Agrégation de liens le Concept

L’agrégation de lien est une technologie qui permet de configurer sur un équipement UNE interface LOGIQUE à partir de PLUSIEURS interfaces PHYSIQUES.

Sa représentation est faite par un cercle qui inscrit les liens faisant partie de l’agrégation. Comme montré sur le schéma ci-dessous:

Il existe plusieurs protocoles qui permettent de faire de l’agrégation de liens:

  • LACP: Link Agregation Control Protocol qui est standardisé IEEE 802.3 ad
  • PAgP: Port Agregation Protocol, qui est propriétaire Cisco
  • Il est possible de ne pas utiliser de protocole, si le matériel le permet auquel cas c’est gérer directement par l’équipement

Exemple et Explications

Prenons 2 switchs de couche 3 sur lesquels on souhaite créer un agrégat de liens. On choisit 4 interfaces Physiques sur le premier switch (Fa 0/1, Fa 0/2, Fa 0/3 et Fa 0/4) et 4 interfaces Physiques sur le second switch (Fa 0/10, Fa 0/11, Fa 0/12 et Fa 0/13). Sur chaque switch et on configure les 4 interfaces pour qu’elles fassent partie d’un seul et même « PortChannel » Logique, Po1.

Point de vue équipement, les ports agrégés forment un seul canal et cela permet:

  • De la redondance / Tolérance de pane, en effet, si un des quatre câbles de l’agrégat venait à être rompu, il reste les trois autres pour assurer la connectivité.
  • Augmenter le débit, effectivement, point de vue bande passante c’est plus judicieux d’avoir 4 fois 1 GB/s, que 1 fois 1 GB/s.
  • Important: Ça ne cause pas de problème de boucle (cf. Spanning Tree Protocol), car le switch le gère parfaitement, et reconnait bien le PortChannel comme étant une seule interface.

Use With Caution.

Beaucoup de personnes s’imaginent que le simple fait de brancher les câbles en laissant les configurations par défaut va parfaitement fonctionner. Or, il faut savoir qu’un agrégat de liens mal configuré peut bien souvent s’avérer inutile…

Pour reprendre l’exemple précédant, avec l’agrégat de 4 liens en GigabyteEthernet, s’il venait à être mal configuré il est possible que tout le trafic passe seulement par un des quatre liens. Ce qui revient à avoir seulement 1GB/s au lieu de 4.

Je constate ce phénomène très souvent chez nos clients, avec les lenteurs que cela occasionne. Le client a pour conviction que ses liens de backbone remontent avec X fois 10Gb/s par exemple. En réalité, seul un câble est utilisé à cause d’une simple mauvaise configuration de l’agrégation de liens.

Conclusion

L’agrégation de liens est très utile, voire indispensable aujourd’hui, mais les rouages et le fonctionnement de cette technologie n’est absolument pas a prendre à la légère. Il faut impérativement tester et s’assurer des configurations

AAA : Authentication Authorization Accounting

Les méthodes de gestion des contrôles d’accès sont multiples. Nous allons définir ici le concept d’AAA pour Authentication Authorization Accounting qui est très utilisé dans l’informatique de l’entreprise.

AAA : Authentication

L’authentification désigne le fait de prouver qu’on est bien la personne que l’on prétend être. L’authentification vient en complément de l’identification. Pour s’authentifier, on ajoute une preuve à l’identification. Ce sont ces preuves qu’on appelle facteurs d’authentification.

Facteurs d’authentifications

Les facteurs d’authentification sont classés en 3 catégories.

  • Ce que le sujet sait : Il s’agit du facteur d’authentification le plus utilisé, car il est très peu couteux. On l’utilisera principalement pour contrôler les accès logiques. Il se base sur quelque chose que le sujet est le seul à connaitre et que l’on pourra reproduire au clavier lorsque l’on nous le demandera.

On retrouve bien sûr les mots de passe, les phrases de passe, les codes PIN, etc.

  • Ce que le sujet a : L’authentification est basée sur un objet que le sujet possède. Il s’agit d’un périphérique physique que l’on est censé avoir au moment de l’authentification. C’est cet objet qui va prouver l’identité du sujet. Ce moyen est souvent utilisé pour les contrôles d’accès physique, car il présente un très bon rapport sécurité/cout.

On retrouvera par exemple une carte d’identité, ou pour les contrôles automatisés une carte magnétique, un badge.

  • Ce que le sujet est : Ce type de facteur est basé sur les traits physiques du sujet. Le sujet va donc s’authentifier grâce à son corps. C’est un moyen sûr de vérifier l’identité d’une personne à condition d’avoir du matériel adapté ce qui coute généralement cher.

Dans ce type d’authentification, on retrouvera tout ce qui touche à la biométrie : scan d’empreinte digitale, géométrie de la main, scan de l’iris ou encore scan facial.

Autres facteurs d’authentifications

Il existe également 3 autres facteurs d’authentification cependant, ils recoupent souvent ceux que nous avons vus précédemment :

  •  Ce que le sujet fait : Recoupant souvent la catégorie « ce que le sujet est », ce sont les actions du sujet qui vont prouver son identité. Chaque personne a une façon de taper au clavier bien  à lui, une façon de marcher particulière, une intonation de voix particulière, une signature unique.  Ce type d’authentification est peu utilisé, car encore peu fiable tout en étant relativement couteux.

On va se baser sur une reconnaissance de la voix, une reconnaissance des mouvements, de la fréquence de la frappe au clavier, et même une reconnaissance sur la façon de signer.

  • Où le sujet est: Il s’agit généralement de déterminer d’où le sujet s’authentifie. On se basera sur une IP, un nom d’hôte ou encore un numéro de téléphone.
  • Utilisation d’une tierce partie : On va faire confiance à une tierce partie pour authentifier la personne à qui on s’adresse. C’est assez utilisé avec le système de Web of Trust et les certificats OpenPGP. C’est un système peu couteux, mais qui peut présenter des failles.

Authentification forte

L’authentification forte ou authentification à facteur multiple énonce la nécessité de deux facteurs ou plus pour s’authentifier. En effet, le fait d’utiliser deux fois ou plus le même facteur, par exemple un mot de passe (ce que l’on sait) n’augmente en rien la force du système d’authentification. Par contre, l’utilisation de deux facteurs ou plus renforce notre système d’authentification. Par exemple, l’utilisation d’un mot de passe combiné à un dispositif biométrique de scan rétinien sera beaucoup plus difficile à contrer pour un attaquant.

