Sécurité du réseau Animé par : Samir DIABI
Introduction La sécurité se place actuellement au premier plan de la mise en œuvre et de l’administration réseau. La difficulté que représente la sécurité dans son ensemble est de trouver un compromis entre deux besoins essentiels : le besoin d’ouvrir des réseaux pour profiter de nouvelles opportunités commerciales et le besoin de protéger des informations privées ou publiques et des informations commerciales stratégiques. L’application d’une stratégie de sécurité efficace est l’étape la plus importante qu’une entreprise doit franchir pour protéger son réseau. Cette stratégie définit les directives concernant les activités et les ressources nécessaires à la sécurisation d’un réseau d’entreprise.
Objectifs identifier les menaces de sécurité dans les réseaux des entreprises ; décrire les méthodes permettant de faire face aux menaces de sécurité dans ces réseaux ; configurer la sécurité de base d’un routeur ; désactiver les interfaces et les services non utilisés du routeur ; utiliser la fonction de verrouillage de Cisco SDM ; gérer des fichiers et des images logicielles à l’aide du système de fichier intégré (IFS) de Cisco IOS.
Pourquoi la sécurité des réseaux est-elle importante ? Les réseaux informatiques ont grandi en taille et en importance en très peu de temps. Lorsque la sécurité d’un réseau est compromise, de très graves conséquences peuvent en résulter, comme l’atteinte à la vie privée, le vol d’informations et même l’engagement de la responsabilité civile. Pour rendre cette situation encore plus difficile, les types de menaces potentielles sont en évolution constante. Comme les applications Internet et le commerce électronique suivent la même croissance, la recherche de l’équilibre entre un réseau ouvert et un réseau fermé est une tâche cruciale. De plus, la montée du commerce mobile et des réseaux sans fil demande des solutions de sécurité intégrées plus transparentes et plus flexibles.
Pourquoi la sécurité des réseaux est-elle importante ?
Augmentation des menaces Au fil des ans, les outils et les méthodes permettant d’attaquer les réseaux ont constamment évolué. En 1985, un pirate devait posséder un ordinateur de pointe, des connaissances en programmation et en réseaux pour réaliser des attaques élémentaires avec des outils rudimentaires. Au fil du temps, les méthodes et les outils d’attaque se sont améliorés et les pirates n’ont plus eu besoin de posséder le même niveau de connaissances. Les exigences pour devenir pirate débutant ont effectivement diminué.
Voir Animation La menace croissante des pirates
Esprit malveillant À mesure que les types de menaces, d’attaques et d’exploits évoluaient, différents termes ont été inventés pour désigner les individus impliqués dans ces malveillances.
Fouineur Fouineur (white hat en anglais) : individu qui recherche des vulnérabilités dans des systèmes ou réseaux et qui signale ces vulnérabilités à leurs propriétaires de manière à ce qu’ils puissent les éliminer. Ils ont une éthique qui les oppose à tout usage abusif des systèmes informatiques. Les fouineurs tendent généralement à sécuriser les systèmes informatiques, tandis qu’à l’opposé, les pirates (black hat, en anglais) veulent y pénétrer par intrusion.
Bidouilleur Bidouilleur (hacker en anglais) : terme général utilisé dans le passé pour désigner un expert en programmation. Actuellement, ce terme est souvent utilisé de manière dépréciative pour désigner un individu qui tente d’accéder de manière non autorisée aux ressources des réseaux avec une intention malveillante.
Pirate Pirate (black hat en anglais) : autre terme désignant les personnes qui utilisent leurs connaissances des systèmes informatiques pour accéder de manière non autorisée à ces systèmes ou réseaux, habituellement dans un but personnel ou lucratif. Le terme anglais « cracker » est synonyme de « black hat ».
Pirate informatique Pirate informatique (cracker en anglais) : terme le plus précis désignant une personne non autorisée qui tente d’accéder aux ressources d’un réseau avec des intentions malveillantes.
Pirate téléphonique Pirate téléphonique (phreaker en anglais) : individu qui manipule le réseau téléphonique afin de le faire fonctionner d’une manière normalement interdite. Le but de ce pirate est de pénétrer dans le réseau téléphonique, habituellement à partir d’un téléphone public, pour téléphoner sans payer.
