PLAN

La scurit informatique
Chapitre 5: Les mesures de scurit (1 partie)

1- Les Firewall (pare-feu) 2- DMZ (Zone dmilitarise) 3- Translation d'adresses (NAT) 4- Les systmes RAID 5- Les onduleurs

1- Les Firewall (pare-feu)

1- Les Firewall (pare-feu)

Un pare-feu (firewall en anglais), est une mtaphore utilise pour dsigner un logiciel et/ou un matriel, qui a pour fonction de faire respecter la politique de scurit du rseau, celle-ci dfinissant quels sont les types de communication autoriss ou interdits.

1- Les Firewall (pare-feu)

Fonctionnement
Il a pour principale tche de contrler le trafic entre diffrentes zones de confiance, en filtrant les flux de donnes qui y transitent.

1- Les Firewall (pare-feu)

Fonctionnement

Le but ultime est de fournir une connectivit contrle et matrise entre des zones de diffrents niveaux de confiance, grce l'application de la politique de scurit et d'un modle de connexion bas sur le principe du moindre privilge.

1- Les Firewall (pare-feu)

Politiques de scurisation
On distingue habituellement deux types de politiques de scurit permettant : soit d'autoriser uniquement les communications ayant t explicitement autorises : soit d'empcher les changes qui ont t explicitement interdits.

1- Les Firewall (pare-feu)

Filtrage des paquets

Un systme pare-feu fonctionne sur le principe du filtrage simple de paquets. Il analyse les en-ttes de chaque paquet de donnes (datagramme) chang entre une machine du rseau interne et une machine extrieure.

1- Les Firewall (pare-feu)

1- Les Firewall (pare-feu)

2- DMZ (Zone dmilitarise)

2- DMZ (Zone dmilitarise)

Les systmes pare-feu (firewall) permettent de dfinir des rgles d'accs entre deux rseaux. Nanmoins, dans la pratique, les entreprises ont gnralement plusieurs sous-rseaux avec des politiques de scurit diffrentes. C'est la raison pour laquelle il est ncessaire de mettre en place des architectures de systmes pare-feux permettant d'isoler les diffrents rseaux de l'entreprise : on parle ainsi de cloisonnement des rseaux : DMZ

2- DMZ (Zone dmilitarise)

Lorsque certaines machines du rseau interne ont besoin d'tre accessibles de l'extrieur (serveur web, un serveur de messagerie, un serveur FTP public, etc.), il est souvent ncessaire de crer une nouvelle interface vers un rseau part, accessible aussi bien du rseau interne que de l'extrieur, sans pour autant risquer de compromettre la scurit de l'entreprise. On parle ainsi de zone dmilitaris (note DMZ pour DeMilitarized Zone) pour dsigner cette zone isole hbergeant des applications mises disposition du public.

2- DMZ (Zone dmilitarise)

La politique de scurit mise en uvre sur la DMZ est gnralement la suivante : Trafic du rseau externe vers la DMZ autoris ; Trafic du rseau externe vers le rseau interne interdit ; Trafic du rseau interne vers la DMZ autoris ; Trafic du rseau interne vers le rseau externe autoris ; Trafic de la DMZ vers le rseau interne interdit ; Trafic de la DMZ vers le rseau externe refus.

3- translation d'adresses (Network Address Translation : NAT)

3- translation d'adresses (Network Address Translation : NAT)

Translation statique Le principe du NAT statique consiste associer une adresse IP publique une adresse IP prive interne au rseau. Le routeur (ou plus exactement la passerelle) permet donc d'associer une adresse IP prive (par exemple 192.168.0.1) une adresse IP publique routable sur Internet et de faire la traduction, dans un sens comme dans l'autre, en modifiant l'adresse dans le paquet IP. La translation d'adresse statique permet ainsi de connecter des machines du rseau interne internet de manire transparente mais ne rsout pas le problme de la pnurie d'adresse dans la mesure o n adresses IP routables sont ncessaires pour connecter n machines du rseau interne.

@ non routables Classe A : plage de 10.0.0.0 10.255.255.255 ; Classe B : plage de 172.16.0.0 172.31.255.255 ; Classe C : plage de 192.168.0.0 192.168.255.55 ;

3- translation d'adresses (Network Address Translation : NAT)

Translation dynamique Le NAT dynamique permet de partager une adresse IP routable (ou un nombre rduit d'adresses IP routables) entre plusieurs machines en adressage priv. Ainsi, toutes les machines du rseau interne possdent virtuellement, vu de l'extrieur, la mme adresse IP. Afin de pouvoir multiplexer (partager) les diffrentes adresses IP sur une ou plusieurs adresses IP routables le NAT dynamique utilise le mcanisme de translation de port (PAT - Port Address Translation), c'est--dire l'affectation d'un port source diffrent chaque requte de telle manire pouvoir maintenir une correspondance entre les requtes provenant du rseau interne et les rponses des machines sur Internet, toutes adresses l'adresse IP du routeur.

4- Les systmes RAID

RAID : Redundant Array of Independent Disks dsigne les techniques permettant de rpartir des donnes sur plusieurs disques durs afin d'amliorer soit la tolrance aux pannes, soit la scurit, soit les performances de l'ensemble, ou une rpartition de tout cela.

4- Les systmes RAID

RAID 0 : striping (entrelacement ou agrgat par bande ) est une configuration RAID permettant d'augmenter significativement les performances en faisant travailler n disques durs en parallle avec n>=2

4- Les systmes RAID

RAID 1 : mirroring ou shadowing (Disques en miroir) a pour but de dupliquer l'information stocker sur plusieurs disques.

4- Les systmes RAID

4- Les systmes RAID

RAID 5 :

5- Les onduleurs
Un onduleur (en anglais UPS pour Uninterruptible Power Supply) est un dispositif permettant de protger des matriels lectroniques contre les alas lectriques. Il s'agit ainsi d'un botier plac en interface entre le rseau lectrique (branch sur le secteur) et les matriels protger. L'onduleur permet de basculer sur une batterie de secours pendant quelques minutes en cas de problme lectrique .

5- Les onduleurs