R OYAUME D U M AROC

A DMINISTRATION DE LA D FENSE N ATIONALE

D IRECTION G NRALE DE LA S CURIT DES S YSTMES D I NFORMATION

G UIDE T ECHNIQUE
RELATIF LA SCURIT DES RSEAUX
Guide Technique relatif la scurit des rseaux

I NFORMATIONS

AVERTISSEMENT
Destin vous assister dans ladoption dune dmarche cohrente et ho-
mogne pour la mise en conformit de la scurit de vos systmes din-
formation avec les rgles de scurit dictes par la Directive Nationale
de la Scurit des Systmes dinformation (DNSSI), ce guide labor par
la DGSSI traite la dmarche de scurisation des rseaux informatiques.
Il est destin voluer avec les usages, mais aussi avec vos contribu-
tions et retours dexprience. Les recommandations cites dans ce guide
sont livres en ltat et adaptes aux menaces au jour de leur publica-
tion. Au regard de la diversit des systmes dinformation, la DGSSI ne
peut garantir que ces informations puissent tre reprises sans adaptation
sur les systmes dinformation cibles. Dans tous les cas, la pertinence de
limplmentation des lments proposs par la DGSSI doit tre soumise,
au pralable, la validation du Responsable de la Scurit des Systmes
dInformation (RSSI) et de ladministrateur du systme concern.

VOLUTION DU DOCUMENT :
Version Date Nature des modifications
1.0 12/12/2014 Version initiale

P UBLIC CONCERN PAR CE DOCUMENT :

Direction SI
RSSI
Administrateur systmes et rseaux

P OUR TOUTE REMARQUE :

Contact Email
DGSSI contact@dgssi.gov.ma

DGSSI 1
Table des matires

1 I NTRODUCTION 4

2 R ISQUES DE SCURIT ASSOCIS AUX RSEAUX 5

3 C ONCEPTION D UNE ARCHITECTURE RSEAU SCURISE 6

3.1 Considrations gnrales . . . . . . . . . . . . . . . . . . . . . . . . . 6
3.2 Cloisonnement du rseau . . . . . . . . . . . . . . . . . . . . . . . . 6
3.3 Cloisonnement par VLAN . . . . . . . . . . . . . . . . . . . . . . . . 7
3.4 Dfense en profondeur . . . . . . . . . . . . . . . . . . . . . . . . . . 8
3.5 Centralisation de la gestion du rseau . . . . . . . . . . . . . . . . . 9
3.6 Disponibilit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
3.7 Les rseaux sans fil . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

4 C ONTRLE D ACCS 11
4.1 Contrle daccs au rseau . . . . . . . . . . . . . . . . . . . . . . . . 11
4.1.1 Politique de contrle daccs . . . . . . . . . . . . . . . . . . . 11
4.1.2 Gestion des accs physiques . . . . . . . . . . . . . . . . . . . 11
4.1.3 Gestion des accs logiques . . . . . . . . . . . . . . . . . . . . 12
4.1.4 Authentification et autorisation daccs . . . . . . . . . . . . 12
4.1.5 Gestion des mots de passe . . . . . . . . . . . . . . . . . . . . 13
4.2 Exploitation et administration . . . . . . . . . . . . . . . . . . . . . . 14
4.2.1 Administration des quipements rseaux . . . . . . . . . . . 14
4.2.2 Gestion des accs distance . . . . . . . . . . . . . . . . . . . 15

5 C ONTRLE DES FLUX 16

5.1 Considrations gnrales . . . . . . . . . . . . . . . . . . . . . . . . . 16
5.2 Filtrage de paquets . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
5.3 Protocoles de routage . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
5.4 Systmes de dtection et de prvention contre les intrusions . . . . 18

6 J OURNALISATION DES VNEMENTS ET SYNCHRONISATION

DU TEMPS 19
6.1 Journalisation des vnements . . . . . . . . . . . . . . . . . . . . . . 19
6.2 Synchronisation et serveur NTP . . . . . . . . . . . . . . . . . . . . . 20

7 S AUVEGARDE ET RESTAURATION 21

8 S UPERVISION ET MANAGEMENT DE LA SCURIT 22

2
Guide Technique relatif la scurit des rseaux

8.1 Solution de management de la scurit "SIEM" . . . . . . . . . . . . 22

8.2 Supervision du rseau . . . . . . . . . . . . . . . . . . . . . . . . . . 22

9 A UDIT DE LA SCURIT DU RSEAU 24

R FRENCES 25

DGSSI 3
Guide Technique relatif la scurit des rseaux

1 Introduction

Laccroissement de lutilisation des technologies de linformation, le dvelop-

pement de lInternet et des rseaux de communication ont confr aux systmes
dinformation une importance capitale dans nos socits. Cet accroissement et ce
dveloppement se sont accompagns par une recrudescence des cybermenaces et
donc par dimportants investissements de la part des organismes pour la mise en
place des rgles et mesures de scurit afin de garantir un niveau adquat de ma-
turit en matire de scurit. Les rseaux de communication occupent une place
de choix dans les investissements relatifs la scurit. En effet, un rseau scuris
doit tre protg contre toutes attaques malveillantes et devrait rpondre aux be-
soins de lorganisme en termes de confidentialit, dintgrit et de disponibilit.

Cest dans cette optique que le prsent document propose des recommanda-
tions et bonnes pratiques lies la scurit des rseaux bases sur ltat de lart.
Lobjectif de ce document est de fournir des recommandations pour la conception
et la configuration du rseau pour quil soit le moins vulnrable possible.