Exemple :

Afin d’accéder à la zone de l’entreprise dédiée à la recherche, il faut : entrer notre identifiant puis notre mot de passe et passer au scan d’empreinte digitale. On utilise donc deux facteurs d’authentification. Il s’agit d’une authentification forte.

AAA : Authorization

L’autorisation est la deuxième phase de la triade AAA. Elle agit une fois que l’utilisateur s’est authentifié. C’est dans cette phase qu’on donne ou non accès à la ressource demandée, en fonction de la politique de contrôle d’accès. Peu importe la politique utilisée, elle reste basée sur trois principes :

  • Classification des informations : Chaque information nécessite un certain niveau d’accès pour les consulter.
  • Niveau d’accès des utilisateurs : Détermine le niveau d’accès de chaque utilisateur.
  • Permissions de l’utilisateur : Détermine quels droits l’utilisateur aura sur les fichiers, lecture, écriture, lecture et écriture.

Grâce à ses trois principes, une fois l’utilisateur authentifié il lui sera attribué certains droits sur certains fichiers. Bien sûr, cela peut aussi être des droits plus simples, mais pas moins importants, comme accéder au serveur mail ou autoriser le sujet à accéder à un secteur physique de l’entreprise.

AAA : Accounting

La dernière des trois phases de la triade AAA est désignée par le terme Accounting qui peut être traduit par traçabilité dans ce contexte. Les utilisateurs se sont authentifiés, puis ont obtenu une autorisation d’accès. Maintenant on garde une trace de toutes les actions effectuées par l’utilisateur. On dit que les actions de l’utilisateur sont loguées. Un administrateur réseaux pourra ainsi, consulter les logs afin de vérifier les actions d’un utilisateur, ou bien retrouver l’auteur de telle ou telle action.

La traçabilité est très importante pour assurer une bonne sécurité et une intervention rapide en cas de problèmes. Elle agit tout d’abord de manière préventive, les utilisateurs se sachant surveillés, ils font attention à leurs agissements. Ensuite, grâce à la traçabilité on peut détecter des actions suspectes voir interdites et mieux cibler la source d’un problème pour intervenir, ou corriger celui-ci. Enfin, elle permet d’avoir une trace légale des actions effectuées sur le système d’information de l’entreprise.

Les bases du contrôle d’accès

Présentation du contrôle d’accès

Les contrôles d’accès furent de tout temps utilisés (le contrôle d’accès physique avec les gardes, ou l’accès administratif par la surveillance du passé d’un employé), mais le développement des nouvelles technologies nous a contraints à améliorer les techniques préexistantes. Le contrôle d’accès logique fut donc développé dès la création d’ARPANET. Ainsi, le DoD (Department of Defence),  développa le modèle Bell-La Padula pour assurer la confidentialité des informations, principalement dans ce contexte de guerre froide, ou encore Biba pour l’intégrité. D’autres modèles furent ensuite créés, ayant pour base certains principes de sécurité, et étant plus ou moins adaptés à certaines structures (gouvernementales ou économiques).

Le contrôle d’accès donne à une entité l’autorisation d’accéder aux ressources demandées, qu’elles soient physiques (accès à un bâtiment, une salle, un coffre, etc.) ou logiques (accès à certains dossiers, programmes, informations, etc.). Les deux principales entités définies dans le contrôle d’accès sont le sujet et les objets.

Le sujet

Le sujet est défini comme l’entité qui initie la demande d’accès à un objet. Il peut être affecté de manière unique à des règles spécifiques concernant un ou plusieurs objets, ou être implémenté dans un groupe disposant de règles communes à tous. Un sujet peu être un utilisateur, un programme, un processus, un fichier, un ordinateur, une base de données, etc.

Les objets

Les objets, ou ressources sont les éléments auxquels le sujet veut accéder. Une ressource peut être une imprimante, un programme, un processus, un fichier, un ordinateur, une base de données, un lieu, etc.

Les étapes de gestion du contrôle d’accès

Le contrôle d’accès est donc un moyen de ne laisser que les sujets autorisées à accéder à une ressource spécifique. Ainsi l’entreprise utilisera une politique de sécurité établie préalablement afin de définir quels sujets auront accès à tel ou tel objet. On pourrait prendre par exemple le cas de casiers privés (ou le contrôle d’accès physique serait obtenu par l’utilisation d’une clef) où la confidentialité des informations serait garantie. L’accès à la salle serveur uniquement à l’administrateur réseaux permet  d’éviter  une indisponibilité du réseau de l’entreprise par l’altération physique ou logique des équipements par d’éventuels attaquants, ou encore l’accès aux ressources seulement pour les personnes autorisées évite la modification des données par des individus considérés comme malveillant et préserve ainsi l’intégrité de ces dernières. Cette méthode permet donc de renforcer la C.I.A au sein de l’entreprise, mais elle seule n’est pas suffisante.

Le contrôle d’accès peut être décomposé en quatre étapes:

L’identification : Le sujet désirant un accès à une ressource doit avant tout s’identifier, c’est-à-dire qu’il doit annoncer qui il est.

Authentification : Après l’identification, le sujet doit prouver son identité.

Droits d’accès : Le sujet se voit attribuer les permissions qui lui ont été accordées vis-à-vis de la ressource sollicitée.

Traçabilité: Après l’authentification, les actions du sujet seront tracées et conservées au sein d’une base de données ou d’un fichier de log.

Permissions, droits d’accès et privilèges

Permissions, droits d’accès et privilèges  sont 3 termes ayant la même signification concernant le contrôle d’accès. Ils désignent la permission d’accéder à une ressource confidentielle par un sujet, c’est-à-dire une ressource qui ne peut être accessible par un sujet non autorisé. On désigne donc ainsi toute autorisation qui permet aux sujets autorisés explicitement, et à eux seuls d’accéder à une ressource spécifique.

Principe de moindre privilège

Le principe de moindre privilège revêt une grande importance en termes de sécurité dans une entreprise. On désigne ici le fait d’accorder à un sujet le minimum de permissions nécessaire à l’accomplissement de ses tâches au sein de l’entreprise.

Cette méthode a pour principal avantage de réduire les risques qu’une ressource soit menacée par une personne n’ayant nullement besoin de celle-ci. Ainsi, une personne (tel qu’un salarié) n’ayant aucun besoin d’être dans un lieu important (tel que la salle serveur) ne sera pas autorisée et ne pourra par conséquent être une menace potentielle pour les serveurs de l’entreprise.

