::: Protection du réseau :::
Ce sont des opportunités pour s'ouvrir sur le monde, pour trouver l'information pertinente ou le partenaire attendu, pour présenter les produits et les services proposés par l'entreprise, pour acheter au meilleur prix.
Ce sont aussi des menaces directement liées à l'ouverture. La progression des attaques est en croissance exponentielle et celles-ci sont de plus en plus virulentes. Le nombre de machines infectées par le ver "slammer" en janvier 2003 doublait tous les 8,5 secondes pendant sa période de propagation. 200 000 serveurs ont été infectés et les activités de nombreuses sociétés ont été fortement perturbées.
La protection des réseaux est plus que jamais à l'ordre du jour.
A quoi cela sert ?
Dans l'article consacré aux risques, nous avons évoqué une typologie des principales attaques qui visent les systèmes d'information. Nombre de ces offensives utilisent le réseau comme support pour leurs attaques.
Chaque jour, les pirates représentent une menace croissante. Avec les millions de stations connectées à l'Internet, ils ont un champ d'action quasi illimité. Par ailleurs ils utilisent le réseau pour partager les connaissances. Une simple requête avec un moteur de recherche sur les mots "crack", "hack" ou "phreak" fait référence à des milliers de sites, dont beaucoup contiennent des programmes rédigés dans l'intention de nuire.
Les "sniffer de paquets" sont des applications logicielles qui utilisent une carte réseau dans un mode de fonctionnement qui envoie tous les paquets reçus sur la ligne physique vers une application chargée de leur analyse. Comme certains protocoles de réseau envoient leurs données en clair, un "sniffer de paquets" peut y découvrir des informations comme des identifiants d'utilisateurs et des mots de passe. Les applications supportées par ces protocoles ne sont généralement pas critiques mais les pirates s'appuient sur le fait que les utilisateurs n'ont généralement qu'un mot de passe pour tous leurs accès et que celui qui est ainsi capturé peut aussi servir pour accéder à des données beaucoup plus critiques. Cette approche des pirates est curieusement nommée "ingénierie sociale" car elle repose sur l'exploitation des faiblesses humaines.
L'attaque par usurpation d'adresse Internet ou spoofing consiste à imiter les conversations d'un ordinateur connu, crédité d'un bon capital de confiance. Le pirate cherche à se faire passer pour cet interlocuteur habituel en utilisant une adresse IP appartenant au réseau ou connue de lui en tant que correspondante régulière. Ce mode est souvent un point de départ pour d'autres types d'attaque.
Les attaques par déni de service sont les plus médiatisées et font partie des plus difficiles à contrer. Elles ne cherchent ni à obtenir un accès au réseau ni à récupérer les informations contenues sur les stations qui s'y rattachent. Elles ont pour seul objectif de rendre un service inaccessible en saturant une ressource et en paralysant le fonctionnement de l'infrastructure. En raison de leur facilité de mise en oeuvre et des dégâts potentiels importants qu'elles peuvent provoquer, ces attaques méritent une attention particulière.
Le réseau sert aussi de médium pour infecter les postes des utilisateurs finaux avec des virus et les attaques par cheval de Troie.
Un virus est un logiciel conçu pour exécuter une fonction indésirable sur un poste de travail.
Un cheval de Troie est conçu pour apparaître comme autre chose que ce qu'il est réellement. Il peut par exemple se présenter sous l'aspect d'un jeu. Il se transmet à tous les correspondants identifiés dans le carnet d'adresse de la victime. Lorsque ceux-ci reçoivent le jeu et le lancent, le phénomène se reproduit, entraînant ainsi une propagation exponentielle de la menace. La parade à ces attaques est le logiciel anti-virus.
Cette liste n'est pas limitative. Les pirates sont des individus très imaginatifs et il existe d'autres types d'attaque qu'il serait trop long de décrire dans cet article : attaques sur les mots de passe, attaque par le milieu, attaque sur la couche applicative, reconnaissance du réseau, exploitation de la confiance, redirection des ports, etc.
Dans l'article consacré aux risques nous avons identifié les quatre éléments sur lesquels repose la sécurité des systèmes d'information :
- La disponibilité des systèmes ;
- L'intégrité des données ;
- La confidentialité des données et l'authentification des utilisateurs ;
- La possibilité de contrôle et de preuve et la non-répudiation des transactions et des échanges.