Le processus de la scurit ntant pas statique, ce document ne couvre pas

tous les domaines de la scurit du rseau. Toutefois, le risque peut tre remar-
quablement rduit grce la mise en place dune configuration scurise et par
lamlioration des fonctions de la scurit selon les menaces et la criticit du sys-
tme cible.
Ce guide comporte huit parties :
La premire partie a pour but de prsenter les diffrents risques qui peuvent me-
nacer une infrastructure rseau.
La deuxime partie prsente les recommandations pour limplmentation dune
architecture scurise. Ceci travers des rgles de conception dun rseau
depuis le cloisonnement jusqu la centralisation et le partage de charge.
La troisime partie concerne le contrle des accs et prsente quelques rgles
relatives la scurisation des accs locaux et distants.
La quatrime partie traite le contrle de flux et les recommandations pour un
filtrage optimis du trafic, et fournit les bonnes pratiques pour limplmen-
tation des systmes de dtection et de prvention contre les intrusions.
La cinquime partie se focalise sur la gestion de la journalisation des vne-
ments et la synchronisation du temps.
La sixime partie traite laspect de la gestion de la sauvegarde et de la restaura-
tion de la configuration.
La septime partie concerne la supervision et le management de la scurit.
La huitime partie prsente une vue globale sur laudit de la scurit du rseau
et propose un ensemble doutils permettant la ralisation de cet audit.

DGSSI 4
Guide Technique relatif la scurit des rseaux

Risques de scurit associs aux rseaux

2

Limportance croissante des actifs immatriels, laugmentation des dbits, lin-

terconnexion des systmes dinformation et louverture lInternet, ont conduit
une volution sans prcdent des risques auxquels sont exposs les systmes
dinformation travers les rseaux qui les composent.

Par ailleurs, linformation est produite, traite, transporte et exploite par

des systmes et sur des rseaux qui peuvent prsenter des vulnrabilits. Ces
vulnrabilits concerneraient tous les composants du rseau qui comprennent les
routeurs, les commutateurs, les ordinateurs de bureau, les serveurs et mme les
dispositifs de scurit.

Les rseaux constituent cet effet une cible privilgie des menaces qui sont
gnralement dues lun des facteurs suivants :
Le manque dune politique de la gestion de la scurit de linformation ;
Le manque de la scurit physique des quipements ;
Le manque dune politique de la gestion des correctifs et des mises jour ;
Labsence dune analyse des risques avec des mesures de scurit dfinies ;
La conception alatoire des rseaux sans aucune mesure de scurit ;
Le manque des mthodes et des procdures de gestion des accs ;
Le manque des mcanismes de cryptographie ;
Ladministration et la supervision du rseau sans une maitrise des pratiques
de la scurit ;
La mauvaise configuration des quipements rseaux.

Il convient donc de raliser une identification et une analyse des risques afin
de les classer en fonction de leur criticit et des objectifs fixs par lorganisme. Les
rsultats de cette analyse permettront de dfinir les actions prioritaires mettre en
place et les mesures convenables pour la protection contre les risques identifis.
A noter par ailleurs que le processus dvaluation du risque devra tre itratif
pour garantir une optimisation des actions et des mesures de scurit adopter.

DGSSI 5
Guide Technique relatif la scurit des rseaux

Conception dune architecture rseau scurise

3

3.1 Considrations gnrales

La phase de la conception des rseaux est un processus complexe. Une concep-
tion approprie ne doit pas se baser seulement sur les besoins fonctionnels du r-
seau, elle doit tenir compte aussi des considrations de scurit conformment
la politique de scurit de lorganisme. En effet, un rseau bien quip et correcte-
ment configur mais ne respectant pas une approche scurise dans sa conception
pourrait prsenter des vulnrabilits critiques et un risque de dysfonctionnement
menaant la scurit du systme dinformation de lorganisme..

La conception dun rseau ne doit pas tenir compte seulement des principes
fondamentaux relatifs au respect de la fonctionnalit, lvolutivit, ladaptabilit
et la facilit de gestion, mais elle doit tenir compte en plus des objectifs de la
scurit, notamment des lments ci-aprs :
- La confidentialit : consiste assurer que seuls les sujets (les personnes, les
machines ou les logiciels) autoriss aient accs aux ressources et aux infor-
mations auxquelles ils ont droit ;
- Lintgrit : consiste assurer que les ressources et les informations ne soient
pas corrompues, altres ou dtruites par des utilisateurs ou des ressources
non autoriss ;
- La disponibilit : vise assurer un fonctionnement sans faille, et garantir
laccs aux services et ressources installs avec le temps de rponse attendu ;
- La traabilit : consiste grer toute modification ou changement dans le
systme afin dassurer la possibilit dun contrle systmatique, et/ou dap-
porter des preuves posteriori.

R1 Inclure les contraintes et les exigences de scurit ds la phase de la

conception du rseau.

3.2 Cloisonnement du rseau

Le cloisonnement consiste en la sparation du rseau en domaines physiques
et logiques protgs chacun par un primtre de scurit bien dfini. Il convient
cet effet de placer les postes de travail, les priphriques et les serveurs ayant
diffrentes exigences et autorisations dans des zones de scurit (domaines) dif-
frentes afin den optimiser la gestion et le niveau de scurit.