Cependant, un des problèmes de cette méthode est justement la limitation des privilèges au strict minimum. Lorsque l’on assigne à un employé une tâche en dehors de son travail standard qui nécessite certaines permissions supplémentaires, l’employé aura tendance à demander/prendre le compte d’un autre utilisateur disposant de ces droits d’accès. Cela ouvre une faille de sécurité (une personne aura accès à des privilèges qu’il ne devrait pas avoir, et partager ce compte avec d’autres employés). Pour pallier à ce problème, il est indispensable d’avoir une bonne gestion de l’attribution de privilèges spécifiques et momentanés.

Identification et authentification

Identification

L’identification désigne le fait de donner son identité. La réponse d’une demande d’accès à une ressource non publique, un service, un secteur de l’entreprise nécessite de connaitre l’identité du demandeur. L’identification est souvent représentée par un nom d’utilisateur, un login, on peut donc entrer l’identifiant de notre choix. L’identification ne prouve pas qu’on est bien celui qu’on prétend être. C’est-à-dire qu’on pourra s’identifier comme étant l’administrateur, alors qu’on est en fait un simple employé.

La phase d’identification ne demande aucune preuve de l’identité du sujet.

Exemple :

Un policier ou un gardien vous interpelle, il vous demande votre identité. Libre à vous de lui mentir en vous faisant passer pour un autre. C’est la même chose en informatique on peut donner l’identité de notre choix, en entrant le login d’un collègue par exemple.

Authentification

L’authentification est le fait de prouver son identité par une quelconque méthode, qu’elle soit choisie ou imposée. Cette opération intervient juste après l’identification. Elle peut utiliser plusieurs moyens, information que seuls nous connaissons (mot de passe), une autorité tierce (carte d’identité), ou encore des moyens biométriques.

Exemples :

Pour reprendre l’exemple précédent, un policier nous interpelle et nous demande notre identité. Libre à nous de lui mentir lors de l’identification, seulement il faudra par la suite prouver notre identité. La présentation d’une pièce d’identité valide permettra aisément à l’agent de faire la comparaison et de vérifier ou non la véracité de nos dires. En informatique, l’authentification est souvent basée sur l’utilisation d’un mot de passe qui, en principe, est connue uniquement par l’utilisateur.

Les types de contrôles d’accès

Contrôle Administratif

Le contrôle administratif intervient principalement sur les employés. Le facteur humain est le principal risque de sécurité dans une entreprise. Il faut donc avoir une politique de sécurité adaptée et utiliser un contrôle administratif. Le contrôle administratif a pour principe de  renforcer la sécurité des systèmes d’informations sans utiliser de technologie, et principalement en inspectant tout se qui ce rapporte aux ressources humaines.

On vérifiera par conséquent le passé de l’employé (si l’employé a un casier judiciaire avant de l’embaucher par exemple), expliquer les politiques de sécurité de l’entreprise (afin que chacun les intègrent et les comprennent) et faire de la surveillance pour vérifier qu’elles soient comprises et appliquées par tous.

Contrôle Physique

Le contrôle d’accès physique intervient notamment sur le matériel et les lieux de l’entreprise. Empêcher l’accès aux zones sensibles au personnel non autorisé, ou encore éviter que l’employé ne modifie ses outils de travail sont des points importants de la sécurité en entreprise. Le contrôle physique a pour principe d’utiliser toute méthode pouvant entraver, surveiller  ou dissuader l‘accès physique d’une entité sans permissions aux systèmes d’informations à protéger.

L’utilisation de caméra de surveillance pour garder une trace des accès à une zone de l’entreprise, de garde, de porte blindée, de serrure de sécurité ou encore de biométrie est courante.

Contrôle Logique

Les entreprises sont de plus en plus dépendantes de l’informatique et des réseaux. Par conséquent, elles se voient obligées d’appliquer des politiques de sécurité pour le réseau et les systèmes informatiques de l’entreprise avec des contrôles d’accès logique adaptés. Le contrôle d’accès logique utilise des procédés visant à limiter l’action d’un compte sur un système/réseau logique.

On attribuera pour cela des permissions appropriées sur le compte de l’utilisateur. Cela peut être le droit de lire certains fichiers, d’installer de nouveaux programmes (compte utilisateur restreint) ou encore d’accéder à certains éléments du réseau (imprimante, serveur…) par le biais d’ACL (Access Control List).

Chiffrement symétrique

Le chiffrement symétrique, que l’on nomme couramment chiffrement conventionnel, est basé sur des fonctions mathématiques réversibles. Le chiffrement symétrique repose sur un principe de clé unique pour chiffrer et déchiffrer.

Cette clé possède plusieurs appellations :

  • Clé secrète
  • Clé partagée

On parle de chiffrement conventionnel puisque c’est le premier chiffrement par clé à avoir été découvert et utilisé.

Principe de fonctionnement

Le chiffrement symétrique se déroule en 4 étapes, de la manière suivante :

1ère étape

  • Génération de la clé secrète par Alice
  • Envoi de cette clé secrète à Bob, de manière sécurisée

2e étape

  • Chiffrement du message par Alice, avec la clé secrète
  • Envoi de ce message chiffré à Bob

3e étape

  • Réception du message chiffrée par Alice
  • Déchiffrement du message avec la clé secrète reçue auparavant

Il existe 2 types d’algorithme de chiffrement :

  • Le chiffrement de flux
  • Le chiffrement par bloc

Chiffrement symétrique par flux

Définition

Un algorithme de chiffrement par flux (ou chiffrement par flot de l’anglais stream cipher) est un algorithme agissant en continu sur les données. Il ne nécessite pas d’avoir toutes les données pour commencer à chiffrer, le chiffrement de flux agit sur chaque bit, l’un après l’autre.
Ce type de chiffrement est souvent utilisé pour les communications en temps réel telles que le WI-FI (RC4), puisqu’il a la particularité d’être beaucoup plus rapide que n’importe quel algorithme de chiffrement par bloc. De plus, au niveau des données chiffrées en sortie, le chiffrement par flux ne donnera pas forcement le même résultat en sortie alors que pour un bloc donné un chiffrement par bloc aura toujours le même résultat. Un algorithme de flux fonctionne avec ce que l’on appelle un générateur pseudo-aléatoire (keystream en anglais), c’est une séquence de bits précise utilisée en tant que clé. Le chiffrement se fait par la combinaison du keystream et du message, le plus souvent par une opération XOR (OU exclusif).

