Architecture et virtualisation

[jamiroq]

Ce DSI est vraiment givré !

Firewall sur le même hypervisueur que la prod. encore un bon ... bardé de diplomes , à la française quoi !!
(cela dit pour bertrand et son gentil Chef , Arkoon propose des produits pour virtualiser ces appliances, c donc jouable)

Je suis d'accord avec ccnet et jibe.

Par contre une dimension que vous ne prenez pas en compte et c'est en train de monter en sécu. info : la forte remise en cause des zones (dmz, lan , wan ,decontamination etc.)

Le pare-feu lui-même devient le vecteur d'attaque .... on passe tout dans du http maintenant ... eh oui.

filtrage de flux filtrage de flux : ca fait 10 ans que je le repete !!! sondez messieurs, mais sondez bon diou

et surtout considérer le poste de travail comme du jetable remplaçable dans la demi-heure : virtualisation du poste de travail (Xenclient hummmm)

[ccnet]

Par contre une dimension que vous ne prenez pas en compte et c'est en train de monter en sécu. info : la forte remise en cause des zones (dmz, lan , wan ,decontamination etc.)

C'est à dire ?

Le pare-feu lui-même devient le vecteur d'attaque .... on passe tout dans du http maintenant ... eh oui.

Le vecteur serait plutôt le protocole http. Il a toujours été bien clair que le simple filtrage niveau 4 n'était pas suffisant dès lors qu'il faut traiter le protocole http. Une analyse de contenu s'impose pour le trafic entrant et un proxy pour le trafic sortant. II est tout aussi judicieux de ne pas autoriser le trafic http dès lors que ce n'est pas indispensable. On trouve trop souvent des connexions http sortantes autorisées par simple habitude et non sur la base de la nécessité.

[jamiroq]

"remise en cause des zones conventionnelles de l'infrastucture réseaux"

.....

en gros je suis en train de remettre toutes les zones conventionnelles en cause, à plat.

Le "LAN" n'est pas plus considéré secure (trusted) que la DMZ, en gros on scinde en zone, oui toujours, mais pas de façon statique.
D'ailleurs avec cette approche si tu creuses en peu, tu vas vite te rendre compte que LAN, DMZ , WAN ne veulent plus vraiment rien dire ... : en un mot dépassé

Pour ce faire on s'appuie sur plusieurs vecteur technologique possible :
- Virtualisation du réseau (réseau autonomic), le VLAN en est un avant goût,
- Virtualisation des machines (infra. VMWare , XEnServer ...)
- Techno. de type NAP (developpé par MS et Cisco), 802.1X (auth, chiffrage)
- Poste de travail virtualisé (séparation franches des couches Application, Données, OS, Hardware)

On peuple nos zones dynamiquement.
Une machine (serveur , pare-feu, appliance , poste de travail etc) qui se trouve dans une zone sure à l'instant T1 peut très bien se retrouvée balancé dans une zone de quarantaine car elle ne présente plus le profil sécuritaire minimal requis.
De même une machine peut se voire désinstancier (xenClient parlant) si elle présente le moindre danger pour l'infrasctructure.

Je sais cela semble un peu flou, mais je puis te dire que cela semble terriblement efficace. Un gars/une organisation qui vient pour te zober ton infra. va avoir beaucoup de mal pour savoir ou est sur quoi il se trouve .... et surtout qu'est ce qu'il attaque. Un arrière goût de honeyPots appliqué à l'architecture réseau ...

Je trouve peu de monde pour parler de ce genre d'approche.

[ccnet]

Je sais cela semble un peu flou, mais je puis te dire que cela semble terriblement efficace.

Votre argumentation est tellement floue que je ne vois pas comment vous pouvez juger de l'efficacité de cette "approche". Lorsque je peux m'engager sur l'efficacité d'une solution c'est que j'en maitrise avec clarté et précision l'ensemble des aspects et je suis capable d'en exposer précisément les caractéristiques.

Un gars/une organisation qui vient pour te zober ...

