PDA

Afficher la version complète : Sécuriser un réseau des accès par internet



rabobsky
19/12/2005, 15h23
Salut,

je vais devoir bientot réaliser un VPN entre l'entreprise ou je suis et une autre... et cette dernière va tester le niveau de sécurité de mon coté.

Est ce que vous pouvez me donner des idées de sécurisation que j'ai à effectuer.

J'explique l'organisation du réseau :

internet -> router (utilisé comme modem uniquement) -> routeur (qui fait VPN- firewall...) -> réseau local entreprise.

Au sein de l'entreprise nous avons plusieurs serveurs mais en fonctionnement locale uniquement. (donc pas d'accès direct par internet)

Merci pour vos idées! (je ne sais pas du tout ce que je pourrais sécuriser car il n'y a pas d'accès par internet en dehors du VPN)

offworld
19/12/2005, 15h49
Plus d'info aurais été pas mal.
Ton router c'est quoi?
Le réseau local c'est quoi?
Les serveurs locaux c'est quoi?
Quelle protocol vas etre utilisé pour le vpn?

rabobsky
19/12/2005, 16h06
Plus d'info aurais été pas mal.
Ton router c'est quoi?[/b]
Le premier routeur utilisé comme modem c'est une netgear DG834G (une allemande)
Le deuxieme routeur c'est Vigor2900vgi (il est vraiment pas trop mal je trouve mais je ne connais pas les retours sécu)

<div class='quotetop'>Citation (offworld @ 19/12/2005 à 14:49) <{POST_SNAPBACK}> (index.php?act=findpost&pid=67986)</div>
Le réseau local c'est quoi?[/b]
mon réseau local? Ce sont
- un ordi sous windows (la secrétaire!!! LOL)
- 2 serveurs un sous debian, l'autre sous SUSE 9.2
- et des ordinateurs portables sous win et linux qui se connectent en WIFI


<div class='quotetop'>Citation (offworld @ 19/12/2005 à 14:49) <{POST_SNAPBACK}> (index.php?act=findpost&pid=67986)</div>
Les serveurs locaux c'est quoi?[/b]
le serveur debian fait
- serveur DNS
- serveur imprimante CUPS
- serveur de données SAMBA
- rsync (synchronisation des fichiers)

SUSE
- Apache
- MySQL

mais je redis qu'il n'y pas d'accès sur le serveur en dehors du réseau interne.
(tant que ce n'est pas hacké... http://www.alionet.org/style_emoticons/<#EMO_DIR#>/smile.gif )

offworld
19/12/2005, 17h49
Originally posted by offworld
Quelle protocol vas etre utilisé pour le vpn?
Meme si ça n'a rien à voir avec le vpn, quelle sont les droits des ordinateurs se connectant en wifi?
Quelle est votre sécurité au niveau du wifi?
Quelle est la portée en dehors de vos locaux?

rabobsky
19/12/2005, 18h05
Originally posted by offworld+--><div class='quotetop'>Citation (offworld)</div>
Quelle protocol vas etre utilisé pour le vpn?[/b]
le VPN sera sera fait en IPSec (en ce qui concerne les tunnels... en dehors de ca je vais désactiver les connections PPPTP qui sont également possible à la base

Originally posted by offworld@
Meme si ça n'a rien à voir avec le vpn, quelle sont les droits des ordinateurs se connectant en wifi?
Quelle est votre sécurité au niveau du wifi?
WAP PSK... on n'a pas de server Radius... je vais voir quand j'aurais un bon moment de temps libre pour essayer d'en faire un... il y a pfsense qui a l'air pas trop mal
<!--QuoteBegin-offworld
Quelle est la portée en dehors de vos locaux?
pas très éloignées, mais la sécurité à ce niveau n'est pas mis en cause pour l'instant

offworld
19/12/2005, 18h30
Originally posted by offworld
quelle sont les droits des ordinateurs se connectant en wifi?

rabobsky
19/12/2005, 20h27
seuls les ordis portables ont une connection WIFI

offworld
19/12/2005, 20h37
Quand je dit les droits, c'est ce que peuvent faire les clients qui se connectent au réseau wlan.
Accés au serveurs,...

rabobsky
19/12/2005, 20h48
les memes que l accès par cable
(je ne sais pas trop comment repondre a cette question...)
- acces serveurs... internet...imprimantes dns...)

