Chapitre III Etude des différentes stratégies de sécurité 19 Introduction Un simple inter-réseau d’organisations éducatives et gouvernementales strictement contrôlées et sécurisé, l’internet a évolué pour devenir un moyen de transmission de communications professionnelles et personnelles largement accessible. L’évolution importante et rapide de secteurs des communications renforce le besoin d’intégrer la sécurité à l’architecture du réseau. C’est pourquoi des efforts considérables sont consacrés à ce secteur de recherche et de développement. Dans se sens s’inscrit ce chapitre dans le quelle on va représenter les différents moyennes appliquer pour atteindre notre but grâce à l’application d’une politique de sécurité adaptée à nos besoins et mise en œuvre par divers matériels I. Déterminer les besoins en sécurité Les principaux buts de l’ingénierie de sécurité sont : Minimiser l’impact d’attaque Minimiser le temps de réaction Maximiser le rapport bénéfice-cout La stabilité de l’entreprise est obtenu par : Disposer d’un système d’information sécurisé. Se prémunir des attaques. Protéger la confidentialité de vos données. Contrôler les entrants sur le réseau. Assurer la stabilité du business. La mise en œuvre d'une politique de sécurité permet de définir des besoins en termes de sécurité. La phase de définition comporte les deux étapes suivantes : 1. L’identification des besoins La phase d'identification des besoins consiste à faire un recensement concernant les éléments suivants : Les matériels et leur rôle Les employés et leurs fonctions Le type et la cartographie du réseau (plan d'adressage, topologie physique et logique, etc.) ; La liste des noms de domaine de l'entreprise L’infrastructure de communication (commutateurs, routeurs, etc.) Les données sensibles. 2. L’analyse des risques Cette étape consiste à définir les différents risques possibles qui peuvent accéder sur le réseau, à estimer leur probabilité, à définir leur impact et enfin à déterminer les coûts de réaction et de perte. 20 Cette analyse ne pet réaliser correctement si seulement si on à le model d’impact pour identifier les pertes et les bénéfices de réaction, ce que nous permet de dresser un tableau des risques, en leur attribuant à chaque risque un niveau par rapport au autre risque suivant l’importante de l’impact. Pour mettre en place ces solutions, il existe trois types de procédures : • Le mode proactif, qui consiste à vérifier régulièrement la solution mise en œuvre (mises à jour des anti-virus pour les équipements, revalidation des règles de sécurité). • La supervision (24h/24, 7j/7), qui assure une gestion en temps réel des dysfonctionnements des éléments de votre sécurité. • Le mode réactif, qui vise à mettre en place toutes les procédures et ressources nécessaires à la résolution rapide des incidents. [15] II. Les solutions mises en œuvre sur le réseau La sécurité informatique consiste à sécuriser le contenu on protégeant les informations contenues dans les paquets transmis sur le réseau ainsi que les informations stockées sur des périphériques reliés au réseau. 1. Développement d’une stratégie de sécurité a- Définition de stratégie de sécurité La première étape qu’une entreprise devrait faire pour se prémunir et protéger ses données contre les risques consiste à développer une stratégie de sécurité. Une stratégie est un ensemble de principes et de règles qui guident les prises de décision et permettent aux dirigeants d’une organisation de déléguer l’autorité en toute confiance comme en peut la définir comme une déclaration formelle des règles qui doivent être respectées par les personnes qui ont accès aux ressources technologiques et aux données vitales de l’entreprise. Une stratégie de sécurité peut se présenter comme de simples règles du bon usage des ressources du réseau ou, à l’inverse, comprendre des centaines de pages et détailler chaque élément de connectivité et les règles correspondantes. [4] b- les avantages de la stratégie de sécurité Une stratégie de sécurité apporte les avantages suivants à l’entreprise : Elle fournit les moyens d’auditer la sécurité d’un réseau et de comparer les exigences de sécurité avec ce qui est en place. Elle présente la base d’actions en justice lorsque cela s’avère nécessaire Elle permet de planifier des améliorations de sécurité, notamment en matière d’équipements, de logiciels et de procédures. Elle définit les rôles et responsabilités des utilisateurs, des administrateurs et des cadres. Elle définit les comportements des actions autorisés et ceux qui sont interdite. Elle définit une procédure de traitement des incidents de sécurité. Elle permet la mise en œuvre et l’application d’une sécurité globale en tant que norme de sécurité entre des sites. c- les fonctions de cette stratégie Une stratégie de sécurité exhaustive remplit les fonctions essentielles suivantes : 21 Elle protège les personnes et les informations. Elle définit les règles de comportement des utilisateurs, des administrateurs système, de la direction et du personnel de sécurité. Elle autorise le personnel de sécurité à surveiller et à effectuer des sondages et des enquêtes. Elle définit les conséquences des violations et les applique. C’est pourquoi les entités en charge des services de sécurité de Tunisie Télécom proposent de consolider la sécurité de réseau, grâce à l’application d’une politique de sécurité adaptée au besoin et mise en œuvre par divers matériels et des procédures. 