Embed Size (px)
Citation preview
Développement d’une stratégie de sécurité
La première étape qu’une organisation devrait entreprendre pour se prémunir et protéger ses données contre les risques consiste à développer une stratégie de sécurité. Une stratégie est un ensemble de principes qui guident les prises de décision et permettent aux dirigeants d’une organisation de déléguer l’autorité en toute confiance.
Une stratégie de sécurité vise les buts suivants :
- informer les utilisateurs, le personnel et les responsables de leur obligation de protéger les données vitales et les ressources technologiques de l’entreprise ;
- spécifier les mécanismes permettant de respecter ces exigences ;
- fournir une base de référence à partir de laquelle acquérir, configurer et auditer les systèmes informatiques pour qu’ils soient conformes à la stratégie.
La norme ISO/CEI 27002 doit servir de base commune et de ligne directrice pratique pour élaborer les référentiels de sécurité de l’organisation et les pratiques efficaces de gestion de la sécurité. Ce document comprend les 12 sections suivantes :
- Évaluation des risques
- Stratégie de sécurité
- Organisation de la sécurité des informations
- Gestion des biens
- Sécurité liée aux ressources humaines
- Sécurité physique et environnementale
- Gestion opérationnelle et gestion des communications
- Contrôle d’accès
- Acquisition, développement et maintenance des systèmes d’information
- Gestion des incidents liés à la sécurité des informations
- Gestion de la continuité de l’activité
- Conformité
Une stratégie de sécurité apporte les avantages suivants à l’entreprise :
- Elle fournit les moyens d’auditer la sécurité d’un réseau et de comparer les exigences de sécurité avec ce qui est en place.
- Elle permet de planifier des améliorations de sécurité, notamment en matière d’équipements, de logiciels et de procédures.
- Elle définit les rôles et responsabilités des cadres, des administrateurs et des utilisateurs.
- Elle définit les comportements autorisés et ceux qui ne le sont pas.- Elle définit une procédure de traitement des incidents de sécurité.- Elle permet la mise en œuvre et l’application d’une sécurité globale en tant que norme
de sécurité entre des sites.- Elle constitue la base d’actions en justice lorsque cela s’avère nécessaire.
Une stratégie de sécurité exhaustive remplit les fonctions essentielles suivantes :
- Elle protège les personnes et les informations.
- Elle définit les règles de comportement des utilisateurs, des administrateurs système, de la direction et du personnel de sécurité.
- Elle autorise le personnel de sécurité à surveiller et à effectuer des sondages et des enquêtes.
- Elle définit les conséquences des violations et les applique.
Menaces non organisées
Ces menaces proviennent pour la plupart d’individus inexpérimentés qui utilisent des outils de piratage facilement accessibles comme des scripts d’interpréteur de commande et des casseurs
de mot de passe. Même si elles ne sont utilisées que pour tester l’habilité de l’assaillant, ces menaces peuvent causer de sérieux dommages aux réseaux. Par exemple, le piratage du site Web d’une entreprise peut nuire à la réputation de cette entreprise. Même si le site Web est séparé des informations privées protégées derrière un pare-feu, le public n’en est pas informé. Vu de l’extérieur, le site est donc considéré comme un environnement peu sûr pour des activités commerciales.
Menaces externes
Les menaces externes peuvent provenir d’individus ou d’organisations agissant depuis l’extérieur d’une entreprise et qui ne sont pas autorisés à accéder au réseau et aux ordinateurs de cette dernière. Ils arrivent à pénétrer dans un réseau à partir d’Internet ou de serveurs d’accès commuté. Les menaces externes peuvent présenter des degrés de gravité variables selon que l’assaillant est un amateur (non organisé) ou un expert (organisé).
D'Autres types de menaces existent (ex : Menace organisé...)
Voici quelques périphériques qui apportent une solution de contrôle des menaces :
- les plateformes Cisco ASA de la gamme 5500 ;- les routeurs à services intégrés (ISR) ;- le contrôle d’accès au réseau (NAC) ;- l’agent de sécurité Cisco pour ordinateurs de bureau ;- les systèmes Cisco de prévention contre les intrusions.
