Chapitre 1 Menaces modernes pour la sécurité des réseaux 5

Chapitre 2 Sécurisation des périphériques réseau 27

Chapitre 3 Authentification, autorisation et comptabilité 63
Chapitre 4 Implémentation des technologies de pare-feu 87
Chapitre 5 Mise en œuvre de la prévention des intrusions 131
Chapitre 6 Sécuriser le réseau local 157
Chapitre 7 Systèmes cryptographiques 193
Chapitre 8 Implémentation de réseaux privés virtuels 227
Chapitre 9 Gestion d'un réseau sécurisé 263
CHAPITRE 1 : Menaces modernes pour la sécurité des réseaux

Introduction au chapitre

La sécurité des réseaux fait désormais partie intégrante des réseaux

informatiques. La sécurité du réseau implique des protocoles,
technologies, appareils, outils et techniques pour sécuriser les données et
atténuer les menaces. Réseau
les solutions de sécurité sont apparues dans les années 1960 mais n’ont pas
abouti à un ensemble complet de solutions
pour les réseaux modernes jusque dans les années 2000.
La sécurité des réseaux repose en grande partie sur les efforts déployés
pour garder une longueur d’avance sur les pirates informatiques mal
intentionnés.
Tout comme les médecins tentent de prévenir de nouvelles maladies tout en
traitant des problèmes existants, les réseaux
les professionnels de la sécurité tentent de prévenir les attaques tout en
minimisant les effets des attaques en temps réel.
La continuité des activités est un autre facteur majeur de la sécurité des
réseaux.
Des organisations de sécurité réseau ont été créées pour établir des
communautés formelles de sécurité réseau
professionnels. Ces organisations établissent des normes, encouragent la
collaboration et fournissent
opportunités de développement de la main-d’œuvre pour les professionnels de
la sécurité. C'est important pour la sécurité du réseau
professionnels à connaître les ressources fournies par ces organismes.
La complexité de la sécurité des réseaux rend difficile la maîtrise de tout
ce qu’elle englobe. Différentes organisations
ont créé des domaines qui subdivisent le monde de la sécurité des réseaux
en des domaines plus gérables.
pièces. Cette division permet aux professionnels de se concentrer sur des
domaines d'expertise plus précis dans leur domaine.
la formation, la recherche et l'emploi.
Les politiques de sécurité réseau sont créées par les entreprises et les
organisations gouvernementales pour fournir un
cadre que les employés doivent suivre dans leur travail quotidien.
Professionnels de la sécurité des réseaux
au niveau de la direction sont responsables de la création et du maintien
de la politique de sécurité du réseau.
Toutes les pratiques de sécurité du réseau se rapportent et sont guidées
par la politique de sécurité du réseau.
Tout comme la sécurité réseau est composée de domaines de sécurité réseau,
les attaques réseau sont classées
afin qu'il soit plus facile de les connaître et d'y répondre de manière
appropriée. Virus, vers et
Les chevaux de Troie sont des types spécifiques d’attaques réseau. Plus
généralement, les attaques réseau sont classées
comme des attaques de reconnaissance, d'accès ou de déni de service.
Atténuer les attaques réseau est le travail d’un professionnel de la
sécurité réseau. Dans ce chapitre, l'apprenant
maîtrise la théorie sous-jacente de la sécurité des réseaux, qu'il est
nécessaire de comprendre avant de commencer
une pratique approfondie de la sécurité des réseaux. Les méthodes
d'atténuation des attaques réseau sont présentées
ici, et la mise en œuvre de ces méthodes constitue le reste de ce cours.
Un laboratoire pratique pour le chapitre, Recherche sur les attaques réseau
et audit de sécurité, guide les apprenants
grâce à la recherche d’attaques réseau et d’outils d’audit de sécurité. Le
laboratoire se trouve dans le manuel du laboratoire sur
Connexion à l'Académie sur cisco.netacad.net.
1.1 Principes fondamentaux d'un réseau sécurisé
1.1.1 Évolution de la sécurité des réseaux

En juillet 2001, le ver Code Red a attaqué les serveurs Web du monde
entier, infectant plus de 350 000 hôtes. Le ver a non seulement perturbé
l'accès aux serveurs infectés, mais a également affecté les réseaux locaux
d'hébergement les serveurs, les rendant très lents ou inutilisables. Le ver
Code Red a provoqué un déni de service(DoS) à des millions d’utilisateurs.
Si les professionnels de la sécurité des réseaux responsables de ces
serveurs infectés par Code Red avaient développé
et mis en œuvre une politique de sécurité, les correctifs de sécurité
auraient été appliqués en temps opportun
manière. Le ver Code Red aurait été arrêté et ne mériterait qu'une note en
bas de page dans le réseau
historique de sécurité.
La sécurité du réseau est directement liée à la continuité des activités
d’une organisation. Sécurité Internet
les violations peuvent perturber le commerce électronique, entraîner la
perte de données commerciales, menacer la vie privée des personnes (avec
les conséquences juridiques potentielles) et compromettre l’intégrité des
informations. Ces violations
peut entraîner une perte de revenus pour les entreprises, un vol de
propriété intellectuelle et des poursuites judiciaires, et peut même
menacer la sécurité publique.
Le maintien d'un réseau sécurisé garantit la sécurité des utilisateurs du
réseau et protège les intérêts commerciaux.
Assurer la sécurité d’un réseau nécessite une vigilance de la part des
responsables de la sécurité du réseau d’une organisation.
professionnels. Les professionnels de la sécurité doivent constamment être
conscients des menaces et des attaques nouvelles et en évolution.
aux réseaux et aux vulnérabilités des appareils et des applications. Ces
informations sont utilisées pour
adapter, développer et mettre en œuvre des techniques d’atténuation.
Cependant, la sécurité du réseau est en fin de compte
la responsabilité de tous ceux qui l'utilisent. Pour cette raison, c'est le
travail de la sécurité du réseau
professionnel pour garantir que tous les utilisateurs reçoivent une
formation de sensibilisation à la sécurité. Maintenir un environnement
sécurisé,
Le réseau protégé offre un environnement de travail plus stable et
fonctionnel pour chacun.

