1.3 - Concevez L'architecture Du Système D'information
1.3 - Concevez L'architecture Du Système D'information
1.3 - Concevez L'architecture Du Système D'information
le rôle du système,
les flux réseau dont ils dont destinataires ou dont ils sont à l'initiative et
globalement, leur surface d'exposition à l'externe.
L'étude des scénarios d'attaque et en particulier des étapes des APT nous montrent
que les systèmes qui ont le rôle suivant doivent être particulièrement protégés :
Les systèmes qui sont par nature exposés à l'extérieur : serveur Web, relais
entrant de messagerie, Webmail, publication de DNS externe, accès distant
par VPN.
Les systèmes qui communiquent vers l'extérieur (mais sans avoir besoin
d'être joint de l'extérieur) : relais sortant de messagerie, relais Web, relais
DNS).
Ces systèmes devront être positionnés en DMZ, c'est à dire dans une zone
cloisonnée et filtrée, interconnectée à l'extérieur, mais dont les échanges avec le
réseau interne sont fortement restreints.
Cela met en évidence le besoin de mettre ces systèmes dans une zone dédiée et
configurer le filtrage pour que seuls les flux depuis les postes d'administration vers
les systèmes administrés soient autorisés. Les flux à l'initiative d'un quelconque
système vers un poste d'administration doivent être interdits.
Lorsqu'un produit d'infrastructure est choisi, il est préférable de privilégier ceux pour
lesquelles les flux réseau sont à l'initiative du serveur d'infrastructure et non du
poste de travail vers le serveur d'infrastructure. Par exemple, il est préférable pour un
serveur de sauvegarde que ce soit le serveur qui se connecte à un agent installé sur
chaque poste, plutôt que d'avoir un service réseau du serveur de sauvegarde exposé
depuis l'ensemble du réseau interne.
Un cas particulier est celui de l'accès VPN qui, pour répondre à son usage, doit
permettre ensuite d'accéder au réseau interne. Dans ce cas, il faut définir les
applications internes pour lesquelles il est accepté que les utilisateurs connectés de
l'extérieur au travers du VPN puisse accéder.
La même règle pourrait être appliquée pour les postes connectés depuis l'interne,
mais au travers d'un réseau Wifi.
APT - Comment les bloquer ou en limiter l'impact ?
Dans une optique de défense en profondeur et pour limiter la possibilité de
propagation latérale, les postes et serveurs du réseau interne méritent également
d'être cloisonnés les uns par rapport aux autres. Il faut noter qu'il est rare qu'un poste
de travail interne doive se connecter sur un autre poste de travail : les échanges
sont usuellement réalisés au travers d'un serveur.
Cloisonnez les systèmes et filtrez les flux
Différents moyens de cloisonnement et de filtrage peuvent être appliqués.