Méthodologie globale d’intrusion
Généralement, les pirates utilisent le même schéma de principe pour s’introduire dans un système d’information.
Ils vont commencer par inventorier l’ensemble des vulnérabilités du système en recherchant notamment celles qui existent déjà dans les protocoles, les systèmes d’exploitation, les applications et même l’organisation.
La figure ci-après, issue de l’article « Sécurité – Méthodologie d’une intrusion sur le réseau » rédigé par Jean François PILLOU présente la cinématique globale utilisée pour s’introduire et corrompre un système d’information.
Contexte
Je suis actuellement salarié en tant qu’Ingénieur Réseaux au sein de l’équipe Architecture et Surveillance des Réseaux du Bureau 1C « Infrastructures informatiques et Télécommunications ». Ce bureau fait partie du Secrétariat Général des Ministères Économiques et Financiers (MEF). Nous sommes en charge de la définition des architectures de réseaux de données, de l’exploitation et de la maintenance des infrastructures réseau. Il convient de présenter le contexte organisationnel dans lequel le bureau se situe avant de présenter l’environnement technique dans lequel l’objet de ce mémoire est mis en œuvre.
Contexte Organisationnel
Le secrétariat général est l’entité transverse des MEF. Il convient de présenter son organisation et ses attributions.
Présentation du Secrétariat Général des Ministères
Économiques et Financiers
Le Secrétariat Général des MEF assiste les ministres pour l’administration de leur ministère. Il est le garant du bon fonctionnement des services centraux.
En outre, le Secrétaire Général assiste les ministres dans l’exercice de leurs responsabilités de défense et de sécurité.
Présentation du Service Environnement Professionnel (SEP)
Le SEP est une structure du Secrétariat Général des MEF. Le SEP a pour mission d’assurer la gestion des moyens des directions et des services de l’administration centrale des Ministères. En concertation avec les autres directions et services, il conçoit et met en œuvre.
Le bureau 1A
Le bureau « Gouvernance de l’informatique centrale » élabore les orientations en matière d’informatique et de télécommunications des directions et services de l’administration centrale, en collaboration avec les directions et services. Il conduit la démarche qualité de la sous-direction. Il définit la politique de formation informatique des informaticiens et des utilisateurs des directions et services de l’administration centrale, en collaboration avec la sous-direction des ressources humaines. Il définit la politique d’achat informatique de l’administration centrale. Il est responsable des marchés informatiques des directions et services de l’administration centrale ainsi que des marchés ministériels qui lui sont confiés.
Le bureau 1B
Le bureau « Applications et projets informatiques » est responsable de la conception, de la réalisation, de la mise en place et du suivi des projets informatiques au profit des services de l’administration centrale. Il assiste les maîtrises d’ouvrage directionnelles et les conseille dans leurs choix d’investissement. Il réalise des études générales et analyse les besoins fonctionnels. Il assiste, conseille et forme les utilisateurs aux applications nouvelles. Il assure la maintenance et l’évolution des outils installés.
Le bureau 1C
Le bureau « Infrastructures informatiques et Télécommunications » met en place, exploite et administre les équipements centraux des directions et services d’administration centrale et les systèmes d’exploitation associés. Il construit, gère et pilote l’ensemble des réseaux informatiques, téléphoniques et audiovisuels des directions et services de l’administration centrale. Il en assure la qualité de service. Il assure l’interconnexion des systèmes informatiques des directions à réseau et l’interface opérationnelle avec les services interministériels. Il bâtit et met en service les architectures informatiques, optimise et surveille les infrastructures installées. Il conçoit et met en œuvre la politique de sécurité des systèmes d’information des directions et services de l’administration centrale.
Le bureau 1D
Le bureau « postes de travail et services aux utilisateurs » définit les configurations matérielles et logicielles de tous les postes de travail et périphériques installés dans les directions et services d’administration centrale.
Il assure la maîtrise d’ouvrage et l’administration de la gestion du parc informatique matériel et logiciel des directions et services d’administration centrale ainsi que la gestion du catalogue des services rendus aux utilisateurs. Il assiste les utilisateurs des directions et services de l’administration centrale, en liaison avec les correspondants informatiques. Il coordonne et conseille les équipes du réseau des correspondants informatiques. Il assure, l’assistance informatique de proximité auprès d’unités de travail non dotées de correspondants informatiques. Il assure la régie audiovisuelle et répond aux besoins matériels et logiciels de manifestations organisées dans l’enceinte des bâtiments des services centraux du ministère.
