Architecture de réseau avec filtrages pour améliorer la sécurité

L’architecture

Principes

On peut faire le constat que tous les systèmes d’un site n’ont pas besoin de la même ouverture d’accès vis à vis de l’Internet. Dans le sens sortant, du site vers l’Internet, tous les postes doivent pouvoir accéder à des serveurs Web, échanger des messages, … Généralement on limitera peu les communications dans ce sens. Néanmoins on peut considérer que certains groupes comme les étudiants peuvent se comporter en pirate pour l’extérieur et limiter leurs actions dans ce sens sortant. Mais dans le sens entrant, de l’Internet vers le site, sens qui permet d’accéder aux services réseau sur les stations locales, le besoin de connexion est généralement très faible : évidemment le serveur WEB doit être accessible par tout l’Internet mais les serveurs locaux (de calcul par exemple) et les postes de travail utilisateur en ont rarement besoin. Si c’est néanmoins le cas, le besoin est souvent temporaire (accès à des fichiers lors de missions, depuis le domicile) et identifié (depuis certains sites). Or c’est ce sens entrant qui présente un danger. On va donc essayer de limiter autant que faire ce peut les flux dans cette direction. Partant de ce constat le principe de l’architecture est simple. Dans un premier temps il faut séparer les machines qui ont besoin d’être accédées de l’Internet (les serveurs réseaux) des autres (les machines utilisateurs clientes et les serveurs locaux) et disposer les premières dans une zone semiouverte entre l’Internet et le réseau purement local. Dans un second temps, sur le réseau local, il faut identifier les différentes communautés (unités, laboratoires, écoles, UFRs, services, serveurs généraux internes, …). Les machines de ces groupes seront réparties dans différents sous-réseaux physiques ou logiques. On arrive ainsi a une architecture segmentée. Les critères à prendre en compte pour ce tri peuvent être le rattachement administratif mais aussi les besoins réseau (connectivité complète avec l’Internet ou non), les besoins de sécurité (confidentialité de certains contrats, données, …), les types d’utilisateurs (permanents ou de passage), le mode d’administration des machines (par le service informatique, un ITA ou sans administration reconnue).
Dans un troisième temps on installera des filtres dans les équipements de connexion (routeurs R1 et R2) pour isoler certaines machines sensibles ou certains groupes à risque et n’autoriser que les services utiles et contrôlés à circuler. Le tri des machines étant fait, ces filtres seront simples à écrire.

Les services dans la zone semi-ouverte

Dans la zone semi-ouverte, en entrée de site, il faut installer toutes les machines qui assurent les services réseau avec l’extérieur : DNS, messagerie, Web, FTP anonyme, News, serveur d’accès commuté, cache Web, bases de données publiques, et tout autre service qui a besoin de communication intensive avec l’Internet. Cette zone sera typiquement un réseau Ethernet 10 ou 100 M, selon le débit de la prise d’accès à l’Internet. Inutile d’avoir du Gigabit si on n’a qu’un accès à 2 M avec l’Internet. Ce réseau sera connecté à l’Internet par un routeur (R1 sur le schéma) dans lequel on aura installé un ensemble de filtres décrits ci-après. Les services réseau pouront être éclatés sur plusieurs machines ou concentrés sur une ou deux, selon la taille du site, le budget, le mode d’administration … L’éclatement conseillé sur plusieurs machines permet de mieux limiter et surveiller les accès.

Cours gratuitTélécharger le cours complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *