Les mesures sur la sécurité du réseau sont les outils et technologies tels que les pare-feu et les système de prévention des intrusions (IPS) qui sont ajoutés à un réseau pour sécuriser des données, voix et vidéo stockées ou transmises.
Les mesures sur la sécurité du réseau sont les contrôles de sécurité que vous ajoutez à vos réseaux pour protéger la confidentialité, l’intégrité et la disponibilité. Ces contrôles évoluent sans cesse, mais de nombreuses connaissances fondamentales sont facilement disponibles. Repousser les attaquants hors de votre réseau demande des efforts. Les pare-feu, proxies et passerelles y travaillent.
Il est dangereux de partir du principe que ces appareils empêcheront tous les attaquants d’entrer dans votre réseau. Les hackers trouveront un moyen d’y parvenir. Un hacker célèbre, Kevin Mitnick, se targue d’obtenir une réussite de 100 % lorsqu’il lance des tests de pénétration auprès de sociétés qui l’ont embauché pour tester la sécurité de leur réseau.
Il existe toujours un moyen d’entrer. La sécurité requiert un travail continu pour apprendre, évoluer et garder de l’avance sur les hackers. Un autre point essentiel est d'avoir mis en place des équipes et des plans de remédiation lorsque les hackers parviennent à entrer.
Un pare-feu bloque ou autorise le trafic. Le trafic autorisé à passer via un pare-feu est spécifié dans sa configuration, selon le type de trafic qu’une entreprise possède et dont elle a besoin. Dans un pare-feu, la bonne pratique de sécurité la plus importante est qu’il doit bloquer tout le trafic par défaut. Ensuite, il doit être configuré de manière à n’autoriser que le trafic spécifique vers des services connus. La configuration du pare-feu est essentielle ; les connaissances de son administrateur le sont donc également.
Les pare-feu fonctionnent sur différentes couches dans le modèle International Standards Organization Open System Interconnect (ISO OSI). Généralement, tout élément nommé pare-feu réside sur les couches 2 à 5. Si le pare-feu se trouve sur la couche 7, on parle souvent de proxy ou de passerelle. Le WAF (web application firewall) fait exception : il utilise le terme de pare-feu et réside sur la couche 7. Un pare-feu analyse les informations trouvées sur la couche du modèle OSI sur lequel il fonctionne.
Voici quelques exemples du fonctionnement possible d’un pare-feu sur les différentes couches :
Un pare-feu est configuré avec une liste de règles, parfois nommées politiques. Le pare-feu utilise cette liste de règles pour déterminer ce qu’il doit faire du trafic qu’il reçoit. Les règles fonctionnent selon une perspective descendante.
Le pare-feu compare la trame ou le paquet qu'il a reçu(e) avec la première règle de la liste. S'il correspond au type de trafic de cette règle, il suit les instructions de cette règle. Une règle peut indiquer que le trafic doit être autorisé, ou au contraire, qu’il doit être bloqué et supprimé.
Si la trame ou le paquet ne correspond pas à la première règle, le pare-feu le (la) compare à la deuxième, et ainsi de suite. Si le trafic ne correspond pas à l’une des règles définies explicitement, le pare-feu suivre la règle finale, qui doit être de supprimer le trafic.
Un pare-feu proxy réside sur la couche 7 du modèle OSI. Lorsqu’un proxy reçoit du trafic, il traite la trame ou le paquet en remontant les couches. Par exemple, si la trame est décomposée à la couche 2, les en-têtes du paquet sont supprimés à la couche 3, et ainsi de suite, jusqu'à ce qu’il ne reste que les données à la couche 7.
La connexion TLS (transport layer security) est arrêtée à la couche 4. À partir de là, les données sont en texte clair dans le proxy. Le proxy analyse ensuite les données transmises, ce qui aurait été impossible à des niveaux inférieurs en raison du chiffrement. L'appareil peut ainsi analyser beaucoup plus de données qu’un pare-feu standard. Cela demande généralement plus de temps ou de puissance de traitement qu’un pare-feu, mais le contrôle sur le trafic de l’utilisateur est supérieur.
Le terme de passerelle peut avoir différentes significations selon le contexte. Une passerelle était autrefois un matériel disposé entre deux réseaux. Aujourd'hui, une passerelle traditionnelle comporte un pare-feu. Par exemple, Microsoft Azure a intégré un WAF dans sa passerelle. On peut donc dire aujourd’hui, de manière discutable, qu’une passerelle est une sorte de pare-feu.
Le point suivant consiste à détecter les intrusions dans un réseau qui utilise des systèmes de détection des intrusions (IDS, Intrusion Detection Systems). Ces appareils sont passifs. Ils observent le passage du trafic réseau et consignent le trafic suspect. Un IDS peut se trouver sur le réseau ou sur l’appareil final. Selon son emplacement, on parle de NIDS (network-based IDS) ou de HIDS (host-based IDS).
Un NIDS est généralement connecté à un port TAP ou SPAN d'un commutateur. Le trafic est donc transmis à sa destination sans interférence. Une copie parvient au port SPAN du NIDS pour y être analysée. S’il s'agit d'un HIDS, il réside sur l’ordinateur portable, la tablette, le serveur, etc. La plupart des HIDS n’analysent pas le trafic en direct, mais plutôt les journaux de trafic après l'événement.
Les fabricants ont finalement modifié ces appareils. S’ils peuvent détecter une attaque, pourquoi ne pas simplement supprimer les trames ou paquets suspects au niveau de l'appareil, au lieu de simplement les signaler ? C’est ainsi que sont apparus les systèmes de prévention des intrusions (IPS). Les IPS peuvent également être basés sur le réseau (NIPS) ou sur l’hôte (HIPS).