2. Alimentation électrique Tous les équipements électriques d’un réseau dépendent bien évidemment du courant électrique. Toute chute ou perturbation du réseau électrique se répercutera inévitablement sur le réseau informatique (crash disques, arrêts des serveurs et des services, perte de données etc..) en entraînant parfois des dégâts matériels très lourds et irréversibles. Pour éviter ce genre de désagrément l’entreprise peut recourir à : a. Onduleur professionnel : équipé de batteries il assurera une continuité de l’alimentation pour un délai respectable, jusqu’à ce que l’alimentation secteur soit de nouveau opérationnelle. Dans le cas ou le courant tarderait à revenir il permettra de sauvegarder les travaux en cours et d’éteindre proprement les machines. [3] b. Groupe électrogène : solution préférable en entreprise, le groupe électrogène prendra automatiquement le relais en cas de coupure électrique. Son autonomie n’est pas limitée comme l’onduleur puisqu’il produit de l’électricité mécaniquement grâce. [3] 3. Principe de topologies redondantes La redondance de couche 2 améliore la disponibilité du réseau grâce à la mise en place de chemins alternatifs via l’ajout d’équipements et de câbles. Si les données ont la possibilité d’emprunter plusieurs chemins pour traverser le réseau, un chemin peut être coupée sans aucune incidence sur la connectivité des périphériques du réseau. Fig 3.1 : Principe de topologies redondantes 22 Le protocole STP (Spanning Tree Protocol) est activé sur tous les commutateurs : Lorsqu’il existe plusieurs chemins entre deux périphériques du réseau et que le protocole STP a été désactivé sur ces commutateurs, une boucle de couche 2 peut se former. Si le protocole STP est activé sur ces commutateurs (paramètre par défaut), aucune boucle de couche 2 ne se forme. Ce principe permet d’éliminer les risques de pannes du réseau provoquées par un composant unique et d’améliorer la fiabilité des réseaux. Mais ce redondance prouve des novelles problèmes tel que : - Trames de monodiffusion en double Tempêtes de diffusion : Une tempête de diffusion se produit lorsque toute la bande passante disponible est consommée en raison du nombre trop élevé de trames de diffusion prises dans une boucle de couche 2 Par conséquent, ces problèmes provoquent rapidement la désactivation du réseau. Heureusement, les commutateurs sont capables de détecter les boucles dans un réseau. Le protocole STP élimine ces problèmes de boucle. 4. Le support Pour qu’un réseau soit fonctionnel, il faut interconnectés les périphériques de réseau. Les connexions est présenté sous deux forme : câblées ou sans fil mais dit au défaut multiple de sécurité de connexion sans fil par apport au celle câblées donc elle est plus préférable de utiliser un support câblées et pour cette connexion aussi on a plusieurs type des supports : le support à base de cuivre ; comme les câbles téléphoniques à paire torsadée, les câbles coaxiaux ou ce que l’on appelle des câbles à paires torsadées non blindées de catégorie 5 paire torsadée non blindée (UTP) qui conduit des signaux électriques ou support à base de fibre optique qui transporte des signaux lumineux et qui constituent une autre forme de support pour réseau, du au les avantages qui présente le support en fibre optique tel que sa capacité et aussi sa divers service moderne qui peut fournie et aussi c’est un support indétectable donc elle est plus préférable de utiliser que les autre type de support. [4] 5. les matérielle utiliser pour la sécurité de réseau Elle concerne essentiellement l’emplacement physique du matériel et des dispositifs réseau. 23 Fig 3.2 : la topologie de réseau sécurisé [7] a- Le routeur Puisque le réseau de notre entreprise set criée sur le réseau Internet (liaison spécialisée permanente), la société se voit attribuer une plage d'adresses IP publique uniques. La mise en place d'un routeur en frontal de ce point d'accès Internet permet de : - fournir un accès aux segments de réseau et aux sous-réseaux ; - annoncer les réseaux et filtrer les utilisateurs. Le routeur lit les informations: l’adresse IP : source et destination Protocole (TCP=6, UDP=17, ICMP=1) Port-Source, Port Destination En fonction de ces éléments, il peut décider de garder ou de dropper le paquet. Pour mettre en œuvre ce cloisonnement, il faut : 1. Découper notre réseau privé en domaines de sécurité 2. Déterminer les flux entre les différents domaines de notre réseau 3. Définir une politique de sécurité sur le flux de données 4. Appliquer ces règles de flux sur les équipements intérimaire de réseau (les commutateurs, les routeurs, ...) [7] Comme les routeurs sont des passerelles vers d’autres réseaux, ils constituent des cibles évidentes et sont soumis à une variété d’attaques. Parmi ces des différents problèmes de sécurité rencontrés on peut citer : - Un contrôle d’accès compromis peut révéler les détails de configuration du réseau et faciliter ainsi les attaques contre d’autres parties du réseau. - La performance réduire de tables de routage de routeurs, refuser des services de communication et exposer des données sensibles. 