Nettoyer son LAN
Une politique de sécurité efficace exige d'auditer le réseau afin d'identifier les points sensibles. Sans oublier d'impliquer les utilisateurs.
01net.
le 27/03/06 à 07h00
Philippe R. vient d'être nommé administrateur réseau et sécurité d'une PME de 300 personnes. Sa première mission consiste à auditer le système d'information afin d'évaluer les types de flux et de détecter les logiciels installés de
façon sauvage. Par la suite, il devra proposer des solutions appropriées pour assainir le réseau. Ce scénario, assez classique en entreprise, n'est pourtant pas des plus simples, et une méthode rigoureuse s'impose. Afin d'aider Philippe R., nous
avons soumis le problème à des intégrateurs, analystes et éditeurs.
Tous s'accordent sur la première étape, qui consiste à réaliser une analyse fine de l'architecture. ' Nous détectons d'abord les points d'interconnexion, les adresses IP et les différents protocoles utilisés.
Lorsque tout cela est bien posé, nous utilisons des IDS pour observer ce qui transite sur le réseau. Nous travaillons avec les outils de McAfee, d'ISS ou des solutions open source. Les IDS sont préférés aux IPS, car ils ne viennent pas perturber le
réseau ', explique Bruno Leclerc, directeur technique de l'intégrateur Integralis.
Cette méthode d'écoute réseau est également employée par l'intégrateur Nomios, qui, lui, préfère utiliser les IPS : ' Lorsque les flux ont été identifiés et que l'on détecte, par exemple, qu'un poste envoie
beaucoup d'e-mails avec des contenus identiques, il convient de l'isoler rapidement du reste du réseau. Nous utilisons les IPS de McAfee disponibles sur le poste de travail et sur la passerelle ', détaille Vincent Duquesne,
directeur technique de Nomios. IDS et IPS ne sont pas les seuls outils à témoigner des flux du réseau et à assurer l'isolation des postes de travail.
Certains éditeurs proposent des offres plus globales. Le logiciel Spectator Professional de Promisec permet de faire un audit des codes malveillants actifs sur les postes de travail et sur les serveurs avec Windows, de vérifier la
conformité avec la politique de sécurité et, éventuellement, de bloquer certains processus.
La solution proposée par l'intégrateur Securalis présente la particularité d'être entièrement passive : ' Notre boîtier, positionné en miroir sur un port du commutateur, identifie l'ensemble du trafic. Nous
détectons aussi bien les anomalies du réseau, par exemple des machines configurées avec les anciens DNS, que les applications illégitimes, telles que les logiciels poste à poste, la messagerie instantanée ou la ToIP ',
affirme Boris Rogier, directeur de Securalis.
Décapsuler, réencapsuler
Comme le souligne Vincent Bonneau, consultant à l'Idate (lire encadré), les applications installées de façon sauvage par les utilisateurs peuvent créer de nouveaux trous de sécurité dans l'entreprise. Or, le contrôle de ces logiciels
est d'autant plus difficile que la plupart utilisent des ports dynamiques, voire encapsulent les données dans des paquets HTTP. Dans ce dernier cas de figure, la solution proposée par les intégrateurs à Philippe R. est d'utiliser des proxy HTTP, qui
vont décapsuler les paquets, les analyser et les encapsuler de nouveau.
La solution de BlueCoat, ProxySG, revient souvent dans leur discours, de même que les boîtiers NetCache de NetApp ou bien CF Series de Bloxx. Rendu à ce stade, Philippe R. a normalement connaissance des différents flux du réseau et
peut proposer une méthode pour nettoyer les postes de travail.
La tâche, là aussi, peut se révéler ardue. ' Lorsqu'une machine ralentit, et que nous procédons à une analyse puis à une éradication des données, nous ne sommes jamais sûrs à 100 % que tous les spyware et
tous les virus ont bien été éradiqués ', affirme Jérôme Lahalle, consultant sécurité au cabinet d'audit Lexsi. L'idéal est alors de réinstaller les postes clients du réseau en créant un poste type (master) que l'on déploie
par la suite. Ces opérations peuvent être effectuées par des logiciels comme ImageCast Enterprise de Phoenix Technologies ou Ghost de Symantec.