Contexte technique
Architecture réseau des Ministères économiques et financiers
Le Bureau 1C est en charge de l’ensemble des réseaux des directions et des services de l’administration centrale. Ce périmètre comprend le site de Paris – Bercy , portant les plateaux informatiques du ministère, ainsi que 20 sites importants repartis sur la région île de France.
Architecture Physique
Le site de Bercy est composé de cinq bâtiments (Colbert, Vauban, Necker, Sully et Turgot).
Architecture Logique
Le réseau de Bercy est segmenté en plusieurs réseaux virtuels (VLAN), les principaux réseaux sont le « réseau général » qui regroupe de façon générique les VLANs des postes des utilisateurs, les réseaux dédiés aux plateaux informatiques, les réseaux dédiés aux cabinets ministériels.
À chaque réseau virtuel correspond un réseau IP. Les réseaux IP de l’Administration Centrale sont routés par les commutateurs de bâtiments (LTB) dans une Virtual Routing and Forwarding (VRF ) spécifique. Ceux des directions le sont dans leurs VRF respectives. Enfin, une VRF spécifique est utilisée pour l’administration des équipements.
Analyse des mesures de sécurité existantes
Les mesures existantes
Un ensemble de mesures de sécurité ont été prises pour se prémunir contre les éventuelles attaques. Ainsi, au niveau réseau, les MEF sont protégés vis-à-vis des accès en provenance d’Internet par une DMZ à deux niveaux (Web et Données). Le secrétariat général se protège également des différentes directions qui composent les MEF par une série de pare-feu. D’un point de vue utilisateurs, deux méthodes d’authentification coexistent en fonction des usages :
Spécifications
Le système d’information du ministère propose un ensemble de services à ses utilisateurs.
Exigences fonctionnelles
La solution doit permettre d’authentifier, de façon unique, l’accès des agents du SG et des personnels des cabinets ministériels au réseau du ministère. Sur le périmètre des salles de réunion, une authentification « visiteurs » pourra être mise en place.
D’un point de vue ergonomique, il est souhaité qu’elle puisse être adaptée afin de respecter la charte graphique des MEF. De plus, il serait appréciable que les informations affichées durant le processus de connexion soient interprétables par l’utilisateur lambda.
De même, il est souhaité que la cinématique de connexion, comme décrite par la figure ci-après, soit dynamique et ne donne pas l’impression que le processus de connexion soit figé.
D’un point de vue connectivité, il est souhaité que, en cas de perte de connexion, le délai de reconnexion automatique soit paramétrable ainsi que le nombre de tentatives. De plus, la durée maximale d’une session devrait être paramétrable.
Exigences opérationnelles
La solution doit pouvoir être installée sur un environnement redondé sur un site principal et un site de secours. Elle doit permettre, en cas de défaillance du site principal, un basculement automatique vers le site de secours. Un réglage, pour permettre un basculement manuel est également souhaité.
L’architecture proposée devra être dimensionnée pour authentifier, en fonctionnement nominal, jusqu’à 10 000 utilisateurs.
La solution retenue doit être compatible avec Windows 7 et 10. Son intégration dans les environnements utilisateurs devra également être étudiée.
La solution devra disposer de fonctionnalités natives de reporting pour suivre l’activité des connexions. Elle devra permettre la personnalisation des messages d’erreurs, afin de faciliter le travail des équipes de support.
État de l’art : Le standard 802.1X et les protocoles EAP et RADIUS
802.1X est un protocole de contrôle d’accès au réseau (basé sur le contrôle du port) initialement proposé par IEEE pour sécuriser l’accès aux réseaux filaires de type Ethernet. Il est également utilisé pour sécuriser l’accès aux réseaux de type sans fils.