"La nécessité est la mère de l'invention." Ce dicton s’applique

parfaitement à la sécurité des réseaux. Dans le
Aux débuts d’Internet, les intérêts commerciaux étaient négligeables. La
grande majorité des utilisateurs étaient
experts en recherche et développement. Les premiers utilisateurs se
livraient rarement à des activités susceptibles de nuire aux autres.
utilisateurs. Internet n’est pas un environnement sécurisé parce qu’il n’a
pas besoin de l’être.
Au début, la mise en réseau impliquait de connecter des personnes et des
machines via des supports de communication.
Le travail d’un réseauteur consistait à connecter les appareils pour
améliorer la capacité des gens à communiquer.
des informations et des idées. Les premiers utilisateurs d’Internet n’ont
pas consacré beaucoup de temps à réfléchir
si leurs activités en ligne présentaient ou non une menace pour le réseau
ou pour leurs propres données.
Lorsque les premiers virus se sont propagés et que la première attaque DoS
a eu lieu, le monde a commencé à
changement pour les professionnels du réseautage. Pour répondre aux besoins
des utilisateurs, les professionnels des réseaux ont appris
techniques pour sécuriser les réseaux. L'objectif principal de nombreux
professionnels des réseaux a évolué depuis la conception,
construire et développer des réseaux pour sécuriser les réseaux existants.
Aujourd’hui, Internet est un réseau très différent de celui de ses débuts
dans les années 1960. Le travail de
un professionnel des réseaux doit notamment s'assurer que le personnel
approprié maîtrise bien la sécurité des réseaux
outils, processus, techniques, protocoles et technologies. Il est essentiel
que la sécurité du réseau
les professionnels entretiennent une saine paranoïa pour gérer l’ensemble
des menaces en constante évolution
aux réseaux.
Alors que la sécurité des réseaux est devenue partie intégrante des
opérations quotidiennes, les appareils dédiés à des tâches particulières
des fonctions de sécurité des réseaux ont émergé.
L'un des premiers outils de sécurité réseau a été le système de détection
d'intrusion (IDS), développé pour la première fois par
SRI International en 1984. Un IDS permet de détecter en temps réel certains
types d'attaques tout en
ils sont en cours. Cette détection permet aux professionnels des réseaux
d'atténuer plus rapidement les effets négatifs
impact de ces attaques sur les appareils réseau et les utilisateurs. À la
fin des années 1990, la prévention des intrusions
système ou capteur (IPS) a commencé à remplacer la solution IDS. Les
appareils IPS permettent la détection de
activité malveillante et avoir la capacité de bloquer automatiquement
l’attaque en temps réel.
En plus des solutions IDS et IPS, des pare-feux ont été développés pour
empêcher le trafic indésirable d'entrer
pénétrer dans des zones prescrites au sein d'un réseau, assurant ainsi la
sécurité du périmètre. En 1988, Numérique Equipment Corporation (DEC) a
créé le premier pare-feu réseau sous la forme d'un filtre de paquets.
Ces premiers pare-feu inspectaient les paquets pour voir s'ils
correspondaient à des ensembles de règles prédéfinies, avec l'option
de transmettre ou d'abandonner les paquets en conséquence. Les pare-feu de
filtrage de paquets inspectent chacun
paquet de manière isolée sans examiner si un paquet fait partie d’une
connexion existante. En 1989,
Les laboratoires AT&T Bell ont développé le premier pare-feu dynamique.
Comme les pare-feu filtrant les paquets, avec état
les pare-feu utilisent des règles prédéfinies pour autoriser ou refuser le
trafic. Contrairement aux pare-feux filtrant les paquets,
les pare-feu dynamiques gardent une trace des connexions établies et
déterminent si un paquet appartient à un paquet existant.
flux de données, offrant une plus grande sécurité et un traitement plus
rapide.
Les pare-feu d'origine étaient des fonctionnalités logicielles ajoutées aux
périphériques réseau existants, tels que
routeurs. Au fil du temps, plusieurs entreprises ont développé des pare-feu
autonomes ou dédiés qui permettent
routeurs et commutateurs pour décharger l'activité gourmande en mémoire et
en processeur du filtrage des paquets.
Pour les organisations qui n'ont pas besoin d'un pare-feu dédié, les
routeurs modernes, comme le Cisco Integrated
Le routeur de services (ISR) peut être utilisé comme pare-feu dynamique
sophistiqué.
En plus de faire face aux menaces extérieures au réseau, les professionnels
du réseau doivent également être
préparé aux menaces provenant de l’intérieur du réseau. Les menaces
internes, qu'elles soient intentionnelles ou accidentelles,
peuvent causer des dégâts encore plus importants que les menaces externes
en raison de l’accès direct et de la connaissance de
le réseau et les données de l'entreprise. Malgré cela, il a fallu plus de
20 ans après l'introduction
d'outils et de techniques d'atténuation des menaces externes pour
développer des outils et des techniques d'atténuation
pour les menaces internes.
Un scénario courant pour une menace provenant de l'intérieur du réseau est
celui d'un employé mécontent.
avec des compétences techniques et une volonté de faire du mal. La plupart
des menaces proviennent du réseau
exploiter les protocoles et les technologies utilisés sur le réseau local
(LAN) ou l’infrastructure commutée.
Ces menaces internes se répartissent essentiellement en deux catégories :
l’usurpation d’identité et le DoS.
Les attaques d'usurpation d'identité sont des attaques dans lesquelles un
appareil tente de se faire passer pour un autre en falsifiant des données.
Par exemple, l'usurpation d'adresse MAC se produit lorsqu'un ordinateur
accepte des paquets de données en fonction du
Adresse MAC d'un autre ordinateur. Il existe également d’autres types
d’attaques d’usurpation d’identité.
Les attaques DoS rendent les ressources informatiques indisponibles pour
les utilisateurs prévus. Les attaquants utilisent diverses méthodes
pour lancer des attaques DoS.
En tant que professionnel de la sécurité des réseaux, il est important de
comprendre les méthodes conçues spécifiquement
pour cibler ces types de menaces et assurer la sécurité du LAN.
En plus de prévenir et de refuser le trafic malveillant, la sécurité du
réseau exige également que les données
restez protégé. La cryptographie, l'étude et la pratique de la
dissimulation d'informations, est largement utilisée dans
sécurité réseau moderne. Aujourd'hui, à chaque type de communication réseau
correspond un protocole
ou une technologie conçue pour cacher cette communication à toute personne
autre que l'utilisateur prévu.
Les données sans fil peuvent être cryptées (masquées) à l'aide de diverses
applications de cryptographie. La conversation
entre deux utilisateurs de téléphones IP peuvent être cryptés. Les fichiers
sur un ordinateur peuvent également être masqués
avec cryptage. Ce ne sont que quelques exemples. La cryptographie peut être
utilisée presque partout où
il y a une communication de données. En fait, la tendance est au cryptage
de toutes les communications.
La cryptographie assure la confidentialité des données, qui est l'une des
trois composantes de l'information
sécurité : confidentialité, intégrité et disponibilité. La sécurité de
l'information concerne la protection des informations
et les systèmes d'information contre tout accès, utilisation, divulgation,
perturbation, modification,
ou destruction. Le cryptage assure la confidentialité en masquant les
données en clair. Intégrité des données,
ce qui signifie que les données sont conservées inchangées pendant toute
opération, est obtenu grâce à l'utilisation du hachage
mécanismes. La disponibilité, c'est-à-dire l'accessibilité des données, est
garantie par le renforcement du réseau
mécanismes et systèmes de sauvegarde.