Je ne connaissais pas cette technologie.

Copie à revoir pour être crédible.

[jibe]

Salut,

Votre argumentation est tellement floue que je ne vois pas comment vous pouvez juger de l'efficacité de cette "approche". Lorsque je peux m'engager sur l'efficacité d'une solution c'est que j'en maitrise avec clarté et précision l'ensemble des aspects et je suis capable d'en exposer précisément les caractéristiques.

Ah bon ? Pourtant, une belle théorie à laquelle on ne comprend rien, c'est forcément bien plus efficace ! Si on comprend comment ça marche, c'est que c'est encore un de ces trucs inventés il y a des années, alors, forcément, ça ne peut pas être bon !



Désolé, jamiroq, mais je suis moi aussi comme ccnet : je ne me permets de juger une théorie intéressante que lorsque j'en ai bien compris tous les rouages. Et dans plusieurs cas d'intrusion que j'ai vus, il y avait à la base un responsable de la sécurité qui avait de grandes et belles idées novatrices, incapable de répondre à mes questions concrètes et très terre-à-terre. Beaucoup trop terre-à-terre pour qu'il s'y intéresse...

Cela dit, c'est peut-être intéressant. Mais il faudrait d'abord que ça n'ait pas uniquement l'air d'un épais brouillard !

[Franck78]

On dirait le discours d'un commercial. Marrant. Facile de balancer en vrac des idées. N'empèche que ce ne rime à rien.

Et si le 'zobeur' ne s'y retrouve pas, que dire de l'utilisateur habituel du système ?

Mais cite nous quelques source quand même, des articles bien techniques s'il te plait.

Bye

[jamiroq]

bon, gros bide donc.
Et surtout pas très sport de votre part ...

Je suis partagé entre l'envie d'expliquer et celle de revenir dans 1 ou deux ans pour relancer ces propos ... (être avant-gardiste cela se paie le prix fort, j'ai l'habitude)



Alors on va commencer doucement avec des lectures, car si vous aviez les connaissances techniques concernant les briques mentionnées vous auriez réagis autrement , mais soit ...

- 802.1x, radius , pki : je n 'explique pas car si vous bossez dans le sécu et que vous ne maîtrisez pas ... autant me taire.
.. au cas ou : http://fr.wikipedia.org/wiki/IEEE_802.1X

- NAP/VLAN : http://msdn.microsoft.com/en-us/library/cc895519(v=vs.85).aspx, en gros l'acceptation sur le réseau en L2 est déjà sécurisée en utilisant massivement le chiffrage fort etc =>surface d'attaque interne réduite.
Les bases : http://fr.wikipedia.org/wiki/Network_Access_Protection
De plus la présence d'un élément du réseau (poste de travail, serveur, firewall, sonde etc) dans telle ou telle zone dépends complètement de l'empreinte (ou signature) sécuritaire que présente cet élément (à ce sujet quelques lecture concernant NexThink vont vous plaire).
... ainsi au moindre doute (comportement réseau anormal => @home mon WatchGuard x750e détecte aisément ce genre de comportement et bloque la machine) il est basculé via le commutateur compatible 802.1x dans la zone d'analyse puis en fonction du symptôme cet élément est basculé vers une zone de quarantaine, on peut encore penser une zone de destruction de l'élément (dans le cas de VM, on stoppe la VM)!

- Virtualisation du réseau et des machines via les technos en cours :
=> en cas d'attaque massive ou d'infiltration TOUTES l'architecture (système, réseau et sécurité) peut revenir à l'état pré-sinistre : on peut rejouer l'attaque et l’empêcher ... aussi simple qu'à l'époque des magnétoscope VHS !
C'est purement énorme , vous suivez ?
Je vous donne quelques scenarii, mais avec les snapshots de VM on peut aller très loin, faites mumuse avec Xenserver (c gratos).
Contrepartie : le réseau des hyperviseurs doit être parfaitement isolés des zones à risques (connaissez-vous le genre d'outil INDISPENSABLE samhain : http://www.la-samhna.de/samhain/)
Pour faire simple : l'assaillant NE DOIT QUE circuler sur l'infra. virtuelle, l'utilisateur peut être l'assaillant donc ...