Sécurisation des communications :
sécurise les périphériques d’extrémité par des réseaux privés virtuels (VPN). Les routeurs Cisco ISR avec la solution Cisco IOS VPN, et les commutateurs Cisco 5500 ASA et Cisco Catalyst 6500 sont des périphériques qui permettent de déployer des réseaux privés virtuels.
Contrôle d’accès au réseau (NAC) : procure une méthode basée sur des rôles pour prévenir les accès non autorisés au réseau. Cisco propose un appareil NAC.
Logiciel Cisco IOS sur les routeurs Cisco à services intégrés (ISR)
Cisco fournit un grand nombre de mesures de sécurité aux clients. Le logiciel Cisco IOS intègre un pare-feu et les services IPsec, SSL VPN et IPS.
Plateformes Cisco ASA de la gamme 5500
Auparavant, le pare-feu PIX était le seul périphérique qui permettait de déployer un réseau
sécurisé. Le PIX a évolué depuis en une plateforme qui intègre un grand nombre de fonctions de sécurité et qui s’appelle Cisco ASA (Adaptive Security Appliance). La plateforme Cisco ASA intègre dans un seul appareil un pare-feu, ainsi que des services de sécurité vocale, SSL et VPN IPSec, IPS et un service de sécurité du contenu.
Capteurs Cisco IPS de la gamme 4200
Pour des réseaux de grande taille, les capteurs Cisco IPS de la gamme 4200 forment un système de prévention en ligne contre les intrusions. Le capteur identifie, catégorise et arrête le trafic malveillant du réseau.
Appareil Cisco NAC
L’appareil Cisco NAC utilise l’infrastructure du réseau pour faire respecter la stratégie de sécurité sur tous les périphériques qui tentent d’accéder aux ressources informatiques du réseau.
Sécurisation des routeurs Les routeurs remplissent les rôles suivants :
- annoncer les réseaux et filtrer les utilisateurs ;- fournir un accès aux segments de réseau et aux sous-réseaux.
Les routeurs sont des cibles
Comme les routeurs sont des passerelles vers d’autres réseaux, ils constituent des cibles évidentes et sont soumis à une variété d’attaques. Voici quelques exemples des différents problèmes de sécurité rencontrés :
- Un contrôle d’accès compromis peut révéler les détails de configuration du réseau et faciliter ainsi les attaques contre d’autres parties du réseau.
- Des tables de routage compromises peuvent réduire les performances, refuser des services de communication et exposer des données sensibles.
- Un filtre de trafic mal configuré sur un routeur peut exposer les parties internes du réseau à des attaques, ce qui permet aux assaillants de passer plus facilement inaperçus.
Les assaillants peuvent compromettre les routeurs de différentes manières, il n’existe donc pas de méthode unique permettant aux administrateurs de les combattre. Les différentes manières de compromettre un routeur sont similaires aux attaques exposées précédemment dans ce chapitre, notamment les attaques par exploitation de la confiance, la mystification d’adresse IP, le piratage de session et les attaques de l’homme du milieu.
La sécurité des routeurs s’envisage en réfléchissant aux aspects suivants :
- Sécurité physique- Mise à jour du logiciel IOS du routeur chaque fois qu’elle est conseillée- Sauvegarde de la configuration du routeur et de son logiciel IOS- Durcissement du routeur pour éliminer l’abus éventuel des ports et des services
inutilisés
Gestion de la sécurité des routeurs :
Chiffrer les mots de passes avec l’algorithme de type 7 : R1(config)# service password-encryption
Le chiffrement MD5 est une méthode de chiffrement forte. Elle doit être utilisée autant que possible. Cette méthode est définie par le mot clé password avec secret.
