Professional Documents
Culture Documents
Ce guide prsente les diffrents principes permettant de dfinir l'architecture d'une passerelle
d'interconnexion scurise. Ne seront considres ici que les interconnexions entre un rseau priv
(un LAN) hbergeant des informations sensibles mais non classifies de dfense 1 et un rseau ouvert
(typiquement Internet).
On prendra pour illustrer notre propos le cas d'cole d'une petite entreprise disposant d'un rseau
interne et qui souhaite interconnecter ce rseau avec Internet pour permettre :
- d'une part ses utilisateurs d'accder internet depuis leur poste de travail;
- d'autre part aux internautes d'accder au site web de l'entreprise.
Ce document s'adresse en priorit aux architectes et administrateurs rseau de petites et moyennes
entreprises ou de services de l'tat. Des connaissances basiques en matire d'architectures rseau sont
par ailleurs ncessaires pour apprhender certains des concepts prsents ci-aprs. Ce document se
veut un guide en matire dinterconnexion, il ndicte pas de rgle imprative, mais dcrit un
ensemble de concepts ou de recommandations que chacun pourra adapter en fonction de ses
contraintes et de ses enjeux.
1 Introduction
1
Les questions de protection des informations classifies de dfense et les contraintes lgales ne sont pas abordes ici.
2
http://www.ssi.gouv.fr/fr/produits.
3
b Robustesse
La robustesse d'un produit est sa propre rsistance aux attaques. Un quipement rseau ne doit pas
lui-mme affaiblir la scurit de la passerelle laquelle il appartient. Certains quipements peuvent
en effet disposer de fonctions auxiliaires (administration, mises jour) particulirement vulnrables
et exploitables facilement par d'ventuels attaquants.
La robustesse d'un produit peut tre estime notamment en suivant les alertes et les avis des
diffrents CERT 3 et notamment du CERTA 4 . Lutilisation dun produit suivi par le CERTA et pour
lequel des correctifs de scurit sont systmatiquement mis pour corriger les vulnrabilits mises en
vidence sera bien sr prfrable lutilisation dun produit inconnu ou non suivi par le rseau des
CERT.
c Matrise par les administrateurs et maintenabilit
Labsence de matrise dun produit, quelles que soit ses qualits intrinsques, peut conduire
remettre en cause sa scurit, par exemple suite une erreur dadministration, ou labsence
dapplication des mises jour par crainte des pannes. La bonne matrise dans le temps dun produit
repose naturellement sur ladquation entre son niveau de complexit (fonctionnalits, architecture)
et les capacits (effectifs et comptences techniques) de lquipe charge de le mettre en uvre. Elle
est de plus facilite par un certain nombre de facteurs intrinsques au produit, notamment la qualit
de sa documentation et de ses interfaces de paramtrage (qui, idalement, ne doivent pas permettre la
dfinition dune configuration non scurise), la disponibilit dun mcanisme de mise jour robuste
et document, et celle doutils pertinents daide la rsolution de problmes (journaux, validation de
configuration, etc.).
d Dmarche
La dmarche retenue ici est de proposer une dmarche de construction d'une passerelle
d'interconnexion en partant d'une architecture trs simple (mais peu rsistante aux attaques) pour
aller vers une architecture plus robuste (mais plus complexe). Il est important de noter que les
lments fournis ici n'ont aucun caractre impratif et doivent tre interprts comme un ensemble de
conseils appliquer (ou non) au cas par cas. Les choix relatifs l'architecture finalement mise en
place doivent tre faits en prenant en compte :
- la scurit de la passerelle ;
- sa maintenabilit ;
- les ventuelles contraintes oprationnelles et budgtaires.