24 Un filtre de trafic mal configuré sur un routeur peut exposer les parties internes du réseau à des attaques, ce qui permet aux assaillants de passer plus facilement inaperçus. Donc La sécurisation des routeurs situés en périphérie du réseau est la première étape de la sécurisation. La sécurité des routeurs s’envisage en réfléchissant aux aspects suivants : - Sécurité physique est assuré par : les périphériques physiques utilisés pour la connexion au routeur doivent se trouver dans un local fermé à clé pour éviter que un périphérique non surveillé peut contenir des chevaux de Troie ou d’autres types de fichiers exécutables. - Mise à jour du logiciel IOS du routeur chaque fois et utilisez la version la plus stable qui correspond aux besoins de votre réseau. - Sauvegarde de la configuration du routeur et de son logiciel IOS, - Durcissement du routeur pour éliminer l’abus éventuel des ports et des services inutilisés : Les routeurs Cisco prennent en charge un grand nombre de services réseau aux couches 2, 3, 4 et 7. La première étape essentielle consiste à déterminer à quel "public" s'adresse un service donné, en subdivisant les ressources selon plusieurs catégories (interne à l'entreprise, externe à l'entreprise et anonyme, externe à l'entreprise et authentifié). Donc certains de ces services sont vulnérables et sont des processus automatiques et des paramètres prévus pour la prise en charge de configurations spéciales ou d’ancienne génération qui présentent des risques de sécurité et peut donc peut servir à des attaques du réseau. Certains de ces services peuvent être limités ou désactivés pour améliorer la sécurité sans toutefois dégrader le fonctionnement du routeur parmi ces services on peut citer : - Routage par la source IP : Fonction IP qui permet aux paquets de spécifier leurs propres routes. - Notification d’adresses IP inaccessibles : Le routeur signale explicitement les adresses IP incorrectes aux expéditeurs. - Fig 3.3 : sécurité par routeur b- Les VPN (Virtual Private Network) Internet est un support de communication public et donc très vulnérable concernant l’écoute et l’interception de données. Il devient donc essentiel de pouvoir établir un circuit sécurisé de bout en bout sur Internet afin de garantir la confidentialité des transmissions. Les VPN permettent de créer un tunnel sécurisé entre le client distant et le réseau local de l’entreprise grâce à un protocole de tunnelisation (tunneling) qui se chargera de crypter la communication de bout en bout. Réseau : Un réseau numérique de télécommunication Privée : Qui interconnecte les sites, réseaux locaux ou ordinateurs distants appartenant à un même organisme (et seulement ceux-ci) 25 Virtuel : Grace à des liaisons virtuelles qui s'appuient sur une infrastructure de communication sous-jacente Fig 3.4 : Schéma représentative d’un réseau VPN crié sur un réseau public Prenons le cas d’un travailleur itinérant. Celui-ci ne se trouvera pas dans l’enceinte de l’entreprise et donc aura besoin d’accéder à distance via Internet aux ressources locales de l’entreprise à laquelle il est affilié. Cependant On obtient donc un réseau virtuel car il relie deux réseaux "physiques" distants par un circuit sécurisé logique (tunnel) établit sur une liaison non fiable (Internet), et privé car les données peuvent être vues et décryptées que par les seuls les ordinateurs de part et d'autre du VPN et donc restent incompréhensibles pour tout ordinateurs ne faisant pas partie du VPN. Le client et serveur VPN sont tous les deux capables de chiffrer et déchiffrer les données de part et d’autre du tunnel donc on a deux types de Tunnels : Tunnel obligatoire : Node to Node, est crié au niveau de deux extrémités de tunnel. Tunnel volontaire : End to End, est crié au niveau des clients. Fig 3.5 : les différents types de tunnel Les principaux protocoles de tunnelisation sont situant sur les deux couches : Couche réseau : IPsec mis au point par l'IETF, permettant le transport des données chiffrées dans les réseaux IP. Couche liaison de donné : PPTP (Point-to-Point Tunneling Protocol) L2F (Layer Two Forwarding) L2TP (Layer Two Tunneling Protocol) : protocole de niveau 2 s’appuyant sur PPP mis au point par l'IETF pour rendre compatible PPTP et L2F. 26 c- Les pare-feux Qui permettent de contrôler la connexion entre l’entreprise et l’extérieur. Les pare-feux sont la principale réponse aux problèmes de confidentialité et d’attaques visant à pénétrer votre réseau ou votre système d’information. Ils sont généralement installés dans la zone où votre entreprise n’a aucun contrôle et où se passent généralement les attaques; c’est la zone de lien avec Internet. Les pare-feu peuvent filtrer les paquets selon différentes méthodes de filtrage : - - Filtrage simple: opère au niveau de la couche 3, analyse les paquets entrants et sortants. Filtrage dynamique: opère au niveau de la couche 3 (réseau) et de la couche 4 (transport) lui permettant de suivre entièrement les transactions de type client/serveur en gérant plus particulièrement les sessions. Filtrage applicatif: opère au niveau de la couche 7 (application) et est basée sur une