Cela permet de restreindre les connexions autorises en diffrenciant, titre

dexemple, un rseau interne pour lequel aucune connexion venant dInternet

DGSSI 6
Guide Technique relatif la scurit des rseaux

nest autorise dun rseau dit DMZ (zone dmilitarise) accessible depuis In-
ternet. La mise en uvre dune telle DMZ ncessite linstallation de passerelles
scurises (pare-feu) entre les rseaux cloisonner afin de contrler les flux din-
formation entrants et sortants.

Pour renforcer la scurit de ces domaines, il faut crer une zone ddie lad-
ministration des quipements du rseau. Cette zone dadministration permet de
grer et de vrifier le bon fonctionnement de tous les composants dun primtre
de scurit donn. Cette zone est par nature particulirement sensible et doit tre
protge de manire adquate.

Il convient aussi de sparer le trafic de gestion du reste du trafic de production

afin dliminer la possibilit quil puisse tre intercept durant le transit. Le cas
chant, le trafic de gestion doit tre vhicul via un protocole scuris.

R2 Procder une analyse des risques pour identifier les diffrentes exi-
gences en matire de scurit pour chaque domaine.

R3 Subdiviser le rseau en fonction de la criticit des informations vhicu-

les sur le rseau.

R4 Subdiviser le rseau en tenant compte des niveaux de scurit des ac-

cs : DMZ, rseaux internes, rseaux critiques, etc.

R5 Ddier une zone dadministration pour le rseau, au minimum prvoir

un rseau logiquement spar de celui des autres rseaux.

R6 Tenir compte des besoins de cloisonnement dans toute nouvelle exten-

sion du rseau.

3.3 Cloisonnement par VLAN

Les VLANs (Virtual LANs 802.1Q) permettent de crer des rseaux virtuels
connects un quipement physique (commutateur) selon des critres (ex. port,
adresse MAC, protocole), dans le but de sparer les trafics entre les diffrents r-
seaux ainsi constitus. Les machines dun VLAN ne pourront pas communiquer
avec celles appartenant un autre VLAN. Pour permettre cette communication,
il faut interconnecter les VLANs laide dun routeur ou dun commutateur de
niveau 3.

A noter quun lien trunk permet de transporter le trafic de plusieurs VLANs

sur le mme lien en se basant sur la norme 802.1Q qui consiste insrer un champ
lentte de la trame Ethernet la fois pour grer les VLANs et pour grer les
classes de service 802.1P. Toutefois ce type de lien doit tre utilis avec prcau-
tion et doit tre configur manuellement en cas de ncessit.

DGSSI 7
Guide Technique relatif la scurit des rseaux

Ainsi, les VLAN offrent un meilleur contrle de la diffusion, amliorent les

performances et offrent une flexibilit et une volutivit dans la gestion du r-
seau. Mais, ils ne fournissent aucun mcanisme de scurit proprement parler.
En effet, les VLAN sont vulnrables certaines attaques de couche 2 (le saut des
VLANs VLAN hopping ) qui consiste dtourner la segmentation logique et
faire passer le trafic dun VLAN un autre.

R7 Limiter le nombre de VLANs au strict ncessaire.

R8 Mettre en place des mcanismes de protection contre les attaques sur

les VLANs, notamment :
Limiter le nombre dadresses MAC par port.
Configurer les ports comme ports daccs et configurer les ports
trunk manuellement si ncessaire.
Dsactiver les ports non utiliss.

La sparation physique doit tre prconise dans le cas dune diffrence impor-
tante dans les niveaux de scurit et de criticit des informations vhicules par les
diffrentes zones des rseaux concerns.

3.4 Dfense en profondeur

La dfense en profondeur consiste dterminer les barrires mettre en place
en fonction des menaces et des biens protger. Cela consiste multiplier les ni-
veaux de protection suivant une approche en couche afin de permettre aux autres
couches de ragir si une couche de scurit de niveau infrieur est franchie.

Il convient donc de dterminer, sur la base dune analyse des risques, les m-
canismes et les solutions mettre en place selon la criticit et limportance des
biens protger. Plus le systme protger est critique, plus le nombre des bar-
rires de scurit doit tre important. On peut citer dans ce cadre :
La scurit physique ;
Les pare-feu ;
Les IDS/IPS ;
Les VPNs ;
Les solutions de journalisation, de supervision ;
Les solutions antivirales ;

R9 Implmenter une dfense en profondeur pour assurer un niveau de

scurit adquat du rseau selon limportance des biens protger.

DGSSI 8
Guide Technique relatif la scurit des rseaux

3.5 Centralisation de la gestion du rseau

La gestion centralise du rseau permet une exploitation efficiente de linfra-
structure rseau. Cela se traduit par une supervision efficace et une intervention
rapide en cas dincident pour assurer une haute disponibilit des services. La so-
lution de gestion centralise doit tre compatible avec les quipements du rseau
de lorganisme tout en assurant une gestion facile et efficiente de linfrastructure
rseau.

R 10 Mettre en place une plateforme centralise de gestion de linfrastruc-

ture rseau.

R 11 Implmenter la solution de gestion du rseau dans la zone dadminis-

tration.

3.6 Disponibilit
Lindisponibilit des services offerts par le rseau reprsente une menace au
bon fonctionnement du systme dinformation. Cette menace peut provenir de
plusieurs sources telles que la dfaillance des quipements, la saturation du r-
seau ou les attaques par dni de service, etc.