1.1.2 Pilotes pour la sécurité du réseau

Le mot hackers a diverses significations. Pour beaucoup, cela signifie que
les programmeurs Internet tentent de
obtenir un accès non autorisé aux appareils sur Internet. Il est également
utilisé pour désigner les personnes qui dirigent
programmes pour empêcher ou ralentir l'accès au réseau à un grand nombre
d'utilisateurs, ou corrompre ou effacer des données
sur les serveurs. Mais pour certains, le terme hacker a une interprétation
positive en tant que professionnel des réseaux.
qui utilise des compétences sophistiquées en programmation Internet pour
garantir que les réseaux ne sont pas vulnérables aux
attaque. Bon ou mauvais, le piratage est un moteur de la sécurité des
réseaux.
D’un point de vue commercial, il est important de minimiser les effets des
pirates informatiques mal intentionnés.
Les entreprises perdent en productivité lorsque le réseau est lent ou ne
répond pas. Les bénéfices des entreprises sont impactés
par perte et corruption de données.
Le travail d'un professionnel de la sécurité des réseaux est de garder une
longueur d'avance sur les pirates informatiques en assistant
formations et ateliers, participation à des organisations de sécurité,
abonnement à des flux en temps réel concernant
menaces et en parcourant quotidiennement les sites Web de sécurité. Le
professionnel de la sécurité des réseaux
doit également avoir accès à des outils, protocoles, techniques et
technologies de sécurité de pointe.
Les professionnels de la sécurité des réseaux devraient avoir bon nombre
des mêmes caractéristiques que les professionnels des forces de l’ordre.
Ils doivent toujours rester conscients des activités malveillantes et
disposer des compétences et des outils nécessaires pour
minimiser ou éliminer les menaces associées à ces activités.
Le piratage a pour effet involontaire de placer les professionnels de la
sécurité des réseaux au sommet lorsqu'il
vient à l’employabilité et à la rémunération. Cependant, par rapport aux
autres professions technologiques, le réseau
la sécurité a la courbe d'apprentissage la plus abrupte et la plus grande
demande d'engagement dans des activités constantes.
développement professionnel.
Le piratage a pour effet involontaire de placer les professionnels de la
sécurité des réseaux au sommet lorsqu'il
vient à l’employabilité et à la rémunération. Cependant, par rapport aux
autres professions technologiques, le réseau
la sécurité a la courbe d'apprentissage la plus abrupte et la plus grande
demande d'engagement dans des activités constantes.
développement professionnel.
Le piratage a commencé dans les années 1960 avec le phone freaking, ou
phreaking, qui fait référence à l'utilisation de divers
fréquences audio pour manipuler les systèmes téléphoniques. Le phreaking a
commencé lorsque AT&T a introduit le système automatique
passe à leurs systèmes téléphoniques. Les commutateurs téléphoniques d'AT&T
utilisaient diverses tonalités, ou numérotation par tonalité,
pour indiquer différentes fonctions, telles que la terminaison d'appel et
la numérotation d'appel. Quelques AT&T
les clients ont réalisé qu'en imitant une tonalité à l'aide d'un sifflet,
ils pouvaient exploiter les commutateurs téléphoniques
pour passer des appels longue distance gratuits.
À mesure que les systèmes de communication ont évolué, les méthodes de
piratage ont également évolué. Le Wardialing est devenu populaire dans le
monde.
Années 1980 avec l'utilisation de modems informatiques. Les programmes de
numérotation téléphonique scannent automatiquement le téléphone
numéros dans une zone locale, composant chacun d'eux à la recherche
d'ordinateurs, de systèmes de tableau d'affichage et de fax
Machines. Lorsqu’un numéro de téléphone était trouvé, des programmes de
piratage de mots de passe étaient utilisés pour y accéder.
Le Wardriving a commencé dans les années 1990 et est toujours populaire
aujourd’hui. Avec la surveillance, les utilisateurs obtiennent des
informations non autorisées
accès aux réseaux via des points d'accès sans fil. Ceci est accompli à
l'aide d'un véhicule et d'un système sans fil.
ordinateur portable ou PDA. Des programmes de piratage de mots de passe
sont utilisés pour authentifier, si nécessaire,
et il existe même un logiciel pour déchiffrer le système de cryptage requis
pour s'associer au
point d'accès.
Un certain nombre d'autres menaces ont évolué depuis les années 1960,
notamment les outils d'analyse réseau tels que
Nmap et SATAN, ainsi que des outils de piratage d'administration système à
distance tels que Back Orifice.
Les professionnels de la sécurité des réseaux doivent être familiarisés
avec tous ces outils.
Des milliards de dollars sont échangés quotidiennement sur Internet, et les
moyens de subsistance de millions de personnes
dépendent du commerce sur Internet. C'est pour cette raison que des lois
pénales sont en place pour protéger les individus et
actifs de l'entreprise. Il existe de nombreux cas de personnes qui ont dû
faire face au système judiciaire
à cause de ces lois.
Le premier virus de messagerie, le virus Melissa, a été écrit par David
Smith d'Aberdeen, New Jersey. Ce
Le virus a entraîné des débordements de mémoire dans les serveurs de
messagerie Internet. David Smith a été condamné à 20
mois de prison fédérale et une amende de 5 000 dollars américains.
Chapitre 1 : Menaces modernes pour la sécurité des réseaux 9
Robert Morris a créé le premier ver Internet comportant 99 lignes de code.
Quand le ver Morris était
publié, 10 % des systèmes Internet ont été arrêtés. Robert Morris a été
inculpé et arrêté
trois ans de probation, 400 heures de travaux d'intérêt général et une
amende de 10 000 $ US.
L'un des pirates informatiques les plus connus, Kevin Mitnick, a été
incarcéré pendant quatre ans pour
piratage de comptes de cartes de crédit au début des années 1990.
Que l'attaque soit via du spam, un virus, un DoS ou simplement une
effraction dans des comptes, lorsque la créativité
des pirates informatiques sont utilisés à des fins malveillantes, ils
finissent souvent par aller en prison, payer de lourdes amendes et
perdre l’accès à l’environnement même dans lequel ils prospèrent.
En raison des exploits des pirates, de la sophistication des outils des
pirates et de la législation gouvernementale, les réseaux
les solutions de sécurité se sont développées rapidement dans les années
1990. À la fin des années 1990, de nombreux réseaux sophistiqués
des solutions de sécurité ont été développées pour que les organisations
puissent les déployer stratégiquement au sein de leur
réseaux. Ces solutions ont donné lieu à de nouvelles opportunités d'emploi
et à une augmentation des rémunérations dans le secteur
domaine de la sécurité des réseaux.