Assurer la disponibilité des flux de données implique de disposer de capacités d'émission, de réception et de transfert. La disponibilité repose généralement sur une redondance des équipements et sur la mise en œuvre de fonctions de sauvegarde et de reprise.
Assurer l'intégrité des flux de données implique de s'assurer que les données reçues sont bien celles qui ont été transmises. Le contrôle peut être réalisé pendant l'échange, par la mise en œuvre de mécanismes prévus dans certains protocoles de transfert. Il convient aussi de s'assurer de l'intégrité des données reçues, stockées et utilisées. Des mécanismes de condensat (hash coding) sont alors nécessaires. Ils permettent de mémoriser un état donné et de vérifier que l'état actuel est toujours identique à l'état enregistré lors de la réception.
Assurer la confidentialité des flux de données implique de protéger les échanges d'information dont le détournement par des tiers porterait préjudice.
Le premier niveau consiste à installer des pare-feux aux frontières du réseau interne (Intranet) avec les réseaux externes voisins (Internet et Extranets construits avec les partenaires). Au même niveau interviennent les sondes de détection d'intrusion qui permettent d'écouter un réseau en vue de détecter des tentatives d'intrusions. Les serveurs proxys peuvent aussi participer à cette construction.
Un second niveau repose sur l'utilisation de Réseaux Privés Virtuels (RPV/VPN) qui offrent des solutions de cloisonnement grâce à l'utilisation de protocoles comme IPSec -voir article consacré aux RPV-.
Le troisième niveau est celui du chiffrement des données.
La protection de la confidentialité implique la détermination des droits et privilèges qui elle-même passe par un mécanisme d'identification et d'authentification des systèmes ou des individus placés aux extrémités de la ligne de communication. Le mécanisme peut être simple (identifiant et mot de passe) ou fort (idem + jeton).
Un des enjeux lié à l'authentification est celui de son unicité. L'utilisateur rejettera les règles de la politique de sécurité si elle le contraint en plus à mémoriser autant de procédures, de numéros de compte et de mots de passe qu'il y a d'applications. Une solution d'authentification unique (SSO pour Single Sign-On) est indispensable.
Garantir la preuve implique de ne pouvoir nier avoir émis ou reçu un flux effectivement transmis. Cette garantie repose sur des journaux, des accusés de réception, des mécanismes d'authentification et de signature (données chiffrées ajoutées à une information numérique pour authentifier son auteur) ainsi que sur des mécanismes d'horodatage (association d'un événement et d'une information sur l'instant de cet évènement). Elle introduit aussi la notion de tiers de confiance, version numérique du notaire qui enregistre et authentifie les actes.
La protection du réseau apparaît donc comme une composante essentielle de la stratégie de sécurité du système d'information.
A chacun de ces objectifs, face aux menaces recensées, sont associées diverses solutions techniques. Nous allons décrire quelques-unes de ces solutions, mais il ne faut pas oublier l'aspect humain (sensibilisation, information, formation, accompagnement) propre à toute politique de sécurité que nous avons évoqué dans l'article consacré aux risques.
Comment cela marche ?
Nous nous intéressons au fonctionnement de solutions techniques évoquées dans le paragraphe précédent.
Les pare-feux :
Les pare-feux (de l'anglais firewall) sont des dispositifs -logiciels le plus souvent- qui permettent de limiter, de filtrer, de séparer et d'analyser les entrées/sorties d'un réseau. Ils ont pour objectif de bloquer l'entrée sur un réseau interne lors d'une tentative d'attaque ou d'intrusion.
La fonction première d'un pare-feu est de faire appliquer les règles d'état de connexion et de réaliser un filtrage détaillé des sessions qui sont appelées à travers lui. Il utilise des filtres qui contrôlent les données qui transitent et peuvent agir au niveau de l'identité de l'émetteur ou du protocole concerné.
Illustrons par un exemple le fonctionnement d'un pare-feu :
Dans un petit réseau Poste à Poste (P2P) qui utilise un partage de connexion Internet, configuration courante dans les TPE, le pare-feu est activé sur le poste passerelle qui est connecté à l'Internet (via ADSL ou Numeris).
Lorsqu'un utilisateur du réseau envoie une requête vers un serveur web, celle-ci transite par la passerelle, donc par le pare-feu qui en garde trace en enregistrant 4 valeurs : l'adresse IP du demandeur, le port d'où provient la requête, l'adresse IP et le port de destination. Les données entrantes sont identifiées de la même manière. Si les caractéristiques de la donnée entrante ne correspondent pas à celles d'une réponse attendue à une requête dont le pare-feu a gardé la trace, elle est bloquée. Le pare-feu peut enregistrer dans un journal toutes les entrées non sollicitées.
Si le petit réseau considéré contient une machine qui doit pouvoir jouer le rôle d'un serveur FTP ouvert au public, il faut que l'administrateur paramètre l'inhibition du blocage pour cette machine et ce protocole (adresse IP et No de port).
L'action d'un pare-feu se définit donc sur différents points :
- Restriction des accès sur une entrée précise ;
- Restriction des sorties afin de limiter les émissions de données ;
- Arrêt des agressions destinées à affaiblir les défenses.
Une architecture de sécurité à base de pare-feux conduit à dissocier les notions de zone militarisée et de zone démilitarisée (MZ et DMZ). La DMZ est une zone tampon, sorte de no man's land construit autour des systèmes clefs du système d'information. Ceux-ci, par opposition, forment la MZ. Les zones sont séparées les unes des autres par des systèmes de pare-feux.
La DMZ va contenir les serveurs qui communiquent avec les zones présentant un niveau de confiance inférieur, par exemple Internet. Aucune donnée et aucun applicatif sensible ne sont stockés ou exécutés dans cette zone.
L'idée générale est de regrouper un maximum de fonctionnalités de contrôle d'accès en des points uniques, dit de contention, qui vont constituer les seuls points de passage obligés -donc plus faciles à contrôler- entre les différentes zones du système d'information (DZ, DMZ et extérieur).
Un pare-feu est indispensable mais il ne constitue pas une protection sans faille. Lorsqu'un cambrioleur fracture une porte blindée, il a tout loisir de visiter tranquillement le local si le propriétaire n'a pas prévu d'autres dispositifs de protection. Il en est de même pour les pare-feux qui deviennent plus perméables du fait de l'évolution des protocoles réseaux qui visent plus de souplesse mais de ce fait offrent plus facilement une porte d'accès aux trafics malveillants.
Les sondes de détection d'intrusion :
Les sondes de détection d'intrusion (en anglais IDS) écoutent le réseau et envoient des alarmes à une console d'administration dès qu'elle repère des flux jugés dangereux. Contrairement au pare-feu elles ne se contentent pas de détecter les attaques provenant de l'extérieur mais analysent aussi ce qui se passe sur le réseau local. Comme un antivirus, elles peuvent fonctionner avec des bases de signatures d'attaques connues ou analyser les comportements suspects. Elles ont le défaut de remonter une grande masse d'informations qu'il est parfois difficile de traiter.
Les proxys :
Les proxys n'interviennent dans la sécurité qu'indirectement. Leur fonction première est de jouer le rôle de mandataire pour un certain nombre de clients. Ceci signifie qu'ils émettent des requêtes pour le compte de tiers (d'autres stations qui de ce fait peuvent cacher leur identité -élément de leur vulnérabilité- à des observateurs extérieurs).
Les proxys les plus répandus sont les proxys HTTP qui présentent plusieurs avantages :
- ils permettent de centraliser les requêtes HTTP des clients. Il devient dès lors possible de tracer, de filtrer et même d'authentifier les accès ;
- ils ont une fonction de cache : si plusieurs clients demandent la même page HTML ils la chargent une première fois, puis la fournissent directement aux clients suivants. Ceci permet d'optimiser les flux Internet en économisant de la bande passante.
Les antivirus :
Les antivirus réseau ont pour objectif d'éradiquer les virus transitant entre les réseaux extérieurs et le réseau protégé. Ils permettent de construire une sécurité de type anti virale contre les menaces propagées par les réseaux externes. Les antivirus réseaux permettent de filtrer des flux applicatifs, c'est pourquoi les antivirus sont développés pour les programmes d'application qui peuvent contenir des virus. Les 3 types d'antivirus réseaux les plus répandus sont les antivirus de messagerie (SMTP), les antivirus Web (HTTP) et les antivirus pour le transfert de fichiers (FTP).