C’est une très bonne idée, mais elle comporte un inconvénient. L’IPS doit savoir ce qui définit le bon et le mauvais trafic. Pour cela, il doit utiliser des fichiers de signature ou apprendre.
Il faut également détermine comment protéger les données, la voix ou la vidéo transmises à tout endroit où une autre personne peut les intercepter. Cela inclut les réseaux résidentiels ou de société, et les lieux extérieurs à ces réseaux, comme Internet ou le réseau d’un fournisseur de services.
Le chiffrement répond à ces inquiétudes en rendant les données illisibles sans la clé correspondante. Pour les données en transit, il existe quelques options pour le chiffrement. Il s'agit des suivantes :
Le SSL/TLS est utilisé depuis 1995 pour protéger les connexions basées sur navigateur. Netscape a inventé le SSL. Les versions 2.0 et 3.0 étaient utilisées jusqu’à ce que l’IETF (Internet Engineering Task Force) l’adopte et le renomme. Cela s’est produit en 1999, année où America Online (AOL) a acheté Netscape. À présent, TLS 1.3 (RFC 8446) est la dernière version. Le TLS n’est pas utilisé que pour les connexions basées sur navigateur. Il peut aussi permettre à une connexion VPN d’utilisateur de se connecter au bureau.
Le SSL/TLS est un protocole de couche de transport qui utilise le port TCP 443 lorsqu’il est appliqué aux connexions sur navigateur.
Le SSH est une méthode de chiffrement fréquemment utilisée pour la capacité de connexion à distance. Les administrateurs réseau utilisent le SSH pour se connecter à distance et administrer les appareils de réseau, comme les routeurs et les commutateurs. On le considère généralement comme un remplacement pour Telnet, un protocole de connexion à distance de couche 7 qui n’est pas chiffré, même s’il peut également être utilisé pour les connexions VPN. Le SSH est spécifié dans l’IETF RFC 4253. Il utilise le port TCP 22.
L’IPsec est un protocole de couche réseau qui fournit des fonctionnalités de chiffrement et de contrôle de l’intégrité pour tous les types de connexion. De nombreux documents IETF RFC différents spécifient les différentes pièces de ce que l’on considère comme l’IPsec. Le RFC 6071 offre une feuille de route qui montre les liens entre ces documents.
L’IPsec fournit deux protocoles de sécurité : l’en-tête d'authentification (AH, authentication header) et la charge utile de sécurité d’encapsulage (ESP, encapsulating security payload).
La protection de la propriété intellectuelle (PI) reste une source d'inquiétude. La PI comprend les manuels, processus, documents de conception, données de recherche et de développement, etc. Elle comporte deux problèmes majeurs. Le premier consiste à assurer la confidentialité des informations qu’elle contient. Le deuxième vise à s'assurer que ces informations ne soient visibles que par la personne concernée. La classification des données et le contrôle des accès sont deux des principaux éléments utilisés pour contrôler l’accès de la manière appropriée.
Si vous avez peur que des données ne quittent votre entreprise de manière inappropriée, vous pouvez utiliser la technologie de prévention contre la fuite de données (DLP). Elle observe les informations sensibles dans les flux de données, comme les emails ou les transferts de fichiers.
Si le logiciel DLP détecte des informations sensibles, comme un numéro de carte de crédit, il bloque ou arrête la transmission. Il peut également les chiffrer si cette action est plus appropriée. La question consiste à déterminer ce que votre entreprise veut contrôler, et comment elle veut que le réseau réagisse lorsque le logiciel DLP détecte ces données.
DRM utilise la technologie pour contrôler l'accès à la PI. Si vous avez utilisé Kindle, iTunes, Spotify, Netflix ou Amazon Prime Video, vous avez déjà utilisé un logiciel DRM. Il vous permet de voir une vidéo, de lire un livre ou d'écouter un morceau après achat auprès du fournisseur. Par exemple, Cisco contrôle l’accès aux manuels du cours lorsque le client achète une formation.
Javelin et LockLizard sont d'autres exemples de technologie DRM que les entreprises peuvent utiliser pour contrôler la distribution de contenu. La technologie DRM utilise le contrôle des accès qui régit la durée pendant laquelle l’utilisateur peut utiliser le contenu, s’il est possible de l'imprimer, de le partager, etc. Les paramètres sont basés sur les souhaits du propriétaire de la PI.
Les mesures peut-être les plus essentielles qu’une entreprise peut mettre en place comprennent la détection et la correction des problèmes de sécurité. La consignation est le point de départ. Presque tous les systèmes sur un réseau ou rattachés à un réseau doivent générer des journaux.
Une entreprise détermine ce qu’il faut consigner exactement. Cela peut inclure des tentatives de connexion, des flux de trafic, des paquets, les actions mises en œuvre, ou même les saisies au clavier d'un utilisateur. Pour déterminer les éléments à consigner, il faut s'appuyer sur l’attitude de l’entreprise face au risque, la sensibilité des actifs et les vulnérabilités des systèmes.
Tous ces systèmes doivent générer des journaux :
Systèmes sur le réseau
Systèmes connectés au réseau
Le nombre d'événements enregistrés est donc très important. Pour comprendre toutes ces données, il est nécessaire d’envoyer les journaux, qui sont également des pistes d’audit, à un emplacement central, comme un serveur syslog. Une fois les journaux reçus sur un serveur syslog, un SIEM (security information event manager) les analyse.
Un SIEM est un outil qui analyse les journaux de tous les systèmes et met en corrélation les événements. Il cherche les indicateurs de compromission (IOC). Un IOC ne donne pas toujours des preuves d'un événement réel et doit donc être analysé par des humains. C’est là qu’un centre des opérations de sécurité (SOC) et une équipe de remédiation aux incidents (IRT) doivent déterminer les actions suivantes à prendre.