Spammeur Spammeur : individu qui envoie une grande quantité de courriels non sollicités. Les spammeurs utilisent souvent des virus pour prendre possession d’ordinateurs familiaux et utiliser ces derniers pour leurs envois massifs.
Hameçonneur Hameçonneur (phisher en anglais) : individu qui utilise le courriel ou d’autre moyens pour amener par la ruse d’autres utilisateurs à leur fournir des données sensibles, comme des numéros de carte de crédit ou de passeport. Le hameçonneur se fait passer pour une institution de confiance qui aurait un besoin légitime de ces données sensibles.
Exercice 1 : Assaillants du réseau
Pensez comme l’assaillant Le but de l’assaillant est de compromettre un réseau ou une application s’exécutant dans un réseau. La plupart des assaillants se servent d’une méthode en sept étapes pour obtenir les informations permettant de mener une attaque. Étape 1 : analyse d’empreinte (reconnaissance). La page Web d’une société peut conduire à des données telles que les adresses IP des serveurs. Avec ces données, l’assaillant peut élaborer le profil ou l’empreinte de la sécurité de cette société. Étape 2 : énumération des informations. Un assaillant peut étendre sa connaissance du profil de sécurité en surveillant le trafic du réseau à l’aide d’un analyseur de paquets comme Wireshark. Il recherche alors des informations telles que les numéros de version des serveurs FTP et des serveurs de messagerie. La référence croisée de ces informations avec des bases de données de vulnérabilité expose alors les applications de la société à des abus potentiels. Étape 3 : manipulation des utilisateurs pour obtenir un accès. Les employés utilisent parfois des mots de passe faciles à casser. Dans d’autres cas, ils peuvent être dupés par des assaillants astucieux et leur fournir des données d’accès sensibles.
Pensez comme l’assaillant Étape 4 : escalade des privilèges. Une fois un accès de base obtenu, l’assaillant utilise ses compétences pour augmenter ses privilèges d’accès au réseau. Étape 5 : collecte d’autres mots de passe et secrets. Avec davantage de privilèges d’accès, les assaillants se servent de leurs talents pour accéder à des informations sensibles bien protégées. Étape 6 : installation de portes dérobées. Les portes dérobées sont des moyens permettant à l’assaillant d’entrer dans le système sans être détecté. La porte dérobée la plus courante est le port TCP ou UDP ouvert en écoute. Étape 7 : exploitation du système compromis. Une fois qu’il a compromis un système, l’assaillant l’utilise pour lancer des attaques vers d’autres hôtes du réseau.
Types de délits informatiques Au fil des ans, les mesures de sécurité se sont améliorées et certains types d’attaques sont devenus moins fréquents, tandis que d’autres ont fait leur apparition. La conception de solutions de sécurité des réseaux commence par une évaluation de l’ensemble des délits informatiques.
Types de délits informatiques Voici une liste des actes délictuels généralement signalés qui ont une incidence sur la sécurité des réseaux : Accès abusif au réseau par des personnes autorisées Virus Vol d’équipement mobile Hameçonnage où une organisation est usurpée par l’expéditeur Abus de messagerie instantanée Déni de service Accès non autorisé à des informations Robots au sein de l’organisation Vol de données des clients ou des employés Accès abusif à un réseau sans fil Intrusion dans un système Fraude financière Interception de mots de passe Enregistrement des frappes Dégradation d’un site Web Abus d’une application Web publique Vol d’informations propriétaires Exploitation du serveur DNS d’une organisation Fraude aux télécommunications Sabotage
Réseaux ouverts et réseaux fermés Le défi de sécurité global auquel les administrateurs réseau doivent faire face est de trouver un juste équilibre entre deux exigences importantes : garder une certaine ouverture pour permettre la prise en charge des opportunités de commerce évolutives et protéger les données privées et personnelles, ainsi que les données stratégiques des entreprises.
Réseaux ouverts et réseaux fermés Les modèles de sécurité des réseaux visent à atteindre un équilibre entre l’ouverture où tout ce qui n’est pas explicitement refusé est permis, et la restriction où tout ce qui n’est pas jugé nécessaire est refusé. Dans le cas du réseau ouvert, les risques de sécurité sont évidents. Dans le cas du réseau fermé, les règles définissant ce qui est permis sont établies sous la forme d’une stratégie de sécurité par une personne ou un groupe de personnes au sein de l’organisation.