Le revenu annuel d'un professionnel de la sécurité des réseaux se situe

dans le haut de l'échelle des carrières dans
technologie en raison de la profondeur et de l’étendue des connaissances
requises. Professionnels de la sécurité des réseaux
doivent constamment améliorer leurs compétences pour se tenir au courant
des dernières menaces. Le défi de
acquérir et maintenir les connaissances nécessaires se traduit souvent par
un manque de sécurité du réseau
professionnels.
Les professionnels de la sécurité des réseaux sont responsables du maintien
de l’assurance des données d’une organisation
et garantir l’intégrité et la confidentialité des informations. Un
professionnel de la sécurité des réseaux
pourrait être responsable de la mise en place de pare-feu et de systèmes de
prévention des intrusions ainsi que de garantir
cryptage des données de l'entreprise. La mise en œuvre de schémas
d'authentification d'entreprise est un autre aspect important
tâche. Le travail consiste à conserver des journaux détaillés des activités
suspectes sur le réseau à utiliser pour les réprimandes.
ou poursuivre les contrevenants. En tant que professionnel de la sécurité
des réseaux, il est également important de
se familiariser avec les organisations de sécurité des réseaux. Ces
organisations disposent souvent des dernières
informations sur les menaces et les vulnérabilités.

1.1.3 Organisations de sécurité des réseaux

Les professionnels de la sécurité des réseaux doivent collaborer avec des

collègues professionnels plus fréquemment que
la plupart des autres professions. Cela inclut la participation à des
ateliers et des conférences qui sont souvent affiliés
avec, parrainé ou organisé par des organisations technologiques locales,
nationales ou internationales.
Trois des organisations de sécurité réseau les plus bien établies sont :
■ Institut SysAdmin, Audit, Réseau, Sécurité (SANS)
■ Équipe d'intervention en cas d'urgence informatique (CERT)
■ Consortium international de certification de la sécurité des systèmes
d'information (prononcer (ISC)2 comme
"I-S-C-carré")
Un certain nombre d'autres organisations de sécurité des réseaux sont
également importantes pour les professionnels de la sécurité des réseaux.
InfoSysSec est une organisation de sécurité réseau qui héberge un portail
d'actualités sur la sécurité, fournissant
les dernières nouvelles concernant les alertes, les exploits et les
vulnérabilités. La société Mitre
tient à jour une liste de vulnérabilités et d’expositions courantes (CVE)
utilisées par d’éminentes organisations de sécurité.
FIRST est une organisation de sécurité qui regroupe une variété d'incidents
de sécurité informatique
équipes d'intervention d'organisations gouvernementales, commerciales et
éducatives pour favoriser
coopération et coordination en matière de partage d’informations, de
prévention des incidents et de réaction rapide. Enfin,
le Center for Internet Security (CIS) est une entreprise à but non lucratif
qui développe des configurations de sécurité des références de
diversification grâce à un consensus mondial pour réduire le risque de
perturbations des activités et du commerce électronique.
SANS a été créée en 1989 en tant qu'organisation coopérative de recherche
et d'éducation. L'accent de
SANS est une formation et une certification en sécurité de l'information.
SANS élabore des documents de recherche sur
divers aspects de la sécurité de l’information.
Un large éventail de personnes, depuis les auditeurs et administrateurs
réseau jusqu'aux responsables de la sécurité de l'information,
partager les leçons apprises et les solutions à divers défis. La sécurité
est au cœur du SANS
praticiens dans diverses organisations mondiales, des entreprises aux
universités, travaillant ensemble pour
aider l’ensemble de la communauté de la sécurité de l’information.
Les ressources SANS sont en grande partie gratuites sur demande. Cela
inclut le populaire Internet Storm Center, le
Le système d’alerte précoce d’Internet ; NewsBites, le résumé hebdomadaire
de l'actualité ; @RISK, la vulnérabilité hebdomadaire
digérer; alertes de sécurité flash ; et plus de 1 200 articles de recherche
originaux primés.
SANS développe des cours de sécurité qui peuvent être suivis pour se
préparer à la Global Information Assurance
Certification (GIAC) en audit, gestion, opérations, questions juridiques,
administration de la sécurité,
et la sécurité des logiciels. GIAC valide les compétences des
professionnels de la sécurité, allant du niveau débutant
sécurité de l'information à des domaines avancés tels que l'audit, la
détection des intrusions, la gestion des incidents,
pare-feu et protection périmétrique, analyse des données, techniques de
piratage, fonctionnement Windows et UNIX
la sécurité du système et le codage sécurisé des logiciels et des
applications.
Le CERT fait partie du Software Engineering Institute (SEI) financé par le
gouvernement fédéral américain à Carnegie Mellon.
Université. Le CERT est agréé pour travailler avec la communauté Internet
dans la détection et la résolution
incidents de sécurité informatique. Le ver Morris a motivé la formation du
CERT lors de la directive
de la Defense Advanced Research Projects Agency (DARPA). Le Centre de
Coordination du CERT
(CERT/CC) se concentre sur la coordination de la communication entre les
experts lors des urgences de sécurité
pour aider à prévenir de futurs incidents.
CERT répond aux incidents de sécurité majeurs et analyse les vulnérabilités
des produits. Le CERT travaille à
gérer les changements liés aux techniques évolutives des intrus et à la
difficulté de détecter les attaques
et attraper les attaquants. Le CERT développe et promeut l'utilisation de
technologies et
pratiques de gestion des systèmes pour résister aux attaques sur les
systèmes en réseau, limiter les dommages et garantir
continuité des services.
Le CERT se concentre sur cinq domaines : assurance logicielle, systèmes
sécurisés, sécurité organisationnelle, coordination
réponse, et éducation et formation.
Le CERT diffuse des informations en publiant des articles, des rapports de