Chiffrement de flux « synchronous »

Avec un chiffrement de flux synchronous, un flux de nombre pseudo-aléatoire est généré indépendamment du texte de base et du texte chiffré. Ce flux est utilisé pour chiffrer le texte de base, ou pour déchiffrer le texte chiffré.
En général, le flux est composé de chiffres binaires, et le chiffrement se fait par une opération XOR entre le keystream et les données de base.
Les deux communicants doivent être exactement à la même étape (synchrone) pour que le déchiffrement se passe correctement. Si des ajouts ou des suppressions sont réalisés pendant le transfert du message, on perd la synchronisation. Cependant, si un bit est altéré pendant le transfert, cela n’affecte pas le reste du message et donc la synchronisation est toujours présente.

Chiffrement de flux self-synchronizing

Les algorithmes de chiffrement de flux appelés self-synchronizing, calcule le keystream à partir du message lui-même.
Le plus simple algorithme de chiffrement self-synchronizing est l’autokey, il utilise le message lui-même comme clé. Lorsqu’un bit est ajouté ou supprimé pendant le transfert des données, l’algorithme l’identifiera puisque la clé est issue du message d’origine lui-même, contrairement aux algorithmes synchronous qui génèrent des keystream aléatoires indépendamment du message d’origine. Les algorithmes de chiffrement de flux self-synchronizing sont beaucoup moins répandus que les synchronous

Méthode XOR

La méthode XOR, appelée plus généralement fonction OU Exclusif est un opérateur logique.
Le principe repose sur 2 opérandes qui peuvent avoir comme valeur VRAI (1) ou FAUX (0), le résultat prendra lui aussi comme valeur VRAI ou FAUX ; VRAI dans le cas ou seulement l’un des deux est VRAI.

Table de vérité XOR

A B Résultat
0 0 0
0 1 1
1 0 1
1 1 0

Exemple :

Méthode XOR

0 1 1 0 1 0 1 0 0 0 1 0 1 1 1 0 1 0 1 0 : Message
1 0 1 0 0 1 1 0 1 0 1 1 1 0 0 1 0 1 0 0 : Clé
1 1 0 0 1 1 0 0 1 0 0 1 0 1 1 1 1 1 1 0 : Résultat

Le résultat étant le message chiffré

Exemples

➢ VERNAM : le téléphone rouge entre le président des USA et celui de la Russie utilise VERNAM, nous verrons en détail dans la suite du cours comment fonctionne VERNAM et quelles sont ses particularités

➢ RC4 : utilisé comme algorithme de chiffrement pour le WI-FI, réputé comme peu fiable maintenant

➢ E0 : algorithme de chiffrement propriétaire utilisé pour les communications Bluetooth

Chiffrement symétrique par bloc

Définition

Un algorithme de chiffrement par bloc (Block Cipher en anglais) transforme des blocs de données de taille fixe en bloc de données chiffrées de la même taille. Les blocs font généralement 128 bits, mais ils peuvent aller de 32 à 256 bits selon l’algorithme. La transformation reste la même pour chaque bloc.
Il existe 4 modes de chiffrement par bloc : Electronic CodeBook (ECB), Cipher Block Chaining (CBC), Cipher FeedBack (CFB) ou Output FeedBack (OFB). Ces 4 modes ne dépendent pas de l’algorithme utilisé, néanmoins tous les algorithmes ne peuvent pas forcément utiliser ces 4 modes.

Avantages et inconvénients du chiffrement symétrique

Avantages

  • Le chiffrement/déchiffrement est très rapide, les algorithmes de chiffrement symétrique sont généralement beaucoup moins complexes que les algorithmes de chiffrement asymétrique
  • Utilise peu de ressources systèmes, toujours dans le même principe d’algorithme moins complexe

Inconvénients

  • Le chiffrement symétrique n’assure que la confidentialité des données, contrairement au chiffrement asymétrique que nous aborderons juste après et qui permet d’assurer des principes de sécurité supplémentaire.
  • Une clé symétrique correspond à un échange entre 2 personnes, pour communiquer avec d’autres personnes il faudra une autre clé symétrique.
    • Soit un grand nombre de clé selon le nombre de personnes avec qui on communique
  • L’utilisation d’une clé unique présente un problème :
    • Communiquer la clé de manière sûre à la personne avec laquelle on souhaite dialoguer.
    • Il est nécessaire de garantir la confidentialité de cette clé. Les échanges qui suivront reposent sur celle-ci. En d’autres termes, si une tierce personne accède à la clé, elle pourra lire, modifier, altérer tous les échanges qui s’effectueront entre les 2 protagonistes de départ.

Active Directory – Unité d’Organisation

L’unité d’organisation  également appelée OU (Organizational Unit) est bien souvent mal ou peu utilisé. Je me suis aperçu que beaucoup d’administrateurs utilisaient les Organizational Unit comme des dossiers pour classer les objets d’Active Directory. Il me parait donc important de recadrer l’utilisation des Organizational Unit à travers cet article.

But d’une Unité d’Organisation

Le réel objectif d’une OU, ce pourquoi elles ont été créées, est de déléguer les tâches d’administration et les droits sur les objets d’Active Directory. Les Organization Unit sont des conteneurs administratifs. Elles contiennent des objets ayant les mêmes besoins administratifs.

Rien à voir avec un classement par services ou autre. Les groupes sont faits pour cela, pas les Organization Unit. Les objets qui seront administrés de la même manière devront être placés dans la même Organization Unit indépendamment du service et des besoins d’affichage. On n’utilise pas les Organization Unit pour classer les utilisateurs. 

Arborescence d’Unité d’Organisation pour les comptes utilisateurs

Il convient de séparer les comptes utilisateurs et ordinateurs. Prenons un exemple, une personne des ressources humaines pourrait avoir le besoin de désactiver un compte utilisateur. Cependant elle n’aura certainement pas le besoin de désactiver un compte ordinateur. Nous pouvons donc envisager une Organization Unit « employés » regroupant les comptes utilisateurs.

Les administrateurs sont également des employés, mais il n’est peut-être pas souhaitable que la fameuse personne des ressources humaines puisse désactiver un compte d’administration. Nous pouvons donc envisager une seconde Organization Unit « administrateurs » regroupant les comptes d’administration.

