guill.net
-
La page des réseaux
|
guill.net
-
La page des réseaux
|
|
|
|
|
Cette page essaie, par un
exemple concret et volontairement très simple, de montrer les menaces
qui pèsent sur un réseau et les méthodes pour minimiser
ces menaces. On va étudier le réseau classique suivant :
 |
Description du
réseau à sécuriser
Nous avons un réseau d'entreprise, comportant un routeur, permettant l'accès à Internet. Sous ce routeur se trouve le réseau interne, composé simplement d'un hub, reliant un serveur et des stations de travail. Sur ce serveur se trouve des informations sensibles qui pourrait intéresser l'espion d'une autre entreprise. On y trouve aussi des bases de données utilisées par plusieurs employés dans diverses applications, comme Durand et Dupond. Dupond est un commercial qui sillonne la France. Il peut se connecter au serveur de n'importe où grâce à Internet. |
Identifier les informations à protéger
Le
serveur contient des informations sensibles : si personne ne consulte régulièrement
ces informations, il n'y a aucune raison de les laisser sur le serveur
connecté au réseau... Il ne faut pas tenté le diable,
et les informations confidentielles ne resteront sur le réseau qui
si c'est nécéssaire!
Une
base de données est utilisée par plusieurs employés
mais contient des informations confidentielles. Dans ce cas, le serveur
doit garder ces informations. Il faudra mettre sur le serveur un sérieux
contrôle d'accès pour assurer l'authentification des utilisateurs
qui ont besoin de ces données. Les autres requêtes seront
rejetées, même si elles proviennent d'employés de l'entreprise.
Chaque ordinateur ne sera accessible qu'avec un login et un mot de passe.
Le
serveur contient des informations confidentielles : il faut que le serveur
soit physiquement protégé... Rien ne sert de sécurisé
le réseau pour empêcher l'espionnage si quelqu'un peut s'emparer
du disque dur!
Politique de sécurité
Une fois que les informations sensibles sont repérées, il s'agit de choisir une politique de sécurité. On fait du café, on s'installe dans la belle salle de réunion, et on discute... pour se mettre d'accord sur la politique de sécurité : on choisit ce qui est autorisé et ce qui est interdit. Les outils mis en place par la suite respecteront cette politique de sécurité, et devront même la refléter.
Sensibilisation des utilisateurs
Une politique de sécurité doit se faire avec les utilisateurs : ils doivent comprendre cette politique et respecter un certain nombre de règle en relation avec cette politique. Par exemple, il parait évident qu'ils ne doivent communiquer leur login et mot de passe à personne, pas même leurs collègues. De même, il est bien connu qu'il ne faut pas ouvrir les fichiers attachés au email venant de personnes inconnus où dont le contenu est suspect. Des notes d'informations devront sensibiliser les utilisateurs. Ces règles s'appliquent à tous, y compris à l'administrateur du réseau...
Les virus
Deux tiers des attaques se
font par virus : chaque poste doit disposé d'un logiciel anti-virus
mis à jour régulièrement!
Les virus se transmettent
principalement par disquettes, mais peuvent aussi se faire par mail. Les
fichiers les plus susceptibles d'en contenir sont bien sûr les éxécutables
(.com, .exe), mais également tous les documents pouvant contenir
des macros (Microsoft Office est un nid à virus! Méfiez-vous
surtout des macros Word)...
Sécurité minimum
Tout ceci est le minimum
en matière de sécurité. Ils ne coutent quasiment rien.
On les reprend un par un :
- authentification des utilisateurs
par login et mot de passe.
- suppression des informations
confidentielles des machines reliées au réseau si elles n'ont
pas besoin d'y être.
- protection physique des
machines contenant des informations sensibles (locaux fermés à
clef).
- contrôle pour l'accès
aux informations sensibles, avec un login délivré uniquement
pour ceux qui en ont besoin.
- sensibilisation des utilisateurs
aux problèmes de sécurité.
- installation d'un logiciel
anti-virus à jour sur chaque poste.
Le problème des accès distants
Les données qui circulent sur Internet peuvent, à priori être vues de tous. Cela dit, il faut voir si quelqu'un irait jusqu'à écouter le réseau pour obtenir les informations manipulées par Dupond. Pour sécuriser la liaison, même en passant par Internet, il faut utiliser ce qu'on appelle un VPN. Avec une liaison VPN (Virtual Private Network), les données sont chiffrées, et personne, à priori, ne peut les lire. Tous ce passe exactement comme si Dupond étant directement connecté à l'entreprise sans passer par Internet, d'où le nom de réseau privé virtuel.
Firewall et proxy
Afin d'éviter que
des attaques puissent venir d'internet par le routeur, il convient d'isoler
le réseau interne de l'entreprise. La méthode la plus connue
est le firewall et le serveur proxy, mais il n'y a pas que ça...
Par exemple, sur les routeurs, il est possible de faire du filtrage de
paquets ou de la translation d'adresse pour qu'une personne de l'extérieur
ne puisse ni accéder, ni voir ce qu'il y a à l'intérieur.
Un firewall est une entité
qui fait cette opération de filtrage. On va pouvoir analyser les
données qui rentre et les interdire si elles ne proviennent pas
de quelqu'un de connu ou si elles ne répondent pas à une
requête interne. Le firewall, placé à l'entrée
du réseau, constitue ainsi un unique point d'accès par où
chacun est obligé de passer... Le serveur Proxy, lui, permet de
faire le relais au niveau des applications pour rendre les machines internes
invisibles à l'extérieur. Si personne à l'extérieur
ne peut voir les machines internes, l'attaques est beaucoup plus difficile,
car l'attaquant est aveugle! N'oubliez quand même pas que 80% des
attaques proviennent de l'intérieur du réseau et non de l'extérieur...
Logiciel de détection systématique d'erreurs
Les pirates utilisent des logiciel de test de la configuration pour repérer les failles du système qu'ils attaquent. Je ne citerai ici que Cops et Satan. Ces logiciels permettent de façon automatique de chercher les erreurs de configuration ou les vulnérabilités du système. Si vous les utilisez avant le pirate et que vous réparez ces failles, ce sera moins facile pour lui!
Système de détection d'intrusions
Enfin, une fois que tout
cela est en place, si vraiment vous êtes paranoïaques, vous
pouvez utiliser un logiciel de détection d'intrusions. Comme pour
une alarme dans une maison, ce logiciel émet une alarme lorsqu'il
détecte que quelqu'un de non-autorisé est entré sur
le réseau.
A l'heure actuelle, ces
logiciels sont encore remarquablement inefficace car ils passent leur temps
à crier au loup alors qu'il n'y a personne dans la bergerie...
Après sécurisation
Voilà ce que ça donne, mais ne vous fiez pas aux apparences : quelqu'un qui a décidé d'entrer...
