Upload
lamhuong
View
214
Download
0
Embed Size (px)
Citation preview
©2016&
Mise%en%œuvre%%d’un%pare/feu%PFsense%%dans%un%laboratoire%de%
recherche%
16/03/2016&
Jean/Marc%Muller&
Journées%Mathrice%2016%Strasbourg%
Unité&mixte&de&recherche&&CNRS&–&Université&de&Strasbourg&
Laboratoire%ICube%%(UMR7357)%
7&Sites&géographiques&
Environ&600&membres&
14&équipes&de&recherche&
Science&de&l’ingénieur,&&de&l’informaHque&et&de&l’imagerie&
Journées%Mathrice%2016%Strasbourg%
3&
Contexte%
Fusion&des&services&informaHques&
Systèmes&d’informaHons&et&organisaHons&différentes&
AppariHon&d’une&problémaHque&mulHsite&
RéducHon&des&crédits&
Fusion&de&4&laboratoires&de&la&place&strasbourgeoise&en&2013&
Journées%Mathrice%2016%Strasbourg%
4&
MoMvaMons%
Besoin&de&sécurité&
Journées%Mathrice%2016%Strasbourg%
APaques&en&déni&de&service&
Vulnérabilité&aux&aPaques&de&type&force&brute&
ParHcipaHon&des&machines&du&laboratoire&à&des&botnets&
ExposiHon&d’équipements&vulnérables&sur&internet&
Imprimantes,&caméras&IP,&&systèmes&obsolètes&d’expérimentaHon,&…&
5&
MoMvaMons%
Besoin&de&sécurité&
Journées%Mathrice%2016%Strasbourg%
APaques&en&déni&de&service&
Vulnérabilité&aux&aPaques&de&type&force&brute&
ParHcipaHon&des&machines&du&laboratoire&à&des&botnets&
ExposiHon&d’équipements&vulnérables&sur&internet&
Imprimantes,&caméras&IP,&&systèmes&obsolètes&d’expérimentaHon,&…&
Contraintes&poliHques&
PSSI&d’état&et&des&tutelles&
Mises&en&place&de&ZRR&
6&
Etat%des%lieux%
Service&informaHque¢ral&
Des&organisaHons&différentes&
Journées%Mathrice%2016%Strasbourg%
Service&informaHque&distribué&au&niveau&des&équipes&
Service&informaHque&externalisé&
7&
Etat%des%lieux%
Service&informaHque¢ral&
Différentes&cultures&
Des&organisaHons&différentes&
Journées%Mathrice%2016%Strasbourg%
Ligne&de&commande,&interface&web/clic,&sous]traitance&
Service&informaHque&distribué&au&niveau&des&équipes&
Service&informaHque&externalisé&
8&
Etat%des%lieux%
Service&informaHque¢ral&
Différentes&cultures&
Des&organisaHons&différentes&
Journées%Mathrice%2016%Strasbourg%
Ligne&de&commande,&interface&web/clic,&sous]traitance&
Des&soluHons&différentes&sur&chaque&site&
Linux&iptables,&Netasq/Stormshield,&rien&du&tout&
Service&informaHque&distribué&au&niveau&des&équipes&
Service&informaHque&externalisé&
9&
Besoins%
SoluHon&de&filtrage&pour&tous&les&sites&
Journées%Mathrice%2016%Strasbourg%
AdministraHon¢ralisée&
10&
Besoins%
SoluHon&de&filtrage&pour&tout&les&sites&
Journées%Mathrice%2016%Strasbourg%
AdministraHon¢ralisée&
Performances&élevées/garanHes&&Haute&disponibilité&
11&
Besoins%
SoluHon&de&filtrage&pour&tout&les&sites&
Journées%Mathrice%2016%Strasbourg%
AdministraHon¢ralisée&
Performances&élevées/garanHes&&Haute&disponibilité&
ÉvoluHvité&(nombre&de&réseaux,&débits,&…)&&
IPv4&et&IPv6&
12&
Besoins%
SoluHon&de&filtrage&pour&tout&les&sites&
Journées%Mathrice%2016%Strasbourg%
AdministraHon¢ralisée&
Performances&élevées/garanHes&&Haute&disponibilité&
ÉvoluHvité&(nombre&de&réseaux,&débits,&…)&&
IPv4&et&IPv6&
RéducHon/maîtrise&des&coûts&
Clickodrome&
13&
OpenBSD&avec&Packet&Filter&
Linux&avec&iptables&
Journées%Mathrice%2016%Strasbourg%
Choix%possibles%
14&
OpenBSD&avec&Packet&Filter&
Firewall&Builder&
PFSense&(FreeBSD&avec&packet&filter)&
Linux&avec&iptables&
Journées%Mathrice%2016%Strasbourg%
Choix%possibles%
15&
OpenBSD&avec&Packet&Filter&
Firewall&Builder&
PFSense&(FreeBSD&avec&packet&filter)&
Linux&avec&iptables&
Netasq/Stormshield&
D’autres&produits&commerciaux…&
Journées%Mathrice%2016%Strasbourg%
Choix%possibles%
16&
Filtre&de&paquets&avec&états&en&IPv4&et&IPv6&
Produit&open&source&basé&sur&FreeBSD&avec&pf&
Journées%Mathrice%2016%Strasbourg%
PFsense%
17&
Filtre&de&paquets&avec&états&en&IPv4&et&IPv6&
MulHprocesseur&(garanHe&de&bonnes&performances)&
EvoluHvité&(serveurs&Dell&R420&avec&des&cartes&1Go&mulHports)&
Produit&open&source&basé&sur&FreeBSD&avec&pf&
Robuste&et&fiable&(soluHon&routée,&haute&dispo&via&CARP&et&pfsync)&
Journées%Mathrice%2016%Strasbourg%
PFsense%
18&
Filtre&de&paquets&avec&états&en&IPv4&et&IPv6&
MulHprocesseur&(garanHe&de&bonnes&performances)&
EvoluHvité&(serveurs&Dell&R420&avec&des&cartes&1Go&mulHports)&
Produit&open&source&basé&sur&FreeBSD&avec&pf&
Interface&web&d’administraHon&
Robuste&et&fiable&(soluHon&routée,&haute&dispo&via&CARP&et&pfsync)&
Journées%Mathrice%2016%Strasbourg%
PFsense%
Shell&disponible&via&SSH&
19&
Routeur&IPv4&et&IPv6&
Serveur&DHCP,&DNS&
Pare]feu&avec&état&en&IPv4&et&IPv6&
Serveur&VPN&(IPSEC,&openVPN)&
Portail&capHf&
TranslaHon&d’adresse&
Journées%Mathrice%2016%Strasbourg%
FoncMonnalités%
GesHon&des&logs&(en&local&ou&déportée)&
OuHls&de&capture&de&trafic&
20&
Bilan&
Clickodrome&et&terminal&avec&shell&
Facilité&d’installaHon&/&mise&à&jour&
Journées%Mathrice%2016%Strasbourg%
21&
Bilan&
Clickodrome&et&terminal&avec&shell&
MulHples&foncHonnalités&réseau&
Facilité&d’installaHon&/&mise&à&jour&
Routage&et&sous]adressage&
Journées%Mathrice%2016%Strasbourg%
22&
Bilan&
Clickodrome&et&terminal&avec&shell&
MulHples&foncHonnalités&réseau&
Facilité&d’installaHon&/&mise&à&jour&
Règles&communes&IPv4&et&IPv6&
Routage&et&sous]adressage&
Filtrage&sur&adresses&MAC&liées&aux&baux&DHCP&
Journées%Mathrice%2016%Strasbourg%
23&
Bilan&
Clickodrome&et&terminal&avec&shell&
MulHples&foncHonnalités&réseau&
Facilité&d’installaHon&/&mise&à&jour&
Règles&communes&IPv4&et&IPv6&
Routage&et&sous]adressage&
Filtrage&sur&adresses&MAC&liées&aux&baux&DHCP&
Bonnes&performances&
Des&ouHls&de&diagnosHc&
Journées%Mathrice%2016%Strasbourg%
25&
EvoluHvité&matérielle&
AuthenHficaHon&LDAP/AD&
Journées%Mathrice%2016%Strasbourg%
Bilan&
GesHon&fine&des&uHlisateurs/groupes/droits&&
26&
Coûts&
EvoluHvité&matérielle&
AuthenHficaHon&LDAP/AD&
Journées%Mathrice%2016%Strasbourg%
Stormshield&SN710&à&8000&€&(redondant&et&5&ans&de&maintenance)&
3000&€&
Bilan&
GesHon&fine&des&uHlisateurs/groupes/droits&&
27&
Coûts&
EvoluHvité&matérielle&
AuthenHficaHon&LDAP/AD&
Journées%Mathrice%2016%Strasbourg%
Stormshield&SN710&à&8000&€&(redondant&et&5&ans&de&maintenance)&
3000&€&
Bilan&
GesHon&fine&des&uHlisateurs/groupes/droits&&
Riches&en&foncHonnalités&supplémentaires&faciles&à&installer&
Routage&RIP,&BGP&et&OSPF,&Arpwatch,&Squid,&ModSecurity,&Snort,&Suricata,&Zabbix,&…&
DocumentaHon&en&ligne,&communauté&d’uHlisateurs&
28&
Points%faibles&
Pas&de&haute&disponibilité&en&IPv6&pour&l’instant&
Clickodrome&
Prise&en&charge&des&matériels&
Journées%Mathrice%2016%Strasbourg%
Pas&de&filtrage&applicaHf&