Le filtrage systématique, une course sans fin
' Il est indispensable de brider les droits des postes de travail afin que l'utilisateur ne soit pas autorisé à installer autre chose que ce qui lui a été fourni par l'administrateur ',
préconise Jérôme Lahalle. Dans certains cas cependant, plutôt que de tout interdire, il peut se révéler intéressant de contrôler ce qui est installé. Cisco, avec son logiciel CSA, permet d'effectuer une gestion centralisée des règles.
' CSA outrepasse les droits Windows sur le poste de travail. Il permet ainsi un contrôle de l'ensemble des exécutions ', précise Philippe Cunningham, responsable marketing sécurité chez Cisco.
Au final, quelles que soient les solutions adoptées, les utilisateurs doivent être impliqués au plus tôt dans la politique de sécurité : ' C'est une course sans fin de faire du filtrage systématique, car on
ne pourra jamais tout filtrer sur le LAN. En revanche, on peut toujours passer un contrat avec les utilisateurs tout en surveillant les flux qui transitent ', conclut Boris Rogier.
Une évolution préoccupante
Il aura suffi d'un an pour multiplier par vingt le nombre de programmes malveillants ciblant la messagerie instantanée.
des logiciels hors de contrôle : Vincent Bonneau (Idate)
Le consultant à l'Institut de l'audiovisuel et des télécommunications en Europe estime que la messagerie instantanée profite du port 80.
La messagerie instantanée (MI), utilisée aujourd'hui massivement de façon sauvage, ouvre une nouvelle brèche dans l'entreprise. Un pirate informatique peut utiliser cette voie d'accès pour détecter les adresses IP et prendre
connaissance de l'architecture du réseau. Il existe des codes malveillants développés spécifiquement pour la MI et véhiculés par les messages non sollicités, aussi appelés Spim (Spam for Instant Messaging).
Parmi les codes apparus dernièrement, Bropia est un virus destiné à MSN Messenger qui se présente sous la forme d'un fichier au nom aléatoire prétendument envoyé par un contact. Si le mode de propagation est assez classique, il
convient de surveiller cette voie d'accès au système d'information, d'autant que la plupart des messageries peuvent utiliser le port 80 (HTTP).
De plus, les opérateurs de webmail proposent des interfaces de MI accessibles depuis un navigateur, donc d'autant plus durs à détecter sur le poste. Certaines entreprises se sont spécialisées dans le filtrage de ces flux, les plus
connues étant IMlogic, Akonix et FaceTime Communications.
les paramètres à valider : Pascal Lointier (Clusif)
Pour le président du Club de la sécurité des systèmes d'information français, la protection des données engage l'entreprise.
Une architecture informatique saine doit répondre à quatre critères. Tout d'abord, la disponibilité, qui vise à s'assurer que les données ne sont pas sur les disques locaux et qu'une politique de sauvegarde est en place. Ensuite,
l'intégrité : il faut vérifier qu'il n'y a pas de corruption accidentelle ou malveillante des données.
Pour l'interne, il est nécessaire de limiter les droits des utilisateurs. Un responsable des ventes n'a pas, par exemple, à avoir accès à la comptabilité de la société. Pour l'externe, il faut être en mesure d'installer un
coupe-feu, un antivirus, un IDS, suivant la criticité des informations. Un responsable informatique doit aussi garantir la confidentialité des données.
Il faut pour cela s'assurer de ce qui peut être vu de l'extérieur. Google, par exemple, qui aspire les données des sites Web, peut parfois constituer un risque de divulgation d'informations. Dernier critère, la traçabilité des
données, qui devient d'autant plus nécessaire que l'article&226-17 du code pénal engage la responsabilité de l'entreprise si elle ne prend pas de mesures pour protéger linformation.
nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à la version digitale
Abonnez-vous à 01Business et Technologies : 19 €/mois
agrandir la photo
