Sécurisation des commutateurs
Les attaques
1. Problèmes de sécurité dans les LAN
La sécurité devient de plus en plus un métier en soi. Les attaques sont de plus en plus fréquentes (depuis l’intérieur comme depuis l’extérieur de l’entreprise) et les outils pour réaliser des opérations malveillantes sont de plus en plus nombreux et conviviaux.
Il est important pour les professionnels des réseaux d’être conscients des risques auxquels ils sont confrontés et du danger que représentent les attaques ainsi que des moyens de les neutraliser ou de les réduire.
Certains types d’attaques de sécurité sont décrits dans ce chapitre, mais il en existe bien d’autres ! Par essence, la sécurisation d’une infrastructure informatique n’a pas de limites.
a. L’inondation d’adresses MAC (MAC Address Flooding)
La taille des tables d’adresses MAC est limitée. Par exemple, celle d’un Catalyst 2960 est de 8192 entrées.
Si un pirate inonde d’adresses MAC (générées aléatoirement) le commutateur jusqu’à ce que sa table d’adresses MAC soit saturée, le commutateur passe alors en mode fail-open (concentrateur) et diffuse les paquets à tous les ordinateurs du réseau.
Tout le trafic appartenant à un même VLAN est alors transmis sur tous les ports du commutateur (sauf le port source).
Il suffit donc à la personne malveillante de capturer le trafic que reçoit le concentrateur pour voir toutes les trames de son VLAN.
La méthode la plus simple permettant d’atténuer les attaques...
Mise en place de la sécurité
1. Pratiques de sécurité
Voici quelques pratiques de sécurisation du réseau :
-
Informez les utilisateurs (personnel et responsables) de leur obligation de protéger les données vitales et les ressources technologiques de l’entreprise.
-
Définissez les mécanismes permettant de respecter ces exigences.
-
Mettez en place le processus :
-
identifiez les risques,
-
testez,
-
configurez les systèmes (remédiation),
-
auditez les systèmes informatiques afin de vérifier leur conformité avec la stratégie.
-
Préparez les employés aux attaques non informatiques comme l’ingénierie sociale (social engineering).
-
Réduisez la surface d’attaque en arrêtant les services et les ports inutilisés.
-
Définissez une politique de mot de passe fort.
-
Monitorez le trafic courant afin de distinguer les flux anormaux.
-
Monitorez les accès aux périphériques (physiques et distants) avec syslog.
-
Évitez les protocoles non sécurisés comme Telnet ou HTTP.
-
Évitez de vous connecter à des sites web HTTP non sécurisés, préférez les écrans de connexion qui utilisent le protocole HTTPS.
-
Effectuez des sauvegardes et vérifiez leur validité.
-
Chiffrez et protégez les données sensibles.
-
Implémentez des pare-feu sur plusieurs niveaux, des IDS ou IPS.
-
Installez les correctifs de sécurité régulièrement.
-
Utilisez des outils de sécurité pour tester la vulnérabilité du réseau existant.