Valid XHTML 1.0 Transitional CSS Valide !

La sécurité des réseaux


 Que faire pour améliorer la sécurité? L'essentiel 

  1. authentification des utilisateurs par login et mot de passe.
  2. suppression des informations confidentielles des machines reliées au réseau si elles n'ont pas besoin d'y être.
  3. protection physique des machines contenant des informations sensibles (locaux fermés à clé).
  4. contrôle pour l'accès aux informations sensibles, avec un login délivré uniquement pour ceux qui en ont besoin.
  5. mise en place d'une politique de sécurité en sensibilisant les utilisateurs aux problèmes de sécurité.
  6. utiliser la cryptographie.
  7. installation de logiciel anti-virus à jour sur chaque poste.
  8. organisation des sauvegardes des informations pour éviter les pertes.
  9. intallation sur le réseau d'un fire-wall (pare-feu, filtre) et d'un proxy (pour rendre les machines internes invisibles à l'extérieur). Ces 2 équipements s'installent juste après le routeur frontière qui est en contact avec l'extérieur.
  10. test du réseau pour en connaître sa vulnarabilité (logiciels SATAN) et donc mise en place des parades.
  11. installation d'un VPN (virual private network)  d'un réseau privé virtuel pour les liaisons à distance.

1. Généralité

1.1 Introduction
1.1.1. Qu’est ce que la sécurité ?

La sécurité sur un réseau consiste à s’assurer que celui qui modifie ou consulte des données du système en a l’autorisation et qu’il peut le faire correctement car le service est disponible.

1.1.2. Pourquoi les systèmes sont vulnérables ?
1.1.3. Pourquoi un système ne peut être sûr à 100% ?
1.1.4 Méthodes utilisées pour les attaques
Il peut être intéressant, pour se protéger des attaques, de se mettre à la place d'un hackeur, un attaquant, pour voir les parades à mettre en place. Attention à ne pas laisser de mots de passe enregistrés sur un navigateur. Pour Firefox, pour le vérifier, il faut aller dans outils, puis options, puis sécurité et cliquer sur "mots de passe enregistrès...". Il est préférable qu'il n'y ait pas d'infos.
1.1.5 Outils des attaquants
1.1.6 Principales technologies de défense
1.2 La sécurité par l'exemple

Pour bien comprendre les menaces qui pèsent sur un réseau, voici un exemple volontairement simple : le réseau d'une entreprise, comportant un routeur permettant l’accès à Internet.
Schéma informatique non sécurisé d'une entreprise
Ce routeur se trouve le réseau Interne, composé simplement d’un hub, reliant un serveur et des stations de travail. Sur ce serveur se trouve des informations sensibles qui pourraient intéresser l’espion d’une autre entreprise. On y trouve aussi des bases de données utilisées par plusieurs employés dans diverses applications, comme DIZANE et PINPA. PINPA est un commercial qui sillonne la France. Il peut se connecter au serveur de n’importe où grâce à Internet.
Le chapitre suivant va étudier comment adapter celui-ci afin de minimiser les risques.

1.3 Identifier les informations à protéger

Le serveur contient des informations sensibles : si personne ne consulte régulièrement ces informations, il n'y a aucune raison de les laisser sur le serveur connecté au réseau.
Une base de données est utilisée par plusieurs employés mais contient des informations confidentielles. Dans ce cas, le serveur doit garder ces informations. Il faudra mettre sur le serveur un sérieux contrôle d'accès pour assurer l'authentification des utilisateurs qui ont besoin de ces données. Les autres requêtes seront rejetées, même si elles proviennent d'employés de l'entreprise. Chaque ordinateur ne sera accessible qu'avec un login et un mot de passe.
Le serveur contient des informations confidentielles : il faut que le serveur soit physiquement protégé. Rien ne sert de sécuriser le réseau pour empêcher l'espionnage si quelqu'un peut s'emparer du disque dur !

1.3.1. Politique de sécurité

Une fois les informations sensibles repérées, il faut choisir une politique de sécurité. On se réunit pour échanger et se mettre d'accord sur la politique de sécurité : on définit ce qui est autorisé et ce qui est interdit. Les outils mis en place par la suite respecteront cette politique de sécurité, et devront même la refléter.

1.3.2. Sensibilisation des utilisateurs

Une politique de sécurité doit se faire avec les utilisateurs : ils doivent la comprendre et en respecter les règles. Par exemple, il est évident qu'ils ne doivent communiquer leur login et mot de passe à personne, pas même à leurs collègues. De même, il ne faut pas ouvrir les fichiers attachés au email venant de personnes inconnus ou dont le contenu est suspect.
Des notes d'informations devront sensibiliser les utilisateurs. Ces règles s'appliquent à tous, y compris à l'administrateur du réseau !