Les dispositifs de chiffrement :
Les logiciels de chiffrement ont pour vocation de rendre illisible le contenu de documents confidentiels pour tous ceux qui ne possèdent pas la clef de déchiffrement. Ceux qui possèdent cette clef déchiffrent le document. Ceux qui ne la possèdent pas et désirent -le plus souvent pour de mauvais motifs- en lire le contenu tentent de décrypter le document.
Une ou deux clés sont utilisées suivant le cas.
Avec un algorithme symétrique, une seule clef suffit.
Avec un algorithme asymétrique, chaque utilisateur dispose de deux clés (une publique et une privée). L'émetteur chiffre le document avec la clé publique de son correspondant. Cette clef est diffusée sans risque et peut se trouver sur un serveur de clés. Mais le destinataire ne peut déchiffrer le message qu'à l'aide de sa clé privée, qu'il garde secrète.
L'utilisation de tels programmes était autrefois illégale. Depuis 1999, le recours à des logiciels de chiffrement dans un cadre privé est autorisé en France si la longueur des clés n'excède pas 128 bits. Mais il faut savoir qu'en utilisant les périodes d'inutilisation des processeurs des machines connectées à Internet, le temps de calcul pour "craquer" les clefs de 128 bits a été réduit à quelques semaines dès 1999.
Deux décrets de 2002 autorisent toutefois les pouvoirs publics français à intercepter et décrypter ces messages.
Une technique plus subtile applique la méthode qu'Arsène Lupin a popularisée dans le "Bouchon de cristal".
Les logiciels de cryptographie produisent des documents illisibles, par conséquent susceptibles d'attirer l'attention.
Comment transmettre ou stocker des documents sensibles sans éveiller de soupçon à propos de leur valeur réelle ? Les logiciels de stéganographie dissimulent tout type de document confidentiel dans un second fichier qui reste parfaitement lisible et a de ce fait un aspect anodin (par exemple une image jpeg dans un fichier word ou un fichier wave dans un tableau Excel).
Le chiffrement des données est complexe à mettre en œuvre. Il nécessite des boitiers spécialisés et/ou des logiciels de chiffrement à toutes les extrémités du réseau, ainsi que des échanges de clefs. Ces échanges reposent sur une infrastructure technique et des procédures d'exploitation et d'administration qui permettent de délivrer et de stocker des certificats numériques de manière sécurisée (Infrastructure à clef publique ou PKI -Public Key Infrastructure-). Ces certificats permettent d'accéder aux clefs publiques.
Le chiffement est adapté à des cas particuliers comme la protection de données ultra-confidentielles ou de données transitant sur des réseaux non protégés (Internet, WIFI, GPRS, .).
Réseaux Privés Virtuels :
Les RPV et le protocole IPSec qui assure à la fois confidentialité, authentification et intégrité assurent un niveau de sécurité suffisant pour la plupart des transferts et des entreprises. Un article complet leur est consacré dans le thème "Réseaux d'entreprises".
Combien cela coûte ?
Rappelons les deux principes que nous avons énoncés dans l'article consacré aux risques :
- Il n'y a pas de limites aux dépenses à engager en matière de sécurité ;
- La vraie question est combien dépenser par rapport au risque encouru ?
Le coût d'un pare-feu est marginal.
Une solution VPN point à point coûte 1 000 euros par site (routeur ADSL avec back up RNIS, Fast Etherrnet, Firewall et RVSCOM Lite ainsi que licence VPN IPSec).
Une solution VPN multipoints impliquera une dépense de 1 500 euros pour le serveur (passerelle IPSec à 5 tunnels LAN to LAN ou 20 clients mobiles, Firewall, accès Internet via ADSL/RNIS, Gestion QoS, routage avancé, administration SNMP) et 1 000 euros par site (idem ci-dessus).