offworld
19/12/2005, 21h12
Donc deja il me suffit de me connecter depuis l'exterieur de vos locaux pour avoir accées à vos serveur.
Si c'est le cas, c'est déjà une grosse faille.

rabobsky
19/12/2005, 22h01
il te suffit? j aimerais bien savoir comment tu hacke le WAP psk aussi facilement...

offworld
19/12/2005, 22h30
Tu dois déjà connaitre aircrack.
Et je ne parlerai pas des différente technique de social engineering.
Non le wifi, est à mon avis, iéal pour surfer dans son jardin, où en prenant son bain. (Ben oui je suis accro)
Mais déconseillé pour une entreprise qui peu etre a tranferer des informations privé.
Je réfléchi sur d'autre points, et je te tient informé.

chamaeleo
19/12/2005, 22h42
Offworld n'oublies pas de mettre les signes cabalistiques devant sa porte (j'irais me connecter) http://www.alionet.org/style_emoticons/<#EMO_DIR#>/wink.gif

offworld
19/12/2005, 22h48
Non, non, surtout pas.
Aprés tlm vas le faire, et plein de fabriquant de matèriel vont encore devoir trouver de nouvelle protection, donc augmentation du prix des cartes wlan.
Y'en n'a marre, je n'est pas le portefeuille de billou.

chamaeleo
20/12/2005, 01h11
Vu comme ça c'est vrai, moi non plus je n'ai pas son portefeuille http://www.alionet.org/style_emoticons/<#EMO_DIR#>/biggrin.gif

rabobsky
20/12/2005, 10h32
Tu dois déjà connaitre aircrack.
Et je ne parlerai pas des différente technique de social engineering.
Non le wifi, est à mon avis, iéal pour surfer dans son jardin, où en prenant son bain. (Ben oui je suis accro)
Mais déconseillé pour une entreprise qui peu etre a tranferer des informations privé.
Je réfléchi sur d'autre points, et je te tient informé.[/b]

Je suis déjà allé faire un tour sur le site irongeek... il est pas mal, sinon j'ai également téléchargé le CD "Audit security" ou un truc dans le genre.

J'ai essayé de hacker le WEP, il parait que l on peut cracker ca en 4min chrono...
Mais en ce qui concerne le WAP ce n'est pas aussi facile... faisable mais pas aussi facile
et pour parer encore a ca, tu peux prendre un serveur RADIUS...

Je prends note de la défaillance WIFI tout de mem, mais j'aimerais connaitre les autres failles possibles

MERCI

offworld
20/12/2005, 11h17
Le problème, c'est que pour voir les failles, faut faire des tests, et ça ya que toi qui peu le faire.
Vérifie tes politiques du firewall,
Voir s'il n'y as pas de ports ouverts qui ne devraient pas l'être.
Fais du filtrage ip sur les serveurs si tu peux.
Tu dis qu'il n'y as pas d'accés au serveurs depuis internet?
Mais tes serveurs accedent bien a internet pour faire leurs mises à jours?

aldrik
20/12/2005, 12h52
Point de vue sécurité, en se concentrant sur les attaques réalisé pour les tests, je suppose qu'ils seront fait à l'extérieur.

Le wifi ... en entreprise ... je suis d'accord avec offworld, ça craint mais bon c' vrai que dans certains cas ça rend service.

Sinon le premier point est d'éviter les abus de la fée firewall.

_ Pour couper un port, on ne créer pas une règle de firewall, on éteint le service.
_ les services seulement nécessaire en localhost, vérifier qu'ils écoutent uniquement en localhost
_ zoner au maximum le réseau, et physiquement, par des cartes réseaux différentes, pas seulement avec des adresses virtuelles.

Par exemple une zone pour les serveurs accessible pour le réseau local uniquement, et une zone pour les serveurs accessibles par le réseau local et le réseau distant. comme cela tous les services type cups etc tu peux faire des règles de routage le rendant accessible que aux utilisateurs locaux.

