Conseils pour sécuriser son réseau

Introduction

 

Voici quelques conseils pratiques à prendre en compte lors de la mise en place ou  lors de l’administration d’un réseau, ceci afin de diminuer les risques d’intrusion.Tout d’abord le premier conseil que je pourrais vous donner est avant tout de bien connaître votre réseau, d’avoir une vue globale. Cela peut paraître bête mais un réseau mal maîtrisé à la base augmentera les risques que j’appelle effets boule de neige : En voulant réparer avec une mauvaise connaissance du système on risque plus d’empirer les choses que de les améliorer.

Deuxième conseil, trop de sécurité tue la sécurité : La aussi il s’agit encore une fois de maîtriser ce que l’on fait, si il existe plusieurs moyens de vérifier la légitimité d’un poste sur le réseau (soit en agissant sur un serveur Dhcp par un contrôle des adresses MAC soit en agissant directement sur les ports du switch avec du mac-locking par exemple) ça ne sert à rien de mettre en place toutes les solutions, faîtes le choix que vous trouvez le plus judicieux en fonction de votre architecture, des contraintes de temps, de votre budget …

 

1. Accès à distance sur les équipements, activer le SSH et n’autoriser que lui

 

Sur tous vos équipements réseaux, bannir le telnet qui est un protocole réseau non sécurisé et n’autoriser que le ssh. Le ssh (pour Secure Shell) est un protocole sécurisé basé sur un échange  de clés de chiffrement.

 

2. Désactiver l’interface Web d’administration des équipements réseau

 

Par défaut beaucoup d’équipements réseaux peuvent être administrés via une interface web, désactivez la surtout si ce n’est pas du https ( un hacker ayant une entrée sur votre réseau peut très facilement à l’aide d’outils type wireshark ou tcpdump récupérer les logins/mdp qui sont visibles en clair).

 

3. Désactiver les protocoles de découverte réseau

 

C’est vrai que ces protocoles peuvent être bien utiles pour les administrateurs d’un réseau ce afin de reconstituer l’architecture globale sur synoptique ou pour aider à créer la topologie sur un système de supervision mais si une personne rentre sur votre réseau avec un minimum de connaissance sur ces protocoles … pas bon. En exemple concret j’ai voulu faire le test lors d’un stage dans un centre de formation informatique, rien n’était sécurisé sur ce LAN (mot de passe constructeur ….), en utilisant le protocole cdp j’ai pu recréer un petit schéma de leur réseau, par étage, salle de formation, serveurs …

 

Exemples de protocoles de découverte :

CDP Cisco Discovery Protocol

LLDP Link Layer Discovery Protocol

 

4. Se prémunir des attaques de type « VLAN-Hopping »

 

Par défaut un seul VLAN est présent sur les équipements c’est le VLAN 1, utilisez un autre ID de VLAN pour administrer vos équipements et « shuttez » l’interface de VLAN 1 pour la remplacer par la nouvelle interface de VLAN.

Changez le VLAN natif ( on parle aussi de PVID) sur les ports Trunk, il doit être identique sur les trunks des deux switchs inter-connectés pour éviter les erreurs de type « inconsistant port »; Ce type de VLAN permet de faire véhiculer les trames non-taguées (protocoles de découvertes par exemple).

N’utilisez pas le même numéro de VLAN que le VLAN natif pour l’administration des équipements.

Forcer le tagging de tous les VLANs, VLAN natif y compris !

Ces préconisations permettent de se prémunir des attaques de type « vlan-hopping », l’attaquant envoie des trames taguées dans un vlan différent du vlan d’appartenance de sa machine (par le biais d’un logiciel de hacking comme scapy), cela génère des trames avec à chaque fois deux tags dot1q (double tagging).

Vous comprenez bien que si l’attaquant (situé dans un VLAN usager standard) arrive à récupérer les IDs de VLANs sensibles ( VLAN d’administration, VLAN serveurs …) grâce a un logiciel de capture de trames type wireshark, il peut facilement faire des dégâts comme se faire passer pour un service, effectuer du denis de service …….

 

 

5. Mettre en place une sécurité au niveau des ports des abonnés

 

Vous pouvez mettre sur les ports des équipements ce qu’on appelle du mac-locking. Le mac-locking permet de mettre le port en erreur automatiquement ( et donc de le couper) si une personne tente de brancher un autre terminal réseau sur un port ayant déjà appris une adresse MAC par exemple. Bien sûr on peut autoriser de 1 à N adresses MAC sur le port (tout dépend des besoins). Ne pas mettre ce genre de sécurité sur les trunks des commutateurs car beaucoup de MAC transitent par ce type de port pour mettre à jour les tables ARP et ils sont généralement utilisés dans les locaux techniques.

