Créer un réseau sécurisé en entreprise style celui de la NSA.
Présentation de mon travail de fin d'études
Dans mon travail de fin d'étude, j'ai dû configurer un réseau similaire à celui
de la NSA.
Contrairement à ce que l'on dit dans certaines vidéos reportage sur le piratage, construire un intranet n'est pas cher!
De plus, smoothwall, free-eos et ubuntu sont gratuit!
Il n'y a donc que le prix des équipements réseaux à payer!
Voici la mappage du réseau que j'ai du réaliser :
Pour le parefeu j'ai utilisé smoothwall qui est une distribution linux qui ne fait
office que de parefeu, ceci n'est pas un bête parefeu comme le parefeu windows.
Celui-ci à l'avantage de pouvoir "faire le gendarme" par rapport au traffic transitant
sur 3 réseaux différent, le parefeu n'est pas qu'un soft mais aussi une machine physique
qui possède 3 carte réseaux.
On dit qu'il y a 3 zones :
- La zone rouge : elle bloque tout!
- La zone orange : elle n'ouvre que certains port spécifique comme le port 80 par exemple. (c'est la zone démilitarisée)
- La zone verte : elle ne bloque rien.
La zone verte permet l'accès à internet aux machines de l'entreprise.
La zone rouge bloque toutes les requêtes en provenance de l'internet et à destination du serveur intranet.
La zone orange ne laisse passer que les requêtes http, les mails, etc... en provenance de l'internet vers le serveur web.
L'avantage d'un tel réseau est que si un pirate tente de hacker le serveur web, le serveur intranet
restera intacte, en effet, le parefeu va bloquer toutes les réquêtes provenant de l'internet vers le serveur
intranet et comme le modem va rediriger tout ce qui provient de l'internet vers le serveur web, il sera
impossible d'accéder au serveur intranet de l'extérieur.
Attention que les réponses en provenance de l'internet vers les utilisateurs de l'intranet ne seront bien sûr pas
bloquées sinon les utilisateurs ne pourraient pas consulter les sites webs.
Mais ceci n'endommagera pas le serveur intranet qui lui ne recevra rien en provenance de l'internet vu qu'il
va tout rediriger vers l'utilisateur de l'intranet, ce sera donc la machine de l'utilisateur qui sera touchée.
Pour éviter que l'utilisateur perde ses données on va stocker toutes ses données sur le serveur intranet
à l'aide d'un contrôleur de domaine, je vous présenterai ça dans la deuxième partie du travail.
Toutes les données de chaque utilisateur sera protégé par un mot de passe, ainsi, même si un imposteur
installe un logiciel pirate sur le serveur web pour tenter d'avoir accès au serveur intranet à partir de l'extérieur
en contournant le parefeu. (Ceci est difficile à faire mais ne sous estimons pas les pirates!)
Il ne pourra pas consulter les données des autres car il n'aura pas le mot de passe!
Rien ne peut être sécurisé à 100%!
Il faut savoir que la sécurité en informatique c'est comme la sécurité dans la vie réelle c'est à dire que aucun système n'est sécurisé à 100% car un utilisateur qui à des connaissances pointues en programation système
peut toujours trouver un moyen de contourner la sécurité offerte le noyaux linux en modifiant le code du noyaux linux ou en le court-circuitant à l'aide d'un logiciel.
La seule chose que l'on peut faire est donc de compliquer au maximum la tâche du pirate, par exemple, en rendant le code source du noyau linux
incompréhensible pour un humain ordinaire, ou encore, empêcher les modifications de la configuration grâce à des mots de passe chiffrés et qu'il faudrait beaucoup de matériel
pour pouvoir les déchiffrer, ou encore bloquer l'exécution de programmes suspect pour court circuiter le systèm comme le fait par exemple le logiciel apparmor d'ubuntu dont je vous parlerai
plus loin.
Il existe donc une infinité de façon de compliquer la tâche du pirate mais il n'existe aucune façon de l'en empêcher.
Voila, il n'y a plus rien à dire de plus sur la topologie du réseau, sur la page suivante nous allons voir comment configurer le parefeu!
Page suivante