Le poste de travail virtualisé devient inéluctable et présente à mon avis la meilleur sécurisation possible d'un OS ...
http://www.youtube.com/watch?v=ki3oj6x2BvE : enorme !!! imaginez les possibilités offerte par XenClient... (http://www.youtube.com/watch?v=pH6M6FFqQPM)

Ne vous y trompez pas si des acteurs comme Cisco , Arkoon etc se mettent à proposer leurs derniers joujoux en VM ce n'est pas pour être à la mode.

Bon après si je vous semble flou, fou ... les deux ... à vous de reprendre point par point et argumenter cela sera plus constructif.

Peut être lisez vous ceci : http://www.zdnet.fr/blogs/virtuanews/vi ... 750184.htm, mais donc on a à faire à des gens malformés, des architectures mal pensées ...

bien entendu dans vos connaissances techniques je considère comme acquis les notions de filtrage de flux, sonde, ids, nids, parefeu utm etc ... et surtout (ce qui semble être flou chez certain) les architectures virtualisées à haute disponibilités : j'invite l'un de vous deux à venir voir un vrai Datacenter, on en est plus à la chtite tambouille des PME d'il y a 10 ans ....
Chez Google si un container présente le moindre incident ou suspicion : on le change dans l'heure !!!

[gemoussier]

Bonsoir,

Je ne prétends pas être un as en sécurité et j'ai très peu d'expérience en la matière... Néanmoins, je pense que chacune de ces technologies présente son lot d'intérêt. Mais le mélange pourrait aussi s'avérer bien plus dangereux et n'en vaut pas forcément la chandelle. Le système a beau être blindée, il est indéniable qu'une personne plus douée que les autres arrivera forcément à passer à travers. Et à ce moment là avec tout ce beau mélange, les administrateurs eux-mêmes seront bien incapables de dire qui fait quoi et où, quantifier les dommages, et alors comment limiter la casse ? Je me sentirais bien perdu et incapable de rédiger des documentations de fonctionnement (et encore moins de les appliquer si je n'ai pas de vision globale à un instant t).

J'avoue ne pas tout maitriser mais où le concept de zone est-il remis en question ? Je vois simplement une autre manière de les peupler.

Quant à Cisco (et les autres) le constat est simple : il faut occuper ce marché (effet de mode, et instinct de survie plus probablement) qui finalement ne coûte pas très cher à conquérir.

Bref, ton message m'intéresse pour me documenter et en apprendre un peu plus mais je suis quand même sceptique par rapport à l'application.

[jibe]

Salut,

La connaissance s'acquiert par l'expérience, tout le reste n'est que de l'information.

Désolé si ma plaisanterie t'a vexé, ce n'était pas vraiment mon intention. Je voulais simplement souligner le fait qu'avoir l'air si sûr de soi en étant si flou ne permet en aucun cas d'être crédible. Et aussi que tu nous donnais l'impression de vouloir nous épater par des informations que tu n'avais toi-même pas comprises.

Tu sembles souligner que je ne suis pas compétent, ce qui est très vrai à ce niveau : si on en juge par ce que dit Einstein, j'ai des informations sur les datacenters, mais pas d'expérience donc pas de connaissances dans ce domaine. Reste que les réseaux dont je m'occupe et que je prétends maitriser sont comme tu le soulignes ceux des artisans et TPE qui représentent la plus grande entreprise mondiale

Je ne débattrai donc pas de ce que sera ou ne sera pas l'avenir dans les datacenters. Tout ce que je peux dire, c'est que j'ai aussi de l'expérience (et probablement, puisque l'affirme Einstein, un peu de connaissances) en ce qui concerne certaines firmes qui inventent (et par abus de position dominante imposent) n'importe quoi pour garder leurs parts de marché, mais ont prouvé leur totale nullité en matière de sécurité...