recherche et techniques et des documents.
sur une variété de sujets de sécurité. Le CERT travaille avec les médias
pour sensibiliser aux risques sur
Internet et les mesures que les utilisateurs peuvent prendre pour se
protéger. Le CERT travaille avec d'autres grands
organisations technologiques, telles que FIRST et IETF, pour accroître leur
engagement en faveur de la sécurité et
capacité de survie. Le CERT conseille également des organisations
gouvernementales américaines, telles que la National Thrat Assessment
Centre, le Conseil de sécurité nationale et le Conseil de sécurité
intérieure.
(ISC)2 fournit des produits éducatifs et des services de carrière
indépendants des fournisseurs dans plus de 135 pays.
Ses membres comprennent 60 000 professionnels certifiés de l’industrie dans
le monde entier.
La mission de (ISC)2 est de faire du cybermonde un endroit sûr en
améliorant la sécurité de l'information.
au domaine public et en soutenant et en développant les professionnels de
la sécurité de l'information autour
le monde.
(ISC)2 développe et maintient le (ISC)2 Common Body of Knowledge (CBK). La
CBK définit
normes industrielles mondiales, servant de cadre commun de termes et de
principes qui accréditent (ISC)2
sont basés sur. Le CBK permet aux professionnels du monde entier de
discuter, débattre et résoudre
les questions liées au domaine.
Plus particulièrement, (ISC)2 est universellement reconnu pour ses quatre
certifications en sécurité de l'information, dont
l'une des certifications les plus populaires dans le domaine de la sécurité
des réseaux, la Certified Information
Professionnel de la sécurité des systèmes (CISSP). Ces titres de
compétences contribuent à garantir que les employeurs.
avec des employés certifiés, maintenir la sécurité des actifs et des
infrastructures informationnelles.
(ISC)2 promeut l'expertise dans la gestion des menaces de sécurité à
travers ses programmes de formation et de certification.
En tant que membre, les individus ont accès aux informations actuelles sur
l'industrie et aux opportunités de réseautage.
unique à son réseau de professionnels certifiés en sécurité de
l’information.
Outre les sites Web des différentes organisations de sécurité, l'un des
outils les plus utiles pour
le professionnel de la sécurité des réseaux utilise les flux Really Simple
Syndication (RSS).
RSS est une famille de formats XML utilisés pour publier des informations
fréquemment mises à jour, telles que
entrées de blog, titres d'actualité, audio et vidéo. RSS utilise un format
standardisé. Un flux RSS comprend
texte complet ou résumé, ainsi que des métadonnées, telles que les dates de
publication et les auteurs.
RSS profite aux professionnels qui souhaitent s'abonner aux mises à jour en
temps opportun des sites Web préférés ou à
regrouper les flux de nombreux sites en un seul endroit. Les flux RSS
peuvent être lus à l'aide d'un flux RSS basé sur le Web
lecteur, généralement intégré à un navigateur Web. Le logiciel de lecture
RSS vérifie les informations d'abonnement de l'utilisateur
alimente régulièrement les nouvelles mises à jour et fournit une interface
pour surveiller et lire les flux. En utilisant
RSS, un professionnel de la sécurité des réseaux peut acquérir
quotidiennement des informations à jour et les agréger
informations sur les menaces en temps réel pour examen à tout moment.
Par exemple, la page Web US-CERT Current Activity est un résumé
régulièrement mis à jour des activités les plus récentes.
des types d'incidents de sécurité fréquents et à fort impact signalés à
l'US-CERT. Un RSS uniquement en texte
le flux est disponible sur http://www.us-cert.gov/current/index.rdf. Ce
flux rapporte à toute heure du
jour et nuit, avec des informations concernant les avis de sécurité, les
arnaques par courrier électronique, les vulnérabilités de sauvegarde,
les logiciels malveillants se propagent via les sites de réseaux sociaux et
d’autres menaces potentielles.
1.1.4 Domaines de sécurité du réseau

Il est essentiel qu'un professionnel de la sécurité des réseaux comprenne

les facteurs déterminants de la sécurité des réseaux et soit
familier avec les organisations dédiées à la sécurité des réseaux. Il est
également important de comprendre
des différents domaines de sécurité des réseaux. Les domaines fournissent
un cadre organisé pour faciliter
en apprendre davantage sur la sécurité des réseaux.
Il existe 12 domaines de sécurité réseau spécifiés par l'Organisation
internationale de normalisation.
(ISO)/Commission électrotechnique internationale (CEI). Décrit par ISO/IEC
27002,
ces 12 domaines servent à organiser à un niveau élevé le vaste domaine de
l'information sous l'égide
de la sécurité des réseaux. Ces domaines présentent des parallèles
significatifs avec les domaines définis par le
Certification CISSP.
Les 12 domaines sont destinés à servir de base commune pour développer la
sécurité organisationnelle
normes et pratiques efficaces de gestion de la sécurité, et pour contribuer
à renforcer la confiance dans les relations interorganisationnelles.
activités.
Les 12 domaines de sécurité réseau offrent une séparation pratique pour les
éléments du réseau
sécurité. Même s'il n'est pas important de mémoriser ces 12 domaines, il
est important d'en être conscient.
leur existence et leur déclaration formelle par l'ISO. Ils servent de
référence utile pour l’avenir
dans votre travail en tant que professionnel de la sécurité des réseaux.
L'un des domaines les plus importants est la politique de sécurité. Une
politique de sécurité est une déclaration formelle du
règles que doivent respecter les personnes qui ont accès aux ressources
technologiques et informationnelles de
une organisation. Le concept, le développement et l’application d’une
politique de sécurité jouent un rôle important
rôle dans le maintien de la sécurité d’une organisation. Il est de la
responsabilité d'un professionnel de la sécurité des réseaux de
intégrer la politique de sécurité dans tous les aspects des opérations
commerciales au sein d’une organisation.