La conception dun rseau doit tenir compte de laspect haute disponibilit et

de partage de charge des services offerts. Cela consiste assurer une redondance
et une distribution de charge de faon intelligente pour amliorer le temps de r-
ponse des services, renforcer la capacit pallier la dfaillance dun ou plusieurs
quipements du rseau et lajout de nouveaux quipements sans interruption du
service.

Il se traduit en gnral par la mise en uvre de solutions qui permettent la

redondance de lalimentation, des quipements, des liens, des passerelles, des
accs Internet, voire mme lutilisation des protocoles de redondance des pas-
serelles (ex. VRRP Virtual Router Redundancy Protocol ) et les protocoles de
routage dynamique (ex. OSPF Open Short Path First ).

R 12 Assurer une haute disponibilit des lments cls du rseau en tenant

compte de limpact de la dfaillance de ces lments sur la disponibilit
du rseau.

3.7 Les rseaux sans fil

Si lutilisation des rseaux sans fil (Wireless LAN) simpose dans certains cas,
il convient de les sparer du rseau local par lutilisation de dispositifs de seg-
mentation. Cela fournit une scurit supplmentaire et un point de passage oblig

DGSSI 9
Guide Technique relatif la scurit des rseaux

entre le rseau sans fil et le rseau local filaire.

La scurit physique des points daccs (Access Point AP ) et des infrastruc-

tures connexes devrait galement tre considre comme faisant partie de linfra-
structure. Il convient donc de mettre en place les contrles appropris visant
protger physiquement le matriel, tels que linstallation des points daccs dans
des armoires scurises ou le montage des points daccs dans des zones fermes.

La conception dun rseau sans fil doit galement prendre en considration

les mcanismes dauthentification et de cryptage utiliser. En effet, il est recom-
mand de mettre en place un niveau lev dauthentification, des techniques
cryptographiques appropries et de raliser un contrle fin des utilisateurs qui
ont accs aux rseaux sans fil.

Dune manire gnrale, il faut viter le dploiement de rseaux sans fil sur
des systmes dinformation manipulant des donnes sensibles, dfaut, mettre
en uvre de mesures spcifiques.

R 13 Sparer les rseaux sans fil du reste du rseau global.

R 14 Renforcer la scurit des points daccs, notamment :

Changer la configuration par dfaut des points daccs : les mots de
passe dadministration, le SSID par dfaut, etc.
Dsactiver les interfaces de management et les services non utilises.
Dsactiver la diffusion du SSID.
Mettre en place un filtrage par adresse MAC.
Activer la journalisation de lactivit des points daccs.

R 15 Mettre en place des techniques cryptographiques efficaces :

viter lutilisation des protocoles vulnrables comme le WEP.
Utiliser un chiffrement robuste.

R 16 Mettre en place une solution dauthentification centralise ( exemple :

le standard IEEE 802.1X / EAP "Extensible Authentication Protocol").

DGSSI 10
Guide Technique relatif la scurit des rseaux

4 Contrle daccs

Le contrle daccs aux ressources est un lment capital dans la scurit des
rseaux. Ce contrle permet en effet de protger le rseau contre tout accs non
autoris aux ressources.

Ce type de contrle doit faire lobjet dune politique documente et doit sap-
puyer sur des logiciels, des technologies, et des composants physiques appro-
pris.

4.1 Contrle daccs au rseau

4.1.1 Politique de contrle daccs
Le contrle daccs devrait tre la fois logique et physique. Avant de mettre
en place des mcanismes de contrle daccs, il est recommand de dfinir une
politique de contrle daccs qui dfinit les autorisations et les droits daccs un
primtre de scurit dfini.

R 17 Dfinir et sparer les rles et les responsabilits pour les accs aux res-
sources du rseau.

R 18 tablir des rgles daccs fondes sur le principe tout est gnrale-
ment interdit sauf autorisation expresse plutt que sur la rgle, moins
fiable, selon laquelle tout est gnralement autoris sauf interdiction
expresse.

R 19 Attribuer des autorisations et des droits daccs adapts au niveau de

scurit souhait.

R 20 Assurer une traabilit des modifications des droits daccs.

4.1.2 Gestion des accs physiques

La scurit physique dun rseau est lun des facteurs cls de la russite dune
politique de contrle daccs. Il doit reposer sur la dfinition dun primtre de
scurit appropri et sur la restriction des accs aux seules personnes autorises.

R 21 Dfinir les primtres physiques accs restreint, et mettre en place des

dispositifs de contrle daccs.

DGSSI 11
Guide Technique relatif la scurit des rseaux

R 22 Placer les ressources critiques (les pare-feu, les routeurs, les switchs,
etc.) dans des primtres scuriss.

R 23 Identifier, documenter et valider toute modification physique de lin-

frastructure rseau.

4.1.3 Gestion des accs logiques

Afin dempcher tout accs non autoris au rseau, il convient dutiliser des
mcanismes dauthentification pour les utilisateurs et les quipements. Ces m-
canismes sont la fois de nature organisationnelle (des procdures de gestion des
accs) et technique (des mcanismes dauthentification et dautorisation), permet-
tant de minimiser les accs non autoriss aux ressources et par consquent dimi-
nuer limpact en cas daction malveillante.

R 24 Mettre en place une procdure de gestion des accs des utilisateurs aux
ressources rseaux.

R 25 Mettre la disposition des utilisateurs des comptes nominatifs et

uniques et attribuer les droits daccs selon le principe du moindre pri-
vilge.