Ce protocole contrôle l’accès au réseau en authentifiant les machines qui se connectent sur les interfaces réseau d’un commutateur où la fonctionnalité est activée. Il s’agit d’un protocole fonctionnant en concert avec les technologies de type AAA (Authentication, Authorization and Accounting), principalement RADIUS. Ces technologies, offrant une plateforme uniforme pour le contrôle des accès, la gestion des autorisations et la journalisation des activités, offrent les fonctions de sécurité suivantes :
Authentification : identifier un utilisateur et déterminer s’il est autorisé.
Autorisation : attribuer des droits à l’utilisateur et contrôler son accès aux ressources et services (par exemple lui donner les droits en lecture sur l’état d’un service,…)
Gestion de comptes : enregistrer toutes les informations liées à l’usage d’un service (type de service, début du service, trafic lié au service).
Le standard 802.1X
Le protocole 802.1X repose sur un modèle client-serveur. Pour son bon fonctionnement, nous avons besoin de 3 entités comme décrit dans l’illustration ci-après :
Le client : Un client souhaitant se connecter au réseau doit avoir un module 802.1x pour s’authentifier auprès du point de contrôle. Ce module est appelé supplicant.
Le point de contrôle : L’équipement d’accès au réseau va contrôler les droits du client. Il s’agit de l’authentifiant qui va jouer le rôle de contrôleur d’authentification (Network Access Controller [NAC]). Généralement, il se repose sur un serveur d’authentification pour réaliser cette tâche. Le point de décision : Le point de décision fourni le service d’authentification au point de contrôle. Il authentifie les clients en fonction des informations qu’il reçoit. Ces informations sont des données émises par le point de contrôle. Le serveur en charge de la prise de décision, après avoir reçu et traité les données d’authentification, retourne au point de contrôle le résultat de l’authentification.
En général, l’authentification peut être faite par un serveur de la famille technologique AAA. Il peut s’agir d’un RADIUS (Remote Authenticaton Dial in User Service), ou TACACS + (Terminal Access Controller Access-Control System) ou encore DIAMETER.
La technologie AAA la plus utilisée avec le protocole 802.1X pour authentifier les utilisateurs est RADIUS. Dans un petit réseau, la fonctionnalité d’authentification peut être assurée par le point de contrôle au réseau.
Fonctionnement
802.1X définit deux ports logiques pour l’équipement d’accès au réseau. Tous les paquets arrivant sur le port physique du point de contrôle sont visibles sur les deux ports logiques :
Port contrôlé : Le port contrôlé autorise les paquets entrants et sortants du port lorsqu’il est dans un état autorisé et il bloque le trafic lorsqu’il est dans un état non autorisé. L’état est autorisé lorsque le client a réussi son authentification et il est refusé lorsqu’il a échoué à l’authentification.
Port non contrôlé : Le port non contrôlé est toujours ouvert pour émettre et recevoir les trames Extensible Authentication Protocol (EAP) qui permettent les échanges d’authentification.
Pour son bon fonctionnement, le protocole 802.1x a besoin d’échanger des données avec les composants de son architecture. Pour cela, il utilise un protocole de transport de données d’authentification : Le protocole EAP. 802.1X utilise le protocole EAP (Extensible Authentication Protocol) pour transporter les paramètres d’authentification pour le client, le point de contrôle et le point de décision. Il utilise le modèle client-serveur et supporte un ensemble de méthodes d’authentification. 802.1X défini EAP over LAN (EAPOL) pour l’échange de paquets entre le client et le point de contrôle dans un réseau filaire et sans fils. Entre le point de contrôle et le point de décision, les paramètres sont transmis en utilisant EAP over RADIUS (EAPOR) qui encapsule les paquets EAP dans RADIUS.
Le protocole EAP
Le protocole EAP, défini par les RFC 2284, 3748 et 5247, est un protocole de transport des données d’authentification reposant sur le modèle Client/Serveur. Historiquement, il a été créé pour permettre au protocole PPP (Point to Point Protocol) d’embarquer des méthodes d’authentifications d’accès au réseau.
Cependant il supporte l’ensemble des méthodes d’authentification.
