HSC
Network Security Consulting Agency Since 1989 - Specialized in Unix, Windows, TCP/IP and Internet
Text mode: access to the page content
Hervé Schauer Consultants
You are here: Home > Resources > Articles > How to build a secure Internet access architecture?
Go to: HSC Trainings
Search:  
Version française
   Services   
o Skills & Expertise
o Consulting
o ISO 27001 services
o Audit & Assessment
o Penetration tests
o Vunerability assessment (TSAR)
o Forensics
o ARJEL
o Training courses
o E-learning
   Conferences   
o Agenda
o Past events
o Tutorials
   Resources   
o Thematic index
o Tips
o Lectures
o Courses
o Articles
o Tools (download)
o Vulnerability watch
   Company   
o Hervé Schauer
o Team
o Job opportunities
o Credentials
o History
o Partnerships
o Associations
   Press and
 communication
 
 
o HSC Newsletter
o Press review
o Press releases
o Publications
   Contacts   
o How to reach us
o Specific inquiries
o Directions to our office
o Hotels near our office
|>|How to build a secure Internet access architecture?  
> Access to the content HTML Beginning of the article PDF PDF version [39KB]
PS PostScript Version [34KB]  
> Description Quick tutorial that goes through the basic principles, the existing products and the methodology to use.  
> Context & Dates Proceedings of the JRES95 conference.
October 1995 
> Author Hervé Schauer (Herve.Schauer@hsc.fr) and Olivier Perret (Olivier.Perret@ensta.fr) 
> Type  
> Abstract &
Table of content
The aim of this lecture is, for one thing, to show why Internet security products are not usefull to universities, and, for another thing, to suggest an architecture enabling them to protect their network.

The security products mushrooming on the market are not very flexible or even incomplete, in fact making Internet security as complicated to use as before.

The solution is to learn how to use conventional and standard market components, such as routers and Unix stations, to build a security that fits the needs of the users and improves the resistance to the growing number of intrusions. This lecture will suggest an architecture, equipment accessible to everybody and IP filtering rules.

 
> Related documents
themeSecurity Architectures
[Presentation]  DNS Finger - Sharing identity via the DNS [7 June 2012 - French]
[Presentation]  Industrial control systems security. Scadastrophe... or not. [15 May 2012 - French]
[Presentation]  Multi-layers in depth security [19 March 2011 - French]
[Article]  Évolution des attaques de type Cross Site Request Forgery [1 June 2007 - French]
[Presentation]  Tunnels detection at network border [2 June 2006 - French]
[Article]  Détection de tunnels aux limites du périmètre [2 June 2006 - French]
[Presentation]  How to make one's Internet security [5 January 2002 - French]
[Presentation]  Security architecture for connecting to the Internet [18 December 2001 - French]
[Article]  How to set up security systems? [29 March 2001 - French]
[Presentation]  How to insert VPNs in existing security architectures? [29 September 1999 - French]
[Article]  TAFIM - Technical Architecture Framework for Information Management [May 1997 - French]
[Theme]  Internet
> Copyright © 1995, Hervé Schauer Consultants, all rights reserved.

 

Les principes de base

Les concepts de base sur lesquels s'articule une architecture de sécurité Internet sont le filtrage IP et le relayage des services, qu'il convient de bien distinguer.

Le filtrage IP

C'est lui qui permet de filtrer le trafic à la base, de part et d'autre d'un routeur ou d'une machine reliée à deux réseaux. Ce filtrage portera sur les communications en général, sans distinction de service.

Il peut être simple ou double selon qu'il est assuré par une machine ou une machine associée un routeur. Dans le cas ou l'on dispose de 2 machines, l'une assurera le relayage des services et le contrôle du routage et sera branchée sur un brin propre et filtré tandis que l'autre assurera le filtrage.

Le filtrage est pour le moment une opération complexe demandant une bonne connaissance du protocole TCP/IP. On vend d'ailleurs des produits de sécurité dont la seule fonction est d'offrir une interface graphique de configuration du routage IP. Mais, depuis que le filtrage se généralise, des outils de génération automatique de filtres, sont sur le point d'apparaître. Ils utiliseront un langage de description simple et limiteront ainsi les risques de fausse manoeuvre que l'on rencontre avec les interfaces graphiques. De plus, en formalisant avec un langage de description, on pourra en envisager la vérification du contenu des filtres.

Le routeur devient donc un élément indispensable de la sécurité. Il remplit véritablement une fonction à ce niveau, qu'il faut distinguer de sa fonction traditionnelle de communication avec l'extérieur ou de constituant du réseau privé. Il est du même coup plus utilisé, mieux maîtrisé et donc plus exposé aux agressions et au détournement de ses propres failles. D'où l'interêt de placer les autres fonctions de sécurité (relayage, authentification,...) sur une autre machine.

Le relayage des services

Le relayage des services est assuré par des démons sur une machine. Pour chaque service, ils assurent à la fois les fonctions client et serveur auxquelles ils ajoutent essentiellement des fonctions d'authentification et de filtrage de contenu.

Leur but est de centraliser les requêtes de la façon la plus transparente possible pour faciliter le contrôle de l'authentification et l'audit. Il s'agit donc d'ouvrir des services sous contrôle, contrairement au filtrage dont l'usage est plutôt d'interdire des services incontrôlables.

Le principe du relayage est utilisé par certains services depuis leur origine. C'est le cas du mail (SMTP), des news (NNTP) du serveur de noms (BIND), ou de l'heure (NTP). L'idée d'utiliser le relayage à des fins de sécurité est récente (Usenix 1992), mais a séduit immédiatement les développeurs, en particulier sur les nouveaux services comme HTTP (utilisé sur le World Wide Web). Il a aussi été integré dans telnet, ftp et XWindow, et moyennant certaines contraintes dans lpd (impression), archie (recherche de fichiers), ping, finger, whois et quelques SGBD de type client/serveur.

Il est bien entendu que dans cette étude le relayage n'apporte de la sécurité que s'il offre une possibilité d'authentification. Les nombreux avantages du relayage exploités par des services comme NIS, les serveurs de licences, le Mbone, les RPC et les services UDP en général ne relèvent pas de la sécurité. C'est d'ailleurs un problème pour ces services; le relayage n'est donc pas une fin en soi.

Avantages de la séparation des tâches

L'avantage d'utiliser un démon est qu'il permet d'utiliser une procédure d'authentification plus souple ou plus performante que celle du système d'exploitation.

L'avantage de centraliser les services et le filtrage sur une ou deux machines est de faciliter le contrôle du flux, de son volume comme de son contenu. Sur un relais WWW, on pourra par exemple utiliser un cache qui garde une copie des pages fréquemment consultées ce qui améliorera les performances.

L'avantage de séparer le filtrage et le relayage sur deux machines est d'une part de soulager une machine qui aurait à assurer les deux tâches, et d'autre part de n'exposer à l'extérieur qu'une machine au système limité n'ayant pas de faille connue ou difficile à détourner (routeur sans OS classique), obligeant le pirate à s'attaquer au logiciel de relayage dont le source est connu.

Dans tous les cas, l'administration de la sécurité du réseau est restreinte à une ou deux machine et peut donc facilement être déléguée. Elle permet aussi de distinguer facilement l'autorisation d'accès au réseau local, parfois bâclée, de l'autorisation d'accès à Internet, plus sensible et moins urgente. On pourra plus facilement imposer la signature d'une charte d'utilisation.

Du point de vue de l'administrateur de sécurité, le fait de centraliser ses tâches sur quelques machines lui permet de garantir la sécurité sans s'inquiéter de l'activité des utilisateurs sur le réseau local et de l'état de leur machine. On constate en effet que les intrusions passent souvent par des machines mal administrées ou nouvellement installées.


Les produits existants

Disponibilité

Les produits existants sont essentiellement américains ou canadiens. Leur disponibilité en Europe est donc très variable. Le support technique encore plus.

Adéquation au besoin

Ces produits correspondent générallement à un des composants d'une solution de sécurité Internet;

  • Soit ils assurent le paramètrage d'un routeur ou d'une machine utilisée comme telle.
  • Soit ils contiennent des logiciels de relayage.
Malheureusement, ils répondent rarement à ces deux besoins. On trouve ainsi de bons logiciels de configuration de filtre qui n'offrent aucun service de relayage. Ce ne sont que des interfaces graphiques de configuration de routeurs. Quand ils ne font vraiment que ça, on les appelle des cliquodromes, car leur seul interêt est de permettre à l'opérateur de cliquer au lieu de taper une commande. A moins d'être cliquomane, ces logiciels sont à éviter car en cas de fausse manoeuvre, il est beaucoup plus difficile d'évaluer les conséquences d'un cliquage, dont on connaît mal l'étendue que d'une commande classique et documentée.