connaissance des protocoles et des ports utilisés par les applications. [14] d- Les sondes de détection d’intrusion Qui ont un rôle majeur dans la reconnaissance d’attaques et dans la prévention de celles-ci. Ces sondes sont installées en amont des pare-feux et analysent tout le trafic entrant et sortant de votre réseau. Elles sont situées généralement sur le lieu d’échange entre l’entreprise et ses partenaires ou clients. [4] e- Les DMZ; différents serveurs en zones La gestion des droits d'accès sera facilitée par le regroupement des différents serveurs en zones "démilitarisées" (DMZ) : au sein d'une même zone se trouveront des serveurs accessibles par le même type de "public". Ce segment d’accès public est généralement appelé zone démilitarisée (DMZ). Il est nécessaire de choisir une topologie de réseau qui se prête à la sécurité et d'appliquer des principes d'isolation. En séparant le réseau en sous-réseaux, on pourra mieux gérer chacune des platesformes indépendamment. Il est donc nécessaire de créer un nouvel espace distinct du réseau public et du réseau interne, afin de ne pas mettre en péril la sécurité et de garantir la confidentialité des données. Les serveurs situés dans la DMZ seront renforcés en termes de sécurité : des authentifications et une gestion des droits plus forte, des mécanismes de surveillance comme les sondes d'intrusion, des fausses failles ("pots de miel") pour faire perdre leur temps aux pirates / hackers. Si un serveur de la DMZ (appelé aussi "bastion") tombe et que le pirate "écoute" le réseau, il ne pourra récupérer rien de confidentiel. Cette DMZ se construit autour d'une ou plusieurs infrastructures filtrantes qui possèdent au moins deux interfaces réseau. Les DMZ et les solutions filtrantes offrent un mécanisme de protection du réseau interne vis-à-vis des menaces externes tout en offrant des services à l'extérieur. Ainsi, toutes les DMZ ne sont pas forcément "visibles" du monde public. [7] Fig 3.6 : Fonctionnement de DMZ [7] 27 f- Les proxys et serveurs DNS et DHCP Un proxy (serveur proxy) est un serveur qui s’interpose entre le réseau local et Internet. Il est utilisé le plus souvent pour le Web (http) mais peut aussi être utilisé pour d’autre protocole. Le serveur Proxy sert d’intermédiaire ou relais, ainsi les machines clientes n’effectuent plus leurs requêtes directement sur le Web mais transmettent leur requête au serveur proxy. Une fois la requête reçue le serveur Proxy la transmet au serveur recherché par le client. Ce serveur envoie la réponse au serveur Proxy qui la transmet à son tour à la machine cliente. L’intérêt du serveur Proxy est qu’il pourra assurer différentes fonctions telles que les fonctions d’archivage, de cache, d’authentification et de filtrage : [14] Archivage : Le serveur Proxy garde une trace des sites visités par les utilisateurs dans un fichier de log en enregistrant automatiquement les requêtes des clients. Fonction de cache : La fonction de cache permet de garder en mémoire les pages web fréquemment visitées par les utilisateurs du réseau local cela pour accélérer le renvoie d’informations au client et pour économiser la bande passante vers Internet. Cependant le serveur Proxy s’assure de la validité des informations en comparant régulièrement les informations stockées en mémoire avec les données distantes. Authentification : Le serveur Proxy peut être utilisé pour authentifier les utilisateurs désirant accéder à des ressources externes à l’entreprise. L’utilisateur devra s’identifier à l’aide d’un login et d’un mot de passe. Fonction de filtrage : Le serveur Proxy peut aussi filtrer les requêtes des clients en fonction d’une liste de requêtes autorisées et/ou interdites. Si un client Web fait la requête d’un site non autorisé sur le serveur Proxy, le serveur Proxy ne pourra pas satisfaire la demande du client. On peut aussi mettre en place un filtrage de contenu avec une liste de mots clés. [14] 6. Les logiciels de sécurité a- Arrêt des services inutiles Les services utilisent souvent des ports leur permettant de communiquer vers l’extérieur. Ainsi plus il y a de services en exécution plus le nombre de ports ouvert sera important. A défaut d’être filtré par un pare-feu il se révélera utile de désactiver les services superflus. b- Le chiffrement de donnée (le cryptage et le décryptage) Le chiffrement garantir la protection des données susceptibles d’attaques, que ce soit sous forme de craquage de mots de passe, d’écoute électronique ou de manipulation. Le chiffrement des données sensibles garantit qu’une transmission susceptible d’être ni écoutée ni observée ni altérée. Une opération de déchiffrement est nécessaire lorsque les données chiffrées arrivent sur l’hôte de destination. On a deux méthodes de chiffrement de données ; [4] Cryptage symétrique : consiste à utiliser une clé pour le cryptage et une clé qui peut être déterminé a partir de clé de cryptage pour le décryptage ce type de cryptage caractériser par : La clé partager et sécuriser et l’algorithme connus L’avantage c’est la rapidité et facilité de l’implémentation. L’inconvénient c’est que le nombre des clés utiliser sont limité et la sécurité est partielle puisque la clé et partagé 28 Cryptage asymétrique : consiste à