Yonel GRUSSON 1. 2 La SECURITE des SYSTEMES D'INFORMATION et des RESEAUX

Yonel GRUSSON 1

Les RESEAUX

Yonel GRUSSON 2

La SECURITE des SYSTEMES D'INFORMATION et des

RESEAUX

Yonel GRUSSON 3

Nouvelle et indispensable dimension des systèmes informatiques :Extensions des systèmes vers tous les

partenaires de l'entreprise (employés, cadres, clients, fournisseurs,…) et le reste du monde (Internet).

Multiplication des points d'accès.Mais….

Politique coûteuse.Parfois incompatible ou jugées

incompatibles avec les performances.

INTRODUCTION

Yonel GRUSSON 4

Les OBJECTIFSDISPONIBILITE : Garantir dans le temps

et l'espace la continuité de fonctionnement de l'ensemble des ressources.

INTEGRITE : Maintenir l'intégrité du point de vue physique (sauvegarde) et logique (contrôle des accès).

CONFIDENTIALITE : Assurer l'accès aux ressources aux seules personnes autorisées

INTRODUCTION

Yonel GRUSSON 5

INTRODUCTION Mise en place d'une ORGANISATION

Au niveau Global : La sécurité concerne toutes les parties prenantes de l'entreprise.

Définir un poste de responsable de la sécurité et des responsables pour les éléments du système (un responsable par Domaine par exemple).

Définir des procédures (gestion des badges d'accès, de la circulation, etc.…).

Aménagement des locaux. Sensibilisation du personnel à la sécurité. Tester les procédures (incendie, sauvegarde…)

Yonel GRUSSON 6

Ce qu'il faut sécuriser :Les locaux.Les matériels.L'accès au système.Les données.Les échanges d'information.L'interconnexion des réseaux.

PLAN

Yonel GRUSSON 7

PROTECTION DES LOCAUX.Construction des locaux.

Situation des locaux informatiques (serveurs), étude de la circulation du personnel, séparation des courants forts et faibles, etc...

Protection contre les incendies et les inondations. Gaine anti-feu pour le câblage, fermeture

automatique des portes, armoire anti-feu, etc...

Contrôle d'accès.Les assurances (concerne également le matériel)

Yonel GRUSSON 8

La protection du matériel a pour objectif de prévoir une défaillance ou une détérioration du matériel.

Remarque : Se protéger de la défaillance du matériel revient à protéger les données qu'il supporte.

PROTECTION DES MATERIELS

Yonel GRUSSON 9

Télésurveillance et/ou protection des locaux contre les infractions.

Ces techniques servent à se prémunir contre les malveillances internes ou externes envers le matériel (vol, détérioration, etc.).

D'autres risques ne sont pas obligatoirement d'origine malveillante ou humaine (foudre, coupure électrique, erreur de manipulation, etc.)


Yonel GRUSSON 10


Protection électriqueFaible : Protection contre les surtensions

(bloc de prises) + Onduleur (sans batterie). Moyenne : Onduleur + Batteries (maintien

de l'alimentation durant quelques minutes)Forte : Onduleur + Batterie + sauvegarde

automatique.La protection peut se situer au niveau d'une machine,

d'un groupe de machines et intégré à l'installation électrique.

Yonel GRUSSON 11


Les appareils de protection électrique peuvent aller du plus simples ou plus importants :

Yonel GRUSSON 12

La connexion peut se faire au travers d'une interface additionnelle ou un port standard (Com, USB)


Onduleur+ Batteries

CarteAlimentation

Signal en cas de coupure qui déclenche éventuellement des sauvegardes puis un "shutdown" du systèmeAlimentation

Ordinateur

Schéma d'un onduleur avec sauvegarde automatique

Yonel GRUSSON 13

Systèmes REDONDANTSLa redondance permet de répondre rapidement

à une défaillance de tout ou partie d'un système

On parle de système à tolérance de pannes :Au niveau du système lui-même :

Redondance de l'ordinateur et de tous ses périphériques ; Si possible les systèmes seront situés sur des sites différents.

Le câblage et l'électronique active d'un réseau local peuvent-être doublés pour faire face à une panne .


Yonel GRUSSON 14

Systèmes REDONDANTSCertains éléments sont doublés sur les

serveurs, traditionnellement :

• L'alimentation

• Les disques. On parlera de système RAID (Redundant Array of Inexpensive Disks). Les disques peuvent être également "échangeable à chaud" (hot-plug) c'est à dire sans arrêter le serveur.


Yonel GRUSSON 15

La technologie RAIDClassification en plusieurs niveaux de :

RAID0 à RAID5RAID0 ou Agrégat par bande : Les données sont réparties en blocs selon

un ordre défini sur tous les disques.


Yonel GRUSSON 16

La technologie RAID

RAID0 ou Agrégat par bande :Disque 1 Disque 2 Disque 3 Disque 4

Fichier 1

Fichier 2

Fichier 3

Fichier 4

Avantage : Accès rapide aux donnéesInconvénient : La perte d'un disque entraîne la perte de toutes les données


Yonel GRUSSON 17

La technologie RAIDRAID1 : Un ou plusieurs disques sont une

copie parfaite d'un disque principal. Il y a deux variantes du RAID1 :

Mirroring

Disqueprincipal

DisqueMiroir

1 Seul Contrôleur

=


Yonel GRUSSON 18

La technologie RAID

Duplexing

Disqueprincipal

DisqueMiroir

Deux Contrôleurs

=


Yonel GRUSSON 19

La technologie RAIDRAID1 :

Méthode sûre et coûteuse(2 disques = 1)

Il améliore les performances en lecture par des accès simultanés aux 2 disques.


Yonel GRUSSON 20

La technologie RAIDRAID2 :

Principe de fonctionnement identique au RAID1.Un seul disque est sollicité lors des opérations de lecture.


Yonel GRUSSON 21

La technologie RAID

RAID3 ou Agrégat par bande avec parité

Il s'agit d'un RAID0 avec un disque de parité.

Les données sont écrites bit à bit (ou par octet) sur les différents disques, le dernier disque enregistre la parité. Ce dernier permet de continuer à fonctionner avec un disque en panne puis de régénérer ce disque.


Yonel GRUSSON 22

La technologie RAID

RAID4 : Identique au RAID3 avec une écriture par petit bloc et non plus par bit (ou octet).

Avantages du RAID3 et 4:

Dispositif à tolérance de pannes.

Inconvénients du RAID3 et 4 :

Mobilise un disque (coût). En cas de défaillance du disque on se retrouve en RAID0.


Yonel GRUSSON 23

La technologie RAIDRAID3 et 4

Disque 1 Disque 2 Disque 3Disque 4

Parité

Fichier 1

Fichier 2

Fichier 3

Fichier 4

Bloc 1

Bloc 4

Bloc 2 Bloc 3 Parité

etc..

Écritured'unfichier


Yonel GRUSSON 24

La technologie RAID

RAID5 : Le disque de parité est réparti sur l'ensemble des disques de données

Disque 1 Disque 2 Disque 3 Disque 4

Fichier 1

Fichier 2

Fichier 3

Le segment de parité est décalé


Yonel GRUSSON 25

La technologie RAIDRAID5

Il améliore les performances en lecture et en écriture.

Avec des disques "HotPlug" ce mode permet l'échange de disques à chaud et sa régénération.

Appelé aussi "Agrégat par bandes avec parité"


Yonel GRUSSON 26

La technologie RAID

RAID5 Sur un système de N disques l'espace

utile (celui des données proprement dit) et de N-1 disques. Plus le nombre de disques est important plus la part relative perdue est faible.


Yonel GRUSSON 27

La technologie RAIDIl existe d'autre mise en œuvre qui dérivent des

précédentes :ORTHOGONAL RAID5 : Technique logicielle

créé par IBM identique au RAID 5 mais utilise un contrôleur par disque comme en "duplexing".

RAID6 : Identique au RAID 5 mais utilise 2 codes de redondance. Ce qui permet de continuer de fonctionner après la panne de 2 disques simultanément.


Yonel GRUSSON 28

La technologie RAID

Il existe d'autre mise en œuvre qui dérivent des précédentes :

RAID7 : Met en jeu une carte microprocesseur qui contrôle et calcule la parité, la gestion du cache ainsi que la surveillance des disques.Ce mode supporte la perte de plusieurs disques simultanément.

RAID10 : Combinaison entre l'agrégat et la miroir.


Yonel GRUSSON 29

La technologie RAIDDepuis NT4 Server, Les systèmes serveurs de

Microsoft permettent le RAID0 et le RAID5. Il s'agit d'une solution logicielle, c'est à dire prise en charge par le SE et le processeur du serveur (utilisation de ressources).

Les systèmes RAID matériels s'appuient sur un contrôleur intelligent qui prend en charge la redondance et la régénération des données sur les disques en RAID (pas d'utilisation des ressources du SE)


Yonel GRUSSON 30

PROTECTION D'ACCES AUX SYSTEMES

Avec l'importance prise par l'architecture Client/Serveur la sécurisation des accès des clients aux serveurs passent toujours par un processus d'authentification. Cette opération se fait traditionnellement avec un login et un mot de passe.

D'autres techniques sont possibles : Authentification par carte à puce,Reconnaissance d'empreinte digitale, Reconnaissance vocale,Reconnaissance oculaire.

Yonel GRUSSON 31


Le développement des applications serveurs (Web, Ftp, Messagerie, SGBD, Samba, etc.) augmentent le nombre d'authentifications. Ainsi ces applications serveurs peuvent : S'appuyer sur le système d'exploitation qui

les font tourner (Windows Server, Linux, Unix, etc..) ou

Demander une authentification supplémentaire (SGBD)

Ainsi, IIS s'appuie sur Windows 200x alors que SQL-Server peut gérer ses propres connexions

Yonel GRUSSON 32

L'accès sécurisé à un système peut avoir plusieurs caractéristiques (cf. cours) :

Login + Mot de passe (minimum)Avec des contrôles sur les mots de passe

modifiables par les utilisateurs (longueur, nature des caractères, périodicité, etc.).

Horaires d'accès.Machines d'accès.Contrôle de l'accès depuis l'extérieur.

Utilisation du Call-backNote : Parfois ce que le système n'assure pas peut être pris en

charge par des programmes (scripts)


Yonel GRUSSON 33

Le nombre important de serveurs et l'hétérogénéité des systèmes amènent : Des authentifications multiples et donc La circulation des logins et des mots de

passe (même cryptés)

Les solutions proposées sont actuellement : L'utilisation d'un serveur d'authentification L'authentification basée sur un système de

tiers de confiance (cf. cours Kerberos)


Yonel GRUSSON 34

Logiciel AntivirusProtection des serveurs et des postes

contre les virus connus et inconnus.Mise à jour automatique des postes lors de

leur connexion pour les associés à la dernière mise à jour des signatures de virus.

Les Logiciels antivirus doivent être compléter avec une protection à l'entrée du réseau (FireWall)


Yonel GRUSSON 35

A coté de la sécurisation du support des données (redondance) et de l'accès aux systèmes serveurs de ces données, il faut garantir l'intégrité et le maintien des données dans le temps.

Les techniques

Traditionnellement la protection des données s'appuie sur des sauvegardes sur bandes magnétiques.

PROTECTION DES DONNES

Yonel GRUSSON 36

PROTECTION DES DONNESLes techniques

Actuellement la sauvegarde des données est envisagée dans le cadre plus général du stockage avec les notions de NAS -Network Attached Storage- et de SAN -Storage Area Network- (Voir cours NAS – SAN).

Attention : "Sauvegarde" et "Système RAID" sont complémentaires et répondent à des problèmes différents.

Yonel GRUSSON 37

PROTECTION DES DONNESSauvegarde sur bandes

Cette opération est : Obligatoire, elle correspond à une tâche

spécifique affectée à un ou plusieurs informaticiens,

Elle doit être régulière, la périodicité des sauvegardes (journalières, hebdomadaires et/ou mensuelles) dépend de la périodicité des modifications et de la valeur des données.

Yonel GRUSSON 38


LecteurHp 12/24 GB Dat

HP StorageWorks DAT 72 Tape Drive

Quelques exemples de sauvegarde chez HP :

HP StorageWorks DAT 72x6 Autoloader(6 bandes DAT de 72 GB)

Yonel GRUSSON 39


HP StorageWorks Ultrium 230i

Format : interne

Compatibilité lecture/écriture : LTO Ultrium

Compatibilité lecture : LTO Ultrium

Capacité native : 100 Go

Capacité avec compression : 200 Go

Taux transfert natif : 15 Mo/s

Taux transfert avec compression : 30 Mo/s

Interface : Wide Ultra SCSI-2 LVD

Quelques exemples de sauvegarde chez HP :

Yonel GRUSSON 40

PROTECTION DES DONNESQuelques exemples de sauvegarde chez HP :

HP Cartouche DDS : 4 mm

Longueur : 170 M

Capacité : 72 Go

Cartouche HP Ultrium

Capacité 100 Go (200 avec compression)

Technologie LTO (Linear Tape Open)

Compatible avec tous les lecteurs Ultrium

Cartouche DLT IV

Compatibilité : Avec les lecteurs DLT HP SureStore et tous les lecteurs du marché

Capacité : 40 Go (80 Go avec compression)

Yonel GRUSSON 41

PROTECTION DES DONNES Quelques définitions (Extraites de http://www.osinet.fr)

DAT Digital Audio Tape - (1987) Cartouche audionumérique adaptée au stockage de données

dans les formats DDS, de façon comparable à l'adaptation du Compact Disc au stockage de données aux formats CD-ROM.

DDS Digital Data Storage - Utilisation des médias DAT pour l'archivage et les sauvegardes.LTO Linear Tape Open - (Fin des années 90) Dans les versions Ultrium, il s'agit d'une version

standardisée du principe du DLT par HP, IBM et Seagate. Les premiers lecteurs LTO ont été mis sur le marché par IBM en Septembre 2000, avec des capacités de 100Go par cartouche et un débit de 15 Mo/s.

