ÉVOLUTION DE LA SÉCURITÉ DÉFENSIVE DES RÉSEAUX LOCAUX - Sstic
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
ÉVOLUTION DE LA
SÉCURITÉ
DÉFENSIVE DES
RÉSEAUX LOCAUX
Josselin MOUETTE
Juin 2022
Direction des Services Informatiques & Télécoms
SOMMAIRE
1. 2. 3. 4.
NOUVEAUX RÉSEAUX
CONTEXTE & LOCAUX : SD-LAN &
HISTORIQUE MICRO-SEGMENTATION SD-LAN ET SÉCURITÉ VERS LE ZTNA
Sécurité des réseaux locaux 2022 2
SOMMAIRE
1. 2. 3. 4.
NOUVEAUX RÉSEAUX
CONTEXTE & LOCAUX : SD-LAN &
HISTORIQUE MICRO-SEGMENTATION SD-LAN ET SÉCURITÉ VERS LE ZTNA
Sécurité des réseaux locaux 2022 3
LES DÉBUTS
Réseaux à plat, déployés à partir de la fin des années 1990…
Sous-réseaux
jusqu’à /20 2009 : crise Conficker
Un unique PC contaminé pouvait
Pas de VLAN mettre à genoux le site (saturation
par broadcast)
Un unique malware a eu raison des
réseaux de niveau 2 à EDF
Une boucle =
plus de réseau
… comme à la maison !
Sécurité des réseaux locaux 2022 4
LA SÉCURITÉ DEVIENT UN BESOIN
Routage séparé
en VRF Réseaux routés, déployés depuis
le courant des années 2000
DHCP
snooping
Sécurité active :
➢ Contre les boucles
➢ Contre les tempêtes
Séparation des ➢ Contre les usurpations
fonctions en VLAN STP
➢ Contre le DHCP starvation
Sous-réseaux
limités
Sécurité orientée
disponibilité du réseau
ARP BPDU Guard
inspection
Port security Sécurité des réseaux locaux 2022 5
Storm control
ÇA SE COMPLIQUE…
Au fil du temps, on ajoute des réseaux supplémentaires avec des besoins de sécurité différents.
Sécurité des réseaux locaux 2022 6
LE CONTRÔLE D’ACCÈS AU RÉSEAU : NAC
« Intelligence »
du service Authentification sur la couche 2
du modèle OSI
WiFi globalement Protocole EAP :
plus sûr ➢ EAP-TLS (certificat)
➢ EAP-TTLS : login/mdp
➢ EAP-AKA : carte SIM
➢ …
Attaque Support MacSec
« Hub » inexistant
Support 802.1x rare
(hors PC/smartphone) Sécurité des réseaux locaux 2022 7
EXEMPLES DE MENACES À PRENDRE EN COMPTE
Terminal compromis Matériel piégé
Menaces hybrides
➢ Physiques + cyber
Sécurité des réseaux locaux 2022 9
SOMMAIRE
1. 2. 3. 4.
NOUVEAUX RÉSEAUX
CONTEXTE & LOCAUX : SD-LAN &
HISTORIQUE MICRO-SEGMENTATION SD-LAN ET SÉCURITÉ VERS LE ZTNA
Sécurité des réseaux locaux 2022 10
LE SD-LAN (1/2)
Les architectures SD-LAN sont basées sur des
tunnels faisant circuler des réseaux logiques
(overlays) sur un réseau physique (underlay)
Le réseau underlay
➢ Réseau niveau 3
➢ Routage simple (OSPF, ISIS)
➢ Assure la connectivité entre :
➢ Edge : commutateur d’accès
➢ AP WiFi
➢ Border : liens avec l’extérieur du LAN
Sécurité des réseaux locaux 2022 11LE SD-LAN (2/2) : TYPES D’OVERLAY
Overlay maillé : VXLAN Overlay hub & spoke : « segmentation dynamique »
Plan de contrôle :
LISP ou EVPN Application des
politiques Un tunnel
par terminal
Extensions propriétaires :
transmission du rôle
➢ Plus élégant ➢ Fonctions de sécurité plus avancées
12
➢ Optimise la performance des liens ➢ Déploiement simplifié des politiquesLA MICRO-SEGMENTATION
Micro-segmentation : technologie de filtrage interne à un sous-réseau associée à des rôles
Pour les architectures maillées
➢ Porté par chaque commutateur d’accès
➢ ACL dynamiques
➢ Technologie stateless
Pour les architectures hub & spoke
➢ Porté par le contrôleur en central
➢ Stateful, journalisation, filtrage couches 4/7
Sécurité des réseaux locaux 2022 13GESTION DES RÔLES
Configuration centralisée du SD-LAN et de la micro-segmentation
Exemple de rôle (Aruba) :
netservice SVC-HTTPS tcp list 443
!
netservice SVC-SNMP udp list 161
!
netservice SVC-SYSLOG udp list 514
! ip access-list session ACL-SESSION-PRINTERS
netdestination NETDEST-SRV-IMP-WINDOWS alias NETDEST-SRV-IMP-OUTILLAGE user SVC-HTTPS permit
host 10.10.42.42 alias NETDEST-SRV-IMP-OUTILLAGE user SVC-SNMP permit
host 10.10.42.43 user alias NETDEST-SRV-IMP-SYSLOG SVC-SYSLOG permit
! alias NETDEST-SRV-IMP-WINDOWS user tcp 9100 permit
netdestination NETDEST-SRV-IMP-SYSLOG !
host 10.14.1.12 user-role cppmrole
! vlan 1234
netdestination NETDEST-SRV-IMP-OUTILLAGE reauthentication-interval 480
host 10.14.1.42 access-list session ACL-SESSION-PRINTERS
14
! !LE PROFILAGE D’ÉQUIPEMENTS
Gestion des équipements incompatibles 802.1x
Enregistrement
@MAC
Sondes possibles
➢ Requête DHCP
➢ SNMP sur le switch
➢ NetFlow
➢ Agent sur le terminal
➢ User-Agent HTTP
➢ Connexion SSH/WMI
Le profilage ne se substitue
pas à une authentification !
Sécurité des réseaux locaux 2022 15SOMMAIRE
1. 2. 3. 4.
NOUVEAUX RÉSEAUX
CONTEXTE & LOCAUX : SD-LAN &
HISTORIQUE MICRO-SEGMENTATION SD-LAN ET SÉCURITÉ VERS LE ZTNA
Sécurité des réseaux locaux 2022 16PROTÉGER ADMINISTRATION & UNDERLAY
Authentication Bypass Leading to Remote Code Execution in Buffer Overflow Vulnerabilities in the PAPI protocol
ClearPass Policy Manager Web-Based Management Interface (CVE-2021-37716)
(CVE-2022-23657, CVE-2022-23658, CVE-2022-23660) -------------------------------------------------------------------
--------------------------------------------------------------------- There are multiple buffer overflow vulnerabilities that
Vulnerabilities in the web-based management interface of Management could lead to unauthenticated remote code execution by
ClearPass Policy Manager could allow an unauthenticated sending especially crafted packets destined to the PAPI
remote attacker to run arbitrary commands on the underlying (Aruba Networks AP management protocol) UDP port (8211) of
host. Successful exploitation of these vulnerabilities Underlay devices running ArubaOS. This may potentially allow for
allow an attacker to execute arbitrary commands as root on denial-of-service attacks and/or remote code execution in the
the underlying operating system leading to complete system underlying operating system.
compromise..
La quasi-totalité des vulnérabilités critiques nécessite un accès management ou underlay
➢ Le filtrage stateful des réseaux qui portent ces interfaces est indispensable
➢ Protection contre l’exploitation et la post-exploitation
Cette sécurité n’est pas intégrée par défaut par les constructeurs.
???
Management
Sécurité des réseaux locaux 2022 17
OutillageDÉFINIR UNE POLITIQUE D’AUTHENTIFICATION
S’adapter au contexte de l’organisation
Capacités
terminaux
Exemple Se connecter depuis…
simplifié : Le WiFi ou Un local
une zone Une zone technique
ouverte contrôlée sécurisé
Login / mot de passe
Invité N/A
invité
Accéder au rôle…
Expérience Politique Capacités Interne Certificat protégé par TPM
utilisateur d’auth du AAA
Imprimante N/A Certificat constructeur
Profilage
Multimédia N/A N/A
équipement
Contrôle Profilage
N/A N/A
d’accès équipement
Sécurité
physique
La politique est appliquée dynamiquement sur des
ports à la configuration banalisée, en fonction de leur
Sécurité des réseaux locaux 2022 18
localisation physique et de l’authentification.AVANCER PAS À PAS (1/2)
La tentation est grande de vouloir tout
faire rapidement, mais il faut
commencer avec des rôles simples
Évolutions ultérieures
possibles
➢ Authentification en deux temps
➢ Rôles secondaires
➢ Lien utilisateur / annuaire
d’entreprise
➢ Intégration
Intégrationdudurôle
rôleavec
avec
d’autrescomposants
d’autres composants
➢ Pare-feux, proxy…
➢ Mise en quarantaine
automatisée
➢ etc.
Sécurité des réseaux locaux 2022 20AVANCER PAS À PAS (2/2)
➢ Mise en quarantaine
automatisée
Sécurité des réseaux locaux 2022 21CONNAÎTRE SON SYSTÈME D’INFORMATION
Établir les rôles depuis un
SI sédimenté avec de
nombreux équipements à la
documentation « variable »
Sécurité des réseaux locaux 2022 22LIMITES ET VULNÉRABILITÉS
Limitations de la µ-segmentation NAC & profilage
Interopérabilité des ➢ Maxi 4 domaines de macro- ➢ Sondes de profilage actives
solutions segmentation (Cisco)
➢ SSH, WMI avec mot de
➢ Constructeur unique pour ➢ Objets de filtrage passe !
tout l’écosystème ➢ Pas de récursivité ➢ Usurpation @MAC
➢ Limites sur l’underlay ➢ Limite du nombre total (Aruba) ➢ Attaques sur 802.1x
➢ MTU vs. xDSL, liens radio… ➢ Pas de synchronisation avec ➢ La sécurité physique n’est
➢ Propagation des rôles d’autres solutions pas morte
➢ µ-segmentation datacenter ➢ Fonctions de filtrage
➢ SD-WAN ➢ Granularité du filtrage ICMP
➢ Solution pour certains objets :
➢ Limite de taille des politiques
➢ Une exception notable : des le WiFi en MPSK / DPSK
➢ Filtrage stateless (hors Aruba)
API REST extensives au ➢ Une PSK par catégorie
➢ Contournable d’équipements
niveau des solutions AAA.
➢ Pas de détection protocolaire
Sécurité des réseaux locaux 2022 23SOMMAIRE
1. 2. 3. 4.
NOUVEAUX RÉSEAUX
CONTEXTE & LOCAUX : SD-LAN &
HISTORIQUE MICRO-SEGMENTATION SD-LAN ET SÉCURITÉ VERS LE ZTNA
Sécurité des réseaux locaux 2022 24POURQUOI LE ZTNA
ZERO TRUST NETWORK ACCESS
➢ Le modèle Zero Trust (NIST) : une implémentation
rigoureuse du principe de moindre privilège
➢ Adaptée aux enjeux actuels
➢ Entreprise étendue
➢ Déplacement des activités sur le cloud
ZTNA : un modèle transitoire
où la ressource dont on
contrôle l’accès est le réseau
➢ Comment adapter au ZT des applications avec les
cycles de développement très longs d’un industriel ?
➢ Un projet nucléaire / hydraulique = 100 ansLE SD-LAN, UN SOCLE ÉVOLUTIF VERS LE ZTNA
26MERCI Si on vous a fait envie : https://www.edf.fr/edf-recrute
Vous pouvez aussi lire
