--- tags: TCOM, TD --- # TD architecture sécurisée ## 1. Présentation de l'entreprise YerNy est une PME spécialisée dans la vente de savon de luxe. Son expertise dans le domaine découle d'un savoir faire bien gardé qui date de plusieurs générations. Aujourd'hui l'entreprise exporte ses produits à l'international et domine le marché du savon de luxe. L'entreprise dispose d'une trentaine d'employés, 14 d'entre eux étant à des postes de bureaux et une vingtaines d'artisans qui préparent le savon. L'entreprise à un réseau de partenaires pour la livraison de ses produits. Les clients passent commandes via des mails ou via le site WEB. Le patrimoine informatique de l'entreprise est le suivant: - 14 postes de travails basé sur Windows - 4 serveurs physique, 10 serveurs virtuels: - 1 serveur fichier - 1 serveur compta-paye - 1 serveur messagerie - 1 serveur web - 1 serveur DNS externe - 1 serveur active directory - 1 serveur antiviral - 1 serveur vcenter - 1 serveur base de données - 1 accès internet 1Gb/s La majorité des communications s'effectuent grâce aux emails ou via des appels effectué depuis un téléphone portable. Les commerciaux étant itinérants, utilisent principalement leur smartphone pour communiquer. Les commandes peuvent être effectuée soit via le site web, soit via un commercial qui s'occupera de rentrer la commande via son accès spéciale au site. Le lien opérateur est une connexion fibre 1Gb/s. Les besoins de l'entreprise pour les réseaux et sécurité sont les suivants: - Disponibilité - les serveur compta-paye et de fichiers doivent être accessible 5j/7 de 24h/24 (entre lundi et vendredi inclue) - tous les autres serveurs doivent être accessibles 7j/7 24h/24 - Mobilité - le télétravail: les employés ayant un accès au serveur de fichier ont besoin d'avoir un accès distant garantissant l'authentification, l'intégrité et la confidentialite des echanges. Une connexion avec un VPN point à point fera l'affaire. - les commerciaux chez les clients n'ont pas besoin d'accéder au réseau interne de l'entreprise. Ils ont des accès spécifiques via le site web qui leur permet de directement entrer une commande et faire des estimations de coûts. - Partenaires - l'entreprise a un réseau de partenaires pour livrer ses produits. Un cycle de production hebdomadaire a été mis en place ce qui fait que la production d'une semaine sera livré à partir du lundi d'après. Les partenaires communiquent avec l'entreprise grâce à des emails chiffrés avec GPG, ces communications permettent de confirmer le besoin d'un livreur pour la semaine suivante et indiquent la date et l'heure à laquelle le livreur doit venir récupérer le chargement. - Clients - les clients peuvent passer des commandes à travers deux médiums, soit via emails en communiquant directement avec l'équipe de commerciaux, soit via le site qui dispose d'un store sécurisé avec HTTPS et d'une plateforme de paiement d'une banque (pour ne pas avoir à gérer les informations bancaires). Le certificat est un certificat GoDaddy qui est automatiquement renouvelé. - Confidentialité - les fluxs ont besoin d'être segmentés par métier, afin que seul les personnes autorisés puissent y accéder - tout flux sortant ou entrant de l'entreprise doit être chiffré grâce à des protocoles base sur TLS/SSL Les 4 serveurs physiques sont tous des host VMWare ESXI et permettent donc la virtualisation de serveurs. Ils sont managés depuis le serveur virtuel VCenter. Les firewalls comporte des routeurs et switchs virtuels ainsi que des fonctionnalités d'IDS/IPS. ## 2. L'architecture réseau ### L2 L'architecture réseau L2 est composé de deux switchs, les deux étant des switchs virtuel intégré aux firewalls. Le réseau est segmenté en plusieurs VLAN afin de pouvoir avoir de la traçabilité au niveau deux. Les VLANs sont eux même sous segmentés en vlan privé pour réduire les risques d'infections horizontales.  ### L3 L'architecture réseau L3 est composé de deux firewall est d'un routeur. Les deux firewalls ont aussi des routeurs virtuels intégrés. Le réseau est segmenté en plusieurs sous réseau afin de pouvoir avoir de la traçabilité au niveau deux. Il y'a des règles de filtrages stricts pour optimiser les accès des différentes machines entre eux et aux services.  ## 3. Règles de filtrage Nos règles de filtrages utilisent des règles d'autorisations explicites. Ce qui signifie que tout est implicitement bloqué a moins d'être explicitement autorisé dans les règles. L'architecture proposé plus haut comporte plusieurs flux. Les voici: * Les flux internet vers DMZ/ DMZ vers internet (1 à 6) * Les flux du réseau interne (7 à 14) | Identification | protocole | @ip source | port source | @ip destination | port destination | Règle et commentaires | | -- | -- | -- | -- | -- | -- | -- | | 1 | smtp | 192.168.0.2 | 25 | * | * | serveur mail -> * | | 2 | smtp | * | * | 192.168.0.2 | 25 | Le serveur mail peut s'addresser à tout le monde | | 3 | https | 192.168.0.3 | 443 | * | * | serveur web -> * | | 4 | https | * | * | 192.168.0.3 | 443 | Le serveur web peut répondre à tout le monde | | 5 | dns | 192.168.0.4 | 53 | * | * | serveur dns -> * | | 6 | dns | * | * | 192.168.0.4 | 53 | Le serveur dns peut répondre à tout le monde | | 7 | dns | 192.168.7.9 | 53 | réseau interne | 53 | serveur dns -> réseau interne | | 8 | dns | réseau interne | 53 | 192.168.7.9 | 53 | Le serveur dns peut répondre à tout le monde au sein du réseau interne | | 9 | dhcp | 192.168.7.9 | 67 | réseau interne | 68 | serveur dhcp -> réseau interne | | 10 | dhcp | réseau interne | 68 | 192.168.7.9 | 67 | Le serveur dhcp peut répondre à tout le monde au sein du réseau interne | | 11 | ldap | 192.168.7.9 | 389 | réseau interne | 389 | serveur ldap -> réseau interne | | 12 | ldap | réseau interne | 68 | 192.168.7.9 | 67 | Le serveur dhcp peut répondre à tout le monde au sein du réseau interne | | 13 | ftp | 192.168.7.10 | 20 | réseau interne | * | Tout le monde peut envoyer requête le serveur fichier au sein du réseau interne | | 14 | ftp | réseau interne | * | 192.168.7.10 | 21 | Le serveur fichier peut répondre à tout le monde au sein du réseau interne | réseau interne = 192.168.3.0/24, 192.168.4.0/24, 192.168.5.0/24, 192.168.6.0/24, 192.168.7.0/24, ## Aspect fonctionnel ### Budget Architecture Réseau | Matériel | Prix unitaire | Quantité | Total | | -------- | ------------- | -------- | ----- | | Serveurs physique | 600 | 4 | 2400 | | Firewall (avec routeur et switch virtuel) | 350 | 2 | 700 | | Routeur | 250 | 1 | 250 | | Total | | | 3350€ | <table> <thead> <tr> <th colspan=4>Budget organisation du SI niveau droits / cloisonnement des réseaux</th> </tr> </thead> <tbody> <div> <tr> <th colspan=2></th> <th>Estimation</th> <th>Justification</th> </tr> </div> <div> <tr> <td rowspan=4>Etude</td> <td rowspan=2>charge (j.h)</td> <td rowspan=2>3</td> </tr> <tr> <td>3 personnes pour réfléchir à la conception de la nouvelle infra/archi</td> </tr> <tr> <td rowspan=2>Delai (semaines)</td> <td rowspan=2>1.5</td> </tr> <tr> <td>Relativement rapide pour une boite de taille moyenne et avec de l'expérience</td> </tr> </div> <div> <tr> <td rowspan=6>Mise en oeuvre</td> <td rowspan=2>charge (j.h)</td> <td rowspan=2> 3 </td> </tr> <tr> <td>Arbitraire, 1 personne suffit mais beaucoup plus lent</td> </tr> <tr> <td rowspan=2>Delai (semaines)</td> <td rowspan=2>3</td> </tr> <tr> <td> Installation et configuration de tous les nouveaux équipements + tests</td> </tr> <tr> <td rowspan=2>investissement (k€)</td> <td rowspan=2>8</td> </tr> <tr> <td>4 serveurs physiques, 2 firewall avec switch et routeur virtuels</td> </tr> </div> <div> <tr> <td