VarianteCapacité

Taux de transfertLongueur Vitesse

Native Compressée Défilement

1 100 Go 200 Go 20 Mo/s 580 m 2,7 à 5,4 m/s

2 200 Go 40 Mo/s 580 m 3,75 à 7,5 m/s

3 400 Go 80 Mo/s

4 800 Go 160 Mo/s

Yonel GRUSSON 42

DLT Digital Linear Tape - (Années 90) Stockage sur bande 1/2 pouce en cartouche à un seul axe, l'autre

étant dans le lecteur. Lecture linéaire et non hélicoïdale comme sur la plupart des autres systèmes de stockage des années 80/90. Dérivé d'une technologie DEC, acquise par Quantum dans les années 90.

Variante

Capacité Débit maximum

Native Compressée Natif Compressé

DLT 3000 15 Go 30 Go

DLT 4000 20 Go 40 Go

DLT 7000 35 Go 70 Go 5 Mo/s 10 Mo/s

DLT 8000 40 Go 80 Go 6 Mo/s 12 Mo/s

SuperDLT 1SDLT 220 110 Go 220 Go 11 Mo/s

SDLT 320 160 Go 16 Mo/s

SuperDLT 2 (SDLT 640) 320 Go 32 Mo/s

SuperDLT 3 (SDLT 1200) 640 Go 50 Mo/s

SuperDLT 4 (SDLT 2400) 1,2 To ≥ 100 Mo/s


Yonel GRUSSON 43

Sauvegardes sur bandes

5 Types de sauvegardes :

NORMALE : Copie de tous les fichiers sélectionnés. Le bit d’archivage est désactivé.

Fichiers faciles à retrouver car ils sont situés sur la dernière sauvegarde.

Mais, nécessite plus de temps en sauvegarde et les fichiers non modifiés sont redondants sur les bandes.

Note : A chaque fois qu'un fichier est modifié son bit d'archivage est modifié.


Yonel GRUSSON 44

PROTECTION DES DONNESSauvegardes sur bandes

PAR DUPLICATION : Copie de tous les fichiers sélectionnés. Le bit d'archivage n'est pas modifié. INCREMENTIELLE : Copie uniquement les fichiers dont le bit d'archivage est activé c'est à dire les fichiers créés ou modifiés depuis la dernière sauvegarde incrémentielle ou normale. Le bit d'archivage est désactivé.L’espace bande est moindre, la sauvegarde est plus rapide.

Mais difficulté pour retrouver les fichiers.

Yonel GRUSSON 45



DIFFERENTIELLE : Copie uniquement les fichiers dont le bit d'archivage est activé c'est à dire crées ou modifiés depuis la dernière sauvegarde incrémentielle ou normale. Le bit d'archivage n'est pas modifié. QUOTIDIENNE : Copie de tous les fichiers sélectionnés ayant été créés ou modifiés le jour de la sauvegarde. Le bit d'archivage n'est pas modifié.

Yonel GRUSSON 46


Les méthodes les plus utilisées sont les sauvegardes :

- INCREMENTIELLE

- NORMALE

Exemple de sauvegarde sur 12 semaines :


Yonel GRUSSON 47

Bande 1 Bande 5Bande 2 Bande 3 Bande 4

Semaine 1


Semaine 2


Semaine 3

Bande Bande Sauvegarde incrémentielle Sauvegarde normale

Lundi Mardi Mercredi Jeudi Vendredi

Bande 5 - Hors site

Bande 10 - Hors siteReprise Bande 5

Au bout de 12 semaines le cycle recommence avec un nouveau jeu de bandes


Yonel GRUSSON 48

La protection des échanges et la confidentialité de l'information sur un réseau peut se situer à différents niveaux :

La couche transmission (contrôle polynomial par exemple)

La couche session (protocoles SSL et SSH par exemple)

La couche présentation (cryptage)

PROTECTION DES ECHANGES

Yonel GRUSSON 49

INTERCONNEXION DES RESEAUX

Le problème n'est plus ici de sécuriser l'information en elle-même (confidentialité) mais de contrôler le trafic sur des réseaux interconnectés. Évidemment ces problèmes se posent essentiellement lorsqu'un réseau d'entreprise s'ouvre sur le monde avec l'Internet ; mais ils peuvent également se présenter avec l'interconnexion de réseaux locaux.

Yonel GRUSSON 50

INTERCONNEXION DES RESEAUX

Les techniquesLe Virtual Local Area Network (VLAN)Le Virtual Private Network (VPN)Les techniques du filtrage

• Le routage filtrant• Le pare-feu (Firewall)• Le serveur NAT (Network Adress Translation)• Le serveur Proxy

Notion de "Zone Démilitarisée" (DMZ)

Documents

Yonel GRUSSON 1. 2 La SECURITE des SYSTEMES D'INFORMATION et des RESEAUX