e Lgende des schmas
On retiendra la lgende suivante pour les schmas:
- LAN: il s'agit du rseau interne de l'entreprise, celui sur lequel se trouvent les donnes
sensibles, que l'on cherche protger, mais aussi celui sur lequel on peut mettre en place des
mcanismes de scurit ;
- WAN: il s'agit du rseau externe (typiquement Internet). C'est ici que se trouvent la majeure
partie des attaquants (hors compromission d'un poste interne ou attaque interne). Il s'agit par
ailleurs d'un rseau non-matris sur lequel il n'est pas possible a priori de mettre en place le
moindre mcanisme de scurit ;
- FW: il s'agit d'un filtre de paquet (pare-feu) en couches rseau et transport (couches 3,
typiquement IP, et 4, typiquement TCP/UDP). Ce type d'quipement ne fait aucun traitement
de niveau applicatif, et ne porte un jugement sur les paquets que sur la base des informations
de ses couches basses (adresses IP de source et de destination, ports TCP et UDP). Il effectue
par ailleurs le routage de paquets entre ses interfaces ;
- DMZ: Zone dmilitarise. Il s'agit d'une zone de service. Il peut s'agir de services applicatifs
(serveur web, serveur de messagerie) ou de services de scurit (serveurs mandataires - proxy
- ou reverse proxy). Cette zone tient son nom de sa position classique dans l'architecture d'une
passerelle (voir plus bas).
On pourra noter que les quipements de niveau 2, c'est dire les concentrateurs (hub) et les
commutateurs rseau (switch), ne sont pas, de manire systmatique, reprsents sur les schmas. En
effet, il n'existe l'heure actuelle aucun quipement rseau de ce type qualifi par l'ANSSI. Il n'est
donc pas possible de porter un jugement objectif sur le niveau et l'efficacit des mcanismes de
scurit que peut proposer un tel quipement. Les mcanismes de scurit proposs peuvent toutefois
tre mis en uvre au titre de la dfense en profondeur. Une fois l'architecture de la passerelle dfinie
proprement au niveau IP et transport (TCP, UDP), il est possible d'activer, en plus, les mcanismes
de scurit des niveaux infrieurs. En particulier, on prfrera, sauf cas trs spcifique, la mise en
uvre d'un commutateur (switch) la place d'un concentrateur (hub). Par ailleurs, on veillera bien
assurer un partitionnement physique clair des diffrentes zones rseau : les architectures prsentes
ci-dessous ne sont valides quen labsence dinterconnexions supplmentaires. On prendra en
particulier garde labsence de tout type daccs rseau complmentaire qui permettrait de relier le
LAN au WAN sans passer par la passerelle (notamment par des communications sans fil : wifi, 3G,
etc.).
2 tudes d'architecture
LAN
F WAN
3
DMZ
2
Les flches reprsentes correspondent aux flux logiques. Il est vident que les changes rels sont
bidirectionnels. Toutefois la flche indique quelle est l'entit l'origine de la cration du flux (point
de dpart de la flche) et celle qui n'est pas l'initiative du flux mais qui en est destinataire (pointe
par la flche). Identifier les flux et leur sens est primordial. La plupart des pare-feux modernes
sont aujourd'hui contextuels (stateful). Ils sauront donc identifier les paquets provenant du WAN
dont l'mission n'a pas t sollicite par une machine du LAN et les filtrer en consquence.
Cette architecture souffre de plusieurs problmes de conception :
- Problme 1: les flux depuis Internet vers le serveur web traversent systmatiquement le LAN.
Ce point est extrmement problmatique. La moindre erreur risque donc de permettre un
internaute quelconque d'adresser un paquet initialement destin au serveur vers n'importe
quelle machine du LAN. Un attaquant pourrait tirer parti d'une telle erreur pour adresser un
paquet d'attaque l'une des machines du LAN. A partir de l'une des machines du LAN, il est
gnralement relativement ais de prendre contrle de la majeure partie des composants du
rseau interne. Mais surtout, en cas de compromission du serveur, le rebond vers les machines
du LAN est quasi-trivial ;
- Problme 2: le pare-feu est un point nvralgique de l'architecture. Si l'attaquant parvient le
compromettre o le rendre compltement traversant (il ne fait alors que router des paquets
entre ses interfaces), il peut alors accder l'ensemble du rseau cible. Ici encore, la
compromission multiple de machines s'avre relativement aise ;
- Problme 3: l'architecture ne propose aucune mesure de protection contre la dfiguration du
site web. En effet, les flux en provenance d'Internet peuvent lgitimement atteindre le serveur
web de l'entreprise. Si l'on suppose que l'attaquant connat une attaque non publique sur l'un
des logiciels mis en uvre par le serveur web et accessible par internet, il peut alors prendre
le contrle du serveur et en modifier le contenu.