1.1.5 Politiques de sécurité du réseau

La politique de sécurité des réseaux est un vaste document de bout en bout

conçu pour être clairement applicable à
les opérations d’une organisation. La politique est utilisée pour faciliter
la conception du réseau, transmettre les principes de sécurité,
et faciliter les déploiements de réseaux.
La politique de sécurité du réseau décrit les règles d'accès au réseau,
détermine la manière dont les politiques sont appliquées,
et décrit l’architecture de base de l’environnement de sécurité réseau de
l’organisation.
Le document fait généralement plusieurs pages. En raison de l'étendue de sa
couverture et de son impact, il est généralement
compilé par un comité. Il s'agit d'un document complexe destiné à régir des
éléments tels que l'accès aux données,
navigation sur le Web, utilisation du mot de passe, cryptage et pièces
jointes aux e-mails.
Une politique de sécurité doit éloigner les utilisateurs mal intentionnés
et contrôler les éléments potentiellement risqués.
utilisateurs. Lorsqu'une politique est créée, il faut d'abord comprendre
quels services sont disponibles et à quels
utilisateurs. La politique de sécurité du réseau établit une hiérarchie
d'autorisations d'accès, donnant aux employés
seulement l'accès minimal nécessaire à l'exécution de leur travail.
La politique de sécurité du réseau décrit les actifs qui doivent être
protégés et donne des conseils sur la manière dont
il devrait être protégé. Ceci sera ensuite utilisé pour déterminer les
dispositifs de sécurité et les mesures d'atténuation.
stratégies et procédures à mettre en œuvre sur le réseau.
Un réseau d'autodéfense Cisco (SDN) utilise le réseau pour identifier,
prévenir et s'adapter aux
des menaces. Contrairement aux stratégies de solutions ponctuelles, où les
produits sont achetés individuellement sans contrepartie
pour quels produits fonctionnent le mieux ensemble, une approche basée sur
le réseau est une approche stratégique
qui répond aux défis actuels et évolue pour répondre aux nouveaux besoins
de sécurité.
Un Cisco SDN commence par une plate-forme réseau solide, sécurisée et
flexible à partir de laquelle une solution de sécurité
est construit. Une topologie Cisco SDN comprend Cisco Security Manager, un
système de surveillance, d'analyse et
Response System (MARS), un ou plusieurs IPS, un ou plusieurs pare-feu,
plusieurs routeurs et VPN
concentrateurs. Certains d'entre eux peuvent apparaître sous forme de lames
dans un commutateur Catalyst 6500 ou de modules dans un
Routeur à services intégrés (ISR), peut-être même sous forme de logiciel
installé sur des serveurs ou de manière autonome
dispositifs.
Le portefeuille de sécurité intégré Cisco est conçu pour répondre aux
exigences et aux déploiements diversifiés
modèles de n’importe quel réseau et n’importe quel environnement. De
nombreux produits sont disponibles pour répondre à ces besoins.
La plupart des clients n'adoptent pas tous les composants du Cisco SDN en
même temps. Pour cette raison, le
Cisco SDN fournit des produits qui peuvent être déployés indépendamment et
des solutions qui peuvent les relier
produits ensemble à mesure que la confiance se renforce dans chaque produit
et sous-système.
Les éléments d'une approche Cisco SDN peuvent être intégrés dans une
politique de sécurité réseau. En tirant parti
l'approche Cisco SDN lors de la création et de la modification de la
politique de sécurité, cela peut aider à créer une hiérarchie
structure du document.
Si la politique de sécurité doit être globale, elle doit également être
suffisamment succincte pour être utilisable
par les praticiens de la technologie au sein de l’organisation.
L’une des étapes les plus importantes de la création d’une politique
consiste à identifier les actifs critiques. Ceux-ci peuvent inclure
bases de données, applications vitales, informations sur les clients et les
employés, informations commerciales classifiées,
lecteurs partagés, serveurs de messagerie et serveurs Web.
Une politique de sécurité est un ensemble d'objectifs pour l'entreprise, de
règles de comportement pour les utilisateurs et les administrateurs,
et les exigences relatives au système et à la gestion qui garantissent
collectivement la sécurité du réseau
et les systèmes informatiques dans une organisation. Une politique de
sécurité est un « document évolutif », ce qui signifie
le document n'est jamais terminé et est continuellement mis à jour en tant
que technologie, entreprise et employé
les exigences changent.
Par exemple, les ordinateurs portables des employés d’une organisation
seront soumis à divers types d’attaques, telles que
comme les virus de messagerie. Une politique de sécurité réseau définit
explicitement la fréquence à laquelle les logiciels antivirus sont mis à
jour.
et les mises à jour des définitions de virus doivent être installées. De
plus, la politique de sécurité du réseau comprend
des lignes directrices sur ce que les utilisateurs peuvent et ne peuvent
pas faire. Ceci est normalement stipulé comme un
politique d’utilisation acceptable (AUP). L'AUP doit être aussi explicite
que possible pour éviter toute ambiguïté ou malentendu.
Par exemple, une AUP peut répertorier les groupes de discussion Usenet
interdits.
Une politique de sécurité réseau détermine toutes les mesures à prendre
pour sécuriser les ressources réseau. Comme toi
Au cours de ce cours, la politique de sécurité sera revue pour garantir que
vous en comprenez l'intégralité.
nature dans une organisation bien gérée.

1.2 Virus, vers et chevaux de Troie

1.2.1 Virus

Les principales vulnérabilités des ordinateurs des utilisateurs finaux sont

les attaques de virus, de vers et de chevaux de Troie :
■ Un virus est un logiciel malveillant qui s'attache à un autre programme
pour exécuter un fonction indésirable sur un ordinateur.
■ Un ver exécute du code arbitraire et installe des copies de lui-même dans
la mémoire de la personne infectée.
ordinateur, qui infecte ensuite d’autres hôtes.
■ Un cheval de Troie est une application écrite pour ressembler à autre
chose. Quand un cheval de Troie est
téléchargé et ouvert, il attaque l’ordinateur de l’utilisateur final de
l’intérieur.
Traditionnellement, le terme virus fait référence à un organisme infectieux
qui a besoin d'une cellule hôte pour se développer et
reproduire. Un étudiant de l'Université de Californie du Sud, Frederick
Cohen, a suggéré le terme
« virus informatique » en 1983. Un virus informatique, appelé virus dans la
suite de ce cours, est un
programme capable de se copier et d'infecter un ordinateur à l'insu de
l'utilisateur.
Un virus est un code malveillant attaché à des programmes ou des fichiers
exécutables légitimes. La plupart des virus
nécessitent une activation par l'utilisateur final et peuvent rester
inactifs pendant une période prolongée, puis s'activer à un moment précis.
heure ou date. Un simple virus peut s'installer dès la première ligne de
code d'un fichier exécutable.
Lorsqu'il est activé, le virus peut rechercher d'autres exécutables sur le
disque, de sorte qu'il puisse infecter tous les fichiers.
fichiers qu'il n'a pas encore infectés. Les virus peuvent être inoffensifs,
comme ceux qui affichent une image sur l'écran
écran, ou ils peuvent être destructeurs, comme ceux qui modifient ou
suppriment des fichiers sur le disque dur.
Les virus peuvent également être programmés pour muter pour éviter d’être
détectés.
Dans le passé, les virus se propageaient généralement via des disquettes et
des modems informatiques. Aujourd'hui, la plupart
les virus se propagent par les clés USB, les CD, les DVD, les partages
réseau ou le courrier électronique. Virus de courrier électronique
sont désormais le type de virus le plus courant.
1.2.2 Vers