Dans le cas d’une entreprise multi-site, il est possible qu’elle dispose d’un support sur chaque site. Prenons en compte le fait que le support du site B n’aura besoin que de gérer les comptes que du site B. Dans ce cas des sous-Organization Unit à l’Organization Unit « employés » peuvent être envisagés comme l’Organization Unit « Montpellier » regroupant les utilisateurs du site de Montpellier et l’Organization Unit  « Nice » regroupant les utilisateurs du site de Nice.

Voici ce à quoi pourrait ressembler notre arborescence d’Organization Unit pour la gestion des comptes utilisateurs :

Évidemment c’est à vous de décider de l’arborescence à adopter, mais vous devriez commencer à mieux comprendre la gestion des Organization Unit. Passons maintenant aux comptes ordinateurs.

Arborescence d’OU pour les comptes ordinateurs

Pour les comptes utilisateurs, je vous ai conseillé de séparer utilisateurs standard et comptes d’administration. Nous allons procéder de manière similaire pour les comptes ordinateurs. Ainsi, créer une Organization Unit « machines_clientes » regroupant tous les postes utilisateurs et une Organization Unit « serveurs » regroupant tous les serveurs pourrait être intéressant. L’administration des serveurs n’étant certainement pas gérée par les mêmes personnes que l’administration des postes clients.

À l’identique des comptes utilisateurs, nous pouvons redécouper l’Organization Unit « machines_clientes » en sous-Organization Unit représentant les différents sites, ceci dans le but de favoriser la gestion par un éventuel service informatique décentralisé. 

Avec l’augmentation de la mobilité, les entreprises enregistrent de plus en plus d’ordinateurs portables. Il pourrait donc être intéressant de segmenter ces Organization Unit en fonction de la mobilité avec  « ordinateurs_portables » et « ordinateur_fixes ».

La gestion des serveurs quand elle ne dépendra que très peu des sites de l’entreprise, mais plutôt du type de serveur. Il sera ainsi possible de segmenter l’Organization Unit « serveur » en sous-Organization Unit représentant les différents types de serveurs.

Voici ce que donnerait l’arborescence d’Organization Unit d’une telle gestion des comptes :

Déléguer une tâche commune via l’assistant

Une fois l’arborescence d’Organization Unit créé il faut déléguer les tâches d’administration. Plusieurs solutions s’offrent à vous. Commençons par l’utilisation de l’assistant afin de déléguer une tâche classique. Il est relativement simple d’utilisation et répondra rapidement à vos besoins. 

Clic droit sur l’Organization Unit souhaité

Choisir Délégation de contrôle

Un message de présentation de l’assistant apparait. Cliquer sur suivant

On vous demande ensuite de sélectionner les utilisateurs ou groupes à qui seront délégué les tâches d’administration. Ajoutez les membres souhaités et cliquez sur suivant.

Deux solutions s’offrent à vous. Déléguer une tâche commune ou une tâche personnalisée. Les tâches communes regroupent des actions prédéfinies qui conviendront dans la plupart des cas. Par exemple ici nous allons très simplement déléguer la réinitialisation de mot de passe.


Un résumé de vos actions vous est présenté. Vous pouvez cliquer sur finish pour confirmer la délégation.


Déléguer une tâche personnalisée via l’assistant

Nous avons vu comment utiliser les tâches prédéfinies pour déléguer très simplement les tâches d’administration. Un jour cependant vous aurez besoin de plus de granularité. Les tâches personnalisées sont là pour satisfaire ce besoin. 

Les premières étapes de la délégation sont identiques à celles vues précédemment. Cependant, arrivés au choix du type de tâche à déléguer, nous allons choisir de créer une tâche personnalisée.

Nous pouvons maintenant choisir de déléguer les tâches sur tous les objets de l’Organization Unit ou seulement un certain type d’objet. Ici je vais choisir de déléguer les tâches sur les objets utilisateurs uniquement. Les deux cases du bas sont décochées, je ne délègue donc pas le droit de créer et supprimer des objets de type utilisateur.

Arrivent maintenant les permissions. Les permissions générales permettent de donner des droits génériques sur l’objet comme lire, écrire, lire ses propriétés, etc. :

Les permissions spécifiques aux propriétés permettent de gérer bien plus précisément les droits en lecture et écriture sur chaque propriété de l’objet :

La dernière check-box est utile si vous avez sélectionné tous les objets de l’Organization Unit à l’étape précédente. Elle permet de gérer la création et suppression d’objet dans l’Organization Unit :

Une fois vos choix faits, il ne reste plus qu’à cliquer sur suivant et terminer l’assistant.

Onglet sécurité : gérer et modifier les délégations

L’assistant ne permet pas de visualiser ni modifier les délégations. Pour cela il faudra passer par l’onglet sécurité.

Cet onglet n’est affichable qu’en sélectionnant les fonctionnalités avancées. Pour réaliser cela, cliquez sur affichage, puis cochez fonctionnalités avancées.


Faites maintenant un clic droit -> propriété sur l’OU de votre choix.

Dans l’onglet sécurité figurent les différentes délégations. Nous retrouvons par exemple la délégation effectuée précédemment à Victor Kerr :

Pour visualiser ou éditer les permissions exactes, cliquons sur avancé.


Une fois l’utilisateur sélectionné, cliquez sur éditer.

Vous pouvez voir que Victor Kerr a le droit de réinitialiser le mot de passe. L’onglet propriété en haut permet de visualiser les droits sur les différentes propriétés de l’utilisateur. C’est également au travers de cette interface que vous pourrez modifier les délégations attribuées à un utilisateur ou groupe.

J’espère que cet article vous a aidé à mieux appréhendez les OU. Ce ne sont pas des dossiers, mais des conteneurs administratifs. Beaucoup de personnes les utilisent mal alors que c’est un outil très puissant permettant de combiner productivité et sécurité.

Défense en profondeur.

Tout système bien sécurisé utilise une sécurité basée sur de multiples couches. En effet, la plupart des experts en sécurité seraient en accord sur le fait que la sécurité « parfaite » n’existe pas; Que une seule ligne de défense ne fait qu’accentuer le risque. Elle sera toujours surmontable par un attaquant possédant les ressources et les motivations nécessaires.
Le principe de la sécurité en profondeur sera donc de bloquer l’attaquant avec de multiples couches de sécurité. Plus l’information à protéger aura de valeur, plus il faudra appliquer de lignes de défense. Le but étant de faire en sorte que l’importance des ressources (temps, argent, matériel), nécessaires à l’attaquant pour obtenir l’information, soit supérieure à sa valeur.