R 26 Mettre la disposition des administrateurs des comptes nominatifs et

uniques et attribuer les privilges selon leurs rles et leurs responsabi-
lits.

R 27 Mettre en place des mcanismes dauthentification des quipements

autoriss sur le rseau (ex. le standard IEEE 802.1X).

R 28 Gnrer des traces des accs et des commandes excutes des fins
dinvestigation de scurit.

4.1.4 Authentification et autorisation daccs

Laccs des dispositifs et des utilisateurs aux ressources rseaux doit tre pra-
lablement authentifi et autoris. Le processus dauthentification et dautorisa-
tion doit suivre une approche respectant le modle AAA (Authentification Au-
thentication , Autorisation Authorization et Journalisation Accounting ).
Lutilisation de ce modle permet de confirmer lidentification du propritaire du
compte avant dautoriser laccs, de lui dcrire les droits exercer et de garder un
enregistrement et un suivi de ses actions.

Compte tenu de lvolution de la taille, la nature et la complexit des r-

seaux, la gestion des bases de donnes dauthentification peut savrer difficile.
Il convient donc de mettre en place des solutions centralises assurant une au-
thentification unique (SSO) pour bnficier des services offerts par le rseau. Cela

DGSSI 12
Guide Technique relatif la scurit des rseaux

permet aussi dassurer lidentification et la rsolution des problmes daccs dans

des dlais raisonnables sans entraver la continuit des activits.

R 29 Implmenter une politique dauthentification et dautorisation selon le

modle AAA.

R 30 Renforcer lauthentification par la mise en place dune authentification

forte (exemple : Tokens, certificats, empreinte digitale, etc.).

R 31 Mettre en place une solution centralise dauthentification et dautori-

sation des accs aux ressources rseaux.

R 32 Placer les priphriques et les utilisateurs authentifis dans des zones

de scurit qui correspondent leurs profils et privilges.

R 33 Bloquer laccs des priphriques et des utilisateurs non authentifis

ou les placer dans des zone ddies qui permettent un accs restreint
aux services du rseau.

R 34 Mettre en place des techniques de protection contre les tentatives

de connexion infructueuses (ex. limiter le nombre de tentatives de
connexion avant de bloquer laccs).

R 35 Dconnecter les sessions de connexion aprs une priode dinactivit.

4.1.5 Gestion des mots de passe

Le mot de passe constitue un des moyens didentification dun utilisateur
pour laccs une ressource rseau. Il convient donc de respecter les bonnes pra-
tiques de scurit lors du choix dun mot de passe, notamment :
Le mot de passe doit contenir au moins 12 caractres (compos de lettres
majuscules et minuscules, de chiffres et de caractres spciaux) ;
Le mot de passe ne doit pas tre compos dune suite conscutive de carac-
tres identiques totalement numriques ou totalement alphabtiques ;
Le mot de passe ne doit pas tre attach une information personnelle fa-
cile deviner ou obtenir, et il doit tre non vulnrable une attaque par
dictionnaire.
Il convient aussi de protger lenregistrement et la sauvegarde des mots de
passe par limplmentation des mcanismes cryptographique assurant la confi-
dentialit et lintgrit des fichiers de configuration et des fichiers de backup.

R 36 Choisir un mot de passe fort.

R 37 Ne pas partager le mot de passe.

R 38 Ne pas garder un enregistrement du mot de passe en clair (sous format

papier ou fichier lectronique).

DGSSI 13
Guide Technique relatif la scurit des rseaux

R 39 Eviter dutiliser les mots de passe par dfaut.

R 40 Changer les mots de passe intervalles rguliers (entre 60 et 90 jours)

et ne pas rutiliser danciens mots de passe.

R 41 Protger les fichiers de configuration des quipements rseaux contre

les divulgations non autorises, et prendre les mesures ncessaires afin
dviter que les mots de passe apparaissent en claire.

Pour une meilleure application des recommandations cites ci-dessus, il convient de

mettre en place une politique de gestion des mots de passe au niveau de la solution
centralise dauthentification.

4.2 Exploitation et administration

4.2.1 Administration des quipements rseaux
Ladministration et la gestion des quipements rseau est un aspect sensible
qui doit tre gr dune manire adquate pour empcher toute connexion non
autorise. Il est recommand de ddier une zone dadministration scurise avec
un plan dadressage spcifique. Cette zone dadministration doit tre protge
par filtrage strict, et doit favoriser lutilisation des protocoles scuriss.

R 42 Disposer dun inventaire de linfrastructure rseau avec lemplace-

ment, le rle, la version du systme, ladresse IP de management de
chaque composant.

R 43 Mettre en place une procdure de nomination des quipements rseaux

et des cbles pour faciliter la maintenance.

R 44 Renforcer la scurit des quipements, notamment :

Changer les comptes et les mots de passe dadministration fournis
par dfaut.
Dsactiver tous les services non utiliss.
Dsactiver les interfaces non utilises.
Restreindre laccs physique aux quipements aux seules personnes
autorises.
Restreindre laccs aux interfaces de management des quipements
aux seules personnes autorises.

R 45 Utiliser des protocoles scuriss (SSHv2, TLS v1.1+, etc.).

R 46 Veiller la mise jour des logiciels et des systmes dexploitation (OS)

des lments de linfrastructure rseau.

