Cobalt - Flux réseau

Le flux réseau constitue un des principaux vecteurs d'attaque venant de l'extérieur. Il ne faut pas verser dans la paranoïa mais l'internet n'est pas une belle est grande avenue bien éclairée. L’objectif est donc de protéger un outil de travail vis à vis de l'extérieur. La technique est une partie de la solution, il y a la sensibilisation des utilisateurs et du bon sens. Aujourd'hui l'informatique c'est comme avoir un permis de voiture. On ne peut monter dans un véhicule pour le conduire si on est pas formé.

Voici donc comment je traitre la partie flux pour mon infra

 

 

 

 

Voici dans les grande lignes le principe de fonctionnement :

Le flux internet est récupéré via une connexion fibre et elle est renvoyé à un firewall / router / NIDS (Synology RT1900ac). Ce dernier contient quelques règles de port forward pour des services tel que le vpn qui sont aussi définies

Sur le routeur fibre.

Les demandes de connexion venant de l'extérieur avec le port autorisé seront envoyées vers le reverse proxy hormis le flux vpn de mon infra qui sera faite par ce même RT1900ac.

Le NIDS permet de bloquer des protocoles réseau malicieux selon une base de connaissance diminuant ainsi en amont de l'infra les attaques. L'interface de ce système permet aussi de générer des rapports et de l'alerting.

 

Vue géographique des attaques detectés

Actions effectuées

Signatures des protocoles réseaux

Informations sur les volumes de trafic (DMZ)

 

La DMZ

Maintenant que nous avons passé le premier firewall nous sommes dans ma DMZ qui se compose d'un certain nombre d'éléments.

La sonde réseau analyse tout le trafic de la DMZ et permet d'avoir de l'alerting et du monitoring il permet aussi de voir en temps réel les connexions vers ou depuis l'extérieur.

Le flux vpn de l'infra est renvoyé vers le deuxième firewall.

Sonde réseau Netwalk

Une vue de connexion (Note c'est pas mon infra)

Possibilité de voire les trames pour analyse