Base de donnée Local :Les noms d’utilisateur de la base de données locale doivent également être configurés à l’aide de la commande de configuration globale username nom_utilisateur secret mot_de_passe. Exemple :
R1(config)# username Student secret cisco
R1(config)# do show run | include username
username Student secret 5 $1$z245$lVSTJzuYgdQDJiacwP2Tv/
Remarque :
il se peut que certains processus ne soient pas capables d’utiliser des mots de passe chiffrés de type 5. Par exemple, les protocoles PAP et CHAP requièrent des mots de passe en texte normal et ne peuvent pas utiliser des mots de passe chiffrés avec l’algorithme MD5.
Les versions 12.3(1) et ultérieures du logiciel Cisco IOS autorisent les administrateurs à définir la longueur minimale en caractères de tous les mots de passe du routeur à l’aide de la commande de configuration globale security passwords min-length. Cette commande améliore la sécurité d’accès au routeur en permettant de spécifier une longueur minimale de mot de passe. Cela permet d’éliminer les mots de passe courants qui prédominent sur la plupart des routeurs, comme « lab » et « cisco ».
Une fois exécutée, cette commande affecte tous les nouveaux mots de passe définis, qu’il s’agisse de mots de passe utilisateur, enable, secret ou de ligne. La commande n’affecte pas les mots de passe existants du routeur.
Router À distanceIl est possible d’empêcher toute ouverture de session sur chaque ligne en configurant le routeur à l’aide des commandes login et no password. Il s’agit de la configuration par défaut pour les lignes VTY, mais pas pour les lignes TTY et le port auxiliaire.
Attention au Dos (pirate) qui pourrait utiliser toute les lignes :Pour réduire l’exposition à ce type de risque, il convient de configurer la dernière ligne VTY pour n’accepter que les connexions d’une station d’administration spécifique, les autres lignes VTY pouvant accepter des connexions à partir de n’importe quelle adresse du réseau de l’entreprise. Cette méthode garantit qu’au moins une ligne sera toujours disponible pour l’administrateur. Pour la mettre en œuvre, vous devez configurer des listes de contrôle d’accès avec la commande ip access-class sur la dernière ligne VTY.
Une autre tactique utile consiste à configurer des délais d’attente sur les lignes VTY à l’aide la commande exec-timeout. Vous évitez ainsi d’occuper indéfiniment une ligne VTY par une session inactive. Bien que l’efficacité de cette méthode soit relativement limitée contre les attaques délibérées, elle offre néanmoins une certaine protection dans le cas de sessions accidentellement inactives. De la même manière, l’activation du test d’activité TCP sur les
connexions entrantes, à l’aide de la commande service tcp-keepalives-in, peut faciliter la protection contre les attaques malveillantes ou contre les sessions orphelines causées par une panne du système distant.
Session distante
Pour activer le protocole SSH sur un routeur, vous devez définir les paramètres suivants :
- Nom d’hôte- Nom de domaine- Clés asymétriques- Authentification locale
Journalisation de l’activité du routeurLa configuration des journaux (Syslog) sur le routeur est une opération à effectuer avec précaution. Envoyez les journaux du routeur à un hôte de journalisation désigné. L’hôte de journalisation doit être connecté à un réseau de confiance ou à un réseau protégé, ou encore à une interface de routeur isolée et spécialisée. Durcissez l’hôte de journalisation en supprimant tous les services et comptes inutiles. Les routeurs prennent en charge différents niveaux de journalisation. La plage de 8 niveaux va de 0 (urgences indiquant que le système est instable) à 7 (messages de débogage reprenant toutes les données de routage).
Les journaux peuvent être transférés à différents emplacements, comme la mémoire du routeur ou un serveur Syslog spécialisé. La meilleure solution reste le serveur Syslog, étant donné que tous les périphériques réseau peuvent transférer leurs journaux à une station centrale où un administrateur peut les passer en revue. Kiwi Syslog Daemon est un exemple d’application du type serveur Syslog.
Envisagez également d’envoyer les journaux à un deuxième périphérique de stockage, par exemple un support en écriture seule ou une imprimante spécialisée, pour vous prémunir contre les pires scénarios, comme un hôte de journalisation compromis.
