Présentation de la conférence
Réf : TECHED 2003, session du 01/07/2003, présenté par
Fred Baumhardt et Luis Carvalho , représentant respectivement Microsoft UK
et Microsoft Portugal
- La
problématique
Une architecture est confrontée en permanence à des attaques,
quelles soient internes, externes ou autres.
Le domaine de la sécurité concerne toutes les technologies.
Il est inconcevable de nos jours, à l’heure où la productivité d’une
infrastructure est
vitale, d’avoir une baisse de productivité dûe à la
sécurité.
Qui sont les ennemis ?
Le danger peut venir et surgir n’importe où et à tout
moment. En sécurité derrière votre firewall,,protections NTFS ?
Même si celles-ci limite la marge de manœuvre frauduleuse
sur vos systèmes.
Un multitude de dangers et de précautions sont à prendre en
compte, et c’est pour palier à ces manques que Microsoft à mis en place une
méthode, que nous allons explorer ci-dessous.
Mais tout d’abord intéressons nous de plus près aux
différents dangers, ils peuvent être :
- Interne
à votre infrastructure
- Externe
à votre infrastructure
Les attaques internes :
Le saviez vous ? La
plupart des attaques viennent de l’intérieur de votre structure ?
Il est vrai que beaucoup
d’administrateur système pensent à sécuriser, voir s’isoler de l’extérieur…
néanmoins le danger ne vient pas toujours de l’extérieur.
En effet, au sein même de votre
infrastructure, vous devez mettre en place une stratégie de sécurité, pour
contrer :
- Les
erreurs des utilisateurs non avertis
- Les
attaques de certains hackers internes à votre structure
- Les newbies (certains de vos collègues
aiment « bidouiller»dans les paramètres réseaux et autres …)
- La
propagation des attaques, ver, virus, trojan
- L’espionnage
industriel
- Votre propre ordinateur
Les attaques externes :
Les attaques provenant de
l’extérieur restent les plus connues :
- Piratage
Hackers
- Scripts
mal intentionnés
- Espionnage
industriel
- Faille
des ports, notamment le port 80, Web services non sécurisés
- Autres
Solution ?
Sachez d’après les speakers du Teched, qu’il n’existe pas de
solution infaillible, chaque infrastructure a sa problématique et possède sa
solution sécurisée.
Beaucoup d’idées sont pré-conçues, mais il s’agit là de FAKE
voir HOAX, dont en voici quelques unes :
-
Un serveur d’anti-virus suffit pour gérer
la sécurité
-
La solution du firewall
-
La solution du proxy
-
Les droits NTFS
-
Les GPO
Certes, ces solutions
solutionnent certains de nos problèmes, mais aucune d’entre elles ne prendre en
charge à 100% la problématique de sécurité de notre infrastructure, même si ces
solutions sont cumulées (NTFS+GPO+FIREWALL), votre infrastructure ne restera
pas inviolable.
Exemple : Le firewall, permet de contrer certaines
attaques venant de l’extérieur, mais n’intervient pas ou très peu au niveau des
couches hautes du modèle OSI, en conséquent le firewall à très peu d’influence sur
le filtrage de virus ou autres scripts malveillants.
De plus les firewall ont tendance à faire une confusion
entre les ports et les données. Certaines encapsulation de cryptage end-2-end
n’arrive pas à passer le firewall, cette protection ne vous protège pas en
interne.
Néanmoins, certaines règles sont à respecter pour concevoir
un réseau sécurisé et stable, il faut effectuer une modélisation de son
architecture.
ETAPES DE MISE EN
PLACE DE SECURISATION D’UNE INFRASTRUCTURE
- Modélisation
de votre infrastructure
Avant toute chose, que ce soit investissement matériel,
logiciel ou consulting ; il vous est impératif de modéliser votre
infrastructure, faire un bilan complet, et analyser les besoins.
Pour détecter les failles de votre infrastructure
utilisons :
La méthode SD 3 :
- Secure
Design : Analyse du code de vos applications, analyse de votre
architecture réseau
- Secure
Defaut : Réduction de la surface d’attaque
- Secure
Deployment : Protéger, détecter, restaurer, manager
-
La communication joue un rôle important
dans la prise de renseignements sur les forums, news group ou autres.
Sachez qu’il existe une cellule spécialisée au
sein même de Microsoft.
- MSA
sécurise votre infrastructure
MSA est une méthode permettant à une infrastructure
d’accroître sa sécurité.
Elle est structurée en 5 couches, ci-dessous le descriptif
des couches MSA et l’analogie avec les couches du modèle OSI.
Notons les quelques divergences au niveau des couches,
en effet il n’est pas possible de faire des relations - associations couche à
couche entre les 2 modèles.
Le schéma présenté
est publié pour vous donner un point de repère dans votre analyse.
La méthode MSA consiste à se poser plusieurs questions,
vérifier celles-ci, et respecter des règles établies couche par couche.
LA COUCHE PHYSIQUE :
Il s’agit de l’environnement autour du matériel de votre
infrastructure.
Analyse :
- L’accès à aux serveurs est il sécurisé
- L’accès à la salle serveur est il sécurisé
- Les racks sont ils sécurisés et bien fixés ?
LA COUCHE RESEAU :
C’est une portion cruciale dans la mise en place d’un plan
de stratégie de sécurité dans infrastructure de systèmes d’informations.
Sécurisez votre réseau en implémentant des firewall ou proxy,
encrypter à tout va n’est peut être pas la bonne solution.
L’essentiel est de scinder en entité logique ET
stratégique votre structure, l’idéal étant de concevoir plusieurs VLAN.
Vous pourrez ensuite établir différentes règles et
stratégies par domaine de collision.
- Regroupez vos serveurs par type ou par besoins,
repartissez au maximum vos applications sur plusieurs serveurs, ne jamais
tout centraliser.
Exemple de structure réseau scindé en entité logique et stratégique :
- Privilégier, voir imposer le cryptage obligatoire pour les
connexions VPN.
(Nouveautés
2003 :Intégration d’IPSec sur une solution NAT)
LA COUCHE HÔTE/ PERIPHERIQUE :
Après avoir sécuriser vos accès aux locaux, restructurer votre
réseau au niveau de sa topologie, il vous faut à présent sécuriser les hôtes de
ce réseau.
Analyse :
- Créez des unités organisationnelles pour chaque groupe
et/ou type de serveur (ex : UO Exchange Server, UO SQL Server, UO ERP)
- Appliquez des GPO pour chaque unité organisationnelle
- Appliquez des modèles de sécurités sur les hôtes
- Désactivez les services non utilisés
- Mettez en place une stratégie pour les comptes locaux
- Patchez vos serveurs et clients avec les HOTFIX et autres
mises à jour
- Supprimez les partages administratifs par défaut
- Minimisez les accès anonyme
- Désactivez le NetBios dans la DMZ
- Mettez en place une stratégie d’expiration et de blocage
pour les login/pass
- Structurez vos zones DNS
- Désactivez l’exploration des répertoires sur votre serveur
Web IIS 5.0
- Mettez en place des audits
-Désactivez les log d’erreurs sur les serveurs de production
LA COUCHE DONNEES :
Afin de préserver l’intégrité des données :
- Privilégiez l’authentification KERBEROS
- Encryptez les paquets pour toute communication via un
canal non sécurisé ou sur lequel vous n’avez aucune ou peu d’information.
Le stockage des données :
-
NTFS
-
Signature SMB
LA COUCHE APPLICATIONS :
-
Développez vos applications avec du code
sécurisé
-
Anti-virus
-
Firewall logiciel (solutions pour
particuliers et petites structures)
-
Utilisez tout les outils tierces qui vous
permettrons de parer les différentes attaques au niveau logiciel
Une multitude d’article et de documents sont en ligne pour
sécuriser vos applications.
Cet article à pour but de
vous faire comprendre la démarche et la logique à suivre pour sécuriser une
infrastructure de système d’informations, il est bien évident que
tous les points MSA ne peuvent être abordés en 1h15 heure de conférence.
Tech-Ed 2003 : Jour 1, Sécuriser votre infrastructure Microsoft System
Pour afficher ou poster un commentaire, cliquez sur ce lien : 
