Add to collection(s) Add to saved
  1. No category
Uploaded by Anastasia Syggin

Doc-projet-ludo-valentin

advertisement 
Documentation projet infrastructure sécurisée :
L’objectif de ce projet est de déployer une infrastructure d’entreprise en appliquant certaine mesure
de sécurité afin de fournir un SI répondant à des critères DIC (disponibilité, intégrité, confidentialité).
L’infrastructure devra répondre aux critères suivants :
-
Le domaine du SI sera m2i.lab
Le domaine sera résolu par du DNS en interne
Une PKI pour la gestion des certificats interne et externe sera mise en place
La haute disponibilité du réseau sera assurée par les protocoles CARP, XMLRCP ET PFSYNC via
2 pares feux en failover (OPNsense ou DYNFI)
Un serveur DHCP diffusant dans le LAN pour les clients
Un serveur WEB (Apache2) en HTTPS sera déployé afin d’assurer la confidentialité du trafic vers
l’intranet
Un niveau de sécurité haut concernant les méthodes d’authentification et de communication
sera mis en place
Une segmentation en sous réseaux sera implémentée avec filtrage de trafic stricte via firewall
comprenant :
➢ Un réseau WAN pour l’accès internet
➢ Un réseau LAN pour les clients
➢ Un réseau SRV pour les serveurs
➢ Un réseau ADM pour le management des serveurs
➢ Un réseau SYNC pour la synchronisation des pares-feux
Schéma logique de la topologie réseau déployée
Documentation technique :
Topologie du réseau :
L’architecture réseau du SI est conforme à cette topologie :
-
Réseau WAN
Réseau LAN en 192.168.200.0/24
Réseau SRV en 192.168.100.0/24
Réseau ADM en 172.17.0.0/16
Réseau SYNC en 172.16.0.0/30
DNS :
Le service DNS sera assuré par les firewalls qui serviront de « resolver » pour l’ensemble du domaine
mais également vers l’extérieur.
L'implémentation de DNSSEC dans notre infrastructure DNS va renforcer la sécurité au niveau de la
résolution interne. DNSSEC répond principalement au critère de sécurité de l'intégrité des données. Il
assure que les réponses fournies par le système de noms de domaine (DNS) sont authentiques et n'ont
pas été altérées ou falsifiées durant leur transit sur Internet. Cela prévient efficacement des attaques
telles que le « DNS spoofing » et le « cache poisoning », où des attaquants pourraient rediriger nos
utilisateurs vers des sites frauduleux via des attaque « Man in the middle ».
Le DNS rebind Check est également activé.
Il fonctionne en bloquant les réponses DNS qui dirigent les utilisateurs vers des adresses IP privées
potentiellement malveillantes.
PKI :
Une PKI assure la gestion des autorités de certification et les certificats.
Une autorité de certification interne permet de générer et d’authentifier tous les certificats interne aux
SI. Celle-ci est ensuite importée dans les navigateurs/systèmes d’exploitation des clients.
Ceci permettra de ne pas habituer nos utilisateurs à cliquer sur « accepter le risque » tout en ayant des
certificats gratuits pour notre SI interne.
Elle pourra également gérer les certificats délivrés par de réelle autorité de certification en cas de
besoin.
Haute disponibilité du réseau / Cluster de pares feux :
Celle-ci se ferai via 3 protocoles différents et nécessaires à une réelle haute disponibilité :
Le protocole CARP qui est un protocole d’agrégation d’interface via une interface virtuelle (VIP)
Chaque réseau nécessitant de la haute disponibilité se voit attribué une IP d’agrégation virtuelle :
-
Le WAN pour la disponibilité d’internet
Le LAN
Le réseau SRV
Le protocole PFsync qui permet de synchroniser l’état actuel des connexions en cours et ainsi assure
un basculement cohérent et le maintien des connexions en cours en cas de perte d’un pare feu.
Le protocole XMLRCP qui permet la synchronisation entre les 2 pares feux via la transmission de fichier
de configuration XML.
L’ensemble du trafic de synchronisation des pares feux passe par un réseau dédié et isolé (SYNC) en
notation CIDR /30 afin de restreindre le nombre de machines possibles au sein de celui-ci.
DHCP :
Le serveur DHCP distribue des IP aux machines clientes dans le LAN.