Fin du débat en ce qui me concerne. Tout ce que j'en retiens c'est qu'il faut faire des usines à gaz pour paraitre sérieux, au moins aux yeux d'un certain nombre... Personnellement, je suis un très mauvais informaticien (*) qui préfère ce qui est simple et efficace.

(*) La qualité d'un informaticien se mesure, comme chacun sait, au nombre de licences M$ vendues.

[Franck78]

hello,
Microsoft et sa façon de voir la sécu, on repassera hein. Quand les switchs manageables sortaient, un argument était déjà grosso modo, comportement anormal=>isolation du port. Rien de nouveau sous le soleil.
La virtualisation, c'est génial. Concept en place depuis 1960 chez IBM. Revisité à l'heure actuelle, il y a juste la souris en plus.
Pour exploiter ça, il faut de véritables informaticiens, tombés dans le système depuis le début de leur carrière (eg travaillent chez IBM et le système ne change pas tout les trois jours). On en fait plus.
Une boite normale veut à peine payer un Jibé pour exploiter ça aujoud'hui. Bien sur il y aura toujours les commerciaux pour vendre la solution, l'installer et former (transfert de compétences). Mais au premier clash, panique totale. Parcequ'on à rogner le budget 'exercice' (plan de reprise), parcequ'il n'y a plus qu'une personne qui flippe pour agir contre une équipe auparavent.
Alors ca reste utilisable pour les grosses structures ou le DSI visionnant la video xendesktop4(5) calcule 500 postes sur une seule machine redondée = 2 techs réseaux en moins.

Autre problème caché, la liaison entre ces serveurs de VM et le poste final. Ca fonctionne en local. Rhabille-toi si tu as le moindre site distant. Pas de liaison 1gbs entre 500 postes et le serveur = pas de VM ou horaire décalés le matin au démarrage

Rejouer comme avec un VHS. Ca c'est très fort. Il faudrait des snapshots de 'tout', chaque minute, chaque heure ou chaque seconde ? Et qui va te dire jusqu'ou remonter ? C'est a toi de le trouver puisque tout les systèmes automatiques ont échoué à detecter le problème. Tu vas revenir en arrière de un jour, ou deux ? Ok chez toi. Mais chez les fournisseurs, les client, les impôts, les banques : euh ne vous inquiétez pas, ignorer les ordres retransmis s'il vous plait, on a fait un saut dans le passé... Juste impossible comme ça de but en blanc. Rêve de commercial qui n'a jamais mis les pieds au service compta

Voila pour la virtualisation à outrance. Il faut des admins très très compétants et beaucoup d'argent.

[jdh]

Quel discours !

NAP chez microsoft, ça existe depuis Windows 2003.
Si ça fonctionnait "dans la vraie vie", cela se saurait !

Les switchs, comme le rappelle Franck78, étaient sensés faire papa, maman, et ils devraient être fondamental dans ce type de .
(Cisco en vend sûrement ...)

Les VLAN sont étanches ? Ah oui ? C'est prévu pour !
Mais "dans la vraie vie", on peut aisément pourrir la table mac du switch, je doute que les vlan fonctionnent ensuite ... (je dis ça mais j'ai rien dit).

Le zonage aurait vécu ? Beh alors comment on isole alors une machine (physique ou virtuelle) ?
Et puis si la machine est isolée, si elle est seule dans sa zone, qu'est ce qu'on peut faire (avec) ?

Le client devient virtuel ?
Les démos de Citrix sont éclatantes : un VM professionnelle (streamée) et une VM perso.
Mais si l'utilisateur utilise sa VM perso au bureau après avoir installé "Receiver", il a sa VM pro et sa VM perso ... en direct sur le réseau local !

Les "firewalls" entre switchs virtuels dans un hôte de virtualisation, ça démarre à peine ...