Réseaux ouverts et réseaux fermés Un changement dans les règles d’accès peut être aussi simple que de demander l’activation d’un service à un administrateur réseau. Selon l’entreprise, un amendement de la stratégie de sécurité peut être requis avant tout changement qui permet à l’administrateur d’activer le service en question. Par exemple, une stratégie de sécurité peut interdire l’utilisation des services de messagerie instantanée, mais une demande par les employés peut être à l’origine du changement de cette règle.
Réseaux ouverts et réseaux fermés Une alternative extrême pour faciliter la gestion de la sécurité consiste à isoler complètement le réseau du monde extérieur. Un réseau fermé n’assure la connectivité qu’entre des parties et des sites de confiance connus. Un réseau fermé ne permet pas de connexion à des réseaux publics. Étant donné qu’il n’y a pas de connectivité externe, de tels réseaux sont considérés comme fiables contre les attaques extérieures. Des menaces internes sont toutefois toujours possibles. Un réseau fermé ne protège en rien des attaques menées au sein de l’entreprise.
Réseau ouvert
Réseau restrictif
Réseau fermé
Développement d’une stratégie de sécurité La première étape qu’une organisation devrait entreprendre pour se prémunir et protéger ses données contre les risques consiste à développer une stratégie de sécurité. Une stratégie est un ensemble de principes qui guident les prises de décision et permettent aux dirigeants d’une organisation de déléguer l’autorité en toute confiance. Le document RFC2196 stipule « qu’une stratégie de sécurité est une déclaration formelle des règles qui doivent être respectées par les personnes qui ont accès aux ressources technologiques et aux données vitales de l’entreprise ».
Développement d’une stratégie de sécurité Une stratégie de sécurité peut se présenter comme de simples règles du bon usage des ressources du réseau ou, à l’inverse, comprendre des centaines de pages et détailler chaque élément de connectivité et les règles correspondantes. Une stratégie de sécurité vise les buts suivants : informer les utilisateurs, le personnel et les responsables de leur obligation de protéger les données vitales et les ressources technologiques de l’entreprise ; spécifier les mécanismes permettant de respecter ces exigences ; fournir une base de référence à partir de laquelle acquérir, configurer et auditer les systèmes informatiques pour qu’ils soient conformes à la stratégie.
Constitution d’une stratégie de sécurité La constitution d’une stratégie de sécurité peut s’avérer difficile si elle est entreprise sans repères. C’est pourquoi l’Organisation internationale de standardisation (ISO) et la Commission électrotechnique internationale (International Electrotechnical Commission, IEC) ont publié une norme appelée ISO/IEC Ce document se rapporte spécifiquement à la technologie de l’information et décrit un code de bonne pratique pour la gestion de la sécurité des informations.
Constitution d’une stratégie de sécurité La norme ISO/CEI doit servir de base commune et de ligne directrice pratique pour élaborer les référentiels de sécurité de l’organisation et les pratiques efficaces de gestion de la sécurité. Ce document comprend les 12 sections suivantes : Évaluation des risques Stratégie de sécurité Organisation de la sécurité des informations Gestion des biens Sécurité liée aux ressources humaines Sécurité physique et environnementale Gestion opérationnelle et gestion des communications Contrôle d’accès Acquisition, développement et maintenance des systèmes d’information Gestion des incidents liés à la sécurité des informations Gestion de la continuité de l’activité Conformité
Vulnérabilités Lorsqu’il est question de sécurité des réseaux, les trois notions qui interviennent habituellement dans la discussion sont la vulnérabilité, les menaces et les attaques. La vulnérabilité est le degré de faiblesse inhérent à tout réseau ou périphérique. Cela concerne les routeurs, les commutateurs, les ordinateurs de bureau, les serveurs et même les périphériques de sécurité. Les menaces viennent d’individus compétents intéressés par l’exploitation des faiblesses de sécurité. Il est prévisible que de tels individus continueront à rechercher de nouvelles faiblesses et de nouveaux exploits. Ces menaces sont mises en œuvre à l’aide d’une variété d’outils, de scripts et de programmes permettant de lancer des attaques contre des réseaux et leurs périphériques. En général, les périphériques réseaux attaqués sont des points d’extrémité comme les serveurs et les ordinateurs de bureau.