1.3.3. Les virus

Deux tiers des attaques se font par virus, chaque poste doit disposer d'un logiciel anti-virus mis à jour régulièrement.
Les virus se transmettent par disquettes, mais de plus en plus par mail. Les fichiers les plus susceptibles d'en contenir sont bien sûr les exécutables (.com, .exe), mais également tous les documents pouvant contenir des macros (Microsoft Office est un nid à virus ! Méfiez-vous surtout des macros Word).

Les PC sont sous Windows sont les plus fréquents donc les plus attaqués. Par contre les ordinateurs utilisant les système d'exploitation Linux, et, OS (Mac) sont moins utilisés donc moins attaqués.

1.3.4. Sécurité minimum
Voici ci-dessous le minimum en matière de sécurité. Cela ne coûte quasiment rien
1.3.5. Le problème des accès distants

Les données qui circulent sur Internet peuvent, à priori être vues de tous. Cela dit, il faut voir si quelqu'un irait jusqu'à écouter le réseau pour obtenir les informations manipulées par PINPA. Pour sécuriser la liaison, même en passant par Internet, il faut utiliser ce que l'on appelle un VPN, un virtual private network, ou réseau privé virtuel en français. Avec une telle liaison, les données sont chiffrées, et personne "à priori" ne peut les lire. Tout se passe exactement comme si PINPA était directement connecté à l'entreprise sans passer par Internet, d'où le nom de réseau privé virtuel.

1.3.6. Firewall et proxy

Afin d'éviter que des attaques puissent venir d'Internet par le routeur, il convient d'isoler le réseau interne de l'entreprise. La méthode la plus connue est le firewall et le serveur proxy, mais il n'y a pas que ça. Par exemple, sur les routeurs, il est possible de faire du filtrage de paquets (Logiciel sur un Routeur, qui laisse uniquement passer des paquets de données déterminés) ou de la translation d'adresse pour qu'une personne de l'extérieur ne puisse ni accéder, ni voir ce qu'il y a à l'intérieur.
Un firewall est une entité qui fait cette opération de filtrage. On va pouvoir analyser les données qui rentrent et les interdire si elles ne proviennent pas de quelqu'un de connu ou si elles ne répondent pas à une requête interne. Le firewall, placé à l'entrée du réseau, constitue ainsi un unique point d'accès par où chacun est obligé de passer.
Le serveur Proxy, lui, permet de faire le relais au niveau des applications pour rendre les machines internes invisibles à l'extérieur. Si personne à l'extérieur ne peut voir les machines internes, l'attaque est beaucoup plus difficile, car l'attaquant est aveugle ! N'oubliez quand même pas que 80% des attaques proviennent de l'intérieur du réseau et non de l'extérieur.

1.3.7. Logiciel de détection systématique d'erreurs

Les pirates utilisent des logiciels de test de la configuration pour repérer les failles du système qu'ils attaquent. Ces logiciels permettent de façon automatique de chercher les erreurs de configuration ou les vulnérabilités du système. Si vous les utilisez avant le pirate et que vous réparez ces failles, ce sera moins facile pour lui ! cf les logiciels SATAN. Exemple : un logiciel de scanner de port pour voir ceux qui sont ouverts

1.3.8. Système de détection d'intrusions

Une fois que tout cela est en place, si vraiment vous êtes paranoïaque, vous pouvez utiliser un logiciel de détection d'intrusions. Comme pour une alarme dans une maison, ce logiciel émet une alarme lorsqu'il détecte que quelqu'un de non autorisé est entré sur le réseau.
Après sécurisation, voilà le schéma du réseau de l'entreprise précitée. En tout cas, malgré tout ça, quelqu'un qui a décidé d'entrer...
Schéma informatique sécurisé de l'entreprise précédente
La redondance de l'information, c'est une politique de copie des fichiers est importante aussi.

Le schéma ci-dessous présente les 14 principales vulnérabilités en matière de sécurité.
Schéma des 14 principales vulnérabilités en matière de sécurité

Ci-dessous un schéma de zone démilitarisée
Schéma de zone démilitarisé



1.4 Les sites à connaitre
Introduction à la sécurité
Présentation de différentes techniques de piratage informatique
Insécurité du système d'information
Injection SQL Exemple
Attaque brute force, explication et parade
Injection SQL, explication et parade
Attaque MIM, man in the middle (intéressant car réutilise des notions vues dans les cours précédents : Protocole ARP

Cliquer ici pour retourner à la page d'accueil