Sécuriser le réseau local

La confidentialité, l'intégrité et la disponibilité des données

Définition

La disponibilité, l'intégrité et la confidentialité sont les trois piliers de la sécurité des données (concept DIC ou « CIA » pour Confidentiality, Integrity, Availability).

La disponibilité est importante pour garantir que les données soient accessibles lorsque les utilisateurs en ont besoin, afin qu'ils puissent fournir le travail nécessaire.

L'intégrité des données garantit que les données sont exactes et complètes. L'intégrité des données est importante pour garantir que les données soient exactes et complètes, afin qu'elles puissent être utilisées de manière fiable.

La confidentialité des données garantit que les données ne sont accessibles qu'aux personnes autorisées. La confidentialité des données est importante pour protéger les données. (Exemple : la vie privée des personnes.)

Présentation rapide des attaques courantes contre les réseaux locaux et des risques associés

Les réseaux locaux (LAN - Local Area Network) sont vulnérables à diverses attaques qui peuvent compromettre la sécurité des données et des systèmes.

Voici une présentation des attaques courantes contre les réseaux locaux et des risques associés :

Attaques par analyse de ports :

• Attaque : les attaquants analysent les ports ouverts sur le réseau pour identifier les services vulnérables.

• Risques : exploitation de failles de sécurité, accès non autorisé.

Exemple : l’outil nmap

Attaques par écoute (Sniffing) :

• Attaque : les attaquants écoutent le trafic réseau (LAN/WAN) pour intercepter des données sensibles non chiffrées, telles que des mots de passe ou des informations de carte de crédit. Ils injectent de faux paquets aussi et redirigent le trafic.

• Risques : vol d'informations confidentielles.

Exemple : l’outil wireshark.

Attaques par déni de service (DoS) / Déni de service distribué (DDoS) :

• Attaque : les attaquants inondent le réseau de trafic illégitime pour le saturer, provoquant un ralentissement ou une interruption des services.

• Risques : perte de disponibilité des services, perturbation des activités commerciales.

Exemple : « Ping de la mort » (Ping of death).

Attaques par hameçonnage (Phishing) :

• Attaque : les attaquants envoient des courriels ou créent des sites Web falsifiés pour inciter les utilisateurs à divulguer des informations sensibles, telles que des mots de passe ou des informations de carte de crédit.

• Risques : vol d'informations confidentielles, usurpation d'identité.

Exemple : 2014, hameçonnage de Sony Pictures Entertainment.

Attaques par infection malveillante (Malware/Ransomware) :

• Attaque : des logiciels malveillants, tels que virus, vers et chevaux de Troie, sont introduits dans le réseau via des fichiers ou des téléchargements infectés (sur sites web ou pièce jointe en courriel).

• Risques : vol de données, dommages aux systèmes, exploitation des ressources du réseau.

Exemple : attaque de DarkSide contre la Colonial Pipeline Company.

Attaques par ingénierie sociale :

• Attaque : les attaquants manipulent les utilisateurs (établir un lien de confiance) pour obtenir des informations sensibles en se faisant passer pour des collègues de travail ou des responsables informatiques.

• Risques : divulgation d'informations confidentielles, accès non autorisés aux systèmes.

Exemple : Kevin Mitnick et le « puits de mots de passe » (1995).

Attaques par Injection SQL :

• Attaque : les attaquants injectent du code SQL malveillant dans les requêtes de base de données ou formulaire pour accéder à des données sensibles.

• Risques : vol de données, altération des bases de données.

Exemple : Heartland Payment Systems (2008).

D’autres attaques existent (ARP poisoning, DNS poisonning, MITM, etc.), ce qui amène à mettre en place des mesures de sécurité telles que des pare-feux, des systèmes de détection d'intrusion (IDS), des mises à jour régulières, une éducation à la sécurité et des politiques d'accès pour protéger les réseaux locaux contre ces attaques et les risques associés. La surveillance continue et la réponse aux incidents sont également cruciales pour minimiser les impacts potentiels de ces menaces.

Concepts de défense en profondeur, de segmentation du réseau et de politique de sécurité

Définition

Défense en profondeur : la défense en profondeur est une approche de la sécurité informatique qui consiste à mettre en place plusieurs couches de sécurité pour protéger un système ou un réseau. Chaque couche de sécurité est conçue pour détecter les menaces, les prévenir et y réagir. Cette approche reconnaît que même si une couche de sécurité est compromise, d'autres couches peuvent encore fournir une protection. Les éléments de la défense en profondeur comprennent les antivirus, les pare-feux, les systèmes de détection d'intrusion, la sensibilisation et la formation, etc.

Segmentation du réseau : la segmentation du réseau consiste à diviser un réseau informatique en sous-réseaux plus petits ou en zones isolées, souvent appelées segments. Chaque segment peut avoir ses propres règles de sécurité et de contrôle d'accès. Cette approche limite la propagation des menaces au sein du réseau, de sorte qu'une compromission dans un segment n'affecte pas nécessairement les autres. La segmentation peut être réalisée par des pare-feux, des commutateurs virtuels, des VLAN (Virtual Local Area Networks), et d'autres technologies de réseau.

Politique de sécurité : c’est un document qui recense un ensemble de directives, de règles et de pratiques définies par une organisation pour protéger son patrimoine informatique. Cette politique définit les normes de sécurité, les procédures à suivre en cas d'incident, les exigences en matière de mots de passe, l'accès aux ressources sensibles, la gestion des correctifs, etc. Une politique de sécurité est conçue pour aider à prévenir les violations de sécurité, à garantir la conformité aux réglementations et à assurer la protection des informations confidentielles. Elle doit être appliquée et le document doit être disponible à la consultation pour qui de droit.

En associant la défense en profondeur, la segmentation du réseau et une politique de sécurité robuste, les entreprises peuvent réduire les risques de compromission de leur système d’information.

Présentation des mesures de sécurité couramment utilisées pour protéger le réseau local

VLAN pour Virtual Local Area Network (Réseaux locaux virtuels) permet de segmenter et d'isoler logiquement un ou plusieurs réseaux locaux physiques en plusieurs domaines de diffusion. Cela crée, pour chaque VLAN (identifié par un numéro (0 à 4 095) et un nom), un réseau informatique logique indépendant.

On retrouve 5 niveaux de VLAN :

• VLAN de niveau 1 (le plus utilisé) : on affecte un VLAN sur un port physique.

• VLAN de niveau 2 : on affecte un VLAN en fonction d’une adresse MAC.

• VLAN de niveau 3 : on affecte un VLAN en fonction d’une adresse IP.

• VLAN de niveau 4 : on affecte un VLAN en fonction d’un protocole.

• VLAN de niveau 5 : on affecte un VLAN en fonction d’un type de périphérique (cf. Vendor ID).

Les pare-feux sont sous forme de dispositifs matériels autonomes (boîtiers) ou sous forme de logiciels exécutés (incluant appliances) sur des systèmes d'exploitation.

Il existe deux principaux types de pare-feux : les pare-feux de niveau 3 et les pare-feux de niveau 4 :

• Les pare-feux de niveau 3 filtrent le trafic en fonction de l'adresse IP source et de l'adresse IP de destination. Ils peuvent également filtrer le trafic en fonction du port utilisé. Ils sont soit sans état (Stateless) ou à état (Statefull → surveillent l'état des connexions réseau et tiennent compte de l'état actuel de la session lors de la prise de décision pour autoriser ou bloquer le trafic, permettent le suivi des connexions actives et garantissent que seules les connexions légitimes sont autorisées).

• Les pare-feux de niveau 4 filtrent le trafic en fonction des protocoles réseau utilisés, tels que HTTP, HTTPS ou FTP et bien d’autres. Ils peuvent également filtrer le trafic en fonction des données contenues dans les paquets. Ce sont les pare-feux nouvelle génération (avec des fonctionnalités avancées telles que l'inspection des paquets à un niveau plus profond, la détection d'intrusion, le filtrage d'URL, la prévention des menaces avancées). Certains NGFW opèrent au niveau de la couche 7 - Applications du modèle OSI (examiner le contenu des paquets pour identifier et bloquer des applications ou services spécifiques). Ils sont utiles pour contrôler l'accès aux applications cloud et aux services web. Exemple : Web Applications Firewall (WAF).

Une liste de contrôle d'accès (ACL) est un ensemble de règles ou d'instructions qui définissent quelles actions sont autorisées ou refusées pour des utilisateurs ou des systèmes spécifiques sur un réseau ou un système informatique. Les ACL sont utilisées pour contrôler l'accès aux ressources réseau, aux fichiers, aux dossiers, aux services et à d'autres éléments, en spécifiant qui peut effectuer quelles opérations (standard ou avancée).

Dans les ACL réseau :

• ACL de routeur : utilisées dans les routeurs pour déterminer quel trafic est autorisé ou bloqué en fonction des adresses IP source et de destination, des ports, des protocoles, etc.

• ACL de pare-feu : définissent les règles de sécurité pour contrôler le trafic entrant et sortant d'un réseau, en spécifiant quelles connexions sont autorisées ou bloquées.

Les systèmes de détection d'intrusions (IDS) surveillent en continu le trafic réseau, les systèmes et les applications pour détecter les activités suspectes ou malveillantes. Ils génèrent des alertes lorsqu'ils identifient des modèles de comportement inhabituels ou des signatures correspondant à des attaques connues.

Les systèmes de prévention des intrusions (IPS) surveillent le trafic réseau à la recherche d'activités malveillantes. Les IPS sont capables de bloquer automatiquement le trafic suspect ou malveillant pour prévenir les attaques en temps réels, contrairement aux Systèmes de détection d'intrusions (IDS).

Focus sur les VLAN

MéthodeCréation de VLAN

Créer un VLAN (Création du VLAN 10, du VLAN 20 et du VLAN 30 )

CTRL+C pour copier, CTRL+V pour coller

Switch>enable

Switch#configure terminal

Switch(config)#VLAN 10

Switch(config-VLAN)#name Service1

Switch(config-VLAN)#exit

CTRL+C pour copier, CTRL+V pour coller

Switch>enable

Switch#configure terminal

Switch(config)#VLAN 20

Switch(config-VLAN)#name Service2

Switch(config-VLAN)#exit

Switch>enable

Switch#configure terminal

Switch(config)#VLAN 30

Switch(config-VLAN)#name Service3

Switch(config-VLAN)#exit

Associer un VLAN à une interface (associer le VLAN 10 à une interface et le VLAN 20 à une autre et le VLAN 30 à une autre)

Switch>enable

Switch#configure terminal

Switch(config)#interface gigabitEthernet 0/1

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access VLAN 10

Switch(config-if)#exit

Switch>enable

Switch#configure terminal

Switch(config)#interface gigabitEthernet 0/2

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access VLAN 20

Switch(config-if)#exit

Switch>enable

Switch#configure terminal

Switch(config)#interface gigabitEthernet 0/3

Switch(config-if)#switchport mode access

Switch(config-if)#exit

Afficher la table des VLAN et les ports associés aux VLAN

CTRL+C pour copier, CTRL+V pour coller

Switch>enable

Switch#show VLAN

Création des VLANS sur le commutateur et Affectation des vlan par port (Niveau 1)

Conseil

Des informations supplémentaires sont consultables sur cette RFC 2 674 (ietf).