .................................................................................. Définition de l’étendue du plan de sécurité ........................................................................ Conception du plan de sécurité .......................................................................................... Déploiement du plan de sécurité ........................................................................................ Définition des besoins en matière de sécurité .................................................................... 3.3.3.1 3.3.3.2 3.3.3.3 3.3.3.4 3.3.3.5 3.3.3.6 3.3.4 3.3.5 Planification de la sécurité du réseau local .................................................................................. Planification de la sécurité du réseau distant ............................................................................... Planification de l’interaction avec le réseau public ............................................................ Planification de l’accès des partenaires professionnels au réseau ...................................... Maintenance du plan de sécurité ........................................................................................ Modification du plan de sécurité ........................................................................................ Surveillance des questions relatives à la sécurité ............................................................... Sources d’informations relatives à la sécurité .................................................................... Déploiement des mises à jour de sécurité........................................................................... 3.3.5.1 3.3.5.2 3.3.5.3 3.3.5.4 3.3.5.5 3.3.5.6 3.3.5.7 3.4 3.4.1 3.4.2 3.4.3 3.4.4 Mise en place des Vlans ................................................................................................... Description des VLANs .............................................................................................................. Fonctions ..................................................................................................................................... Connexion de VLANs. ................................................................................................................ Extension de VLANs sur plusieurs Switchs ................................................................................ Répartition des adresses suivant les sites ........................................................................... 124 124 125 127 128 128 129 3.4.4.1 3.4.5 Robustesse ................................................................................................................................... 3.5 3.5.1 3.5.2 3.5.3 3.5.4 3.5.5 Exemple de plan d’adressage .......................................................................................... Sous réseaux : .............................................................................................................................. Choix d’une classe B ................................................................................................................... Adressage Vlan ........................................................................................................................... Exemple de Convention d’adressage IP ...................................................................................... Exemple de convention de noms et d’Adresses IP ...................................................................... 130 130 131 132 133 134 4 DEUXIEME PARTIE : DE L’ETAT D’ESPRIT QUALITE AU SYSTEME DE MANAGEMENT DE LA QUALITE ................................... 137 4.1 4.1.1 4.1.2 La qualité : une philosophie ? ......................................................................................... Définition et objectif de la qualité ............................................................................................... Evolution du concept qualité ....................................................................................................... 137 137 139 15 4.2 4.2.1 4.2.2 4.2.3 La normalisation ISO 9000 .............................................................................................. Objectifs des normes internationales ISO 9000 ........................................................................... Les normes ISO 9000 et leur évolution ....................................................................................... La version 2000 des normes ISO 9000 ........................................................................................ Motivations de la révision et objectifs de la nouvelle version ISO 9000............................ Les normes de la série ISO 9000 version 2000................................................................... 143 143 145 147 147 150 151 4.2.3.1 4.2.3.2 4.2.4 Structure l’ISO 9001 version 2000 .............................................................................................. 5 TROISIEME PARTIE : L’APPROCHE DE L’ORGANISATION PAR LES PROCESSUS .......................................................................................... 153 153 153 158 161 5.1 5.1.1 5.1.2 5.1.3 L’approche processus : Concepts et éléments de terminologie .................................... Qu’est-ce que l’approche processus et pourquoi la mettre en œuvre ? ........................................ Qu’est-ce qu’un processus ? ........................................................................................................ La notion d’efficacité et d’efficience d’un processus .................................................................. 5.2 5.2.1 La logistique par l’approche processus .......................................................................... Quelle méthode pour la mise en place de l’approche processus dans la distribution ? ................ Cartographier les processus ................................................................................................ Identifier les processus clés de la distribution .................................................................... Affecter à chaque processus des objectifs mesurables ....................................................... 5.2.1.1 5.2.1.2 5.2.1.3 162 163 163 164 167 167 168 172 5.2.2 Mettre en place la surveillance des processus.............................................................................. De la cartographie générale aux processus opérationnels de distribution........................... Collecter et analyser les données ........................................................................................ Analyser les causes de dysfonctionnement et les risques potentiels de non-satisfaction du processus : ...................................................................................... 5.2.2.1 5.2.2.2 5.2.2.3 173 174 177 178 5.2.2.4 5.2.2.5 5.2.2.6 Imaginer les solutions : ....................................................................................................... Mettre en œuvre les solutions : ........................................................................................... Vérifier l’efficacité des actions mises en œuvre : ............................................................... CONCLUSION.................................................................................................................. BIBLIOGRAPHIE ............................................................................................................ BIBLIOGRAPHIE QUALITE ........................................................................................ REFERENCES ARCHITECTURE ................................................................................ ANNEXES.......................................................................................................................... PORTS ............................................................................................................................... LES PORTS LES PLUS CELEBRES............................................................................. 16 179 181 183 186 188 191 192 SPÉCIFICATIONS ........................................................................................................... 194 SITES INTERNET ............................................................................................................ 195 LISTE DE SITES CONCERNANT LA SÉCURITÉ ..................................................... 197 LES SITES PREMIUM .................................................................................................... 198 AUTRES SITES................................................................................................................. 200 UTILITAIRES DE SÉCURITÉ ....................................................................................... 201 GLOSSAIRE ...................................................................................................................... 211 17
Architecture réseau sécurisé pour une ouverture à l'Internet et processus qualité - Page 1
Architecture réseau sécurisé pour une ouverture à l'Internet et processus qualité - Page 2
wobook
edilivre.com