La défense en profondeur fut conçue par la NSA. L’objectif était d’avoir une approche complète et claire de la sécurité de l’information. Il s’agit d’un terme emprunté au domaine militaire et qui désigne cette sécurisation par couche. Cela contient à la fois des outils de protection et de détection propre à chacune d’entre elles.

Chaque couche peut être classée dans l’une des catégories suivantes : domaine humain, domaine technologique ou domaine opérationnel.

Domaine Humain

Le but premier de ces couches est d’identifier et de comprendre clairement les risques pouvant venir du personnel et pouvant toucher le personnel. Ainsi, ces couches comprennent les polices de sécurité, les formations du personnel, la sécurité physique, l’administration du système de sécurité.

Domaine Technologique

Ce type de couche permet la réduction de toute attaque pouvant venir directement de la partie IT du système d’information. Ainsi ce type de couche est plus conséquent que les autres, car il faut pouvoir contrôler l’infrastructure, le réseau et encore l’environnement de travail. On pourra sécuriser ce type de couche grâce à des politiques de sécurité, des audits, des tests de pénétration, l’utilisation de chiffrement, des firewalls ou encore des systèmes de détection d’intrusion(IDS).

Domaine Opérationnel

Troisième type de couche, elle se base sur la protection et le respect de toute les activités servant à maintenir et à préserver la sécurité du SI. Cette couche est composée de politiques de sécurité, d’un système de management des clés et de sécurité, d’audits.

Chaque couche est sécurisée indépendamment l’une de l’autre. Ainsi si une couche est compromise, cela permet de limiter la propagation de cette menace au sein du système. Ce type de sécurisation est de nos jours très utilisé dans le domaine nucléaire, pour prévenir tout risque.

Un exemple de défense en profondeur pourrait être :

On pourrait alors classer la couche Application dans le domaine technologique, la couche Hôtes dans le domaine humain et technologique, la couche Réseau Interne dans le domaine technologique, la couche Périmètre dans le domaine humain, la couche Physique dans le domaine humain, et enfin la couche Polices, Procédures et Sensibilisation  dans le domaine opérationnel.

Sécurité – Notions sur le chiffrement

Le but premier du chiffrement est d’assurer la sécurité et la confidentialité de l’information. Néanmoins, le chiffrement peut assurer 2 autres principes de sécurité : l’authentification et la non-répudiation.

Définition d’un chiffrement « fiable »

On définit un chiffrement comme fiable lorsqu’il respecte les principes suivants :

Un algorithme de chiffrement mathématique de qualité :

Basé sur un principe de Kerckhoffs.

On parle d’algorithme de qualité lorsque la ou les fonctions mathématiques sur lesquelles il repose ne présentent pas de faiblesses qui pourraient rendre l’algorithme faillible.
Pour s’assurer de cette qualité, l’algorithme sera testé par des cryptanalystes qui tenteront de trouver des failles à cet algorithme.

Une excellente implémentation de l’algorithme :

Un algorithme peut être utilisé de multiples manières. C’est pour cela que son implémentation est très importante, elle ne doit pas « brider » l’algorithme en limitant son utilisation. Par exemple en réduisant le nombre de clés possibles.

L’algorithme ne doit pas exiger le secret :

Un des principes de Kerckhoffs.

Lorsqu’on parle d’un algorithme qui n’exige pas le secret, cela signifie que l’algorithme peut être accessible à tous, voire même compréhensible, sans que cela n’affecte son degré de sécurité.

Une information chiffrée ne peut être déchiffrée sans la clé adéquate :

Un autre principe de Kerckhoffs.

En effet, le principe même d’un algorithme fiable repose sur le fait que seules les personnes en possession de la clé pourront déchiffrer l’information.
La seule méthode pour décrypter une information serait de tester toutes les clés possibles, on parlera donc de brute force dans ce cas-là.

L’algorithme n’exige pas de contraintes spécifiques au niveau de la clé :

Une fois de plus, une règle basée sur les principes de Kerckhoffs.

En effet, la clé doit pouvoir être choisie librement, elle ne doit pas imposer une longueur extrême (comme c’est le cas pour VERNAM), elle doit surtout être mémorisable facilement et fournir à la fois une sécurité correcte.

La gestion des clés de chiffrement

La gestion des clés de chiffrement est très importante, elle est assurée par l’administrateur lui-même.
L’utilisateur se doit de stocker sa ou ses clés dans un endroit sûr de manière à ce que personne de non autorisé ne puisse y avoir accès.La gestion des clés est un point très important, puisque lorsqu’on travaille avec un algorithme fiable (comme vu précédemment), il sera plus facile d’essayer d’obtenir les clés des utilisateurs plutôt que de « casser » l’algorithme.

Deux types d’algorithmes de chiffrement à clés

En cryptographie, on distingue 2 grandes catégories d’algorithmes de chiffrement à clés.

Chacune de ces catégories possède ses avantages et ses inconvénients :

Chiffrement symétrique :

Appelé aussi chiffrement à clé partagée. On parle de chiffrement symétrique puisque l’on utilise qu’une seule clé pour chiffrer ET déchiffrer.
L’algorithme est dit réversible.

Lien vers l’article explicatif du chiffrement symétrique : ici

Chiffrement asymétrique :

Appelé aussi chiffrement à clé publique.
Le chiffrement asymétrique, à l’inverse du chiffrement symétrique, repose sur l’utilisation d’une paire de clés. La première clé est utilisée pour chiffrer, et la deuxième pour déchiffrer.

Active Directory – Présentation des GPO

Introduction

Passer à côté des GPO, c’est passer à côté d’une grosse fonctionnalité d’Active Directory pour windows server. Un rapide article d’introduction aux GPO me semble donc nécessaire. Les GPO étant aussi vastes que puissantes d’autres articles viendront compléter celui-ci (vous pourrez les retrouver dans la page Microsoft du blog). Les GPO pour Group Policy Object permettent de  centraliser la gestion des configurations. Plus besoin de passer sur chaque poste pour appliquer un paramètre. Grâce aux GPO vous pouvez tout gérer depuis votre PC en quelques clics de souris. Un système de priorité et d’étendue vous permettra d’appliquer les GPO très précisément aux utilisateurs et ordinateurs désirés. 