Sa plage d’adresse est actuellement de 192.168.200.150 à 192.168.200.200 au vu du petit nombre de
machine dans notre SI.
Si besoin d’augmenter la plage il faudra faire attention à la machine d’administration qui a une IP fixe
en 192.168.200.1 et éventuellement ajouter un bail statique.
Serveur WEB intranet :
Le serveur WEB est hébergé dans le réseau SRV et ne réponds que sur son IP dans celui-ci en HTTPS.
Son certificat est fourni par la PKI et sa résolution se fait par nos DNS internes via son url « web.m2i.lol »
Il utilise le protocole TLVv1.2 au minimum et les ciphers recommandés en termes de sécurité
Sécurité de l’infrastructure :
Concernant la sécurité du SI, différents points sont à prendre en compte et à appliquer.
1. L’administration de l’infra :
Ne se fait que via le réseau ADM, qui est un réseau isolé dans lesquels toutes les machines
d’administration et les machines à administrer sont présente.
Ce réseau est en 172.17.200.0/16, cependant le sous réseau de celui-ci sera à réévaluer car
nous n’avons pas forcement la nécessité d’avoir autant d’adresse disponible.
Aucun protocole d’administration (SSH, RDP, VNC, telnet…) n’est et ne dois être autorisé à
transiter depuis les autres sous réseaux du SI.
2. Les méthodes, algorithmes de chiffrement et de hashage :
Elles doivent être hautement sécurisés et se baser sur des méthodes/algorithmes robuste.
Méthode de transport :
SSL est proscrit et TLSv1.2 au minimum doit être utilisée (1.3 préférable)
Ciphers :
Les algorithmes de chiffrement et de hashage utilisés doivent répondre aux exigences de
sécurité en vigueur :
Voici un exemple de recommandations actuelles en termes de sécurité pour openssl
(24/11/2023)
https://ciphersuite.info/cs/?software=openssl&sort=sec-desc
3. Administration des machines en ssh :
Concernant le ssh, certaines règles sont appliquées aux serveurs et doivent être respecter pour
toute nouvelle implémentation de connexion vers une machine :
- Ecoute seulement dans le réseau ADM pour SSHD
- Pas de root login
- Authentification par clé privées/publiques seulement pour des utilisateurs restreints
- Utilisation des ciphers et des types/algorithme de clés recommandées
- Aucun autre mode d’authentification accepté (challenge/response, mdp, PAM)
- Pas d’activation du X11Forwarding si pas nécessaire (interface graphique)
- Pas d’accès au fichier rhosts
- Pas de permission de tunnel ssh si pas nécessaire
- Si machine sensible, utiliser le pare feu local des serveurs pour n’autoriser que les machines
d’administration
4. Administration des firewalls :
Les firewalls répondent au URL fw1.m2i.lol et fw2.m2i.lol.
Les règles suivantes sont en place concernant l’administration de ceux-ci :
- Toute modification doit être effectuer sur le pare feu 1 (fw1.m2i.lol) car sa configuration est
répliquée sur le pare feu de secours.
- L’administration des firewalls (en interface graphique + SSH) ne se fait que depuis les machines
d’administration (Alias pour les regrouper) et règle de pare-feu + configuration sont mis en
place pour cela.
- La sécurité HSTS est en place pour empêcher le basculement en HTTP une fois la connexion
établie.
- Le compte root est désactivé sur le GUI des firewalls et un compte nominatif est créé pour
chaque intervenant.
5. Règles de sécurité du trafic :
Principe du moindre privilège en vigueur, on bloque tout et on autorise seulement ce qui est
nécessaire. Pas de « ANY » dans les règles de pare-feu. On autorise spécifiquement la ou les IP
sur le ou les protocoles nécessaires et a destination de la bonne cible.
Related documents
1550 LZU 103 1014
1550 LZU 103 1014
Bourbaki
Bourbaki
E4 PTAct 7 5 1
E4 PTAct 7 5 1
Comment partager sur son réseau
Comment partager sur son réseau
M1-SSI-IS-C5
M1-SSI-IS-C5
QCM Reseaux corrige interne 2008
QCM Reseaux corrige interne 2008
Memoire Online - Conception et déploiement d une architecture réseau sécurisée cas de SUPEMIR - Angeline Kone
Memoire Online - Conception et déploiement d une architecture réseau sécurisée cas de SUPEMIR - Angeline Kone
Download
advertisement