rowspan=4>Exploitation</td> <td rowspan=2>charge / sem. (j.h)</td> <td rowspan=2>1</td> </tr> <tr> <td>Un ingénieur sécu/réseau pour s'assurer du bon fonctionnement, checker les logs</td> </tr> <tr> <td rowspan=2>coûts annuel (k€)</td> <td rowspan=2>50</td> </tr> <tr> <td>Prix moyen d'un ingénieur sécurité et réseau</td> </tr> </div> <div> <tr> <td rowspan=2>Total</td> <td rowspan=2></td> <td colspan=2 rowspan=2>CAPEX=5.7k€, OPEX=50k€</td> </tr> </div> </tbody> </table> ## Détail de l'organisation de l'exploitation <table> <thead> <th></th> <th>nuit</th> <th>jours</th> <th>week-end</th> <th>jour fériés</th> <th>vacances</th> <th>justification</th> </thead> <tbody> <tr> <td align='center'> support utilisateurs </td> <td align='center'> </td> <td align='center'> 5j/7 (lundi - vendredi) 9h 18h </td> <td align='center'> </td> <td align='center'> </td> <td align='center'> </td> <td align='left'> L'entreprise étant de droit français, les règles et rythmes de travail suivent les 35h/semaines plus vacances et jours fériés. Il n'est donc pas nécessaire ou utile d'avoir du support hors période ouvre. </td> </tr> <tr> <td align='center'> gestion accès </td> <td align='center'> </td> <td align='center'> 5j/7 (lundi - vendredi) 9h 18h </td> <td align='center'> </td> <td align='center'> </td> <td align='center'> </td> <td align='left'> cf première ligne + seul l'administrateur et la direction peuvent changer les accès. </td> </tr> <tr> <td align='center'> traitement des alertes </td> <td align='center'> X </td> <td align='center'> X </td> <td align='center'> X </td> <td align='center'> X </td> <td align='center'> X </td> <td align='left'> Le reporting d'alerte est automatisé. Toute alerte entraînera une notification par email à l'administrateur. Toute alerte juge comme ayant un impact important entraînera l'envoi d'un sms à l'administrateur en plus du mail. Tout impact jugé comme catastrophique entraînera l'appel robotisé de l'administrateur ainsi que du chef d'entreprise en plus du sms et du mail. </td> </tr> <tr> <td align='center'> analyse des trace </td> <td align='center'> X </td> <td align='center'> X </td> <td align='center'> X </td> <td align='center'> X </td> <td align='center'> X </td> <td align='left'> Les traces sont traite automatiquement. L'administrateur a accès à l'interface et aux logs traite et brut. Le système de traces doit tourner en continu pour pouvoir noter toutes les interactions du système. Le système est aussi couplé au système d'alerte afin de pouvoir prévenir l'administrateur et/ou la direction si nécessaire. </td> </tr> <tr> <td align='center'> Backup du serveur de fichiers </td> <td align='center'> X </td> <td align='center'> </td> <td align='center'> X </td> <td align='center'> </td> <td align='center'> </td> <td align='left'> Les backups du serveur de fichier sont effectués une fois par semaine, la nuit du vendredi au samedi. Cela permet de ne pas gêner les employés puisque le serveur de fichier est inaccessible durant cette période. De plus si jamais il y'a un problème durant l'opération une alerte est envoyé à l'administrateur qui a donc le week end entier pour remettre le système en état. </td> </tr> <tr> <td align='center'> Mise à jour des systèmes </td> <td align='center'> X </td> <td align='center'> X </td> <td align='center'> X </td> <td align='center'> </td> <td align='center'> </td> <td align='left'> Les mise a jour sont effectués une fois par semaine, ca demarre apres la backup du serveur de fichiers. Cela permet de ne pas gêner les employés puisque les systèmes sont inaccessibles durant cette période. De plus si jamais il y'a un problème durant l'opération une alerte est envoyé à l'administrateur qui a donc le week end entier pour remettre le système en état. </td> </tr> </tbody> </table>