Principes de sécurisation d'un réseau
Compréhension du besoin en sécurité
La connaissance des failles potentielles et des nécessités de protection de son réseau sont des atouts indispensables. Cette prise de conscience est relativement récente. Beaucoup des protocoles utilisés n’ont pas été conçus à l’origine pour être sécurisés. On peut citer, par exemple, la plupart de ceux de la suite TCP/IP.
Les interconnexions entre les systèmes se sont multipliées, particulièrement à travers le réseau public internet. Là encore, de nombreuses failles sont apparues. Nous ne pouvons pas penser éliminer tout risque, mais il peut être réduit en le connaissant et en adoptant des solutions adéquates.
1. Garanties exigées
La sécurité réseau s’appuie sur quatre thèmes clés :
-
L’authentification, permettant de s’assurer de l’identité pour connaître l’origine des opérations.
-
La confidentialité, qui a pour but d’éviter toute divulgation d’informations.
-
L’intégrité, pour interdire ou connaître les modifications et se préserver des pertes d’informations.
-
La disponibilité, qui permet d’assurer un service en toutes circonstances.
La notion de non-répudiation peut être ajoutée à ces quatre thèmes. Elle a pour but de s’assurer, en toutes circonstances, de l’origine d’une communication ou d’un transfert d’informations. Pour cela, elle reprend un concept familier de notre vie quotidienne, la signature, ici sous forme électronique.
2. Dangers encourus
a. La circulation des données
Dans beaucoup de réseaux, l’essentiel, voire la totalité des communications transportées, transite en clair....
Outils et types d’attaques
Hormis la pénétration d’un système, les attaques par déni de service (DoS - Denial of Service) sont très prisées. Elles visent à solliciter tellement un service réseau qu’il ne répond plus aux demandes légitimes, voire s’arrête. Pour encore plus d’efficacité, des milliers de machines peuvent attaquer simultanément. On parle de déni de service distribué (DDoS - Distributed Denial of Service).
1. Ingénierie sociale
Cette technique, appelée en anglais social engineering, consiste à manipuler des personnes pour contourner les dispositifs de sécurité. Considérant que l’être humain est le maillon faible d’un système d’information, l’ignorance ou la crédulité sont exploitées.
L’escroquerie par phishing (hameçonnage), issu des mots anglais phreaking (piratage de lignes téléphoniques) et fishing (pêche), en est une variante très efficace. Cette arnaque complète l’envoi d’e-mail par une usurpation de charte graphique de site web. Elle incite un individu à transmettre des données confidentielles, bancaires par exemple. Un message électronique est d’abord envoyé. Il contient un lien redirigeant vers un faux site aux couleurs de l’entité usurpée. Très souvent, l’objectif poursuivi est l’obtention d’un numéro de carte bleue.
Le site Signal Spam (https://www.signal-spam.fr/) permet de signaler des phishing et propose également des statistiques sur ceux en cours :
Baromètre de signalement Signal Spam
Nous vous proposons ci-dessous quelques conseils simples pour déjouer les attaques par courrier électronique.
Vérification...
Notions de sécurisation sur le réseau local
1. Services de la sécurité
Répondant aux demandes de garanties nécessaires en termes de sécurité d’un système d’information (SSI), ces services doivent tenir compte des connaissances et analyses effectuées.
Les différents services de sécurité à maintenir sont donc les suivants :
-
Contrôle d’accès au système.
-
Gestion des habilitations.
-
Intégrité.
-
Non-répudiation.
-
Authentification.
-
Confidentialité.
Ces protections s’appliquent à l’information comme aux systèmes supports. Il est indispensable qu’aucune ne soit forcée ni oubliée. Nous traiterons spécifiquement les deux principales à maintenir sur un réseau, l’authentification et la confidentialité.
a. Le contrôle d’accès au système
Il s’agit ici, avant tout, de protéger physiquement les matériels. Il est nécessaire de verrouiller les salles serveurs, mais également désormais les bureaux. En effet, quantité de matériels mobiles contenant des informations importantes peuvent être subtilisés.
Les systèmes d’exploitation et autres logiciels doivent être sécurisés, par paramétrages et installations régulières des correctifs de failles logiciels.
Les réseaux peuvent être isolés les uns par rapport aux autres et les communications doivent être filtrées.
Des logiciels antivirus doivent également être installés et maintenus. Des outils de détection d’intrusion (IDS - Intrusion Detection System) peuvent compléter les protections nécessaires.
b. La gestion des habilitations
Les logiciels, particulièrement les systèmes...
Sécurisation de l’interconnexion de réseaux
Il est devenu très rare que le réseau local de l’entreprise soit isolé. Son interconnexion avec Internet, ou tout autre réseau, est devenue chose courante. Il est donc nécessaire de protéger les entrées et sorties sur le réseau interne privé. Différents équipements peuvent être mis en place pour réaliser cette sécurisation.
1. Routeur filtrant
Les mécanismes de filtrage qui peuvent être associés à l’équipement routeur autorisent des analyses de la couche 3 (Réseau) du modèle OSI.
L’examen des paquets entrants ou sortants porte ainsi, par exemple, sur l’en-tête IP, ce qui permet des actions comme :
-
Le blocage d’adresses IP (source et destination).
-
L’interdiction de transmission de protocoles de couche Réseau ou Transport utilisés (UDP, TCP ou ICMP)...
Certains équipements comprennent les en-têtes de couche 4 (Transport). Ils peuvent ainsi, entre autres, exercer un filtrage au niveau des ports TCP ou UDP et même aller jusqu’à l’analyse des données applicatives (couche 7).
2. Translateur d’adresse
Dans des entreprises de grande taille, différents réseaux interconnectés peuvent utiliser les mêmes adresses IP. Pour que la communication soit possible entre nœuds des deux côtés, il est nécessaire de modifier les références de l’émetteur du paquet, afin qu’il n’y ait pas de conflit et que la transmission soit fiable.
Des équipements de translation d’adresse (NAT - Network Address Translation) sont chargés d’apporter cette fonctionnalité. Ils permettent le changement d’une adresse IP par une autre.
Trois types de translation d’adresse...