Le protocole RADIUS
Le protocole RADIUS (Remote Authentication Dial-In User Service) a été développé à l’origine par Steve Willens pour la société Livingston Enterprises comme un serveur d’authentification et de gestion de comptes. Étant tombé dans le domaine public, il a été amendé par plusieurs RFC consécutives . La version actuelle est définie par les RFC 2868. Il appartient à la famille des protocoles AAA (Authentication, Authorization, Accounting). RADIUS est aujourd’hui le protocole d’authentification le plus utilisé et le plus implémenté sur les équipements réseaux. En effet, la plupart des constructeurs ont développé leur propre bibliothèque de paramètres RADIUS . Il est très déployé chez les fournisseurs d’accès internet pour l’authentification des connexions clientes. On l’utilise également pour l’authentification des accès distants sur les serveurs.
Fonctionnement
Le protocole RADIUS fonctionne selon un modèle client-serveur : Les clients, souhaitant authentifier leurs utilisateurs, émettent des requêtes vers le serveur qui, après avoir réalisé la vérification de l’identité de l’utilisateur, renvoie une réponse.
Interopérabilité des technologies 802.1x, EAP, RADIUS
Le processus d’authentification 802.1x met en œuvre l’ensemble des protocoles 802.1x, EAP et RADIUS pour la réalisation de l’authentification.
Composition de l’architecture 802.1x
Le protocole 802.1X est utilisé pour les échanges entre le client et le point de contrôle. Pour authentifier un client, il se repose sur un point de décision généralement de type RADIUS. Le protocole RADIUS est utilisé pour les communications entre le point de contrôle (appelé NAS) et le point de décision. Le protocole EAP, grâce aux méthodes qu’il met à disposition, sera utilisé pour réaliser l’authentification entre le client et le point de décision.
L’authentification 802.1x
Le client, aussi bien que le point de contrôle peuvent lancer une authentification de type 802.1x.
Lorsque c’est le client qui initie le processus d’authentification, il envoie un paquet EAPOL-Start au point de contrôle. L’adresse MAC de destination de ce paquet est une adresse multicast spécifiée dans la norme IEEE 802.1X (01 : 80 : C2 : 00 : 00 : 03) ou à l’adresse MAC de Broadcast.
Le point de contrôle initie la procédure d’authentification lorsque le client ne peut pas envoyer de paquet EAPOL-Start (par exemple avec Windows XP). Pour cela, il fonctionne de deux manières: Multicast : Le point de contrôle envoie en multicast toutes les 30 secondes un paquet EAP-Request
Unicast : en recevant un paquet avec une adresse MAC qui n’est pas dans sa table, il envoie un paquet EAP-Request pour demander l’identité. Il retransmet le paquet à intervalle régulier (à définir) lorsqu’il ne reçoit pas de réponse.
La procédure d’authentification 802.1X
Dans 802.1X, il y a deux approches pour l’authentification:EAP Relay et EAP termination. Le choix se fait en fonction des paquets EAP et des méthodes d’authentifications supportées par le serveur RADIUS. Dans le mode EAP relay, défini dans la norme IEEE 802.1x, le client doit utiliser le même mode d’authentification que le serveur RADIUS. Sur le point de contrôle, on doit juste exécuter la commande « dot1x authentication-method eap » pour activer cette fonction.
Critères d’intégration
Le protocole 802.1x est un protocole de contrôle d’accès au réseau. Avec une solution embarquant ce type de protocole, un utilisateur peut se retrouver du jour au lendemain sans accès au réseau et aux services associés, notamment la téléphonie. Il est important dans un premier temps d’identifier l’ensemble des équipements connectés au réseau, de les classer par familles et de vérifier leur compatibilité avec les protocoles engagés. Dans un second temps, à partir du résultat de l’identification, on va pouvoir déterminer quelle méthode retenir pour les différentes familles.
Identification des équipements à authentifier
Avant de définir les spécifications techniques nous devons identifier l’ensemble des équipements communiquant sur le réseau et nous assurer de leur compatibilité avec le standard 802.1x. Le cas échéant, il est important de proposer une méthode permettant de verrouiller la sécurité au niveau de la connexion de ces équipements.
Identification des équipements connectés sur le réseau
L’inventaire des matériels autorisés à se connecter au réseau selon les recommandations de notre PSSI révèle les informations présentent dans le tableau ci-après.