Vulnérabilités Les vulnérabilités ou faiblesses principales sont au nombre de trois : Faiblesses technologiques Faiblesses de configuration Faiblesses dans la stratégie de sécurité
Vulnérabilités : Technologie Les technologies informatiques et de réseau ont des faiblesses de sécurité intrinsèques. Celles-ci comprennent les faiblesses du protocole TCP/IP, du système d’exploitation et de l’équipement réseau.
Vulnérabilités : Configuration Les administrateurs réseau et les ingénieurs système doivent apprendre ce que sont les faiblesses de configuration et les compenser en configurant convenablement leurs équipements informatiques et réseau.
Vulnérabilités : Stratégie Il existe des risques de sécurité pour le réseau si les utilisateurs ne respectent pas la stratégie de sécurité. La figure présente certaines faiblesses de la stratégie de sécurité et la manière dont elles sont exploitées.
Menaces pour l’infrastructure physique Lorsqu’il est question de la sécurité du réseau, ou de la sécurité informatique, on pense généralement aux pirates exploitant des vulnérabilités logicielles. Une menace moins connue, mais néanmoins importante, est celle qui plane sur la sécurité physique des périphériques. Un assaillant peut empêcher l’utilisation des ressources du réseau si celles-ci sont physiquement compromises. Les quatre catégories de menaces physiques sont les suivantes : Menaces matérielles entraînant des dommages physiques aux serveurs, routeurs, commutateurs, installations de câblage et stations de travail. Menaces environnementales dues aux variations extrêmes de la température ou du taux d’humidité. Menaces électriques provenant de pointes de tension, d’une tension d’alimentation trop basse (baisse de tension), d’une alimentation non filtrée (bruit) et de la perte totale d’alimentation. Menaces de maintenance dues à un traitement inadéquat de composants électriques essentiels (décharge électrostatique), au manque de pièces de rechange critiques, à un mauvais câblage et à un mauvais étiquetage.
Limitation des menaces Certains de ces problèmes doivent être traités par une stratégie organisationnelle. D’autres dépendent d’une bonne gestion au sein de l’organisation. Un coup du sort peut avoir pour conséquence de ruiner un réseau si la sécurité physique n’a pas été suffisamment préparée. Voici quelques méthodes permettant d’atténuer les menaces physiques : Limitation des menaces matérielles Limitation des menaces environnementales Limitation des menaces électriques
Limitation des menaces matérielles
Limitation des menaces environnementales
Limitation des menaces électriques
Limitation des menaces de maintenance
Catégories des menaces principales Les délits informatiques peuvent être regroupés dans les quatre catégories de menaces principales suivantes :
Menaces non organisées Ces menaces proviennent pour la plupart d’individus inexpérimentés qui utilisent des outils de piratage facilement accessibles comme des scripts d’interpréteur de commande et des casseurs de mot de passe. Même si elles ne sont utilisées que pour tester l’habilité de l’assaillant, ces menaces peuvent causer de sérieux dommages aux réseaux. Par exemple, le piratage du site Web d’une entreprise peut nuire à la réputation de cette entreprise. Même si le site Web est séparé des informations privées protégées derrière un pare-feu, le public n’en est pas informé. Vu de l’extérieur, le site est donc considéré comme un environnement peu sûr pour des activités commerciales.
Menaces organisées Les menaces organisées viennent d’individus isolés ou en groupes, qui sont beaucoup plus motivés et techniquement compétents. Ces personnes connaissent les vulnérabilités des systèmes et utilisent des techniques de piratage évoluées pour pénétrer dans des entreprises qui ne se doutent de rien. Ils accèdent par intrusion à des ordinateurs d’entreprises ou d’institutions gouvernementales pour y commettre des actes de fraude, pour détruire ou altérer des données, ou simplement pour semer le chaos. Ces groupes sont souvent impliqués dans des cas de fraude ou de vol signalés aux organismes chargés de l’application de la loi. Leur technique de piratage est si complexe que seuls des enquêteurs très spécialisés arrivent à comprendre ce qui se passe.