LAN F WAN
3 2
DMZ
Note importante : dans ce cas, seuls sont dplacs les serveurs devant tre accessibles de l'extrieur.
Les serveurs usage interne (serveurs de fichier, base de donnes par exemple) doivent rester quant
eux connects directement au LAN et accessibles uniquement depuis ce dernier. Cela ncessite pour
l'entreprise d'identifier clairement les donnes qui peuvent tre mises disposition du grand public
sur le serveur web et celles qui ne doivent pas ltre.
6
Cette architecture corrige correctement le premier problme (les flux destination des serveurs Web
ne circulent plus au travers du LAN) mais pas les deux autres dans la mesure o le pare-feu constitue
toujours un point critique de l'architecture et o aucune protection spcifique n'est mise en place pour
prendre en compte le risque de dfiguration du site web.
3 2
DMZ
La mise en place de ces deux pare-feux rend chacun de ces quipements non critiques. La
compromission de FWe ne permet pas un attaquant d'attaquer directement le LAN (FWi est
toujours en coupure), et la compromission de FWi n'est pas aise car, sauf en cas de compromission
de FWe, aucun paquet de l'attaquant n'est rout vers FWi.
De plus, la configuration par un administrateur de FWi est relativement simple puisque ce dernier ne
voit que des flux logiques sortants. Une erreur de configuration se remarque donc aisment.
Toutefois, la mesure n'est rellement efficace que lorsque les pare-feux sont rellement diffrents. Si
les deux pare-feux sont identiques, un attaquant ayant connaissance d'une vulnrabilit pourrait
prendre le contrle successif de ces deux pare-feux sans rel problme. Il est donc important de
mettre en place une diversification tous les niveaux:
- au niveau du systme d'exploitation (JunOS, IOS, OpenBSD, Linux, etc.);
- au niveau du moteur de filtrage (Packet Filter (PF), Netfilter);
- au niveau (si possible) du matriel.
Plus les quipements seront diffrents, plus le risque qu'un attaquant ait connaissance d'une
vulnrabilit exploitable sur les deux pare-feux sera faible. Bien entendu, cette diversification
technologique ne doit se faire que dans les limites de la maintenabilit du parc. Si la consquence
d'une telle diversification technologique est que le parc n'est plus maintenable (par manque de
moyens et de comptences), il est certainement prfrable de ne pas la mettre en uvre.
Par ailleurs, il est fortement recommand d'ajouter sur la DMZ un serveur mandataire (proxy) en
charge d'effectuer un filtrage applicatif des changes (dpollution, filtrage des contenus dangereux,
maintien dune liste blanche des sites accessibles et/ou dune liste noire des sites interdits) entre les
machines du LAN et les serveurs auxquels elles accdent sur Internet. Les flux deviennent alors tels
que prsents sur la Figure 4.
7
1 1
3 2
DMZ
Il est important de noter que, sur cette nouvelle architecture, la DMZ est en coupure sur l'ensemble
des flux. Il est donc prfrable de la placer en coupure physique sur les flux selon le principe prsent
sur la Figure 5. L'utilisation d'une coupure physique en lieu et place d'une coupure logique permet
physiquement de garantir qu'aucune communication n'est possible entre les deux pare-feux sans
passer par la DMZ. Sans cette coupure, il existe un risque quun flux sortant soit adress au WAN
directement sans quil ne soit filtr au niveau applicatif.
DMZ
L'architecture obtenue est malheureusement encore imparfaite car elle ne fournit toujours aucun
mcanisme permettant de protger le serveur web contre une ventuelle dfiguration.