Pourtant j'y ai cru : dans une PME, j'ai installé XenServer 6.0 (après avoir essayé 5.0 et 5.5) grâce au tableau de comparaison XenServer vs Vmware ESX(i).
Avec la config qui va bien, serveur bi-Xeon X5650 et baie SAN en double SAS.
Mais au moment de brancher le deuxième host un bi-Xeon X5570 acheté 8 mois plus tôt (même machine sauf les proc), eh bien pas possible de partager la baie !
Et bien, migrer vers VMware était bien moins cher que passer à une version pro qui avaient la fonction !

En fait Citrix essaye de pousser Xen (qui est peut-être meilleur que VMware) mais c'est trop tard.
Reste juste à savoir si VMware tuera HyperV ...
Que reste-t-il de Citrix ? Du marketing ... (alors que Citrix avaient fait mieux que TSE ...)

[ccnet]

Ne vous y trompez pas si des acteurs comme Cisco , Arkoon etc se mettent à proposer leurs derniers joujoux en VM ce n'est pas pour être à la mode.

C'est bien l'argument le moins convaincant qui soit. Je pense même que c'est quasiment le contraire. Ils proposent ce qui se vend.

Pour le reste on trouve un assemblage de technologies et protocoles déjà connus et comme souvent Microsoft rhabille le tout pour se présenter comme le roi de l'innovation. Ce qui me rappelle Active Directory alors que Novell et Netscape fournissaient depuis des années des solutions d'annuaires.

gemoussier :

où le concept de zone est-il remis en question ? Je vois simplement une autre manière de les peupler.

Absolument. Il faut bien une zone pour isoler.

Ce que je vois surtout c'est une augmentation de la complexité. Des mécanismes jusqu'à maintenant physiques remplacés par des lignes de codes et des équipements. Autant de sources de problèmes de sécurité. Augmentation des risques donc ... et des coûts.

De plus la présence d'un élément du réseau (poste de travail, serveur, firewall, sonde etc) dans telle ou telle zone dépends complètement de l'empreinte (ou signature) sécuritaire que présente cet élément (à ce sujet quelques lecture concernant NexThink vont vous plaire).

Si l'on essaye d'être un peu précis et concret qu'est, selon vous, l'empreinte sécuritaire d'un élément réseau ?

Contrepartie : le réseau des hyperviseurs doit être parfaitement isolés des zones à risques

Les discours marketing et les présentations de certains hébergeurs lors de leur réponses à des appels d'offres vont souvent dans la direction opposée.
Parfaitement signifie pas de Vlan mais un réseau physique séparé. Sans parler des ESX déployés avec un seule interface réseau !

Pour faire simple : l'assaillant NE DOIT QUE circuler sur l'infra. virtuelle, l'utilisateur peut être l'assaillant donc ...

Je vous suggère la diffusion d'une note à destination d'un attaquant pour lui demander de bien vouloir ne "circuler" que sur "l'infra virtuelle". Il sera surement ravi de répondre à votre demande. Pour le reste il y a bien longtemps que l'on considère avec la même attention les risques liés aux utilisateurs internes que ceux induits par la connectivité externe.

Peut être lisez vous ceci : http://www.zdnet.fr/blogs/virtuanews/vi ... 750184.htm, mais donc on a à faire à des gens malformés, des architectures mal pensées ...

http://www.hsc.fr/ressources/presentati ... ex.html.fr Chez HSC ils sont surement aussi mal informés et mal formés.

Si je reste partisan d'une utilisation raisonnée de la virtualisation qui apporte des solutions et des fonctionnalités intéressantes (disponibilité des systèmes), il n'en reste pas moins que la complexité induite pose de nouveaux problèmes de sécurité. De plus tout cela n'est pas vraiment gratuit. Aussi je me garderai assez éloigné de vos conclusions et projections futuristes.
Tout cela n'est pas sans évoquer le mouvement de balancier entre le tout centralisé (MVS, 3270, AS400 etc ...) et le tout distribué (Réplication, PC personel, client-serveur...) puis à nouveau Citrix, TSE ...