On peut la rapprocher de ce classique de l'administration système : La différence entre les dégâts provoqués par un incompétent et ceux d'un pirate est que le pirate, lui connaît leur étendue.

À l'opposé, les bons produits de relayage sont souvent difficiles à configurer pour un néophyte. Ils nécessitent en fait une connaissance certaine du routage IP et des problèmes techniques de sécurité.

Limites

La plupart des logiciels commerciaux ne sont disponibles qu'en binaire. C'est déjà difficilement acceptable pour des logiciels dédiés à la sécurité ; c'est encore plus délicat quand on sait que la plupart de ces logiciels sont importés.

Mais d'une manière générale, la faiblesse d'un garde-barrière clef en main, c'est qu'il ne résoudra jamais le problème de l'organisation de la sécurité. Il faut pour cela une méthodologie globale comprenant un cycle d'analyse, de décision et de formation des utilisateurs, qui doit correspondre à la << Politique de Sécurité Informatique" du site >>.


Méthodologie globale

Une solutions complète doit donc intégrer :

  • Le filtrage IP ;
  • Le relayage applicatif avec authentification ;
  • La méthodologie d'exploitation.

La méthodologie de mise en place et d'exploitation

C'est elle qui formalise l'exploitation de la solution de sécurité Internet. Elle précisera en particulier quels sont les filtrages à effectuer, d'où découleront les règles de filtrage et directement les tables de routage.

Elle précisera aussi les services autorisés et les conditions d'accès à ces services, ce qui correspond à la liste des relais et à leur configuration. C'est elle qui décidera du type des systèmes d'authentification utilisés (mot de passe à usage unique ou mot de passe classique)

De plus elle permet de garantir le maintien de la sécurité dans le temps, grâce à des procédures d'agrément et de contrôle.

Pérennité de la sécurité

La sécurité s'amenuit naturellement au fil du temps. En plus de la lassitude naturelle ses exécutants sont confrontés souvent à des risques inconnus : A chaque nouvelle version de machine, à chaque modification de la configuration. Il est donc impératif de planifier des contrôles parmi ceux qui sont possibles sur la machine, dont :

  • vérification des filtres, et de la liste des relais ;
  • mise à jour des listes d'utilisateurs (autorisations) ;
  • surveillance des mots de passe (crackage, ancienneté...) .

Ces contrôles seront d'autant plus efficaces que leur déclenchement sera automatique (l'ordinateur ne se lasse jamais), relativement aléatoire (imprévisible par les pirates), et autoritaire (prioritaire au niveau système). Mais ce n'est jamais à la machine de le décider.

La décision de la sécurité

Enfin l'une des graves erreurs vis-à-vis de la sécurité informatique est de croire que la machine se suffit à elle-même et qu'elle doit assurer sa propre sécurité ou au moins celle de ces utilisateurs. C'est négliger que la sécurité est l'affaire de ses utilisateurs qui doivent rester libres de fixer les regles d'utilisation de leurs machines. Dans une entreprise, c'est l'objet de la politique de sécurité informatique de l'entreprise, qui ne peut être acceptée que si elle émane directement de sa direction.


Conclusion

Depuis longtemps, les systèmes ouverts offrent aux utilisateurs tous les éléments de base de la sécurité (contrôle d'accès discrétionnaire, audit, relayage, ...) Il leur manquait une certaine adaptation aux besoins des utilisateurs au niveau de la configuration et de l'administration pour en faire des outils de sécurité. Ces outils sont maintenant disponibles.

Cependant, les outils de sécurité Internet commerciaux ne correspondent guère aux besoins des réseaux d'enseignement et de recherche car ils répondent aux besoins d'utilisateurs peu expérimentés (pas de relayage mais beaucoup de filtrage) ou ayant peu de besoins (peu de filtrage, mais beaucoup de relayage de services existants), ce qui n'est pas leur cas.

En revanche, en définissant clairement l'usage qu'il veulent faire d'Internet par une politique de sécurité, et en utilisant les outils de filtrage et de relayage qui existent depuis quelques années, ils ont les moyens de mettre en place une sécurité satisfaisante, qui protège leurs utilisateurs sans les priver de leur outil de travail.

Last modified on 6 November 2007 at 16:01:45 CET - webmaster@hsc.fr
Information on this server - © 1989-2013 Hervé Schauer Consultants