Les vers constituent un type de code hostile particulièrement dangereux.

Ils se reproduisent indépendamment exploiter les vulnérabilités des
réseaux. Les vers ralentissent généralement les réseaux.
Alors qu'un virus nécessite un programme hôte pour s'exécuter, les vers
peuvent s'exécuter tout seuls. Ils ne nécessitent pas participation des
utilisateurs et peut se propager extrêmement rapidement sur le réseau.
Les vers sont responsables de certaines des attaques les plus dévastatrices
sur Internet. Par exemple, le
Le ver SQL Slammer de janvier 2003 a ralenti le trafic Internet mondial en
raison du déni de Service. Plus de 250 000 hôtes ont été touchés dans les
30 minutes suivant sa sortie. Le ver a exploité un
bug de débordement de tampon dans SQL Server de Microsoft. Un correctif
pour cette vulnérabilité a été publié à la mi-
2002, les serveurs concernés étaient donc ceux sur lesquels le correctif de
mise à jour n'était pas appliqué. Ce
est un excellent exemple de la raison pour laquelle il est si important que
la politique de sécurité d'une organisation exige
mises à jour et correctifs en temps opportun pour les systèmes
d'exploitation et les applications.
Malgré les techniques d'atténuation apparues au fil des années, les vers
ont continué à se propager.
évoluent avec Internet et constituent toujours une menace. Alors que les
vers sont devenus plus sophistiqués au fil du temps
À l’heure actuelle, ils ont encore tendance à reposer sur l’exploitation
des faiblesses des applications logicielles. La plupart des attaques de
vers
comporte trois composantes majeures :
■ Activation de la vulnérabilité - Un ver s'installe lui-même à l'aide d'un
mécanisme d'exploitation (e-mail
pièce jointe, fichier exécutable, cheval de Troie) sur un système
vulnérable.
■ Mécanisme de propagation : après avoir accédé à un périphérique, le ver
se réplique et
localise de nouvelles cibles.
■ Charge utile : tout code malveillant entraînant une action. Le plus
souvent, ceci est utilisé pour créer un
porte dérobée vers l’hôte infecté.
Les vers sont des programmes autonomes qui attaquent un système pour
exploiter une vulnérabilité connue. Sur
une exploitation réussie, le ver se copie de l'hôte attaquant vers le
système nouvellement exploité
et le cycle recommence.
Lorsqu’on examine les principales attaques de vers et de virus au cours des
20 dernières années, on remarque que
Les différentes phases des méthodes d'attaque employées par les pirates
informatiques sont souvent assez similaires. Il existe cinq éléments de
base
phases d'attaque, qu'un ver ou un virus soit déployé.
■ Phase d'enquête – Les cibles vulnérables sont identifiées. Le but est de
trouver des ordinateurs qui peuvent être
subverti. Les analyses ping ICMP (Internet Control Message Protocol) sont
utilisées pour cartographier les réseaux.
Ensuite, l'application analyse et identifie les systèmes d'exploitation et
les logiciels vulnérables. Les pirates
peut obtenir des mots de passe en utilisant l'ingénierie sociale, une
attaque par dictionnaire, une attaque par force brute ou
reniflage du réseau.
■ Phase de pénétration – Le code d'exploitation est transféré à la cible
vulnérable. Le but est d'obtenir le
cible pour exécuter le code d'exploitation via un vecteur d'attaque, tel
qu'un débordement de tampon, ActiveX
ou des vulnérabilités Common Gateway Interface (CGI), ou un virus de
courrier électronique.
■ Phase de persistance - Une fois l'attaque lancée avec succès dans la
mémoire, le code tente de
persister sur le système cible. L'objectif est de s'assurer que le code de
l'attaquant est en cours d'exécution et
disponible pour l'attaquant même si le système redémarre. Ceci est réalisé
en modifiant le système
fichiers, apporter des modifications au registre et installer un nouveau
code.
■ Phase de propagation - L'attaquant tente d'étendre l'attaque à d'autres
cibles en recherchant
machines voisines vulnérables. Les vecteurs de propagation incluent l'envoi
par courrier électronique de copies de l'attaque à
autres systèmes, téléchargement de fichiers vers d'autres systèmes à l'aide
de partages de fichiers ou de services FTP, Web actif
connexions et transferts de fichiers via Internet Relay Chat (IRC).
■ Phase de paralysie – Des dommages réels sont causés au système. Les
fichiers peuvent être effacés, les systèmes peuvent
crash, des informations peuvent être volées et des attaques DoS distribuées
(DDoS) peuvent être lancées.
Les cinq phases de base de l'attaque permettent aux experts en sécurité de
décrire facilement les vers et les virus.
selon leur mécanisme de mise en œuvre particulier pour chaque phase. Cela
facilite
catégoriser les vers et les virus.
Les virus et les vers sont deux méthodes d'attaque. Une autre méthode est
le cheval de Troie, qui exploite
virus ou vers avec l'élément supplémentaire de se faire passer pour un
programme inoffensif.