La mise en place d'un projet PKI peut coûter de 500 k€ (quelques centaines d'utilisateurs) à 10 000 K€ (plusieurs dizaines de milliers d'utilisateurs, services étendus, haute disponibilité, vente de certificats à des clients et partenaires externes). Les postes de coût d'un tel projet sont intéressants à analyser car ils permettent de lister des composants qui se retrouvent à plus ou moins grande échelle dans tout projet de déploiement d'une solution de sécurité.
|
Nature des coûts
|
Composant
|
|
Investissements
|
Etude préalable (Opportunité, Faisabilité, Scénarios, étude détaillée)
|
|
Définition des processus
|
|
Matériel (serveurs, supports pour le stockage des clefs privées et des certificats : Hardware Security Module, cartes à puces, jetons -token- sur port USB, …)
|
|
Logiciel spécialisé (Module d'enregistrement, Module de certification, Online Certificate Status Protocol OCSP, annuaire, horodatage)
|
|
Intégration
|
|
Sécurisation des locaux (sécurité physique)
|
|
Audit sécurité et certification
|
|
Pilote
|
|
Déploiement
|
|
Coûts exploitation
|
Maintenance (matériel + logiciel)
|
|
Exploitation informatique
|
|
licences logiciels
|
|
Renouvellement cartes et jetons
|
|
Back office (enregistrements, révocations, renouvellement)
|
|
Support utilisateurs
|
Rappelons enfin que la sécurisation des réseaux est une composante de la politique générale de sécurité des systèmes d'information qui pèse aujourd'hui de 5 à 8 % du budget informatique.
Comment font-ils ?
Les démarches liées à la sécurité des réseaux sont variables en fonction de la taille des organisations et des environnements techniques. Une politique de sécurité en matière de sécurisation des réseaux peut être :
- aussi simple que la définition d'un jeu de quelques règles acceptables par tous les utilisateurs des ressources du réseau ;
- ou aussi complexe qu'un document de plusieurs centaines de pages qui détaille chaque élément de connectivité et les modalités associées.
Voici un exemple de la politique la plus simple qui soit : la définition de quelques règles qui intéressent la sécurisation d'un environnement Microsoft Windows NT/200x pour une petite structure :
- Règle No 1 : Utiliser de préférence le système de fichiers NTFS. Il fournit des dispositifs de sécurité (mise en place de droits et de permissions selon les utilisateurs) alors que l'autre système (FAT) n'en n'offre pas.
- Règle No 2 : Dans l'hypothèse la plus courante d'un réseau uniquement TCP/IP, invalider Netbios pour ne plus utiliser d'applications relatives à ce protocole.
- Règle No 3 : Bloquer tous les ports non essentiels au protocole TCP/IP en entrée et en sortie. En particulier, les entrées et sorties UDP à ports 137, 138, et le port 139 de TCP. Ceci peut empêcher plusieurs types d'attaques.
- Règle No 4 : Le compte administrateur, ayant les droits les plus élevés, est systématiquement visé par les attaques. Diminuer les droits associés à ce compte et cacher le véritable administrateur sous un nom d'utilisateur commun.
- Règle No 5 : S'assurer que tous les dispositifs de sécurité ont été activés au plus haut niveau. Les utilisateurs doivent respecter des règles et définir des mots de passe de plus de 8 caractères.
- Règle No 6 : Examiner périodiquement les systèmes pour s'assurer de la fiabilité des comptes utilisateurs. Effacer ou invalider les comptes inutilisés. Utiliser des comptes provisoires pour être sûr de fixer une date d'échéance pour chaque compte.
- Règle No 7 : Définir les droits d'accès des utilisateurs selon un plan et des normes précises et configurer le système de sorte qu'il audite régulièrement les utilisateurs.
- Règle No 8 : Le compte d'invité est créé par défaut à chaque installation du système. Si le choix est fait de le conserver, vérifier régulièrement le nombre d'invités et contrôler les droits attribués (en cas de changement par un tiers indésirable). La meilleure solution consiste à désactiver ce compte et à créer soigneusement des comptes temporaires types.
- Règle No 9 : S'assurer que les utilisateurs ne laissent pas leurs postes de travail allumés et sans surveillance. Edicter que les économiseurs d'écran doivent être verrouillés en cas d'absence momentanée. Les utilisateurs doivent fermer leur session quand ils ne reviennent pas sur leur poste de travail.
- Règle No 10 : Préférer, pour les tâches simples, l'utilisation de scripts développés en interne à l'installation d'outils de provenances diverses sur les serveurs. On est au moins sûr de ce que l'on a créé. La fiabilité est inversement proportionnelle au nombre d'outils installés. Mais ne pas omettre d'installer certains outils incontournables qui vont faciliter le diagnostic et la maintenance du système. Un réseau sécurisé n'est pas seulement un réseau bien configuré, mais aussi un réseau bien entretenu.
- Règle No 11 : Eliminer les services inutiles. Il est fréquent de laisser des services inutiles sur un serveur alors que c'est souvent par le biais d'un service inactif que les attaques se faufilent.
Toutes ces actions engendrent des contraintes qui perturbent la facilité opérationnelle. Mais c'est le prix à payer et le redoutable dilemme de la sécurité : être un petit peu gêné chaque jour pour ne pas être gravement perturbé un jour ! Ces simples règles peuvent éviter une catastrophe mais il est plus évident de les énoncer que de les faire appliquer.
Comment cela va évoluer ?
En matière de défense des réseaux, l'évolution est guidée par trois facteurs :
- Le souci de réduire la vulnérabilité des réseaux actuels ;
- La réponse réactive à l'apparition de nouvelles menaces ;
- La prise en compte de nouvelles technologies réseaux.
En ce qui concerne le premier point, l'évolution va vers plus d'intelligence dédiée à la sécurité dans les équipements, en particulier dans les routeurs et les pare-feux.
Les routeurs ne jouent pas nominalement un rôle dans la sécurité, mais ils sont vulnérables et peuvent, à leur insu, devenir les meilleurs amis des pirates. Il faut les protéger plus efficacement pour réduire la probabilité que leur sécurité puisse être directement compromise en mettant en œuvre des fonctionnalités souvent sous-exploitées :
- Verrouillage de l'accès Telnet ;
- Verrouillage de l'accès SNMP (Simple Network Management Protocol) ;
- Contrôle de l'accès grâce à l'utilisation de certaines procédures ;
- Désactivation des services inutiles ;
- Ouverture de sessions avec des droits appropriés ;
- Authentification des updates de routage.
Des pare-feux intelligents, jouant le rôle de point de raccordement des tunnels IPSec des VPN de site à site, en combinaison avec des solutions d'intégration de type EAI, voire des architectures PKI, peuvent conduire à des architectures plus sécurisées, mais qui sont,il est vrai, plus complexes à gérer.
Les IDS évoluent elles-aussi en intégrant les fonctions de pare-feu : c'est le concept IPS (Intrusion Prevention System) qui présente les informations de manière plus facilement exploitables que leurs prédécesseurs.
En ce qui concerne le second point, les constructeurs et les intégrateurs proposent la mise en place d'architectures globales de sécurité atténuant les risques face à une menace nouvelle et favorisant la réactivité pour construire rapidement une défense. Ces architectures globales proposent (exemple de l'architecture SAFE de Cisco) :
- Sécurité et atténuation des attaques basées sur une politique ;
- Mise en oeuvre de la sécurité sur l'ensemble de l'infrastructure (et pas seulement sur des périphériques de sécurité spécialisés) ;
- Déploiement rentable,
- Gestion et reporting sécurisés ;
- Accès des utilisateurs et des administrateurs aux ressources critiques du réseau soumis à authentification et à autorisation ;
- Détection des intrusions pour les ressources critiques et les sous-réseaux.
Dans le contexte de l'évolution des technologies réseaux, du fait de la prépondérance du protocole IP, le fait le plus marquant est la passage d'IPV4 à IPV6.
Alors que la sécurité est optionnelle dans IPv4, elle est prévue de façon native dans IPv6.
En effet, les systèmes de sécurité d'IPv4 sont essentiellement des couches supplémentaires rapportées sur protocole de base comme Application Layer Security (PGP, Web of Trust) ou Transport Layer Security (SSH/SSL).
Sur IPv6, le souci de sécurisation est intégré dans le protocole qui autorise, grâce à son immense espace d'adressage, des adresses globales. Celles-ci permettent d'éviter le transit des informations par des niveaux intermédiaires qui présentent des failles : les transmissions de données sont sécurisées de bout en bout sans avoir nécessairement recours à des couches supplémentaires.