 

6. Remédier aux attaques de type DHCP Spoofing

 

Activer sur vos switchs la fonctionnalité « dhcp-snooping » et mettre uniquement le(s) port(s) hébergeant le(s) serveur(s) DHCP en port de confiance (port trust). Cette solution permet de se prémunir d’une attaque de type « man in the middle » sur le service DHCP : L’attaquant par ce biais pourrait se faire passer pour un serveur DHCP auprès des clients et ainsi fournir de mauvaises informations comme une fausse passerelle ou un faux DNS par exemple.

 

Attention certains services autre que DHCP peuvent également émettre des trames DHCP, c’est notamment le cas des serveurs SCCM (déploiement d’OS et packages Windows) donc penser également à mettre le port en trust pour ce type serveur.

 

 

7. Protéger sa sortie (monde INTERNET)

 

Protéger sa sortie avec un firewall ayant des règles de filtrage entrantes mais aussi sortantes est essentielle pour se prémunir d’attaques. Si vous n’avez pas de matériel physique étant exclusivement dédié à la fonction de filtrage (type netasq par exemple) vous pouvez utiliser des solutions gratuites comme pfsense basé sur FreeBSD.

 

https://www.pfsense.org/

 

8. Supervision du réseau avec SNMPv3

 

Privilégier le SNMPv3 au V2C pour remonter les états des équipements systèmes et réseaux sur votre outil de supervision de manière sécurisée (Nagios, centreon, EON, icinga, IMC …).

 

 

9. Sécuriser vos protocoles de routage

 

RIPV2, OSPF, BGP … Pour sécuriser ces protocoles mettez sur vos routeurs toutes les interfaces ne devant pas échanger de routes (ports vers les équipements de niveau 2 par exemple) en mode « passive-interface ». Vous pouvez également sécuriser les protocoles de routage par le biais de mots de passe en utilisant des mécanismes de hachage type md5 par exemple.

 

La fonction « passive-interface » permet de :

– Bloquer les MAJ de routage.

– Ignorer les messages Hello et donc les relations de voisinage.

 

 

10. Centraliser l’authentification sur les équipements

 

Utiliser un serveur TACACS ou RADIUS pour centraliser l’authentification aux équipements réseaux, vous pourrez également par ce biais centraliser la gestion des droits d’accès (visualisation, administration …) et créer des comptes nominatifs pour le personnel ayant des actions sur les équipements, ainsi l’authentification ne se fera plus de manière anonyme.

 

http://blog.guiguiabloc.fr/index.php/2008/06/26/serveur-dauthentification-tacacs/

 

http://www.google.fr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CCEQFjAA&url=http%3A%2F%2Fblog.adminrezo.fr%2Fwp-content%2Fuploads%2F2013%2F03%2Fnps-radius-vpn-2008-r2.pdf&ei=EVOAVLKGMdfxaLDzgYgP&usg=AFQjCNEEPTDniX-FOJAZYkso24H9tX7y7A&bvm=bv.80642063,d.d2s&cad=rja

 

11. Centraliser les logs

 

Utiliser des outils comme syslog-ng, splunk ou graylog pour centraliser les logs de vos équipements réseaux, serveurs Linux et Windows.

 

http://michael.bouvy.net/blog/en/tag/syslog/

https://wiki.deimos.fr/Syslog-ng_:_Installation_et_configuration_de_Syslog-ng_%28Syslog_New_Generation%29

 

 

12. Les solutions de sécurisation avec le 802.1X : NPS (dont NAP)

 

Utiliser le protocole 802.1x sur les équipements réseaux et permettre l’accès au réseau pour les usagers grâce à des mécanismes de certificat vérifié par un serveur NPS (Network Policy Server) par exemple. Les postes ne répondant pas à certains critères de sécurité peuvent être mis automatiquement dans un réseau temporaire disposant de serveurs de remédiation (Antivirus, WSUS …) et revenir automatiquement dans le réseau de production une fois à jour (voir fonctionnalité NAP de Microsoft par exemple).

 

 

13. Informer le potentiel pirate des risques qu’il encoure

 

Ajouter des bannières sur les équipements réseaux avertissant des risques encourus si une tentative d’intrusion est effectuée, cela peut être un élément de dissuasion… ou pas 😉

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *