Vous êtes sur la page 1sur 6

1.

1 Concernant le Zero Trust

Zero Trust est un modèle de sécurité, un ensemble de principes de conception de système et une
stratégie coordonnée de cybersécurité et de gestion de système basée sur la reconnaissance que les
menaces existent à la fois à l'intérieur et à l'extérieur des limites traditionnelles du réseau. La
National Security Agency (NSA) soutient pleinement le modèle de sécurité Zero Trust, et une grande
partie des conseils contenus dans ce rapport peuvent être appliqués à différentes limites, comme
recommandé dans les conseils Zero Trust. Cependant, ce rapport se concentre sur la fourniture de
conseils pour atténuer les vulnérabilités et les faiblesses courantes des réseaux existants. Au fur et à
mesure que les propriétaires de systèmes introduisent de nouvelles conceptions de réseau destinées
à atteindre des principes Zero Trust plus matures, ces directives peuvent devoir être modifiées.

2. Architecture et conception du réseau

Une conception de réseau sécurisé qui met en œuvre des principes, à la fois pour le périmètre du
réseau et les dispositifs internes. plusieurs couches défensives sont essentielles pour se défendre
contre les menaces et protéger les ressources au sein du réseau. La conception doit suivre les
meilleures pratiques de sécurité et le modèle Zero Trust

2.1 Installer des dispositifs de défense périmétrique et interne

Un réseau nécessite une stratégie défensive substantielle pour protéger les composants individuels
et les informations qu'ils contiennent. Plusieurs couches de défense doivent être mises en œuvre à

le périmètre du réseau pour se protéger contre les menaces externes, et pour surveiller et
restreindre le trafic entrant et sortant.

La NSA recommande de configurer et d'installer des dispositifs de sécurité au périmètre du réseau


conformément aux meilleures pratiques de sécurité :

• Installez un routeur de bordure pour faciliter une connexion au réseau externe, tel qu'un
fournisseur de services Internet (ISP).

• Implémentez plusieurs couches de pare-feu de nouvelle génération sur l'ensemble du réseau pour
restreindre le trafic entrant, restreindre le trafic sortant et examiner toutes les activités internes
entre des régions réseau disparates. Chaque couche doit utiliser différents fournisseurs pour se
protéger contre un adversaire exploitant la même vulnérabilité non corrigée pour tenter d'accéder
au réseau interne.

• Placez les systèmes accessibles au public et les proxys sortants entre les couches de pare-feu dans
un ou plusieurs sous-réseaux de zone démilitarisée (DMZ), où l'accès peut être contrôlé de manière
appropriée entre les périphériques externes, les périphériques DMZ et les systèmes internes.

• Implémentez une solution de surveillance du réseau pour enregistrer et suivre le trafic entrant et
sortant, comme un système de détection d'intrusion réseau (NIDS), un inspecteur de trafic ou un
dispositif de capture de paquets complets.

• Déployez plusieurs serveurs de journaux distants dédiés pour permettre la corrélation des activités
entre les appareils et la détection des mouvements latéraux.

• Implémentez des périphériques redondants dans les zones centrales pour garantir la disponibilité,
qui peuvent être équilibrés pour augmenter le débit du réseau et réduire la latence.
Figure 1: Network perimeter with firewalls anda DMZ

2.2 Regrouper les systèmes de réseau similaires

Des systèmes similaires au sein d'un réseau doivent être logiquement regroupés pour se protéger
contre les mouvements latéraux contradictoires d'autres types de systèmes. Les adversaires cibleront
les systèmes plus facilement exploitables, tels que les imprimantes, et utiliseront cet accès initial
pour se propager davantage à d'autres systèmes sur le réseau. Une segmentation appropriée du
réseau réduit considérablement la capacité d'un adversaire à atteindre et à exploiter ces autres
systèmes (voir "Layering Network Security Through Segmentation" de la Cybersecurity and
Infrastructure Security Agency (CISA) et "Segment Networks and Deploy Application-aware Defenses"
de la NSA [1] , [2]. De plus, les restrictions d'accès entre différents types de systèmes sont plus faciles
à gérer, contrôler et surveiller si elles sont regroupées de manière logique.

La NSA recommande d'isoler des systèmes similaires dans différents sous-réseaux ou réseaux locaux
virtuels (VLAN), ou de séparer physiquement les différents sous-réseaux via des pare-feu ou des
routeurs filtrants. Les postes de travail, serveurs, imprimantes, systèmes de télécommunication et
autres périphériques réseau doivent être séparés les uns des autres. Les technologies
opérationnelles, telles que les systèmes de contrôle industriels, doivent généralement être isolées
des autres technologies de l'information et des réseaux à haut risque comme Internet. Cette
séparation physique offre une meilleure protection car le dispositif intermédiaire entre les sous-
réseaux doit être compromis pour qu'un adversaire contourne les restrictions d'accès. Implémentez
des restrictions d'accès sur les routeurs, commutateurs ou pare-feu internes pour n'autoriser que les
ports et protocoles requis pour les opérations réseau ou les besoins de mission valides. Les listes de
contrôle d'accès (ACL) peuvent devoir être dupliquées et appliquées directement aux commutateurs
pour restreindre l'accès entre les VLAN, ou elles peuvent être appliquées aux routeurs principaux où
le routage est effectué entre les sous-réseaux internes.

2.3 Supprimer les connexions de porte dérobée


Une connexion réseau de porte dérobée est établie entre deux appareils ou plus situés dans
différentes zones du réseau, généralement avec différents types de données et d'exigences de
sécurité. Si un appareil est compromis, un adversaire peut utiliser cette connexion pour contourner
les restrictions d'accès et accéder à d'autres zones du réseau. Un exemple de connexion réseau de
porte dérobée est un routeur frontalier externe connecté à un FAI qui est également directement
connecté aux réseaux internes ou de gestion. Un adversaire capable de compromettre ce routeur de
frontière externe aurait probablement accès au réseau interne, en contournant tous les pare-feu.

La NSA recommande de supprimer toutes les connexions réseau de porte dérobée et de faire preuve
de prudence lors de la connexion d'appareils avec plusieurs interfaces réseau. Vérifiez que toutes les
interfaces réseau d'un périphérique sont à des niveaux de sécurité similaires ou qu'un périphérique
intermédiaire fournit une séparation logique et physique entre les différentes zones du réseau.

2.4 Utiliser des contrôles d'accès au périmètre stricts

Les périphériques de périmètre réseau sont des éléments essentiels d'un modèle de sécurité et
doivent être configurés pour se compléter en implémentant des ACL pour réguler l'entrée et la sortie
du trafic réseau. Ces ensembles de règles de contrôle d'accès doivent être configurés pour
n'autoriser explicitement que les services et les systèmes nécessaires à la prise en charge de la
mission du réseau. Si les pare-feu et les routeurs de périmètre ne sont pas configurés avec des
politiques de sécurité réseau adéquates, cela permettra un accès inutile vers ou depuis le réseau
interne et augmentera le risque de compromission du réseau et de collecte d'informations.

La NSA recommande d'examiner attentivement les connexions à autoriser et de créer des ensembles
de règles qui se concentrent sur l'autorisation de celles qui sont autorisées et sur le refus de tout le
reste. Cette méthode permet à une seule règle de refuser plusieurs types de connexions, au lieu de
devoir créer une règle distincte pour chaque connexion bloquée. S'il est nécessaire de
dynamiquement appliquer des ensembles de règles de périmètre supplémentaires pour empêcher
les tentatives d'exploitation de se terminer ou de se poursuivre, la NSA recommande l'utilisation d'un
système de prévention des intrusions (IPS).

La NSA recommande également d'activer la journalisation sur ces ensembles de règles pour inclure,
au minimum, tout ce qui refuse ou abandonne le trafic réseau et inclut l'accès administrateur réussi
ou non aux périphériques critiques.

2.5 Mettre en œuvre une solution de contrôle d'accès au réseau (NAC)

Un adversaire qui souhaite obtenir un accès interne à un réseau doit soit trouver un chemin à travers
le périmètre externe du réseau, soit obtenir un accès depuis l'intérieur du réseau. Une solution NAC
empêche les connexions physiques non autorisées et surveille les connexions physiques autorisées
sur un réseau.

La NSA recommande de mettre en œuvre une solution NAC qui identifie et authentifie les appareils
uniques connectés au réseau. La sécurité des ports est un mécanisme qui peut être mis en œuvre sur
les commutateurs pour détecter le moment où des périphériques non autorisés sont connectés au
réseau via l'adresse MAC (Media Access Control) d'un périphérique. Cependant, la sécurité des ports
peut être difficile à gérer. Par exemple, cela augmente le nombre de tickets d'assistance en raison de
ports réseau bloqués valides (par exemple, les appareils connectés qui changent souvent, comme les
salles de conférence). De plus, les adversaires qui peuvent usurper une adresse MAC peuvent
également la contourner. Une solution plus robuste utilise 802.1X, qui authentifie les appareils sur la
base d'un certificat numérique de confiance installé sur l'appareil. Bien qu'il soit plus difficile à mettre
en œuvre, en raison de la génération et de l'installation de certificats, il est plus facile à gérer que la
sécurité portuaire et offre un niveau d'assurance plus élevé.

2.6 Limiter et chiffrer les réseaux privés virtuels (VPN)

Les passerelles VPN ont tendance à être accessibles depuis Internet et sont sujettes à l'analyse du
réseau, aux tentatives de force brute et aux vulnérabilités du jour zéro. Pour atténuer bon nombre de
ces vulnérabilités, les administrateurs doivent désactiver toutes les fonctionnalités inutiles et mettre
en œuvre des règles strictes de filtrage du trafic pour le trafic circulant vers les passerelles VPN [2].

La NSA recommande de limiter l'accès de la passerelle VPN au port 500 du protocole de datagramme
utilisateur (UDP), au port UDP 4500, à la charge utile de sécurité d'encapsulation (ESP) et à d'autres
ports appropriés selon les besoins. Lorsque cela est possible, limitez le trafic accepté à l'Internet pair
VPN connu Adresses de protocole (IP). Les VPN d'accès distant ne peuvent pas être ajoutés à une
règle de filtrage statique si l'adresse IP du pair distant est inconnue. Si le trafic ne peut pas être filtré
vers des adresses IP spécifiques, utilisez un IPS devant la passerelle VPN pour surveiller le trafic de
sécurité IP (IPsec) malformé et inspecter les négociations de session IPsec.

Toutes les configurations VPN IPsec nécessitent une politique IPsec et une politique IKE (Internet Key
Exchange). Ces politiques déterminent comment il négociera chaque phase lors de l'établissement du
tunnel IPsec. Si l'une ou l'autre des phases est configurée pour autoriser une cryptographie faible,
l'ensemble du VPN peut être menacé et la confidentialité des données sera perdue. Chaque stratégie
IKE comprend au moins trois composants clés :

1. Algorithme/groupe Diffie-Hellman

2. Algorithme de chiffrement

3. Algorithme de hachage

Voici les paramètres minimum recommandés par le Comité sur la politique des systèmes de sécurité
nationale (CNSSP) 15 :

• Groupe Diffie-Hellman : 16 avec exposant modulaire 4 096 bits (MODP)

• Groupe Diffie-Hellman : 20 avec groupe de courbes elliptiques 384 bits (ECP)

• Cryptage : norme de cryptage avancée (AES)-256

• Hachage : algorithme de hachage sécurisé (SHA)-384

Le groupe Diffie-Hellman 15 est également acceptable sur la base des exigences minimales du CNSSP
15, mais le groupe 15 n'est pas recommandé en raison de problèmes d'interopérabilité qui ont été
observés.

Un tunnel VPN peut être établi entre deux points de terminaison pour fournir un canal de
communication crypté sur un réseau non approuvé, tel qu'Internet. Lors de l'établissement d'une
proposition, d'une politique ou d'un ensemble de transformations VPN, assurez-vous qu'il suit les
recommandations CNSSP 15 [4]. Les exigences du CNSSP 15 sont expliquées dans le projet de
document de l'Internet Engineering Task Force (IETF) sur "Commercial National Security Algorithm
(CNSA) Suite Cryptography for Internet Protocol Security (IPsec)" [5].

Pour vous assurer qu'ils ne sont pas utilisés par inadvertance, désactivez les stratégies et propositions
par défaut pour Internet Security Association and Key Management Protocol (ISAKMP) et IKEv2 avec
les commandes de configuration suivantes : no crypto isakmp default policy
pas de stratégie crypto ikev2 par défaut pas de proposition crypto ikev2 par défaut pas de crypto
ipsec transform-set par défaut

Remarque : Si les politiques par défaut sont désactivées, seules les politiques explicitement
configurées seront utilisées.

Établissez une proposition, une stratégie et un profil IKEv2 avec les exemples de commandes de
configuration suivants :

proposition crypto ikev2 <IKEV2_PROPOSAL_NAME>

chiffrement groupe aes-gcm-256 [16|20]

proposition de stratégie crypto ikev2 <IKEV2_POLICY_NAME> <IKEV2_PROPOSAL_NAME>

profil crypto ikev2 <IKEV2_PROFILE_NAME> correspond à l'identité à distance ... authentification à


distance ... authentification locale ...

La configuration du profil dépendra du réseau pour lequel il est configuré et doit avoir des méthodes
d'authentification locales et distantes et une déclaration de correspondance. Un trousseau de clés
séparé peut également être établi et appliqué au profil pour plusieurs clés pré-partagées.

Établissez un ensemble de transformations IPsec avec les exemples de commandes de configuration


suivants :

ensemble de transformation crypto ipsec <IPSEC_TRANSFORM_NAME> esp-gcm 256

tunnel de mode

Établissez un profil IPsec, qui utilise le profil IKEv2 et le jeu de transformations IPsec définis ci-dessus,
avec les exemples de commandes de configuration suivants :

profil crypto ipsec <IPSEC_PROFILE_NAME>

set transform-set <IPSEC_TRANSFORM_NAME> set pfs group16 set ikev2-profile


<IKEV2_PROFILE_NAME>

Le profil IPsec doit être appliqué à l'interface du tunnel avec les commandes de configuration
suivantes :

interface <TUNNEL_INTERFACE_NAME>

protection du tunnel profil ipsec <IPSEC_PROFILE_NAME> pas d'arrêt

Pour plus d'informations, reportez-vous à "Configuration des réseaux privés virtuels IPsec",
"Atténuation des vulnérabilités VPN récentes" et "Élimination des configurations obsolètes du
protocole Transport Layer Security (TLS)" [6], [7], [8].

Retour au sommaire

3. Entretien de la sécurité

Le matériel et les logiciels obsolètes peuvent contenir des vulnérabilités connues du public et fournir
un mécanisme simple permettant aux adversaires d'exploiter le réseau. Ces vulnérabilités sont
atténuées par une mise à niveau régulière du matériel et des logiciels vers des versions plus récentes
prises en charge par le fournisseur. De plus, le
l'intégrité du logiciel téléchargé doit être mise à niveau du matériel et vérifiée avant et pendant
l'utilisation. Logiciel de sécurité pour assurer

la maintenance doit être effectuée régulièrement pour garantir que les appareils continuent d'être
efficaces et sécurisés. fonctionner en toute sécurité.

3.1 Vérifier l'intégrité du logiciel et de la configuration

Un adversaire peut introduire des logiciels malveillants dans les périphériques réseau en modifiant
les fichiers du système d'exploitation, le code exécutable exécuté en mémoire ou le micrologiciel ou
le chargeur de démarrage qui charge le système d'exploitation d'un périphérique réseau. Un logiciel
qui a été modifié de manière malveillante sur un périphérique réseau peut être utilisé par un
adversaire pour violer l'intégrité des données, exfiltrer des informations sensibles et provoquer un
déni de service (DoS).

La NSA recommande de vérifier l'intégrité des fichiers du système d'exploitation installés et exécutés
sur les appareils en comparant le hachage cryptographique du fichier avec le bon hachage connu
publié par le fournisseur. Lors de la mise à niveau des fichiers du système d'exploitation, effectuez la
même vérification d'intégrité sur les fichiers avant et après l'installation pour vous assurer qu'aucune
modification n'a été effectuée.

Vous aimerez peut-être aussi