_ profiter des heures de bureaux, si tu es censé avoir de l'activité que de 9h à 19h, accepter les connexions que dans ces tranches horaires (CF PAM)
_ pour le VPN, certains trouvent cela excessif, mais les clefs de cryptage, c'est comme les mots de passes, ça se change régulièrement

martos
20/12/2005, 14h02
une chose possible simple pour sécuriser son wifi:

clef Wep 64 bits = quelques secondes pour la suite aircrack
Clé Wep 128 Bits = environ 1 heure
Clep Wep 256 = environ 24 Heure (j'ai pas testé)
WAP = 24 Heurs avec les diff suivant le constructeur (j'ai pas testé)

donc solution simple faire arrivé le wifi devant le firewall (genre en dmz) et aprés faire une connexion VPN du genre PPTP (simple et rapide à mettre en oeuvre) pour les gens qui utilises le wifi .
options.pptp dans le genre :

debug
logfile /var/log/pptpd.log
deflate 15,15
bsdcomp 15,15
persist
noauth
lock
lcp-echo-failure 1000
lcp-echo-interval 1000
mtu 1392
mru 1364
ms-wins tonwins
ms-dns tondns
proxyarp
mppe-40
mppe-128
mppe-stateless
+chapms-v2
refuse-pap
require-chap

J'ai mit cela dans ma boite pour les invités YAQUA (grand chef) qui viennent nous rendre visite.

La liaison entre les deux sites

Une études compléte sur ce qui doit passer dans cette liaison est primordiale, puis il faut en évaluer la bande passante (déraisonnable de transférer des fichiers par smb les YaQua ont du mal à comprendre)

Ainsi tu seras si ton projet est viable ou pas (n'oublie pas que l'upload de l'une des extrémités est le download de l'autre et n'oublies pas ce qui passe deja genre internet)

Pour ta sécurisation de tes vpn ne force pas les cryptage ipsec mais cherche quels sont les cryptages qui vont marcher ensemble, notamment la phase 1 qui est souvent pas simple pour que les 2 extrémités
Par exemple checkpoint et Watchguard ne peuvent dialoguer quand :
Phase 1
SHA1 pour l'autentification
Des-CBC pour l'encryptage
Diffie Hellman Group forcé a 1
la renégociation a 24 heures
Phase 2
SHA1 pour l'autentification
3DES pour l'encryptage
la renégociation a 24 heures

je conseilles donc ce type de connexion Ipsec pour une compatibilité max

ensuite tu definies tes policy suivant les ce qui vas passer. Si tu peux éviter que le SMB (137,138,139 etc...) traverse tu as fait un grand pas vers la sécurisation (au pire utilises rsync en synchronisant les deux serveurs).
Bref tu régles les policy

aldrik dit trés justement que le meilleure des firewalls c'est de ne pas avoir de service qui ecoutes , c'est extrement vrai !, donc une étude sur ce que tu as d'ouvert est primordiale.

Ajoute aussi un ch'ti firewall sur les pc portables et windows en ajoutant uniquement les réseaux amis (si c'est du XP tu as le firewall natif )

Ensuite (tu auras déja passé une bonne cinquantaine d'heure a t'arracher le cheveux) tu pourras re régler la sécurité.

en me relisant je me trouve foulli mais bon ca te donnes l'ampleur de la tache.

offworld
20/12/2005, 14h38
C'est bizzarre avec un trafic standart, 10 mn pour un clé 128bits (104 bits réel)
5h30avec seulement 50 ivs de traffic réel, les ivs manquant rajouté par injection.
Pour le wap, tous dépend de la passphrase, je ne pense pas qu'un temps soit estimable.

rabobsky
20/12/2005, 16h15
C'est bizzarre avec un trafic standart, 10 mn pour un clé 128bits (104 bits réel)
5h30avec seulement 50 ivs de traffic réel, les ivs manquant rajouté par injection.
Pour le wap, tous dépend de la passphrase, je ne pense pas qu'un temps soit estimable.[/b]

je me suis déchiré pour trouver le mot de passe WIFI... ca ne devrait pas etre si simple de le trouver.
Mais je trouve ce que dis martos très sensé : mettre le wifi sur le premier router et passer en VPN sur le réseau local... s'il y en a un qui pirate le WIFI il pourra aller sur internet (ca sera le prix de son effort) mais pas aller sur les serveurs.

pour les autres points je vais voir

offworld
27/03/2006, 20h12
Pour info, il n'y as pas besoin de la clé wpa pour se connecter au reseau, elle n'est utile que pour dechiffrer les données.
Sachant qu'une fois connecté au reseau, elle n'est pas bien dur à trouver.