Configuration d’ordinateur et configuration d’utilisateur

Dans une GPO on retrouve deux divisions principales. Les éléments de configuration dits d’ordinateur et les éléments dits d’utilisateur. Les paramètres d’une GPO peuvent en effet être appliqués à une machine (indépendamment de l’utilisateur qui s’y connecte) ou bien à un utilisateur (indépendamment de la machine sur laquelle il se connecte). Bien entendu les options fournies dans ces deux modes ne sont pas rigoureusement identiques. 

Stratégies : Paramètres logiciels

Cette catégorie ne regroupe que les paramètres de déploiement et installation de logiciels.

Stratégies : Paramètres Windows

Grâce à cette catégorie, il sera possible de configurer des scripts de démarrage/arrêt et de login/logout. C’est également ici qu’on gère les paramètres de sécurité comme les stratégies de mot de passe, les paramètres IPsec, le pare-feu, etc. Comme vous vous en doutez, les paramètres sont différents si l’on se trouve dans la configuration d’ordinateur par rapport à la configuration d’utilisateur. Les paramètres d’Internet Explorer se trouveront ainsi dans la configuration d’utilisateur tandis que les paramètres de pare-feu seront dans la configuration d’ordinateur.

Stratégies : Template Administratif

Les configurations présentes dans cette partie sont les plus nombreuses. On retrouve des milliers de paramètres permettant de combler la majorité des besoins. Ces paramètres sont directement basés sur le registre Windows. Ils permettent de gérer de très précisément la configuration des Windows de votre parc. Une description des actions et de l’impact de chaque paramètre est présente à la sélection de celui-ci, ainsi que dans ses propriétés.

Préférences

Les préférences sont apparues avec Windows serveur 2008. Elles permettent de gérer de manière simplifiée des tâches courantes auparavant complexe. La plupart des préférences se configurent avec une interface similaire à celle des utilisateurs Windows. Il sera par exemple possible de gérer les options sur les dossiers avec exactement le même menu que celui de l’explorer.

Les GPO vous offrent le contrôle de votre parc informatique. Chaque paramètre appliqué par une GPO n’est pas modifiable par l’utilisateur. La gestion centralisée étant prioritaire à la gestion locale. Une fois prises en main les GPO deviennent un outil indispensable de l’infrastructure Active Directory, y compris sur un parc composé de très peu de machines.

Active Directory – Contrôler l’affichage des objets

Comme expliqué précédemment, les Organization Unit ne sont pas des dossiers destinés à classer les objets dans Active Directory. Ce sont des conteneurs administratifs. Pourtant, avec l’augmentation du nombre d’objets dans l’annuaire, il s’avère réellement utile de regrouper les utilisateurs d’un même type ou encore choisir les informations à afficher.

Personnaliser le volet d’affichage de la MMC

La console d’administration « Utilisateurs et Ordinateurs Active Directory » offre la possibilité de personnaliser le volet de détails. Par défaut il affiche le nom de l’objet, le type et sa description. 

Nous pouvons cependant ajouter des colonnes pour obtenir plus d’informations. Pour cela, cliquez sur « affichage » puis sélectionnez « ajouter/supprimer des colonnes ».

Une fenêtre apparait. Les colonnes disponibles sont affichées dans la liste de gauche et les colonnes affichées dans celle de droite. Vous pouvez personnaliser à votre guise le nombre de colonnes et leur ordre. Exemple : Ajout de la colonne Département.

C’est une fonctionnalité toute bête, mais sincèrement utile. On pourra ainsi classer les utilisateurs par nom de famille, par département, ou encore afficher le numéro téléphonique du poste.

Les requêtes sauvegardées

Personnaliser les colonnes est utile, mais ne résout pas le problème de classement des objets. Pour répondre à ce besoin sans modifier les OU, Microsoft a introduit avec Windows serveur 2003 les requêtes sauvegardées. Grâce à cette fonction, nous pouvons créer des règles très précises permettant d’afficher des objets aux caractéristiques identiques, indépendamment de leurs Organization Unit respectives. 

Ouvrez la MMC « Utilisateurs et Ordinateurs Active Directory »

Faites un clic droit sur « requête sauvegardée » dans le menu de gauche et sélectionnez « nouveaux » puis « requête »

Choisissez un nom et une description pour votre requête

Cliquez sur « parcourir » pour choisir la racine de la requête. Il est conseillé de restreindre autant que possible la requête à ce niveau pour améliorer les performances. Dans cet exemple je souhaite regrouper tous les utilisateurs du département IT de mon domaine, je sélectionne donc l’OU « employés » afin d’effectuer la requête sur cette OU et les OU filles (cochez la case « inclure les conteneurs enfants »).

Cliquez maintenant sur « définir la requête ». Vous arrivez sur une fenêtre vous proposant des requêtes communes. Elles sont très utiles pour retrouver par exemple les comptes désactivés.

Pour faire une requête personnalisée, il faut sélectionner « recherche personnalisée »  dans le menu déroulant supérieur.

Il est maintenant possible de personnaliser entièrement la requête. Dans cet exemple je vais effectuer une recherche sur le champ département des objets utilisateurs.

Choisissez maintenant la valeur du champ et sélectionnez « ajouter ».

Vous pouvez ajouter plusieurs conditions à la requête. Une fois celle-ci terminée, vous pouvez valider. Votre requête apparaitra dans le menu de gauche. Ma requête renvoie bien tous les comptes du département IT indépendamment de l’OU dans laquelle ils se trouvent.

Il est également possible de créer des dossiers. Cela vous permettra d’organiser vos requêtes. Vous vous apercevrez rapidement que c’est un moyen bien plus pratique pour gérer l’affichage que les OU (qui ne sont pas faites pour cela).

Export / Import de requêtes sauvegardées

Les requêtes sauvegardées ne sont pas stockées dans Active Directory, mais dans la console MMC sur laquelle elles ont été créées. Il est cependant possible de les utiliser sur une autre console grâce à l’export au format XML.

Pour exporter une requête, il suffit de faire un clic droit « Exporter » sur la requête.

– Effectuez la démarche inverse pour importer la requête.

-Une bonne utilisation des requêtes sauvegardées permet de visualiser convenablement ses objets Active Directory. Le gain de temps ensuite offert au quotidien mérite vraiment qu’on s’investisse dans la création de ces requêtes.