utiliser deux clés, une privé et l’autre publique, le principe de base consiste à crypté les données par la clé public de part de l’émetteur et le décrypté par la clé privée qui n’est connue que par la destination seule de part de ce dernier L’avantage : l’utilisation de clé privé permet de garantir la confidentialité et la sécurité de message L’inconvenant c’est que l’implémentation n’est pas rapide c- Configuration de sécurité des ports Cette opération est réaliser sur les ports de commutateur Fast Ethenet de sorte que le port accepte un nombre bien définit des périphériques, acquière les adresses MAC de ces périphériques de façon dynamique et bloque le trafic issu d’hôtes non valides en cas de violation. d- Principe de VLAN Les VLANs segmentent logiquement les réseaux commuté en se basant sur les fonctions, les groupes de projet, et non pas sur la base géographique ; un VLAN regroupe de port ou d’utilisateurs d’un même domaine de broadcaste et se groupement peut se reposer sur l’ID du port, une adresse MAC, un protocole ou nue application. Ces avantages : - minimiser le nombre des commutateurs utiliser donc au lieu donc au lieu de utiliser pour chaque VLAN un commutateur on utilise un seul commutateur. déplacement et ajout facile des hôtes sur le réseau changement facile de la configuration du réseau contrôle plus facile du trafic réseau amélioration de sécurité. On a deux types de VLAN : - VLAN statiques VLAN dynamiques Le routage entre réseaux locaux virtuels est le processus de routage de trafic entre différents VLAN, en utilisant un routeur dédié ou un commutateur multicouche. Le routage entre VLAN facilite la communication entre des périphériques isolés par des limites de VLAN. Lorsque le nombre de VLAN augmente sur un réseau, l’approche physique consistant à utiliser une interface de routeur par VLAN est vite entravée par les limitations matérielles physiques d’un routeur. Les routeurs disposent d’un nombre limité d’interfaces physiques qu’ils peuvent utiliser pour se connecter à différents VLAN. Les grands réseaux comportant de nombreux VLAN doivent utiliser l’agrégation de VLAN pour affecter plusieurs VLAN à une seule interface de routeur afin de respecter les contraintes matérielles des routeurs dédiés. Les sous-interfaces permettent à un routeur d’évoluer pour prendre en charge davantage de VLAN que ne l’autorisent les interfaces physiques. Le routage entre VLAN dans des environnements étendus comportant de nombreux VLAN peut généralement être mieux pris en charge en utilisant une seule interface physique avec de nombreuses sous-interfaces. 29 Concepts d’agrégation : est une connexion physique et logique entre deux commutateur ou un commutateur et un routeur par lesquels le trafic réseau est acheminé, elle permet d’étendre le VLAN à l’ensemble d’un réseau ce que permet de résout le problème de liaisons multiple et préserve les ports. On a donc deux types de port : - Port d’accès : ne peut appartenir qu’à un seul réseau local virtuel Port agrégé : appartient à tous les réseaux locaux virtuels. Le principe de l’agrégation : lorsque les trames Ethernet sont placées sur une agrégation, elles ont besoin d’information supplémentaires sur les VLAN auxquels elles appartiennent : encapsulation et étiquetage. La méthode la plus utiliser c’est la méthode d’identification 802.1 Q. Routage inter-VLAN : les VLAN on des adresses IP donc pour avoir connecté entre VLANs il faut utiliser un routeur. Sans agrégation pour acheminer le trafic entre les VLANs dans un environnement le routeur doit avoir une interface par VLAN donc l’agrégation permet de prendre en charge plusieurs VLANs en utilisant une seule interface physique mais plusieurs interface logiques Fig 3.7 : schéma représentatif de principe d’agrégation e- Un mot de passe fort Il est possible de limiter les attaques de mot de passe en apprenant aux utilisateurs à définir des mots de passe fort c’est l’élément le plus fondamental d’un contrôle d’accès sécurisé voici quelques méthodes recommandées pour assurer un mot de passe fort: Ne notez pas les mots de passe sur des bouts de papier conservés à des endroits visibles sur votre bureau ou sur votre moniteur. Évitez d’utiliser les mots d’un dictionnaire, des noms, des numéros de téléphone et des dates. Les mots de passe contenant des mots de dictionnaire sont vulnérables aux attaques par dictionnaire. Utilisez une combinaison de lettres, de chiffres et de symboles. Le mot de passe doit comprendre au moins une minuscule, une majuscule, un chiffre et un caractère spécial. Faites volontairement des fautes d’orthographe. 