Exigences techniques de sécurité
Il n’y a pas de lien entre le poste utilisateur, et l’utilisateur final. Nous allons, dans la plupart des cas, vérifier uniquement que le poste appartient bien au parc des MEF avant de lui accorder l’accès au réseau.
Lorsque le poste n’appartient pas au parc des MEF, nous pourrons considérer dans certains cas qu’il s’agit d’un poste d’un visiteur. La stratégie d’authentification sera alors différente. Il sera alors automatiquement redirigé, lorsqu’il tentera de se connecter en salles de réunion et que son poste n’a pas la fonctionnalité 802.1x activée, vers un réseau visiteurs lui accordant un accès à internet. On proposera aux utilisateurs un autre moyen de s’authentifier. Cependant, dans la plupart des cas, l’accès est refusé.
La vérification de la conformité du poste est réalisable avec un supplicant installé sur le poste de l’utilisateur. En revanche, il n’existe pas de standard définissant le protocole à utiliser pour réaliser cette opération. Ainsi, quel que soit le supplicant utilisé, le protocole mis en œuvre pour vérifier la conformité d’un poste utilisateur vis-à-vis d’une politique de sécurité sera un protocole propriétaire.
Pour répondre aux exigences émises par la politique de sécurité, nous allons mettre en place un ensemble de Vlan dit de « quarantaine ». Ces Vlans permettront aux utilisateurs ayant échoué à la phase de vérification de la conformité du poste, de pouvoir réaliser les différentes mises à jour nécessaires avant de s’authentifier à nouveau.
|
Table des matières
Remerciements
Glossaire
2 Introduction
3 Objectifs de la sécurité
3.1 Les différentes méthodes d’attaques
3.2 Profil des attaquants
3.3 Méthodologie globale d’intrusion
4 Contexte
4.1 Contexte Organisationnel
4.1.1 Présentation du Secrétariat Général des Ministères Économiques et Financiers
4.1.2 Présentation du Service Environnement Professionnel (SEP)
4.2 Contexte technique
4.2.1 Architecture réseau des Ministères économiques et financiers
4.2.2 Analyse des mesures de sécurité existantes
4.2.3 Expression du besoin
4.2.4 Spécifications
5 État de l’art : Le standard 802.1X et les protocoles EAP et RADIUS
5.1 Le standard 802.1X
5.1.1 Fonctionnement
5.1.2 Le protocole EAP
5.2 Le protocole RADIUS
5.2.1 Fonctionnement
5.2.2 La procédure d’authentification RADIUS
5.3 Interopérabilité des technologies 802.1x, EAP, RADIUS
5.3.1 Composition de l’architecture 802.1x
5.3.2 L’authentification 802.1x
5.3.3 La procédure d’authentification 802.1X
6 Critères d’intégration
6.1 Identification des équipements à authentifier
6.1.1 Identification des équipements connectés sur le réseau
6.1.2 Proposition pour les équipements ne rentrant pas dans le périmètre de l’authentification 802.1x
6.2 Spécifications Techniques
6.2.1 Authentification des utilisateurs
6.2.2 Exigences techniques de sécurité
6.3 Architecture Technique souhaitée
6.3.1 Comparaison des méthodes d’authentification
6.3.2 Présentation de l’infrastructure attendue
7 Choix de solution de contrôle d’accès
7.1 Les critères
7.1.1 Critères Techniques
7.1.2 Critères d’environnement
7.2 Les solutions du marché
7.2.1 Solutions Libres
7.2.2 Solutions Propriétaires
7.3 Avantages et inconvénients
7.4 Solution adoptée
7.5 Estimation du coût du projet
8 Déploiement de la solution adoptée
8.1 Planning de déploiement
8.2 Architecture déployée
8.2.1 Présentation de la solution Juniper
8.2.2 Intégration dans l’environnement
8.2.3 Configuration des commutateurs
8.2.4 Configuration du point de décision
8.2.5 Configuration du poste utilisateur
9 Bilan
9.1 Bilan fonctionnel
9.2 Bilan organisationnel
9.3 Retour critique
10 Conclusion
11 Bibliographie
11.1 Les ouvrages
11.2 Les documents techniques et publications
11.3 Les sites internet
Quatrième de couverture
Télécharger le rapport complet