Menaces externes Les menaces externes peuvent provenir d’individus ou d’organisations agissant depuis l’extérieur d’une entreprise et qui ne sont pas autorisés à accéder au réseau et aux ordinateurs de cette dernière. Ils arrivent à pénétrer dans un réseau à partir d’Internet ou de serveurs d’accès commuté. Les menaces externes peuvent présenter des degrés de gravité variables selon que l’assaillant est un amateur (non organisé) ou un expert (organisé).
Menaces internes Des menaces internes existent lorsque quelqu’un dispose d’un compte ou d’un moyen d’accès physique autorisé au réseau. Tout comme pour les menaces externes, la gravité d’une menace interne dépend de l’expertise de l’assaillant.
Piratage psychologique La méthode de piratage la plus simple ne demande aucune compétence en informatique. Si un intrus parvient à tromper un membre de l’organisation pour obtenir des informations précieuses, comme l’emplacement des fichiers ou des mots de passe, le piratage est alors beaucoup plus facile. Ce type d’attaque, appelé piratage psychologique, exploite des faiblesses personnelles qui peuvent être découvertes par des pirates doués. Ces méthodes peuvent faire appel à l’ego d’un employé, ou se présenter sous la forme d’une personne ou d’un faux document qui incite quelqu’un à fournir des informations sensibles. Le hameçonnage est un type de piratage psychologique qui utilise un courriel ou d’autres types de messages pour tenter d’obtenir par la ruse des informations confidentielles, telles que des numéros de carte de crédit ou des mots de passe. Le hameçonneur se fait passer pour une institution de confiance qui aurait un besoin légitime de ces données sensibles.
Piratage psychologique
Types d’attaques d’un réseau : Reconnaissance La reconnaissance est la découverte non autorisée des systèmes, de leurs adresses et de leurs services, ou encore la découverte de leurs vulnérabilités. Il s’agit d’une collecte d’informations qui, dans la plupart des cas, précède un autre type d’attaque. La reconnaissance est similaire au repérage effectué par un cambrioleur à la recherche d’habitations vulnérables, comme des maisons inoccupées, des portes faciles à ouvrir ou des fenêtres ouvertes.
Types d’attaques d’un réseau : Accès L’accès au système est la possibilité pour un intrus d’accéder à un périphérique pour lequel il ne dispose pas d’un compte ou d’un mot de passe. La pénétration dans un système implique généralement l’utilisation d’un moyen de piratage, d’un script ou d’un outil exploitant une vulnérabilité connue de ce système ou de l’application attaquée.
Types d’attaques d’un réseau : Déni de service Le déni de service (DoS, en anglais) apparaît lorsqu’un pirate désactive ou altère un réseau, des systèmes ou des services dans le but de refuser le service prévu aux utilisateurs normaux. Les attaques par déni de service mettent le système en panne ou le ralentissent au point de le rendre inutilisable. Le déni de service peut consister simplement à supprimer ou altérer des informations. Dans la plupart des cas, l’attaque se résume à exécuter un programme pirate ou un script. C’est pour cette raison que les attaques par déni de service sont les plus redoutées.
Types d’attaques d’un réseau : Vers, virus et chevaux de Troie Des logiciels malveillants peuvent être installés sur un ordinateur hôte dans le but d’endommager ou d’altérer un système, de se reproduire ou d’empêcher l’accès à des réseaux, systèmes ou services. Ces programmes sont généralement appelés vers, virus et chevaux de Troie.
Voir Animation Types d’attaques d’un réseau
Attaques de reconnaissance Les attaques de reconnaissance peuvent avoir les formes suivantes : Demandes d’informations Internet Balayages ping Balayages de ports Analyseurs de paquets
Voir Animation Attaques de reconnaissance
L’écoute électronique Ce type d’écoute est communément appelé surveillance du trafic ou analyse des paquets. Les informations collectées par cette écoute peuvent servir à préparer d’autres attaques du réseau. Voici deux utilisations courantes de l’écoute électronique : la collecte d’informations par laquelle les intrus peuvent identifier des noms d’utilisateur, des mots de passe ou d’autres informations véhiculées par les paquets de données ; le vol de données qui peut survenir lorsque des données sont transmises sur le réseau interne ou externe. L’intrus peut également voler des données sur des ordinateurs mis en réseau en y accédant de manière illicite. Ils peuvent par exemple pénétrer ou mettre sur écoute les réseaux d’institutions financières pour récupérer des numéros de carte de crédit.