L’aspect le plus important est de ne pas oublier de passer régulièrement les journaux en revue. Leur vérification régulière vous permet d’acquérir le sens du bon fonctionnement de votre réseau. Une bonne compréhension du fonctionnement normal reflété dans les journaux vous aide à identifier les conditions anormales ou les attaques.
Un horodatage précis a aussi son importance dans la journalisation. L’horodatage vous permet de mieux suivre la trace des attaques du réseau. Tous les routeurs sont capables de maintenir l’heure de leur propre horloge, mais ce n’est généralement pas suffisant. Pour garantir la précision et la disponibilité des données horaires, il vaut mieux régler l’horloge du routeur à l’aide de deux serveurs de synchronisation fiables. Il peut s’avérer nécessaire de configurer un serveur NTP (Network Time Protocol) afin de disposer d’une source de synchronisation fiable pour les horloges de tous les périphériques. La configuration de cette option sort du cadre de ce cours.
Exemple :
R2(config)#service timestamps ?
debug Timestamp debug messages
log Timestamp log messages
<cr>
R2(config)#service timestamps
Services à désactiver
Autres protocols :
SNMP: Utiliser la version 3.
NTP (horologe hiérarchie avec routers) :
La désactivation de NTP sur une interface n’empêche pas le passage des messages NTP par le routeur. Pour rejeter tous les messages NTP sur une interface particulière, utilisez une liste d’accès.
DNS : Malheureusement, le protocole DNS de base n’offre aucune assurance d’authentification ou d’intégrité. Par défaut, les demandes d’adresse sont envoyées à l’adresse de diffusion 255.255.255.255.
Si un ou plusieurs serveurs de noms sont disponibles sur le réseau et qu’il est souhaitable d’utiliser des noms dans les commandes Cisco IOS, définissez explicitement les adresses de ces serveurs de noms à l’aide de la commande de configuration globale ip name-server
adresses. Dans le cas contraire, désactivez la résolution de noms DNS avec la commande no ip domain-lookup. Il est également conseillé d’affecter un nom au routeur avec la commande hostname. Le nom du routeur apparaît alors dans l’invite.
Authentification des protocoles de routage
Présentation de l’authentification des protocoles de routage
En tant qu’administrateur réseau, vous devez savoir que vos routeurs risquent de subir des attaques tout comme les systèmes des utilisateurs finaux. Au moyen d’un analyseur de paquets comme Wireshark, n’importe qui peut lire les informations qui se propagent entre les routeurs. En général, les systèmes de routage peuvent être attaqués de deux façons :
- Interruption entre homologues- Falsification des informations de routage
Les protocoles RIPv2, EIGRP, OSPF, IS-IS et BGP prennent tous en charge les différentes formes d’authentification MD5.
Pour sécuriser les mises à jour de RIPv2, procédez comme suit :
Étape 1. Empêcher la propagation des mises à jour de routage RIP.
Les mises à jour de routage ne doivent jamais être annoncées aux interfaces qui ne sont pas connectées à d’autres routeurs.
la commande passive-interface default désactive les annonces de routage sur toutes les interfaces, y compris l’interface S0/0/0. La commande no passive-interface s0/0/0 active l’envoi et la réception de mises à jour RIP sur l’interface S0/0/0.
Étape 2. Empêcher la réception non autorisée de mises à jour RIP.
Bien qu’il soit possible d’envisager des clés multiples, notre exemple n’en montre qu’une. « Key 1 » est configurée pour contenir une chaîne de caractères appelée cisco. Cette clé est similaire à un mot de passe et les routeurs qui échangent des clés d’authentification doivent être configurés avec la même chaîne de caractères de clé. L’interface S0/0/0 est configurée pour prendre en charge l’authentification MD5. La chaîne RIP_KEY et la mise à jour de routage sont traitées par l’algorithme MD5 pour générer une signature unique.