DGSSI 14
Guide Technique relatif la scurit des rseaux

4.2.2 Gestion des accs distance

Les solutions daccs distance permettent aux utilisateurs daccder des
fonctionnalits internes du systme dinformation partir de lextrieur. Il est
par consquent ncessaire dappliquer au minimum le mme niveau de scurit
que les mcanismes utiliss pour contrler laccs local aux ressources rseaux.
La scurit daccs distance repose sur une combinaison de la scurit des l-
ments suivants :
Le client (le systme dexploitation client, pare-feu client, le logiciel client
daccs distance, etc.) ;
Le rseau (le point daccs distance, la segmentation rseau, les droits as-
socis aux comptes daccs distance, etc.) ;
Les exigences cryptographiques.

R 47 Sassurer que tous les accs distants sont authentifis et chiffrs

(IKE/IPsec).

R 48 Isoler les accs distants dans un segment dadresse IP dtermine afin

de faciliter le filtrage ultrieur par dautres quipements de scurit.

R 49 Limiter les services offerts pour les accs distants aux seuls besoins
identifis.

R 50 Scuriser les ordinateurs utiliss pour les accs distants par limpl-
mentation dun logiciel antivirus ainsi quun pare-feu local.

R 51 Auditer priodiquement la base de donnes des utilisateurs autoriss

accder distance afin dliminer les comptes non utiliss.

DGSSI 15
Guide Technique relatif la scurit des rseaux

5 Contrle des flux

5.1 Considrations gnrales

Un contrle des flux efficace repose sur ltablissement dune politique de
contrle des trafics changs entre les diffrentes zones de scurit. Ce contrle
permet de disposer dune vision globale des changes effectus sur le rseau
travers lidentification du rle de chaque dispositif de scurit et ltablissement
dune matrice des flux et des services autoriss.

De plus, il convient de disposer dune procdure de gestion des changements

permettant de formaliser et de tracer toute modification apporte larchitecture
rseau ou la matrice des flux changs.

R 52 Dfinir une politique de contrle des flux selon les besoins de lorga-
nisme.

R 53 Documenter la topologie du rseau et laborer une matrice des flux.

R 54 Etablir des procdures formelles pour le processus de gestion des chan-

gements et le traage des modifications apportes sur larchitecture r-
seau.

R 55 Mettre en place des mcanismes de filtrage, des proxies de services et

des dispositifs de prvention et dtection dintrusion pour sparer, pro-
tger et superviser le rseau.

5.2 Filtrage de paquets

La fonction de filtrage de paquets nest pas rserve exclusivement aux pare-
feu. Dautres dispositifs tels que les routeurs et les commutateurs de la couche
3 permettent aussi de raliser du filtrage de paquets par limplmentation des
filtres spcifiques. Le filtrage de paquets se base essentiellement sur lanalyse des
paquets changs, les adresses IP source et destination, les types de paquets et
le service ou le port demand.

La mise en place des mcanismes de filtrage tels que le filtrage statique sta-
teless , le filtrage tat stateful et le filtrage applicatif, permet dassurer une
protection adquate du rseau conformment la politique de contrle daccs
tout en vitant de trop limiter les fonctionnalits de lutilisateur (quilibre entre
scurit et fonctionnalit).

DGSSI 16
Guide Technique relatif la scurit des rseaux

R 56 Dfinir les rgles de filtrage sur la base de "tout ce qui nest pas expli-
citement autoris est interdi".

R 57 Mettre en place des rgles de filtrage sur la base des interfaces (interne,
externe, DMZ, etc.), de la direction des connexions (trafic entrant et
trafic sortant), de ladresses IP source et destination, des ports sources
et destination.

R 58 Mettre jour les rgles de filtrage en fonction des exploits et vulnra-

bilits rcents et de lvolution de larchitecture du rseau.

R 59 Protger contre le IP Spoofing, en bloquant toute connexion provenant

de lInternet ayant comme adresse source : une adresse du rseau in-
terne, les adresses locales 127.0.0.0-127.255.255.255 , une adresse pri-
ve 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 ou une adresse de mul-
ticast 224.0.0.0/4 .

R 60 Autoriser seulement les connexions sortantes ayant comme adresse

source ladressage du rseau interne.

R 61 Activer lenvoi de logs pour les rgles de filtrage qui bloquent laccs
une ressource systme ou rseau.

R 62 Filtrer les messages ICMP "destination unreachable" et "redirect".

R 63 Protger le rseau interne contre le "traceroute" provenant des rseaux

externes.

5.3 Protocoles de routage

Le terme routage dsigne le mcanisme par lequel les donnes dun quipe-
ment expditeur sont achemines jusqu leur destinataire, mme si aucun des
deux ne connat le chemin complet que les donnes devront suivre. Les proto-
coles de routage permettent la diffusion des informations de routage aux autres
systmes du rseau afin de transmettre les modifications des tables de routage.
Ces informations de routage sont utilises lors de lacheminement des paquets
dun rseau IP lautre en fonction de leur adresse IP de destination.

Ces protocoles ncessitent dtre protgs afin dviter tout impact sur les
tables de routage du rseau. En effet, ils peuvent tre cibles dattaques, notam-
ment :
Attaques par injection de routes, qui consistent injecter un nombre im-
portant de fausses routes ou de routes dupliques afin de rendre instable le
processus de routage du rseau ;
Attaques permettant de gnrer une instabilit des routes, qui consistent
injecter des mises jour importantes, par exemple sur une route lgitime,
afin dimpacter le processus de routage ou de bloquer certaines routes.

DGSSI 17
Guide Technique relatif la scurit des rseaux

R 64 Dfinir des rgles de configuration des protocoles de routage internes

et externes permettant dassurer un primtre de scurit prcis du
processus de routage.