Neutraliser l’écoute électronique Voici trois des méthodes les plus efficaces permettant de neutraliser l’écoute électronique : Utilisation de commutateurs au lieu de concentrateurs pour éviter de diffuser le trafic à toutes les extrémités ou hôtes du réseau. Utilisation d’une méthode de chiffrement qui répond aux besoins de l’entreprise sans imposer une charge excessive pour les ressources du système et les utilisateurs. Établissement et mise en application de directives qui interdisent l’utilisation de protocoles susceptibles d’écoute électronique. Par exemple, comme le protocole SNMP version 3 peut chiffrer les identifiants de communautés, la version 1 peut être interdite et la version 3 autorisée.
Attaques d’accès Les attaques d’accès exploitent des vulnérabilités connues dans les services d’authentification, les services FTP et les services Web pour accéder à des comptes Web, à des bases de données confidentielles ou à toute autre information sensible.
Attaques d’accès : Attaques de mot de passe
Voir Animation Exploitation de la confiance
Attaques d’accès : Redirection de port
Attaques d’accès : Attaque de l’homme du milieu
Attaques DoS L’attaque par déni de service (DoS) est la forme d’attaque la plus répandue et aussi la plus difficile à éliminer. Dans la communauté des pirates, ce type d’attaque est même considéré comme trivial et est peu prisé, car son exécution demande peu d’efforts. Toutefois, la facilité de mise en œuvre des attaques DoS et leurs dégâts potentiellement très graves retiennent toute l’attention des administrateurs de la sécurité. Les attaques DoS peuvent prendre de nombreuses formes. Elles empêchent l’utilisation d’un service par les personnes autorisées en épuisant les ressources du système.
Attaques DoS
Attaques DoS : Ping fatal L’attaque par ping fatal était très répandue à la fin des années Elle profitait des vulnérabilités des anciens systèmes d’exploitation. Le pirate modifiait la partie IP de l’en-tête d’un paquet ping pour indiquer une quantité de données supérieure à la quantité réelle du paquet. Un paquet ping contient normalement de 64 à 84 octets, tandis qu’un ping fatal peut atteindre octets. L’envoi d’un ping de cette taille peut bloquer un ordinateur cible d’ancienne génération. La plupart des réseaux ne sont actuellement plus vulnérables à ce type d’attaque.
Attaques DoS : Inondation SYN
Attaques DoS Voici d’autres types d’attaques DoS : Bombes de courriels : programmes qui envoient du courriel en masse à des destinataires particuliers, à des listes ou des domaines, monopolisant ainsi les services de messagerie. Applet hostile : ces attaques sont des programmes Java, JavaScript ou ActiveX qui détruisent ou immobilisent les ressources d’un ordinateur.
Attaques DDos Les attaques par déni de service distribué (DDoS) sont conçues pour saturer les connexions réseau de données illégitimes. Ces données peuvent submerger une liaison Internet au point d’empêcher tout trafic légitime. Les attaques DDoS s’appuient sur des méthodes similaires aux attaques DoS, mais elles se déploient toutefois à une plus grande échelle. En général, des centaines ou des milliers de points d’attaque tentent de submerger une cible.
Attaques DDOS
Attaques DDOS : Attaque Smurf
Limitation des attaques DoS et DDoS Les attaques DoS et DDoS peuvent être limitées en mettant en place des listes de contrôle d’accès spéciales contre l’usurpation et le déni de service. Les FAI peuvent également mettre en œuvre une limitation du trafic non essentiel dans les segments de réseau. Un exemple typique consiste à limiter le trafic ICMP autorisé dans un réseau, étant donné que ce trafic n’est utilisé qu’à des fins de diagnostic.
Attaques de programmes malveillants
Les vers Les différentes phases de l’attaque d’un ver sont les suivantes : Activation de la vulnérabilité : un ver s’installe en exploitant les vulnérabilités connues d’un système, comme les utilisateurs naïfs qui exécutent sans vérification un fichier exécutable joint à un courriel. Mécanisme de propagation : l’accès à l’hôte étant acquis, le ver s’y reproduit, puis sélectionne d’autres cibles. Charge : une fois l’hôte infecté par un ver, l’assaillant peut y accéder, bien souvent en tant qu’utilisateur privilégié. Les assaillants peuvent utiliser une faille locale pour augmenter leur niveau de privilèges jusqu’à celui d’administrateur.
