Securisation de Windows en DMZ - Partie 1 : Strategie de defense d'une plateforme

  • Article

Stratégie de défense d’une plateforme

L’accès à une couche inférieure nécessite de passer au préalable par les couches supérieures.

Tous les éléments constituant la sécurité de la plateforme sont ainsi répartis au sein de cette approche par couche :

 

1- Sécuriser le réseau   

· Utilisation de Pare-feu

· Utilisation de routeur filtrant

· Mise en œuvre de sonde Anti Intrusion (IDS : Intrusion Detection System)

· Segmentation des zones via l’utilisation de VLANs

· Création de zones démilitarisées (DMZ) privées

· Utilisation de plages d’adresses IP non routables

· Chiffrement des communications (IPSec, SSL, …)

· …

 

 

2 - Sécuriser la machine (Système d’exploitation) :

· Réduction de la surface d'attaque par retrait ou désactivation des composants inutilisés mais néanmoins présents

· Application des correctifs de sécurité,

· Utilisation de filtres IPSec

· Mécanismes d’authentification intégrés

· …

 

3 - Sécuriser les applications :

· Sécurisation d’Internet Information Server :

o Verrouillage de la configuration avec IISLockdown

o filtrage des URL avec URLScan

o Isolation des processus

o Limitation de l’usage CPU

o Masquage de l’entête de serveur

o …

· Sécurisation de SQL Server :

o Utilisation du mode d’authentification Windows

o Création d’une instance spécifique (pas celle par défaut),

o Mise à jour des correctifs de sécurité

o …

· …

 

4 - Sécuriser les données :

· Mise en place d’ACL (Access Control List) sur les fichiers

· Mise en place d’ACL sur les bases SQL

· Mécanismes de chiffrement

· Utilisation d’antivirus (pour la protection des fichiers)

 

5- Sécurité physique :

  • Rack sécurisé
  • Accès physique contrôlé et limité au personnel autorisé

 

Le durcissement des systèmes défini ici va se faire sur les couches suivantes :

· Couche 3 : sécuriser la machine : paramétrage du système d’exploitation Windows

· Couche 4 : sécuriser les applicatifs : Internet Information Server,…

· Couche 5 : sécuriser les données : fichiers d’un serveur web…

 

Suite dans un prochain post :-)