30 Composez de longs mots de passe. Il est recommandé d’utiliser au moins huit caractères. Vous pouvez appliquer la longueur minimale à l’aide d’une fonction disponible sur les routeurs Cisco IOS, qui est présentée plus loin dans ce chapitre. Changez les mots de passe aussi souvent que possible. Votre stratégie de sécurité doit définir le moment et la fréquence du changement des mots de passe. Le changement fréquent des mots de passe offre deux avantages : Cette méthode limite la période pendant laquelle un pirate peut casser un mot de passe La période d’exposition une fois le mot de passe compromis. [13] f- La Mise en œuvre du protocole SSH pour sécuriser l’accès administratif à distance Il n’est pas rare que l’on ait besoin d’accéder à distance en ligne de commande à des machines de son réseau donc un pirate pourrait écouter le réseau et intercepter les login et mot de passe administrateur du serveur que l’administrateur aurait tapé pour s’authentifier sur le serveur dont il veut prendre le contrôle a distance. Le pirate serait alors en mesure de se loguer avec les informations dérobées et ainsi avoir la main mise sur la machine distante. Pour pallier ce problème un protocole sécurisé offrant les mêmes possibilités que Telnet a vu le jour. SSH (Secure Shell) permet à un client de d’ouvrir une session interactive sur une machine distante de façon sécurisée en créant un tunnel sécurisé entre le client et le serveur grâce à un fort cryptage d'authentification, un fort chiffrage, et la protection d'intégrité (le mot de passe n’est pas envoyé en clair, à l’inverse d’une connexion Telnet). Le protocole SSH utilise le port TCP 22. [12] g- Authentification L’authentification a pour but de vérifier l’identité d’un utilisateur et de garantir à tout correspondant que son interlocuteur est bien celui qu’il croit être. Pour cela, on utilise de différentes technologies et méthodes d’authentification : - authentification par mot de passe - authentification par diverses cartes à puces, clés, ou certificats - authentification basée sur les caractères physiques propre à l’individu, biométrie (empreinte digitale, ADN, fon de rétine) L’authentification peut se faire au niveau de la couche réseau, transport, ou transmission. Voici quelques protocoles d’authentification les plus utilisés : Authentification PAP Mode d’authentification pour le protocole PPP, le protocole PAP (Password Authentification Protocol) est un protocole d’authentification par mot de passe. Ses caractéristiques sont les suivantes : - - Echange en deux étapes : envoie des informations d’authentification (username/password) acceptation ou refus de la connexion Protocole non sécurisé : Les informations d’authentification sont envoyées en clair sur le réseau. L’authentification PAP peut se faire en unidirectionnelle (seul le client est authentifié sur le serveur de compte), ou en bidirectionnelle (chacun des hôtes s’authentifie mutuellement). 31 Authentification CHAP Le protocole CHAP (Challenge Handshake Authentcation Protocol) est une méthode d’authentification plus évoluée que PAP. Celui-ci sécurise le processus d’authentification grâce à un chiffrement MD5 qui crypte l’authentification lors de son transit sur le réseau. 1. Le serveur d’authentification envoie un nombre aléatoire de 16 bits au client, et un compteur qui s’incrémente à chaque envoi ; 2. Grâce à l’algorithme MD5 la machine distante « hache » ce nombre, le compteur et le mot de passe et le renvoie sur le réseau ; 3. Le serveur d'authentification compare ensuite le résultat du hachage effectué par la machine distante avec le résultat du calcul effectué localement avec le mot de passe de l'utilisateur ; 4. S’il y a égalité entre les deux résultats alors l’authentification réussit, sinon elle échoue. Pour des raisons de clarté, on a représenté un seul sens d’authentification CHAP. En réalité, CHAP est bidirectionnelle et donc il faut répéter une fois de plus ce processus mais dans l’autre sens. Authentification EAP Le protocole EAP (Extensible Authentication Protocol) est utilisé pour l’authentification des utilisateurs pour les connexions Internet à distance (via modem RTC, câble, ou ADSL). Avec l’EAP l’authentification est bidirectionnelle : serveur authentifiant le client, le client authentifiant le serveur. EAP est utilisé par le protocole 802.1X pour définir la manière dont les messages d’identification sont échangés entre les différents éléments : - Client Commutateur Serveur d’identification EAP permet au client et au serveur d’authentification (serveur RADIUS par exemple) d’utiliser un protocole d’authentification commun pour s’identifier l’un et l’autre (EAP-MD5, EAPTLS, EA1PTTLS, EAP-PEAP,…). Tant que l’authentification n’est pas complète tout le trafic est bloqué, et seul le trafic EAP est autorisé. Une fois l’authentification effectuée, le réseau devient accessible. [8] h. Le logiciel antivirus Installez un logiciel antivirus sur les hôtes pour les protéger contre les virus connus. Les logiciels antivirus peuvent détecter la plupart des virus et des chevaux de Troie et les empêcher de se propager dans le réseau. Le logiciel antivirus peut procéder de deux manières différentes : Il analyse les fichiers, en comparant leurs contenus aux virus d’un dictionnaire de virus connus. Les virus détectés sont signalés selon la méthode définie par l’utilisateur. Il surveille les processus suspects sur un hôte susceptible d’être infecté. Cette surveillance comprend la saisie de données, la surveillance des ports et d’autres méthodes. 