Lutter contre les vers La lutte contre les attaques de vers demande une certaine attention du personnel d’administration des systèmes et du réseau. Pour réagir efficacement en cas d’incident causé par un ver, il est important d’avoir bonne coordination entre les personnes responsables de l’administration des systèmes, de l’étude des réseaux et de l’administration de la sécurité. Voici les étapes recommandées pour limiter les attaques de vers : Confinement : limitez la diffusion du ver au sein du réseau, en cloisonnant les parties non infectées. Inoculation : commencez par appliquer les correctifs à tous les systèmes, si possible, en recherchant les systèmes vulnérables. Quarantaine : dépistez toutes les machines infectées au sein du réseau. Déconnectez, retirez ou bloquez les machines infectées du réseau. Traitement : nettoyez tous les systèmes infectés. Certains vers peuvent nécessiter une réinstallation complète du système pour le nettoyer.
Exercice 2 : Types d’attaques d’un réseau
Durcissement des périphériques À l’installation d’un nouveau système d’exploitation sur un ordinateur, les paramètres de sécurité sont définis à leur valeur par défaut. Dans la plupart des cas, le niveau de sécurité correspondant n’est pas suffisant. Voici quelques étapes simples qu’il convient d’effectuer sur la plupart des systèmes d’exploitation : Changement immédiat des noms d’utilisateur et des mots de passe par défaut. Accès aux ressources du système limité strictement aux personnes autorisées à utiliser ces ressources. Désactivation des services et applications qui ne sont pas nécessaires et désinstallation dans la mesure du possible.
Techniques générales d’atténuation de risques: Anti-virus Installer et mettre à jour régulièrement un anti-virus.
Techniques générales d’atténuation de risques: pare-feu Installer et activer un firewall personnel.
Correctifs du système d’exploitation Télécharger les mises à jour de sécurité du fournisseur du système d’exploitation et d’appliquer les correctifs aux systèmes vulnérables.
Détection des intrusions et méthodes de prévention Les systèmes de détection des intrusions (IDS) détectent les attaques contre un réseau et envoient des données de journalisation à une console de gestion. Les systèmes de protection contre les intrusions (IPS) empêchent les attaques contre le réseau et doivent être dotés des mécanismes de défense suivants en plus de la détection : Un mécanisme de prévention pour empêcher l’exécution de l’attaque détectée. Un mécanisme de réaction pour immuniser le système contre les attaques ultérieures provenant d’une source malveillante.
Cisco Security Agent
Appareils et applications de sécurité courants Dans la planification d’un réseau, la sécurité doit être la préoccupation principale. Dans le passé, le seul périphérique qui venait à l’esprit en matière de sécurité était le pare-feu. Un pare-feu n’est désormais plus suffisant pour sécuriser un réseau. Il est indispensable d’adopter une approche intégrant pare-feu, prévention contre les intrusions et réseau privé virtuel. Voici quelques périphériques qui apportent une solution de contrôle des menaces : les plateformes Cisco ASA de la gamme 5500 ; les routeurs à services intégrés (ISR) ; le contrôle d’accès au réseau (NAC) ; l’agent de sécurité Cisco pour ordinateurs de bureau ; les systèmes Cisco de prévention contre les intrusions.
Appareils et applications de sécurité courants
La roue de sécurité Les incidents de sécurité se produisent la plupart du temps lorsque les administrateurs système n’appliquent pas les contre- mesures disponibles et que des assaillants ou des employés mécontents exploitent ces omissions. Le problème n’est donc pas de confirmer qu’une vulnérabilité technique existe et de trouver une contre-mesure adéquate, mais bien de vérifier que cette contre-mesure est en place et qu’elle fonctionne convenablement. Pour garantir la conformité aux règles de la stratégie de sécurité, la roue de la sécurité s’est révélée une méthode efficace en tant que processus continu. La roue de la sécurité incite à tester et à appliquer de manière continue des mesures de sécurité mises à jour.
