Archives par mot-clé : réseau

La DMZ pour les nuls

Le terme DMZ vient de l’anglais “DeMilitarized Zone” et veut dire zone démilitarisée en francais. En informatique, la DMZ est un sous-réseau isolé séparant le réseau local (le LAN donc) et un réseau considéré comme moins sécurisé, comme Internet par exemple. Et cette séparation est faite par un firewall.

La DMZ héberge justement des machines du réseau interne qui ont besoin d’être accessibles depuis l’extérieur, c’est le cas notamment lorsqu’ils fournissent un service fourni aux utilisateurs sur Internet (serveur web, un serveur de messagerie, proxy, RP, un serveur FTP public, DNS, VoIP, etc)

La DMZ joue le rôle de « zone tampon » entre le réseau à protéger et un réseau hostile. Les serveurs du LAN ne sont jamais exposés directement à Internet. Et à l’inverse, les personnes de l’extérieur n’ont jamais à accéder directement à des ressources du LAN. Tout doit d’abord transiter par la DMZ

En terme de sécurité cela veut aussi dire qu’en cas de compromission d’un des services dans la DMZ, le pirate n’aura accès qu’aux machines de la DMZ et non au réseau local.

A noter qu’il est aussi tout à fait possible de mettre en place des DMZ en interne afin de cloisonner le réseau interne selon différents niveaux de protection

En termes d’architecture, Il existe plusieurs façons de concevoir un réseau avec DMZ.

La première méthode est d’utiliser Un seul pare-feu avec trois interfaces réseau à créer. Le réseau externe est formé sur la première interface, entre le FAI et le firewall. Le réseau interne est formé à partir de la deuxième interface réseau. Et la DMZ à partir de la troisième interface. Et les différentes règles de firewall vont contrôler le trafic entre lnternet et la DMZ, et entre le LAN et la DMZ. Le principal inconvénient de cette architecture est que si cet unique firewall est compromis, cette architecture tombe.

Une architecture plus sécurisée consiste simplement à utiliser deux firewalls pour créer une DMZ. Le premier laisse passer uniquement le trafic vers la DMZ. Le second n’autorise que le trafic entre la DMZ et le réseau interne. Cette configuration est considérée comme mieux sécurisée, puisqu’un pirate devra compromettre deux machines pour accéder au LAN interne.

Pour aller plus loin sur ce sujet, je vous conseille fortement d’aller voir ma vidéo sur le firewall

IDS et IDS : comprendre l’essentiel

Dans cette vidéo, je vais vous expliquer ce qu’est un IDS et un IPS. Qu’est ce qu’un IDS? Qu’est ce qu’un IPS? Quels sont leurs rôles, leurs points communs et leurs différences ?

Intrusion Detection System

IDS pour Intrusion Detection System veut dire système de détection d’intrusion en français. Il s’agit d’un mécanisme qui a pour objectif de re pérer tout type de trafic potentiellement malveillant (par exemple les tentatives d’intrusion, attaques virales, débits trop importants et trafic sortant de l’ordinaire).

Pour résumer, un IDS va détecter une activité suspecte en s’appuyant sur une norme. Si les activités s’éloignent de la norme, l’IDS lance une alerte. Et l’IDS remplit cet objectif en surveillant les activités d’une cible (qui peut être un réseau ou des machines hôtes).

En fonction de la cible on aura 2 types d’IDS différents :

  • le premier est le Network IDS ou l’IDS réseau
  • Les NIDS (Network Intrusion Detection System), surveillent l’état de la sécurité du du réseau.
Network IDS

Le NIDS est situé sur un réseau isolé et ne voit qu’une copie du trafic. Et quand je dis trafic je parle des paquets qui circulent sur le réseau. Et en cas, de détection d’une menace, le NIDS peut lever des alertes et ordonner les actions pour le blocage d’un flux

En terme d’architecture,  Le NIDS est situé sur un réseau isolé et analyse une copie du trafic du réseau à surveiller, entre ses points d’entrées et les terminaux du réseau. A noter qu’Il est entièrement passif et n’est pas capable de dialoguer avec le réseau surveillé.