32 i. L’outil SDM; Security Device Manager C’est un outil Web de gestion des périphériques : Il est conçu pour configurer les fonctions de réseau local, de réseau étendu et de sécurité sur les routeurs doté du logiciel Cisco IOS. Il est préinstallé par défaut sur tous les nouveaux routeurs Cisco à services intégrés. Les fichiers SDM peuvent être installés sur le routeur, sur un PC ou les deux. Cisco SDM simplifie la configuration du routeur et de la sécurité grâce à plusieurs assistants intelligents qui permettent de configurer efficacement un réseau privé virtuel et les paramètres de parefeu du logiciel Cisco IOS. Cette possibilité permet aux administrateurs de déployer, de configurer et de surveiller rapidement et facilement des routeurs d’accès Cisco. Les assistants intelligents de Cisco SDM guident les utilisateurs étape par étape dans la configuration du routeur et de la sécurité, en configurant systématiquement les interfaces de réseau local et de réseau étendu, le pare-feu, le système de protection contre les intrusions et les réseaux privés virtuels. Les assistants intelligents de Cisco SDM détectent automatiquement les erreurs de configuration et proposent des corrections, telles que permettre le trafic DHCP au travers d’un pare-feu si l’interface de réseau étendu est adressée selon le protocole DHCP. L’aide en ligne de Cisco SDM contient des informations de base essentielles en plus d’instructions étape par étape pour aider les utilisateurs à entrer des données correctes. Outils pour utilisateurs avancés - ACL Éditeur « crypto map » pour VPN. Aperçu de l’interface CLI de Cisco IOS. [3] j. Détection des intrusions et méthodes de prévention (IDS) (IPS) Un logiciel antivirus est un système de détection d’intrusion IDS sur l’hôte permettent de détecter et d’empêcher l’installation d’utilitaires de redirection de port sur cet hôte par le pirate et de le limiter par l’utilisation de modèles de confiance appropriés. Les systèmes de détection des intrusions (IDS) détectent les attaques contre un réseau et envoient des données de journalisation à une console de gestion. Les systèmes de protection contre les intrusions (IPS) empêchent les attaques contre le réseau et doivent être dotés des mécanismes de défense suivants en plus de la détection : - Un mécanisme de prévention pour empêcher l’exécution de l’attaque détectée. Un mécanisme de réaction pour immuniser le système contre les attaques ultérieures provenant d’une source malveillante. Chacune de ces techniques peut s’appliquer au niveau du réseau ou des hôtes, ou encore aux deux niveaux pour une protection maximale. [3] k. Liste de contrôle d’accès Les attaques DoS et DDoS sont les deux formes d’attaque les plus répandue et aussi les plus difficile à éliminer peuvent être limitées en mettant en place des listes de contrôle d’accès spéciales contre l’usurpation et le déni de service. Une liste de contrôle d’accès est un ensemble séquentiel d’instructions d’autorisation ou de refus qui s’appliquent aux adresses ou aux protocoles de couche supérieure. Les listes de contrôle d’accès représentent un outil puissant pour contrôler le trafic entrant ou sortant d’un réseau. Vous pouvez configurer les listes de contrôle d’accès pour tous les protocoles réseau routés. [3] 33 Le filtrage des paquets, parfois appelé filtrage des paquets statique, contrôle l’accès à un réseau en analysant les paquets entrants et sortants, et en les transmettant ou en les arrêtant en fonction de critères prédéfinis. Un routeur filtre les paquets lors de leur transmission ou de leur refus conformément aux règles de filtrage. Lorsqu’un paquet accède à un routeur de filtrage, certaines informations de son en-tête sont extraites. Conformément aux règles de filtrage, le routeur décide alors si le paquet peut être transmis ou si au contraire il doit être rejeté. Le filtrage des paquets fonctionne sur la couche réseau du modèle OSI ou sur la couche Internet de TCP/IP. Un routeur de filtrage des paquets, en tant que périphérique de couche 3, se réfère aux règles pour déterminer s’il doit autoriser ou refuser le trafic en fonction des adresses IP source et de destination, du port source, du port de destination et du protocole des paquets. Ces règles sont définies en fonction des listes de contrôle d’accès. Rappelez-vous qu’une liste de contrôle d’accès est un ensemble séquentiel d’instructions d’autorisation ou de refus qui s’appliquent aux adresses IP ou aux protocoles de couche supérieure. Une ACL (Access Control List) est un ensemble d’instructions qui permettent de définir des règles d’accès et de filtrage au niveau d’un routeur. A l’aide d’une ACL on peut autoriser ou refuser des paquets IP en fonction de la source ou de la destination, autoriser ou refuser un ou plusieurs protocoles (http, ftp, telnet …), ou encore autoriser ou refuser en fonction du type de paquet (IP, udp, tcp, icmp …). Une ACL s’appliquera donc selon les critères suivants : a. adresse IP source adresse IP de destination protocole de communication port source port de destination Objectif : Les ACL ont pour objectif : Filtrage du trafic réseau Gestion du trafic et analyse de paquets particuliers (ex : éviter la propagation aléatoire des informations de mise à jour de routage d’un réseau particulier) Sécurisation du réseau Détermination du trafic autorisé ou bloqué au niveau des interfaces du routeur (ex : autorisation du smtp, blocage du telnet) Accroître les performances du réseau et limiter le trafic (détermination de trafic prioritaire). b. Principe de fonctionnement : Une ACL est appliqué à une interface du routeur en entrée/sortie. Le trafic qui passe par l’interface est analysé afin de déterminer si des conditions de l’ACL s’y trouvent. En fonction de cette vérification le routeur décide s’il doit acheminer ou bloquer le trafic. Une ACL est défini pour chaque protocole. 