Étape 3. Vérifier le fonctionnement du routage RIP.
EIGRPCes commandes sont très semblables à celles utilisées pour l’authentification MD5 du RIPv2. Les étapes de configuration de l’authentification du protocole de routage EIGRP sur le routeur R1 sont les suivantes :
Étape 1. La zone surlignée en haut montre comment créer la chaîne de clés que tous les routeurs du réseau doivent utiliser. Ces commandes génèrent une chaîne de clés appelée EIGRP_KEY et placent le terminal en mode de configuration « keychain » ; elles créent également une clé numérotée 1 et la chaîne de caractères cisco.
Étape 2. La zone surlignée en bas montre comment activer l’authentification MD5 dans les paquets EIGRP passant par une interface.
OSPF
La figure présente les commandes permettant de configurer l’authentification du protocole de routage OSPF sur l’interface S0/0/0 du routeur R1. La première commande spécifie la clé utilisée pour l’authentification MD5. La commande suivante active l’authentification MD5.
Vous pouvez configurer AutoSecure en mode d’exécution privilégié à l’aide de la commande auto secure dans l’un des deux modes suivants :
- Mode interactif : ce mode vous présente des invites permettant d’activer ou de désactiver des services et autres fonctions de sécurité. Il s’agit du mode par défaut.
- Mode non interactif : ce mode exécute automatiquement la commande auto secure avec les paramètres par défaut recommandés par Cisco. Ce mode est activé avec l’option no-interact de la commande.
L’écran illustré dans la figure affiche la sortie partielle d’une configuration Cisco AutoSecure. Pour démarrer le processus de sécurisation d’un routeur, lancez la commande auto secure. Cisco AutoSecure vous demande un certain nombre d’éléments dont voici la liste :
- Éléments d’interface spécifiques- Bannières- Mots de passe- SSH- Fonctions de pare-feu du logiciel IOS
Remarque : Cisco Router and Security Device Manager (SDM) offre une fonction similaire à celle de la commande Cisco AutoSecure. Cette fonction est décrite dans la section « Utilisation de Cisco SDM ».
SDMQu’est-ce que Cisco SDM ?
Cisco Router and Security Device Manager (SDM) est un outil Web de gestion des périphériques facile à utiliser. Il est conçu pour configurer les fonctions de réseau local, de réseau étendu et de sécurité sur les routeurs doté du logiciel Cisco IOS.
Cisco SDM prend en charge la plupart des versions du logiciel Cisco IOS.
Il est préinstallé par défaut sur tous les nouveaux routeurs Cisco à services intégrés.
S’il n’est pas préinstallé sur votre routeur, vous aurez à l’installer vous-même.
Les fichiers SDM peuvent être installés sur le routeur, sur un PC ou les deux. L’installation sur un PC présente l’avantage d’économiser la mémoire du routeur et permet d’utiliser SDM pour la
gestion d’autres routeurs du réseau. Si Cisco SDM est préinstallé sur le routeur, Cisco vous recommande de l’utiliser pour effectuer la configuration initiale.
Cisco SDM = plusieurs assistants intelligents qui permettent de configurer efficacement un réseau privé virtuel et les paramètres de pare-feu du logiciel Cisco IOS. Cette possibilité permet aux administrateurs de déployer, de configurer et de surveiller rapidement et facilement des routeurs d’accès Cisco.
Les assistants intelligents de Cisco SDM guident les utilisateurs étape par étape dans la configuration du routeur et de la sécurité, en configurant systématiquement les interfaces de réseau local et de réseau étendu, le pare-feu, le système de protection contre les intrusions et les réseaux privés virtuels.
Les assistants intelligents de Cisco SDM détectent automatiquement les erreurs de configuration et proposent des corrections, telles que permettre le trafic DHCP au travers d’un pare-feu si l’interface de réseau étendu est adressée selon le protocole DHCP
Installation :, vous devez vérifier la présence de quelques paramètres dans le fichier de configuration du routeur.
