vendredi 11 mars 2011

La Sécurité de base dans un réseau local - Menaces et Protéction contre les attaques

Objectif : Cette page essaie, par un exemple concret et volontairement très simple, de montrer les menaces qui pèsent sur


un réseau et les méthodes pour minimiser ces menaces. On va étudier le réseau classique suivant :





Description du réseau à sécuriser

Nous avons un réseau d'entreprise, comportant un routeur, permettant l'accès à Internet. Sous ce routeur se trouve le réseau interne, composé simplement d'un hub, reliant un serveur et des stations de travail. Sur ce serveur se trouve des informations sensibles qui pourrait intéresser l'espion d'une autre entreprise. On y trouve aussi des bases de données utilisées par plusieurs employés dans diverses applications, comme Durand et Dupond. Dupond est un commercial qui sillonne la France. Il peut se connecter au serveur de n'importe où grâce à Internet.

Identifier les informations à protéger

Le serveur contient des informations sensibles : si personne ne consulte régulièrement ces informations, il n'y a aucune raison de les laisser sur le serveur connecté au réseau... Il ne faut pas tenter le diable, et les informations confidentielles ne resteront sur le réseau qui si c'est nécessaire! Une base de données est utilisée par plusieurs employés mais contient des informations confidentielles. Dans ce cas, le serveur doit garder ces informations. Il faudra mettre sur le serveur un sérieux contrôle d'accès pour assurer l'authentification des utilisateurs qui ont besoin de ces données. Les autres requêtes seront rejetées, même si elles proviennent d'employés de l'entreprise. Chaque ordinateur ne sera accessible qu'avec un login et un mot de passe. Le serveur contient des informations confidentielles : il faut que le serveur soit physiquement protégé... Rien ne sert de sécurisé le réseau pour empêcher l'espionnage si quelqu'un peut s'emparer du disque dur!

Politique de sécurité


Une fois que les informations sensibles sont repérées, il s'agit de choisir une politique de sécurité. On fait du café, on s'installe dans la belle salle de réunion, et on discute... pour se mettre d'accord sur la politique de sécurité : on choisit ce qui est autorisé et ce qui est interdit. Les outils mis en place par la suite respecteront cette politique de sécurité, et devront même la refléter.

Sensibilisation des utilisateurs

Une politique de sécurité doit se faire avec les utilisateurs : ils doivent comprendre cette politique et respecter un certain nombre de règle en relation avec cette politique. Par exemple, il parait évident qu'ils ne doivent communiquer leur login et mot de passe à personne, pas même leurs collègues. De même, il est bien connu qu'il ne faut pas ouvrir les fichiers attachés au email venant de personnes inconnus où dont le contenu est suspect. Des notes d'informations devront sensibiliser les utilisateurs. Ces règles s'appliquent à tous, y compris à l'administrateur du réseau...

Les virus

Deux tiers des attaques se font par virus : chaque poste doit disposé d'un logiciel anti-virus mis à jour régulièrement! Les virus se transmettent principalement par disquettes, mais peuvent aussi se faire par mail. Les fichiers les plus susceptibles d'en contenir sont bien sûr les éxécutables (.com, .exe), mais également tous les documents pouvant contenir des macros (Microsoft Office est un nid à virus! Méfiez-vous surtout des macros Word)...

Sécurité minimum

Tout ceci est le minimum en matière de sécurité. Ils ne coutent quasiment rien. On les reprend un par un :
  • authentification des utilisateurs par login et mot de passe.
  • suppression des informations confidentielles des machines reliées au réseau si elles n'ont pas besoin d'y être.
  • protection physique des machines contenant des informations sensibles (locaux fermés à clef).
  • contrôle pour l'accès aux informations sensibles, avec un login délivré uniquement pour ceux qui en ont besoin.
  • sensibilisation des utilisateurs aux problèmes de sécurité.
  • installation d'un logiciel anti-virus à jour sur chaque poste.

Le problème des accès distants

Les données qui circulent sur Internet peuvent, à priori être vues de tous. Cela dit, il faut voir si quelqu'un irait jusqu'à écouter le réseau pour obtenir les informations manipulées par Dupond. Pour sécuriser la liaison, même en passant par Internet, il faut utiliser ce qu'on appelle un VPN. Avec une liaison VPN (Virtual Private Network), les données sont chiffrées, et personne, à priori, ne peut les lire. Tous ce passe exactement comme si Dupond étant directement connecté à l'entreprise sans passer par Internet, d'où le nom de réseau privé virtuel.

Firewall et proxy

Afin d'éviter que des attaques puissent venir d'internet par le routeur, il convient d'isoler le réseau interne de l'entreprise. La méthode la plus connue est le firewall et le serveur proxy, mais il n'y a pas que ça... Par exemple, sur les routeurs, il est possible de faire du filtrage de paquets ou de la translation d'adresse pour qu'une personne de l'extérieur ne puisse ni accéder, ni voir ce qu'il y a à l'intérieur.

Un firewall est une entité qui fait cette opération de filtrage. On va pouvoir analyser les données qui rentre et les interdire si elles ne proviennent pas de quelqu'un de connu ou si elles ne répondent pas à une requête interne. Le firewall, placé à l'entrée du réseau, constitue ainsi un unique point d'accès par où chacun est obligé de passer...

Le serveur Proxy, lui, permet de faire le relais au niveau des applications pour rendre les machines internes invisibles à l'extérieur. Si personne à l'extérieur ne peut voir les machines internes, l'attaques est beaucoup plus difficile, car l'attaquant est aveugle! N'oubliez quand même pas que 80% des attaques proviennent de l'intérieur du réseau et non de l'extérieur...

Logiciel de détection systématique d'erreurs

Les pirates utilisent des logiciel de test de la configuration pour repérer les failles du système qu'ils attaquent. Je ne citerai ici que Cops et Satan. Ces logiciels permettent de façon automatique de chercher les erreurs de configuration ou les vulnérabilités du système. Si vous les utilisez avant le pirate et que vous réparez ces failles, ce sera moins facile pour lui!

Système de détection d'intrusions

Enfin, une fois que tout cela est en place, si vraiment vous êtes paranoïaques, vous pouvez utiliser un logiciel de détection d'intrusions. Comme pour une alarme dans une maison, ce logiciel émet une alarme lorsqu'il détecte que quelqu'un de non-autorisé est entré sur le réseau. A l'heure actuelle, ces logiciels sont encore remarquablement inefficace car ils passent leur temps à crier au loup alors qu'il n'y a personne dans la bergerie...

Après sécurisation

Voilà ce que ça donne, mais ne vous fiez pas aux apparences : quelqu'un qui a décidé d'entrer...


0 commentaires:

Enregistrer un commentaire

Share

Twitter Delicious Facebook Digg Stumbleupon Favorites

 

IP