34 c. Les différents types d’ACL : ACL Standard : Permet d’accepter ou de refuser tout ou une partie d’un ensemble de protocoles. Est affectée à une interface. Utilise des spécifications d’adresses simplifiées. Utilise un numéro de 1à 99 ACL Etendue : Permet un filtrage plus fin et plus souple que les ACL standard. Permet d’accepter ou refuser un protocole précis. Filtre par rapport aux adresses d’origine, aux protocoles, et aux numéros de port. Plus de latence car filtrage plus fins du trafic. Utilise un numéro de 100 à 199. ACL Nommée : Permet d’utiliser des noms plutôt que des numéros pour désigner une ACL. Un nom unique par ACL nommée. Facilite la recherche des listes et plus facile à retenir. [11] Les règles de base qui doivent être respectées lors de l’implémentation des listes d’accès : Une liste d’accès par protocole et par direction. Les listes d’accès étendues doivent être appliquées le plus près possible de la source. Les listes d’accès standard doivent être appliquées le plus proche possible de la destination. Il existe un refus implicite « deny any » à la fin de toutes les listes de contrôle d’accès. Cela n’apparaît pas dans la liste de configuration. La condition de correspondance est examinée en premier. L’acceptation ou le refus est examiné UNIQUEMENT si la condition est vraie. Les instructions sont traitées et exécutées dans l’ordre descendant depuis le début jusqu’à la fin de la liste jusqu’à ce qu’une correspondance soit trouvée. Si aucune correspondance n’est détectée, le paquet est traité suivant l’opération par défaut. Ne travaillez jamais avec une liste d’accès qui est appliquée de manière active. La commande no access-list supprime toute la liste sur une interface. Il n’est pas possible d’ajouter et de supprimer des lignes spécifiques dans des listes d’accès numérotées. Une liste d’accès IP envoie un message ICMP d’hôte inaccessible à l’émetteur du paquet rejeté et élimine le paquet dans la corbeille prévue à cet effet. Soyez particulièrement attentif lorsque vous supprimez une liste d’accès. Si la liste d’accès est appliquée à une interface de production et que vous la supprimez, selon la version de l’IOS, une instruction deny any peut être appliquée par défaut à l’interface et tout le trafic peut être arrêté. Les filtres de sortie ne concernent pas le trafic généré par le routeur local. [10] l. Le Firewall : Un firewall ou pare-feu est un dispositif physique (matériel) ou logique (logiciel) permet de séparer deux niveau de sécurité et servant de système de protection pour les ordinateurs domestiques. Il est placé au niveau de port d’entrée au réseau, également servir d'interface entre un ou plusieurs réseaux d’entreprise, afin de contrôler et bloquer la circulation des données en analysant les informations contenues dans les flux de données et il permet ainsi de parer à certains types d'attaques tel que les virus, les vers ou les trojans ainsi que les tracer. D’un autre côté, un firewall permet de protéger le réseau contre la fuite non contrôlée d’informations vers l’extérieur. 35 Il existe 2 principales catégories de firewalls : Les firewalls personnels : ils sont installés directement sur l’ordinateur de l’utilisateur protégeant uniquement les stations de travail ou ordinateurs personnels. Les firewalls d’entreprise : ils sont placés entre le réseau Internet et le réseau d’entreprise afin de protéger ce dernier des différentes menaces d’Internet. Ils sont installés sur des machines dédiées. Fig 3.8 : sécurité de réseau par logiciel firewall Il est également utilisé pour plusieurs causes telles que par exemple la création de zones démilitarisées (DMZ) pour l’hébergement de serveurs publics, la fonction de routage et création des VPN. Un firewall fonctionne sur le principe du filtrage de paquets. Cette analyse de filtrage est réalisée au niveau de la couche réseau et la couche transport de model OSI, ce filtrage est assuré au niveau de l’en-tête des paquets échangés entre deux ordinateurs en considérant les éléments suivants : L'adresse IP de la machine émettrice et réceptrice. Numéro de port Type de protocole de couche transport utiliser (TCP=6, UDP=17, ICMP=1) Type de message ICMP Type de flag TCP (SYN, FIN, PSH, ACK,…) L’interface d’entrer et sortie Les avantages de firewall : simplicité et rapidité d’implémentations Les inconvénients : Authentification non fiable si elle est réalisée par l’adresse IP Refuse légitime de paquet si on a une fragmentation L’autorisation et le refus binaire : le contrôle ne prend pas en charge le type de service 36 Fig 3.9 : La différence enter firewall et routeur [9] Conclusion : Nous avons abordé dans ce chapitre une multitude de composants physiques ou logiques nécessaires au bon fonctionnement de notre entreprise. On doit s’assurer qu’aucun intrus ne puisse capturer les données traversant le réseau au moyen d’une écoute clandestine et que tous les systèmes vitaux offrent un haut degré de disponibilité. 37