Pour configurer Cisco SDM sur un routeur en exploitation, sans interrompre le trafic, procédez comme suit :
Étape 1. Accédez à l’interface ILC du routeur Cisco à l’aide de la connexion de console ou Telnet.
Étape 2. Activez les serveurs HTTP et HTTPS sur le routeur.
Étape 3. Créez un compte utilisateur avec niveau de privilège 15 (activez les privilèges).
Étape 4. Configurez SSH et Telnet pour une session locale avec niveau de privilège 15.
Cisco SDM est stocké dans la mémoire flash du routeur. Il peut également résider sur un PC local. Pour lancer Cisco SDM, utilisez le protocole HTTPS et tapez l’adresse IP du routeur dans
le navigateur. La figure représente le navigateur avec l’adresse https://198.162.20.1, ainsi que la page de démarrage de Cisco SDM. Le préfixe http:// peut être utilisé lorsque le protocole SSL n’est pas disponible. Lorsque la boîte de dialogue demandant le nom d’utilisateur et le mot de passe s’affiche (non représentée dans la figure), entrez le nom d’utilisateur et le mot de passe du compte privilégié du routeur (niveau de privilège 15). Une fois la page de lancement affichée, un programme Java signé Cisco SDM apparaît. Vous devez garder la fenêtre de ce programme ouverte pendant l’exécution de Cisco SDM.
Gestion des images logiciels :
La figure présente, par exemple, la sortie de la commande show file systems qui affiche la liste de tous les systèmes de fichiers d’un routeur Cisco 1841. Cette commande fournit des informations intuitives comme la quantité de mémoire disponible, le type de système de fichiers et un indicateur d’autorisation. Les opérations autorisées sont la lecture seule (ro), l’écriture seule (wo), ainsi que la lecture et l’écriture (rw).
Parmi les différents systèmes de fichiers affichés, les seuls qui nous intéressent sont les systèmes tftp, flash et NVRAM. Les autres systèmes de fichiers sortent du cadre de ce cours.
Les systèmes de fichiers réseau (Network File System) comprennent l’utilisation des protocoles FTP, TFTP (FTP trivial) ou Remote Copy Protocol (RCP). Le présent cours se concentre sur le protocole TFTP.
Remarquez que la ligne du système de fichiers flash est marquée d’un astérisque, indiquant qu’il s’agit du système de fichiers par défaut. Souvenez-vous que l’IOS amorçable se trouve dans la mémoire flash. La présence du symbole dièse (#) en fin de ligne indique donc qu’il s’agit d’un « disque amorçable ».
Importation et exportation des images :La figure illustre l’exemple TFTP suivant : tftp://192.168.20.254/configs/backup-configs.
- L’expression « tftp: » s’appelle le préfixe. - Tout ce qui se trouve après la double barre oblique (//) définit l’emplacement.- 192.168.20.254 est l’emplacement du serveur TFTP. - Le répertoire principal correspond à « configs ». - Le nom de fichier est « backup-configs »
Restauration de l’image IOS :La commande tftpdnld est une méthode très rapide permettant de copier le fichier image. L’utilisation de Xmodem est une autre méthode de restauration de l’image du logiciel Cisco IOS.
Étape 1. Connectez le PC de l’administrateur système au port console du routeur affecté. Ouvrez une session d’émulation de terminal entre le routeur R1 et le PC de l’administrateur système.
Étape 2. Démarrez le routeur et lancez la commande xmodem à l’invite ROMmon.
La syntaxe de cette commande est xmodem [-cyr] [nom_de_fichier]. L’option cyr varie en fonction de la configuration. Par exemple, -c indique CRC-16, y indique le protocole Ymodem et r copie l’image en mémoire vive. Le paramètre nom_de_ficher est le nom du fichier à transférer.
Acceptez toutes les confirmations, comme illustré dans la figure.
Étape 3. La figure représente l’envoi d’un fichier à l’aide de l’application HyperTerminal. Dans ce cas, sélectionnez Transfert > Envoyer un fichier.