[jamiroq]

Avec tout le respect que j'ai pour certains de ce forum (Tomtom si tu 'entends), je conclue tout de même que vous réagissez très mal .... vous vieillissez messieurs.

Vous méconnaissez les Datacenter dont le socle global est la virtualisation et cela se voit .... trop d'ailleurs pffff
Il s’agit d'un nouveau monde que vous ne voulez pas explorer car vous en avez peur .... toute peur se combat messieurs : courage

Les jeunes hackers vont tous simplement vous le rappeler ...

(j'ai l'impression de m retrouver à l'époque de Windows NT quand j'abordais le sujet de la sécurité ... les éternelles grieffs contrent MS : c'est vraiment petit.)

Alors pour voir si vous tenez encore le coup : comment sécuriseriez vous un DataCenter de MS ou Google ?
Allez bon courage avec vos idéaux et concepts d'il y a 10 ans , ce n'est pas gagné .....

(PS : pas le temps en ce moment de vous répondre précisément, je suis en train d'écrire un livre sur la sécurité informatique (orientée Linux) , mais je passerai plus de temps promis : sinon pour ceux qui vont au salon linux , on peut se rencontrer la bas .. aplusche)

JamIr0Ck

[ccnet]

Avec tout le respect que j'ai pour certains de ce forum (Tomtom si tu 'entends), je conclue tout de même que vous réagissez très mal .... vous vieillissez messieurs.

Vous méconnaissez les Datacenter dont le socle global est la virtualisation et cela se voit .... trop d'ailleurs pffff
Il s’agit d'un nouveau monde que vous ne voulez pas explorer car vous en avez peur .... toute peur se combat messieurs : courage

Les jeunes hackers vont tous simplement vous le rappeler ...

Beaucoup de littérature, peu de précisions ou de développements techniques. Je ne vois nul exposé technique montrant en quoi la virtualisation apporte un supplément de sécurité. A mon avis vous vous couchez trop tard, le contact de l'air frais du matin vous manque.

(j'ai l'impression de m retrouver à l'époque de Windows NT quand j'abordais le sujet de la sécurité ... les éternelles grieffs contrent MS : c'est vraiment petit.)

Selon vous il y avait des fonctionnalités de sécurité fiables dans Windows NT ? Il est parfois difficile de vous suivre dans votre discours. On ne comprend pas toujours ce que vous voulez dire. Plus de précision et de concision pourrait peut être rendre votre propos plus compréhensible.

[jamiroq]

Je ne suis pas en train de te dire quelle apporte UN PLUS sécuritaire évident à comprendre, mais en réfléchissant bien les portes s'ouvrent ...

Le monde ne peut plus se permettre d'avoir un serveur physique = pour une fonctionnalité.
1 serveur physique = des serveurs virtuels ...

Le green computing ? tu as entendu parlé ? ben ouaih, c'est con mais on va devoir changé ... nos fondamentaux d'atomicité des fonctionnalités, c'est comme cela.

Je ne fais plus parti de l'école qui focalise sur le moyen de prévention ou de dissuasion de l'attaque ...
je pense beaucoup plus plan de reprise après sinistre ...

Le hacker passe toujours c'est la régle : tu le sais aussi bien que moi, les admin. sont ignorants, on l'a tous été !!

Donc on virtualise :

Cela coute beaucoup moins cher.
Cela permet d'avoir un vue globale du SI, donc de mieux le gérer , donc de mieux le sécuriser ... je ne vois pas ce que tu peux reprocher à cette approche ?

Edit : je ne suis pas commercial ou vendeur de telle ou telle solution (j'ai à ce titre refusé des offres très alléchantes de postes ... pour garder ma liberté de choisir mes briques système , réseau et securité .... )...
Là je suis juste en train de monter ma deuxième architecture full virtualized (et j'ai bossé dans un des quelques DataCenter mondiale situé en IDF).

la première @home sur du xenserver,
le deuxième en esxi :c purement énorme.
(hyperV m'ennuie)