R 65 Scuriser les changes des informations de routage par lutilisation

dun mot de passe de type message digest.

5.4 Systmes de dtection et de prvention contre les

intrusions
Les systmes de dtection et de prvention contre les intrusions permettent de
surveiller le trafic rseau afin de reprer les activits anormales et suspectes. Les
systmes de dtection dintrusion IDS sont des systmes software ou hard-
ware conus pour analyser le trafic circulant dans un primtre rseau bien d-
finit. Ils fonctionnent en mode passif en envoyant des logs en cas de dtection
dune intrusion. Par contre, les systmes de prvention dintrusion IPS fonc-
tionnent en mode actif, et ils permettent, en plus de lenvoi des logs, dautoriser
ou de bloquer le trafic en cas de dtection des activits malveillantes.

La dtection dintrusions se base sur les signatures stockes dans des bases de
connaissances des IDS/IPS. Ces signatures ncessitent des mises jour rgulires
en fonction des nouvelles attaques et vulnrabilits dtectes.

De manire gnrale, lutilisation de ces solutions dpend des besoins de lor-

ganisme, mais il est conseill de placer lIDS/IPS aprs le Firewall (cot rseau
interne).

R 66 Choisir un emplacement adquat de lIDS/IPS qui rpond aux besoins

de scurit de lorganisme.

R 67 Mettre jour rgulirement les bases des signatures des IDS/IPS.

R 68 Veiller rduire le taux des faux positifs qui peut engendrer un arrt
du trafic dans le rseau.

R 69 Scuriser et limiter laccs aux interfaces de management des IDS/IPS

et journaliser toute tentative de connexion.

R 70 Journaliser les alertes dtectes par lIDS/IPS.

R 71 Etablir une procdure de traitement dincidents dans le cas dune d-

tection dintrusion.

DGSSI 18
Guide Technique relatif la scurit des rseaux

Journalisation des vnements et

synchronisation du temps
6

6.1 Journalisation des vnements

La journalisation est un mcanisme de contrle de la scurit dinformation
qui permet de surveiller le rseau et de garder une traabilit sur les journaux
dactivits (logs). Elle reprsente un moyen dinvestigation et danalyse en cas
dincident.

De manire gnrale, il est recommand dutiliser des quipements disposant

nativement dune fonctionnalit de journalisation, de synchroniser ces quipe-
ments sur plusieurs sources de temps (utiliser le NTP), de dfinir la granularit
de la journalisation en fonction du rle de lquipement et du besoin de lorga-
nisme et de privilgier en cas de besoin un transfert en temps rel des journaux
sur des serveurs centraux.

R 72 tablir des procdures formelles permettant la gestion des journaux

dactivits, leur examen priodique et leur sauvegarde.

R 73 Dterminer le niveau de journalisation requis pour chaque quipement

par le biais dune apprciation du risque.

R 74 Centraliser et consolider les journaux dactivits sur une solution cen-

trale (serveur de logs), et veiller ce que cette solution soit redonde
afin dassurer une haute disponibilit du service de collecte des logs.

R 75 Envoyer les journaux dactivits vers un rseau de gestion scuris

et ddi, et sappuyer de prfrences sur des mcanismes cryptogra-
phiques lors du transfert des logs (mettre en place un VPN scuris si
le rseau est distant.)

R 76 Etablir une estimation de lespace de stockage ncessaire la conserva-

tion des journaux dactivits.

R 77 Restreindre laccs aux logs aux seules personnes autorises.

DGSSI 19
Guide Technique relatif la scurit des rseaux

6.2 Synchronisation et serveur NTP

Pour pouvoir analyser convenablement les journaux dvnements collects,
il est recommand de disposer dquipements synchroniss sur la mme base de
temps.

Le protocole NTP (Network Time Protocol) permet de synchroniser automa-

tiquement les quipements rseau et systme sur une ou plusieurs sources de
temps. Il convient dtablir une architecture NTP qui prend en compte des ser-
veurs NTP internes sur lesquels se synchronise lensemble des quipements du
rseau de lorganisme.

R 78 Synchroniser lhorloge principale des serveurs NTP locaux sur une

rfrence reconnue, par exemple sur le Temps Universel Coordonn
(UTC) ou des serveurs externes approuvs.

R 79 Envisager lutilisation dun serveur NTP redondant mettre en place

dans la zone dadministration.

R 80 Sassurer que tous les quipements rseaux sont synchroniss sur les
serveurs NTP locaux.

R 81 Sassurer que les quipements rseaux sont synchroniss sur les ser-
veurs NTP autoriss (utiliser par exemple lauthentification NTP et le
filtrage par des rgles de scurit).

DGSSI 20
Guide Technique relatif la scurit des rseaux

Sauvegarde et restauration
7

Lopration de sauvegarde consiste raliser des copies priodiques des fi-

chiers de configuration des lments rseau. Celle-ci peut tre utile lors de la
restauration en cas dincident. Cette opration peut se faire manuellement ou au-
tomatiquement en utilisant des outils appropris.

Pour ce faire, il convient de mettre en place une procdure de gestion de la

sauvegarde et de la restauration afin de formaliser ce processus en dfinissant les
rles, les responsabilits et les mcanismes mis en place pour la ralisation des
oprations de sauvegarde et de restauration.

R 82 Etablir une procdure de gestion de la sauvegarde et de la restauration

de la configuration rseau.