Host IDS

Il y a ensuite les Host IDS ou  IDS système. Les HIDS (Host Intrusion Detection System), surveillent l’état de la sécurité des hôtes selon différents critères :

  • Activité de la machine (comme par exemple le nombre et listes de processus, le nombre d’utilisateurs, ressources consommées, etc.)
  • Le second critère de surveillance est l’Activité de l’utilisateur sur la machine : horaires et durée des connexions, commandes utilisées, programmes activés, etc
  • Et évidemment le HIDS analyse toute Activité potentielle liée à l’activité d’un ver, d’un virus ou cheval de Troie

En terme d’architecture, le HIDS master récupère les informations remontées par une machine sur laquelle un client HIDS est installé. Ensuite, le HIDS master va analyser ces informations sur le fonctionnement et l’état des machines  afin de détecter les menaces.

Intrusion Prevention System

Passons maintenant à l’IPS. L’IPS (pour Intrusion Prevention System) veut dire système de prévention d’intrusion en français.

Il est situé en coupure, c’est à dire qu’il n’analyse pas une copie des données comme l’IDS, mais va analyser les données elles-mêmes. Ce qui veut dire que Les données réelles passent à travers l’IPS. L’IPS va réagir en temps réel en stoppant le trafic suspect qu’il reconnaît, notamment en bloquant les ports.

Comme l’IDS, il existe 2 principaux types d’IPS

Network Intrusion Prevention System

Les NIPS (network intrusion prevention system) sont des IPS permettant de surveiller le trafic réseau.

Le NIPS analyse le trafic réseau en s’appuyant sur une base de données de signatures d’attaque (comme un anti virus) et dès qu’il reconnait une signature, il en déduit que c’est une attaque.

Dans ce cas il peut prendre des mesures pour bloquer l’attaque avant qu’elle n’ait commencé en bloquant le flux malveillant.

Host Intrusion Prevention System

Les HIPS (host intrusion prevention system) sont des IPS permettant de suivre l’état de sécurité des machines hôtes. Le HIPS réalise cela à travers la surveillance des différentes éléments de la machine : les processus, les drivers, les .dll etc.

En cas de détection d’un processus suspect, le HIPS peut le stopper pour mettre fin à l’attaque.

Il y a deux inconvénients majeurs concernant les IPS :

  • Comme les IDS, les IPS ne sont pas fiables à 100 % mais la le principal risque c’est de bloquer du trafic légitime en cas d’erreur d’analyse
  • Le deuxième inconvénient de l’IPS est que, il est donc vulnérable et attaquable puisqu’il est en coupure sur le réseau.

Un flux malveillant peut exploiter une faille afin de prendre le contrôle sur l’IPS et désactiver ses fonctions de sécurité, et même pour éventuellement s’en servir pour mener de nouvelles attaques

Firewall et IPS réseau

Dernière chose parce qu’il y a beaucoup de confusion dessus, c’est la différence entre un firewall et un IPS réseau

Le rôle d’un IPS reseau est de détecter des attaques sur un réseau à partir d’une base de données de signatures d’attaque (comme un anti virus) et de les bloquer si nécessaire.

Le rôle d’un firewall est différent puisque son but est de faire du filtrage d’accès en définissant les communications autorisés ou interdites.

Par exemple :

  • Les accès sortant directes en HTTP vers l’extérieur du réseau sont interdits et ces flux doivent donc passer par le proxy de l’entreprise avant d’aller vers l’exterieur.
  • Ou alors Les accès entrants en tel protocol applicatif sont interdits sauf s’ils proviennent de cette machine externe spécifique à destination de cette machine interne spécifique, etc.

Mais c’est vrai que certains firewalls embarque des fonctions IPS avec eux d’où les confusions. Ce sont des fonctions complémentaires

D’ailleurs sachez que j’ai fait une vidéo dédiée sur les firewalls si vous voulez en savoir plus!

Comprendre le VPN en chanson !

Vous rêviez d’une chanson sur l’air de « Libérée, délivrée » (de La reine des neiges) pour vous expliquer le fonctionnement d’un VPN?

Non…?

Bah on l’a fait quand même! Et ça donne « Connecté, Protégé ».

 

Trop éloigné du réseau d’entreprise,

Je n’y accède qu’à distance

Un réseau privé virtuel

Crée un pont pour les échanges

 

Un tunnel VPN permet de relier

Ces réseaux physiques

En réseau privé.

 

Crypte tes échanges et tes données

De bout en bout sans te les faire voler

Pas d’piratage, de bug, de haine

Via VPN !

 

Connecté, protégé,

Réseau distant à ma portée ;

Connecté, protégé,

Comme un LAN local parfait.

 

J’ai laissé un client s’installer

Là, sur ma machine…

Pour échanger avec le serveur associé

 

Quand on atteint ce serveur,

Reste à s’authentifier

Un login, mot d’passe, sans erreur

Mon accès est validé

 

C’est en passant par Internet

Que j’économise et c’est chouette ! 

Pas d’équipements dédiés, mon vieux…

Tant mieux !

 

Connecté, protégé

Mon identité vérifiée

Connecté, protégé

Pas besoin d’beaucoup payer !

Me voilà!

Oui, je suis là!

Au sein du réseau…

 

Son pouvoir vient du tunneling sécurisé

Qui donne accès à toutes les ressources d’un réseau parfait

Et les applications deviennent toutes accessibles

Mes mails ou l’intranet, plus rien n’est impossible ! 

 

Connecté, protégé

Désormais plus rien ne m’arrête   

Connecté, Protégé

Une solution parfaite

Je suis là!

Comme je l’ai rêvé!

Au sein du réseau

Le VPN est le prix de la liberté.

Proxy / Reverse proxy : comprendre l’essentiel en 5 minutes

Dans cette vidéo, je vais vous expliquer le rôle du serveur proxy mais aussi celui du reverse proxy.

 

Qu’est ce qu’un serveur proxy?

Un serveur proxy est un serveur intermédiaire, qui va permettre à une application ou un internaute d’accéder à Internet.

Dans ce cas, l’utilisateur va d’abord se connecter au serveur proxy et lui envoyer sa requête. Et c’est le serveur proxy qui va à son tour transmettre le message au serveur distant.

Voyons maintenant les principaux usages des proxy :

  • Le premier usage du serveur proxy est d’abord d’assurer le filtrage de l’accès internet dans une entreprise.  Cela permet d’empêcher l’accès à des sites potentiellement dangereux pour la sécurité du SI ou alors non conforme à la politique de l’entreprise (par exemple facebook ou des sites pour adultes)
  • Le second usage du proxy est de permettre aussi paradoxalement de contourner les filtrages. Prenons l’exemple de la Chine qui bloque l’accès à facebook via pare-feu. Il est possible de contourner ce filtrage en passant par un  proxy, situé au delà du pare-feu dans un autre pays.

Maintenant voyons les principales fonctionnalités d’un serveur proxy

  • La première fonctionnalité du serveur proxy est de permettre l’anonymisation de l’internaute grâce au masquage de l’IP du client : lorsque le proxy va s’adresser au serveur distant, il va utiliser une adresse IP publique et masque donc l’IP de l’internaute qui a fait la requête initiale. La réponse du serveur distant à la requête passe aussi par le proxy qui est donc le seul à connaître l’adresse IP de l’internaute.
  • Le serveur proxy permet une accélération de la navigation : principalement par les compression des données, le filtrage des contenus lourds mais aussi via la fonction de cache. La fonction cache est la capacité à garder en mémoire les pages les plus souvent visitées afin de pouvoir les leur fournir le plus rapidement possible.
  • Enfin, le proxy permet d’assurer un suivi des connexions via les logsEn effet, le proxy enregistre les requêtes des utilisateurs lors de leurs demandes de connexion à Internet. Lorsque le filtrage est réalisée selon une liste de requêtes autorisées, on parle de liste blanche, et lorsque le filtrage se fait à partir d’une liste de sites interdits on parle de liste noire.

 

Reverse proxy

Maintenant que l’on a vu le rôle du proxy voyons maintenant ce qu’est le reverse proxy. Et comme son nom l’indique, le RP joue le rôle inverse du proxy. Contrairement au serveur proxy qui permet à un utilisateur d’accéder à Internet, le proxy inverse permet lui à un utilisateur d’Internet (donc externe) d’accéder à des serveurs internes.

Il joue donc le rôle intermédiaire de sécurité en protégeant les serveurs Web internes des attaques provenant de l’extérieur. Le reverse proxy permet alors d’avoir un point unique de filtrage des accès aux ressources internes.

Voyons maintenant les principales fonctionnalités du RP :

  • Le Reverse Proxy peut porter le chiffrement SSL et être directement connecté à des serveurs d’authentification avec lesquels il va gérer les droits d’accès et la durée des sessions.
  • Ensuite avec la mémoire cache, le proxy inverse peut décharger les serveurs Web de la charge de pages statiques. Et comme pour le proxy, le RP peut réaliser la compression du contenu des sites pour optimiser la bande passante et le chargement des contenus.
  • Enfin le RP permet de faire de la répartition de charge  en redirigeant les requêtes vers les différents serveurs.