1
1,3 1
2
DMZi DMZe
DMZi DMZe
3 Problmes annexes
5
Autonomous System.
10
En particulier, un facteur favorable est que les postes nomades soient grs comme les postes
d'infrastructure du LAN :
- les utilisateurs ne doivent pas tre administrateurs de leur machine ;
- la politique de mise jour doit tre strictement identique celle des postes fixes, de mme
que la politique d'authentification, qui peut mme tre renforce en raison du caractre
nomade des postes ;
11
- les flux web doivent tre vhiculs par la passerelle d'interconnexion (voir ci-dessous).
De plus, il est ncessaire de prendre en compte les usages spcifiques aux postes nomades,
notamment :
- dsactiver dans la mesure du possible les interfaces sans-fil, sources de nombreuses
vulnrabilits ;
- chiffrer le disque dur avec un moyen qualifi 6 par l'ANSSI pour rduire l'impact de la perte
ou du vol d'un poste nomade ;
- sensibiliser les utilisateurs la politique de scurit. En particulier, il doit tre explicitement
interdit d'accder des informations sensibles dans des endroits publics (trains, mtro, parcs,
cafs, etc.).
Au niveau de l'architecture de la passerelle, il est conseill de retenir une architecture telle que celle
qui est dcrite ci-dessous.
DMZi DMZe
L'architecture propose met en uvre une machine effectuant une authentification des postes distants
et un dchiffrement des flux au niveau IP (protection de type IPsec) depuis et destination de ces
postes (VPN). Le lien entre authentification et chiffrement doit tre fort pour garantir que seuls les
postes rellement authentifis pourront adresser des paquets la passerelle 7 . Il est fortement
conseill que la machine VPN soit situe sur une interface spcifique du pare-feu FWe. En effet, les
flux chiffrs par IPsec sont difficilement filtrables par les pare-feux car leur contenu ne peut tre
inspect et le protocole est sans tat (pas de filtrage contextuel possible). Les faire transiter via la
passerelle principale annule donc tous les efforts faits pour matriser les diffrents changes au sein
de la passerelle.
Les flux dchiffrs par la machine VPN sont ensuite traits par un filtre mdian (FWm) charg
d'effectuer un filtrage au niveau des couches rseau et ventuellement au niveau des couches
applicatives. En effet, le fait qu'une machine soit authentifie ne garantit pas que les flux qu'elle met
ne puissent pas tre vecteurs d'attaques. En d'autres termes, le fait que les flux soient authentifis ne
garantit pas leur innocuit. Ensuite, les flux peuvent tre adresss un serveur d'accs distant (RAS).
Ce serveur peut tre un simple serveur http, ou ftp. Il est possible de se passer de ce serveur et de
connecter directement le filtre FWm' FWi pour permettre un accs distant au LAN. La dcision de
se passer ou non de ce serveur dpend du niveau de confiance que l'on peut avoir dans les postes
clients. Idalement, les flux internet des postes nomades passent systmatiquement par la passerelle
(VPN, FWm', FWi, DMZi, FWm, DMZe, FWe) pour sortir sur Internet.
6
http://www.ssi.gouv.fr/fr/qualification.
7
Il est fondamental que lauthentification permettant douvrir le tunnel soit relie au protocole utilis pour protger la
confidentialit et lintgrit de la communication.
12
LAN Fi Fm Fe WAN
DMZi DMZe
4 Rsum et conclusions
Cette configuration vise limiter les risques d'usurpation d'identit depuis l'un ou l'autre des
composants du rseau ;
- utiliser un principe de diversification technologique dans la limite de la maintenabilit du
parc.
4.2 Conclusion
Les principes exposs ici visent dcrire les fonctions de scurit mettre en uvre dans une
passerelle d'interconnexion face aux diffrentes menaces prendre en compte. Le choix de
l'architecture retenue doit tre fait au cas par cas en fonction du niveau de scurit attendu et des
contraintes oprationnelles (financires, gestion du parc, maintenabilit, etc.).
Diffusion
Diffusion publique sur www.ssi.gouv.fr.