Le 802.1x : introduction à l’authentification réseau

Qu’est-ce que le 802.1X ?

Le 802.1X est un mécanisme d’authentification au standard international pour des terminaux dans un LAN (réseau interne câblé) ou un WLAN (réseau interne sans fil). Il est typiquement appliqué au sein d’une entreprise pour sécuriser l’accès à son réseau et ainsi aux données lui appartenant.
Ce standard d’authentification ne remplace pas le « cloisonnement » du réseau interne de l’entreprise, il n’y a donc aucun risque que des employés aient accès à des parties du réseau ou des données qui leur étaient précédemment interdites. Il va juste empêcher l’accès au réseau par des personnes non autorisées de façon bien plus sécurisée qu’avec une simple clé réseau, dont vous avez peut-être déjà entendu parler (WEP, WPA, WPA2).

Pourquoi l’utiliser ?

Principalement pour des raisons de sécurité et de facilité de gestion. Évidemment, la fonction principale va être de sécuriser le réseau contre des menaces qui seront détaillées plus bas, mais il y a également un côté pratique avec la gestion des accès des employés sur le réseau de l’entreprise.
Selon les statistiques, les fuites de données confidentielles (grilles de salaires des employées, mot de passe mails, projets en cours pour ne citer que quelques un des types de données sensibles pouvant intéresser des personnes malhonnêtes) sont un risque de plus en plus important pour les entreprises.

Ce standard permet de gérer et surveiller l’utilisation du réseau en interne. De par la centralisation des logins et mots de passe, il est simple pour le responsable au sein de l’entreprise d’ajouter ou révoquer l’accès au réseau pour une personne. Le tout sans impact sur l’utilisation du réseau pour les autres. Il est facile par exemple d’invalider l’accès pour un ancien employé ou une personne qui a temporairement eu le droit d’utiliser le réseau privé de l’entreprise.
Contrairement à ce qu’on pourrait penser les entreprises les plus exposées ne sont pas toujours les grandes multinationales. Des personnes sans de grandes connaissances en informatique peuvent utiliser des outils déjà prêts pour lancer ces attaques.

Ce qu’il fait qu’elles sont courantes et qu’il est difficile de remonter à la source dans le cas d’un vol d’informations. Outre le vol certaines manipulations illicites peuvent tout simplement altérer ou supprimer les données avec des conséquences considérables pour l’entreprise victime d’une telle brèche.

Ce type d’attaque n’est pas forcément ciblé et ne fait aucune distinction parmi les réseaux attaqués, une multinationale, un particulier hébergeant un serveur ou une petite entreprise sont tous sujet au risque de voir une intrusion sur leur réseau. La différence étant qu’une grande entreprise est habituée et prête à bloquer ces intrusions.
La norme 802.1X fait partit des outils utilisés pour lutter contre ces risques, son efficacité pour les réduire n’est plus à prouver. La norme est utilisée entre autres par des entreprises, des universités, des hôpitaux ainsi que des administrations dans de nombreux pays.

802.1X permet également de récupérer la durée de connexion sur le réseau pour chaque utilisateur, de vérifier si des connexions ont eu lieu en dehors des heures de travail de l’entreprise, voire d’empêcher la connexions pour un ou plusieurs utilisateurs en dehors de ces plages horaires.

Fonctionnement

802.1X est composé de trois parties distinctes, les commutateurs réseau et/ou point d’accès sans fil, les équipements connectés au réseau interne (ordinateurs fixes et portables, terminaux téléphonique dans le cas d’une téléphonie VOIP, les imprimantes connectées au réseau, etc.) et enfin le serveur d’identification qui se chargera de contrôler et valider l’identité des terminaux. Le serveur d’identification fonctionne grâce au protocole RADIUS.

La connexion a lieu en plusieurs étapes. Premièrement le terminal va se connecter au point d’entrée sur le réseau (par exemple une borne wifi). La borne wifi va demander l’identifiant du terminal, quand il lui répond elle transfère la réponse au serveur d’identification.
Le serveur va recevoir l’identifiant et demander au terminal de prouver (avec un mot de passe ou un certificat) son identité. Le terminal envoie les informations nécessaires, le serveur vérifie la validité des informations qu’il reçoit et que le terminal est bien autorisé à se connecter. Si c’est le cas, le serveur dit à la borne wifi d’autoriser l’accès du terminal au réseau.

On peut comparer ce processus à une personne X arrivant avec son visa au service d’immigration d’un aéroport.
La personne va se présenter à l’employé, qui va transmettre le nom de la personne X au service d’immigration pour vérifier qu’elle est bien sur les listes. Le service demande une photocopie du visa et la personne X donne son accord pour l’envoyer.
Enfin, si le visa est confirmé comme étant valide par le service d’immigration, l’employé recevra une réponse positive et laissera entrer la personne X.

Le mot de passe et login de l’utilisateur sont envoyés en chiffré grâce à un système de clés de sécurité appelé CHAP qui assure l’opacité de l’échange. L’utilisation d’un protocole spécifique à RADIUS, appelé RadSec permet ensuite de sécuriser les échanges entre le serveur et les terminaux.

Compatibilité

Les terminaux connectés au service doivent être compatibles avec 802.1X, ce standard de sécurité étant très répandue les fabricants informatiques l’intègrent à leurs produits depuis plusieurs années.

Cependant afin d’éviter de mauvaises surprises avant toute implémentation un recensement des terminaux est nécessaire afin de vérifier leur compatibilité avec 802.1X. Devensys peut se charger de vérifier la compatibilité du matériel informatique de l’entreprise avec le standard.

Pour les ordinateurs, la compatibilité avec 802.1X est assurée pour Linux, Mac OS (depuis 10.3) et Microsoft Windows (Windows XP et les versions ultérieures y compris).
L’iPhone, Windows Phone, BlackBerry et Android sont également compatibles avec 802.1X, les employés de l’entreprise peuvent donc se connecter au réseau sécurisé avec leur smartphone s’ils y sont autorisés.
En termes d’équipement réseau, 802.1X est compatible avec le matériel Cisco, des serveurs tournant avec des outils Linux ou Microsoft, peut fonctionner avec Kerberos, LDAP et d’autres technologies employées en entreprise.

Pour plus d’informations sur le 802.1X et les bénéfices que son implémentation apporte à votre entreprise, n’hésitez pas à nous contacter.