R 83 Placer les sauvegardes dans un lieu sr distinct du site source.

R 84 Protger les sauvegardes ralises par un chiffrement appropri.

R 85 Automatiser les sauvegardes pour faciliter le processus de sauvegarde

et de restauration.

R 86 Soumettre rgulirement essai les supports de sauvegarde pour sas-

surer de leur fiabilit.

R 87 Mettre en place un suivi appropri laide des outils de supervision du

processus de sauvegarde

DGSSI 21
Guide Technique relatif la scurit des rseaux

Supervision et management de la scurit

8

8.1 Solution de management de la scurit "SIEM"

Les solutions de management de la scurit de linformation et des vne-
ments fonctionnent en temps rel pour scuriser le rseau dune manire ponc-
tuelle et proactive. Elles permettent de surveiller les alertes de scurit gnres
par diverses solutions de scurit logicielles ou matrielles.

Les solutions SIEM permettent de recueillir des donnes pertinentes de scu-

rit partir de diffrentes sources ( savoir les routeurs, les IDS/IPS, les pare-feu,
les serveurs, etc.), de les normaliser, de les corrler, et de fournir une rponse au-
tomatique pour rduire le temps de raction une attaque. Elles permettent ainsi
de relier plusieurs vnements de scurit une mme cause.

R 88 Procder un dploiement progressif de la solution. Commencer le

dploiement sur un primtre limit avant de ltendre lensemble
du SI de lorganisme.

R 89 Sparer le trafic du SIEM du reste du trafic rseau, et favoriser lutilisa-

tion des protocoles de transfert des vnements collects qui sappuient
sur des mcanismes cryptographiques (par exemple mettre en place un
VPN scuris si le rseau est distant).

R 90 Veiller rduire le taux des faux positifs gnrs par le SIEM, notam-
ment lors de la premire mise en uvre de la solution.

R 91 Conserver et grer les donnes historiques pour une analyse ultrieure.

8.2 Supervision du rseau

Les solutions de supervision permettent notamment de dtecter ltat des
liens et de mesurer les performances en termes de bande passante et de charge
(CPU et mmoire) des quipements rseau. Cela permet de dtecter tout chan-
gement dans le rseau afin de permettre aux administrateurs de ragir en temps
opportun pour empcher tout dysfonctionnement ventuel.

La centralisation de la supervision permet une surveillance facile et efficace

du rseau par la centralisation et la consolidation des informations collectes
depuis les lments superviss (routeurs, commutateurs, pare-feu, IDS/IPS, ser-
veurs, etc.).

DGSSI 22
Guide Technique relatif la scurit des rseaux

R 92 Mettre en place une solution de supervision centralise.

R 93 Dfinir le primtre de supervision souhait et le niveau de suivi des

activits.

R 94 Placer la solution de supervision dans une zone de management ddie

et scurise.

R 95 Restreindre laccs ces solutions de supervision aux seules personnes

autorises.

R 96 Implmenter les options de scurit offertes par les protocoles de su-

pervision.

R 97 Protger les changes entre les serveurs de supervision et les quipe-

ments superviss (mettre en place un VPN scuris si le rseau est dis-
tant).

DGSSI 23
Guide Technique relatif la scurit des rseaux

9 Audit de la scurit du rseau

Laudit de la scurit du rseau est un examen mthodique et priodique de la

situation de linfrastructure rseau en vue de vrifier sa conformit des bonnes
pratiques, des rgles ou des normes.

Laudit de la scurit des rseaux peut tre effectu en utilisant une combi-
naison doutils de scan des rseaux et de dtection des vulnrabilits (ex. HPing,
Nmap, Ethereal, OpenVAS, Aircrack-ng, etc.). Il est important aussi dutiliser des
outils de test dintrusion et des techniques dvasion tel que le Framework des
tests dintrusion Metasploit. En plus, il convient dutiliser des outils daudit et
de validation de la configuration des quipements rseaux (ex. NCAT Network
Config Audit Tool).

R 98 Raliser priodiquement des contrles et des audits de scurit de lin-

frastructure rseau.

R 99 Utiliser des outils de tests dintrusion pour valuer la capacit du r-

seau rsister des attaques extrieures.

R Auditer et examiner la configuration des quipements rseau (Routeur,

100 firewall, Switches, IDS/IPS, etc.).

R Etablir un rapport daudit dtaill qui rsume la situation actuelle du

101 rseau et propose des recommandations pour en amliorer la scurit.

Afin dviter des consquences lies aux ventuels dysfonctionnements sur un en-
vironnement de production, il est prfrable de raliser les tests dintrusion sur un
environnement de test ou pr-production.

DGSSI 24
Guide Technique relatif la scurit des rseaux

Rfrences

1 Norwegian National Security Authority, "Network Security Guidance N-01",

20-08-2012.
2 Norwegian National Security Authority,Security guidance for switches and routers,29-
09-2012.
3 National Security Agency (NSA), "Hardening Network Infrastructure", MIT-
003FS-2013, May 2013.
4 Keith Barker & Scott Morris, "CCNA Security, 640-554 Official cert guide",2013
Pearson Education.
5 John Swartz & Todd Lammle,"Cisco Certified Internetwork Expert (CCEI) Study
Guide".
6 SANS Institute InfoSec Reading Room, "Virtual LAN Security : weaknesses and
countermeasures".
7 Thomas Akin, "Hardening Cisco Routers", February 2002.

DGSSI 25