• Aucun résultat trouvé

Sécuriser un site en réseau

Dans le document Sécurité Sécurité (Page 142-146)

Assurer la sécurité de systèmes informatiques abrités sur un site connecté à l’In-ternet et de ce fait accessible du monde entier est une autre branche de ce domaine dont, en 2006, beaucoup d’organisations ne semblent pas avoir pris l’exacte me-sure.

Comme nous l’avons mentionné, il appartient tout d’abord aux responsables du site de déterminer le périmètre qu’ils veulent protéger, ainsi que ce qu’ils veulent autoriser.

Cet examen aboutit généralement à identifier un certain nombre de services qui doivent être accessibles de l’extérieur par nature, comme un serveur Web, un re-lais de courrier électronique, un serveur DNS. Les ordinateurs qui abritent ces services devront être visibles de l’Internet, c’est-à-dire que le DNS doit publier leurs adresses.

Les autres ordinateurs, que ce soient des serveurs internes ou les stations de tra-vail des personnes qui tratra-vaillent sur le site, ne doivent pas être visibles, mais il faut néanmoins qu’ils puissent accéder à l’Internet. En d’autres termes, une ses-sion TCP initiée de l’intérieur du site depuis un de ces ordinateurs est autorisée, mais une session initiée de l’extérieur vers le même ordinateur est interdite parce que réputée erronée ou hostile (sous l’angle de la sécurité les deux termes sont quasiment synonymes).

De quels moyens disposons-nous en 2006 pour mettre en œuvre une telle poli-tique de sécurité ? Il nous faut pour cela rappeler le fonctionnement des réseaux, et notamment ce qui concerne les données contenues dans les en-tête de data-grammes IP et de segments TCP, ainsi que le routage.

Segmentation

Chaque paquet IP qui se présente à un routeur est doté d’une fiche signalétique constituée de ses en-tête. Les informations principales, sous l’angle qui nous in-téresse ici, sont les adresses IP d’origine et de destination et le protocole de trans-port (TCP ou UDP), figurant dans l’en-tête de datagramme IP, et les numéros de ports3d’origine et de destination, figurant dans l’en-tête de segment TCP ou de datagramme UDP. La mention dans l’en-tête IP du protocole de transport permet de connaître le format de l’en-tête de transport (TCP ou UDP), et ainsi d’y retrouver le numéro de port. Nous avons vu que l’association d’une adresse et d’un port constituait unesocket. Une paire desocketsidentifie de façon unique une connexion dans le cas de TCP. Le routeur maintient une table des connexions TCP établies qui lui permet de déterminer si ce paquet appartient à une com-munication déjà en cours (parce qu’établie entre les mêmes adresses IP et avec les mêmes numéros de ports, par exemple) ou à une nouvelle communication. Bien sûr, les adresses d’origine et de destination du paquet permettent au routeur de déterminer le sort qui lui sera réservé :

délivrance directe au nœud destinataire sur un réseau local auquel le routeur est directement connecté ;

émission vers un autre routeur, par une interface de sortie du réseau local, soit parce que les tables de routage disent que le réseau de destination est accessible par ce chemin, soit parce que c’est le routeur de sortie par défaut ;

mise à la poubelle.

Le routage est un important instrument de sécurité. Il permet de découper un grand réseau en autant de sous-réseaux qu’on le souhaite, et de contrôler le tra-fic entre ces sous-réseaux. Les sous-réseaux peuvent d’ailleurs être virtuels, pour s’affranchir des contraintes de localisation, ce qui sera de plus en plus souvent le cas avec le développement de l’informatique mobile. Cela exige des compétences

3. Voir l’encadré page 122 pour la définition duport.

et du travail : ce que nous avons dit du routage montre que c’est tout sauf simple.

Mais un tel investissement est indispensable à qui veut disposer d’un réseau sûr.

Filtrage

Forts de cette possibilité, nous pourrons segmenter le réseau de notre site en un sous-réseau public, qui abritera les serveurs visibles de l’extérieur, et un sous-réseau privé, éventuellement divisé lui-même en sous-réseaux consacrés à tel groupe ou à telle fonction. Chacun de ces sous-réseaux verra son accès et son trafic régis par des règles spéciales.

Les règles d’accès et de trafic appliquées aux réseaux consistent à établir quels sont les type de paquets (en termes de protocole et de numéro de port, en l’état actuel de la technique) autorisés en entrée ou en sortie depuis ou vers tel réseau ou telle adresse particulière. Ainsi un serveur de messagerie (appelé également passerelle de messagerie, ou MTA, commeMail Transfer Agent) pourra recevoir et émettre du trafic SMTP (port 25) mais n’aura aucune raison de recevoir du trafic NNTP (Network News Transfer Protocol) sur le port 119. Appliquer ce genre de règles, c’est faire dufiltrage par port.

Le sous-réseau public (souvent appelé « zone démilitarisée » ou DMZ) devra faire l’objet de mesures de sécurité particulièrement strictes, parce que de par sa fonc-tion il sera exposé à toutes les attaques en provenance de l’Internet. Le principe de base est : tout ce qui n’est pas autorisé est interdit, c’est-à-dire que tout paquet qui n’a pas de justification liée aux fonctions du serveur de destination doit être rejeté.

Il est prudent que les serveurs en zone publique contiennent aussi peu de données que possible, et même idéalement qu’ils n’en contiennent pas du tout, pour éviter qu’elles soient la cible d’attaques. Ceci semble contradictoire avec le rôle même d’un accès à l’Internet, mais cette contradiction peut être résolue en divisant les fonctions. Ainsi pour un serveur de messagerie il est possible d’installer un relais en zone publique qui effectuera toutes les transactions avec le monde extérieur mais transmettra les messages proprement dits à un serveur en zone privée, in-accessible de l’extérieur, ce qui évitera que les messages soient stockés en zone publique en attendant que les destinataires en prennent connaissance. De même un serveur Web pourra servir de façade pour un serveur de bases de données en zone privée. Ces serveurs en zone publique qui ne servent que de relais sont

sou-Figure 6.8 Réseau avec DMZ et pare-feu

vent nommés serveurs mandataires, ou mandataires applicatifs, proxy servers en anglais (cf. page 104).

La figure 6.8 représente un tel dispositif, avec un routeur d’entrée qui donne accès à la DMZ, et un pare-feu (firewall), qui est en fait un routeur un peu particulier dont nous détaillerons le rôle ci-dessous, qui donne accès à un réseau privé.

Le relayage entre zone publique et zone privée fonctionne aussi dans l’autre sens : l’utilisateur en zone privée remet son courrier électronique au serveur privé, qui l’envoie au relais en zone publique, qui l’enverra au destinataire. Pour consulter une page sur le Web, l’utilisateur s’adresse au serveur relais qui émettra la vraie requête vers le monde extérieur. Ici le relayage peut procurer un autre avantage, celui de garder en mémoire cache les pages obtenues pendant un certain temps, pour les fournir au même utilisateur ou à un autre lorsqu’il les redemandera sans

avoir à accéder à la source distante (une analyse statistique des requêtes révèle que dans un contexte donné les gens accèdent souvent aux mêmes pages).

Le filtrage par port permettra la communication entre le proxy et le serveur en zone privée de façon contrôlée. Les routeurs disposent de fonctions de filtrage assez élaborées, permettant de distinguer quels protocoles et quels numéros de ports sont autorisés selon l’origine et la destination, et si telle communication a été initiée depuis un nœud à l’intérieur ou à l’extérieur du réseau.

Dans le document Sécurité Sécurité (Page 142-146)