Roue de sécurité des réseaux
Objectifs de la roue de sécurité Le processus de cette roue de la sécurité commence par le développement d’une stratégie qui permet l’application de mesures de sécurité. Une stratégie de sécurité comprend les objectifs suivants : identifier les objectifs de sécurité de l’entreprise ; documenter les ressources à protéger ; identifier l’infrastructure réseau par des schémas et des inventaires à jour ; identifier les ressources vitales qui doivent être protégées, telles que les données de recherche et développement, les données financières et les données relatives aux ressources humaines. Il s’agit d’une analyse des risques.
Qu’est-ce qu’une stratégie de sécurité ? Une stratégie de sécurité est un ensemble de directives définies en vue de protéger le réseau de l’entreprise contre les attaques menées soit de l’intérieur, soit de l’extérieur. Pour établir une telle stratégie, il convient tout d’abord de se poser des questions. Comment le réseau permet-il à l’entreprise de réaliser sa vision, sa mission ou son plan stratégique ? Quelles sont les répercussions des exigences commerciales sur la sécurité du réseau et comment ces exigences se traduisent en termes d’achat d’équipements spécialisés et de configuration de ces équipements ?
Avantages d’une stratégie de sécurité Une stratégie de sécurité apporte les avantages suivants à l’entreprise : Elle fournit les moyens d’auditer la sécurité d’un réseau et de comparer les exigences de sécurité avec ce qui est en place. Elle permet de planifier des améliorations de sécurité, notamment en matière d’équipements, de logiciels et de procédures. Elle définit les rôles et responsabilités des cadres, des administrateurs et des utilisateurs. Elle définit les comportements autorisés et ceux qui ne le sont pas. Elle définit une procédure de traitement des incidents de sécurité. Elle permet la mise en œuvre et l’application d’une sécurité globale en tant que norme de sécurité entre des sites. Elle constitue la base d’actions en justice lorsque cela s’avère nécessaire.
Qu’est-ce qu’une stratégie de sécurité ? Une stratégie de sécurité est un document vivant, ce qui signifie qu’il n’est jamais terminé et qu’il est mis à jour continuellement suivant l’évolution des besoins en personnel et en technologie.
Fonctions d’une stratégie de sécurité Une stratégie de sécurité exhaustive remplit les fonctions essentielles suivantes : Elle protège les personnes et les informations. Elle définit les règles de comportement des utilisateurs, des administrateurs système, de la direction et du personnel de sécurité. Elle autorise le personnel de sécurité à surveiller et à effectuer des sondages et des enquêtes. Elle définit les conséquences des violations et les applique.
Eléments d’une stratégie de sécurité
Stratégie de sécurité d’une grande organisation Dans la stratégie de sécurité de certaines organisations, il peut s’avérer nécessaire d’ajouter d’autres éléments comme les suivants : Stratégie de demande d’accès et de compte. Stratégie d’évaluation des acquisitions. Stratégie d’audit. Stratégie sur les informations confidentielles. Stratégie relative aux mots de passe. Stratégie d’évaluation des risques. Stratégie globale sur les serveurs Web.
Options de stratégie de sécurité liés à la messagerie électronique Étant donné l’utilisation généralisée de la messagerie électronique, il peut s’avérer nécessaire de mettre en place des stratégies spécifiques concernant le courriel, comme les suivantes : Stratégie d’envoi automatisé : décrit les règles limitant l’envoi automatisé de courriels à des adresses externes sans l’approbation préalable de la direction. Stratégie de messagerie électronique : définit des normes sur le contenu des courriels afin d’éviter de ternir l’image de marque de l’entreprise. Stratégie sur le courrier indésirable : définit comment le courrier indésirable doit être signalé et traité.
Options de stratégie de sécurité liés à l’accès à distant Les stratégies d’accès à distance peuvent couvrir les aspects suivants : Stratégie d’accès des appels entrants : définit les règles d’accès des appels entrants et leur utilisation par le personnel autorisé. Stratégie d’accès à distance : définit les normes de connexion au réseau de l’entreprise à partir de tout hôte ou réseau externe. Stratégie de sécurité des réseaux privés virtuels : définit les critères de connexion de réseaux privés virtuels au réseau de l’entreprise.