1.2.3 Chevaux de Troie

Le terme cheval de Troie vient de la mythologie grecque. Les guerriers

grecs offraient au peuple de
Troie (Troyens) un cheval creux géant en cadeau. Les Troyens introduisirent
le cheval géant dans leurs murs
ville, ignorant qu'elle contenait de nombreux guerriers grecs. La nuit,
après que la plupart des chevaux de Troie se soient endormis, le
les guerriers sortirent de cheval et s'emparèrent de la ville.
Un cheval de Troie dans le monde informatique est un malware qui effectue
des opérations malveillantes sous
l'apparence d'une fonction souhaitée. Un virus ou un ver pourrait être
porteur d'un cheval de Troie. Un cheval de Troie contient
code caché et malveillant qui exploite les privilèges de l’utilisateur qui
l’exécute. Les jeux peuvent souvent
avoir un cheval de Troie attaché à eux. Lors de l'exécution du jeu, le jeu
fonctionne, mais en arrière-plan,
le cheval de Troie a été installé sur le système de l’utilisateur et
continue de s’exécuter après le le jeu a été fermé.
Le concept du cheval de Troie est flexible. Cela peut causer des dommages
immédiats, fournir un accès à distance au
système (une porte dérobée), ou effectuez des actions comme indiqué à
distance, telles que « envoyez-moi le mot de passe
déposer une fois par semaine.
Les chevaux de Troie personnalisés, tels que les chevaux de Troie ayant une
cible spécifique, sont difficiles à détecter.
Les chevaux de Troie sont généralement classés en fonction des dommages
qu'ils causent ou de la manière dont ils
dont ils violent un système :
■ Cheval de Troie d'accès à distance (permet un accès à distance non
autorisé)
■ Cheval de Troie d'envoi de données (fournit à l'attaquant des données
sensibles telles que des mots de passe)
■ Cheval de Troie destructeur (corrompt ou supprime des fichiers)
■ Cheval de Troie proxy (l'ordinateur de l'utilisateur fonctionne comme un
serveur proxy)
■ Cheval de Troie FTP (ouvre le port 21)
■ Cheval de Troie désactivant les logiciels de sécurité (arrête les
programmes antivirus ou les pare-feu
fonctionnement)
■ Cheval de Troie de déni de service (ralentit ou arrête l'activité du
réseau)

1.2.4 Atténuation des virus, vers et chevaux de Troie

La majorité des vulnérabilités logicielles découvertes sont liées à des

débordements de tampon. Un tampon est
une zone de mémoire allouée utilisée par les processus pour stocker
temporairement des données. Un débordement de tampon se produit
lorsqu'un tampon de longueur fixe atteint sa capacité et qu'un processus
tente de stocker des données au-delà
cette limite maximale. Cela peut entraîner l'écrasement de données
supplémentaires dans des emplacements de mémoire adjacents.
ainsi que provoquer d'autres comportements inattendus. Les débordements de
tampon sont généralement le principal canal à travers
quels virus, vers et chevaux de Troie causent leurs dégâts. En fait,
certains rapports suggèrent
qu'un tiers des vulnérabilités logicielles identifiées par le CERT sont
liées à des débordements de tampon.
Les virus et les chevaux de Troie ont tendance à tirer parti des
dépassements de tampon racine locaux. Un tampon racine
le débordement est un débordement de tampon destiné à obtenir les
privilèges root sur un système. Débordements de tampon racine local
exiger que l’utilisateur final ou le système entreprenne un certain type
d’action. Un débordement de tampon racine local est
généralement initié par un utilisateur ouvrant une pièce jointe à un e-
mail, visitant un site Web ou échangeant un fichier
via la messagerie instantanée.
Des vers tels que SQL Slammer et Code Red exploitent les débordements de
tampon racine distant. Racine distante
les débordements de tampon sont similaires aux débordements de tampon
racine locaux, sauf que l'utilisateur final local ou l'intervention du
système n'est pas requis.
Les virus, vers et chevaux de Troie peuvent causer de graves problèmes sur
les réseaux et les systèmes finaux. Réseau
les administrateurs disposent de plusieurs moyens pour atténuer ces
attaques. Notez que les techniques d'atténuation
sont souvent qualifiées de contre-mesures dans la communauté de la
sécurité.
Le principal moyen d’atténuer les attaques de virus et de chevaux de Troie
est un logiciel antivirus. Antivirus
le logiciel aide à empêcher les hôtes d’être infectés et de propager du
code malveillant. Cela demande beaucoup
plus de temps pour nettoyer les ordinateurs infectés que pour maintenir à
jour un logiciel antivirus
et des définitions antivirus sur les mêmes machines.
Les logiciels antivirus sont aujourd’hui le produit de sécurité le plus
largement déployé sur le marché. Plusieurs
les sociétés qui créent des logiciels antivirus, telles que Symantec,
Computer Associates, McAfee et
Trend Micro, s'occupe de détecter et d'éliminer les virus depuis plus d'un
an.
décennie. De nombreuses entreprises et établissements d'enseignement
achètent des licences en volume pour leurs utilisateurs.
Les utilisateurs peuvent se connecter à un site Web avec leur compte et
télécharger le logiciel antivirus.
sur leurs ordinateurs de bureau, portables ou serveurs.
Les produits antivirus disposent d'options d'automatisation des mises à
jour afin que les nouvelles définitions de virus et les nouveaux logiciels
les mises à jour peuvent être téléchargées automatiquement ou sur demande.
Cette pratique est l'exigence la plus critique
pour maintenir un réseau exempt de virus et doit être formalisé dans une
politique de sécurité du réseau.
Les produits antivirus sont basés sur l'hôte. Ces produits sont installés
sur les ordinateurs et les serveurs pour détecter
et éliminer les virus. Cependant, ils n'empêchent pas les virus de pénétrer
dans le réseau.
le professionnel de la sécurité doit être conscient des principaux virus et
suivre les mises à jour de sécurité
concernant les virus émergents.
Les vers sont davantage basés sur le réseau que les virus. L’atténuation
des vers nécessite diligence et coordination
de la part des professionnels de la sécurité des réseaux. La réponse à une
infection par un ver peut être interrompue
se décompose en quatre phases : confinement, inoculation, quarantaine et
traitement.
La phase de confinement consiste à limiter la propagation d'une infection
par un ver aux zones du réseau.
qui sont déjà touchés. Cela nécessite une compartimentation et une
segmentation du réseau pour
ralentir ou arrêter le ver et empêcher les hôtes actuellement infectés de
cibler et d'infecter
d'autres systèmes. Le confinement nécessite l'utilisation d'ACL sortantes
et entrantes sur les routeurs et les pare-feu
aux points de contrôle du réseau.
La phase d’inoculation se déroule parallèlement ou après la phase de
confinement. Pendant l'inoculation
phase, tous les systèmes non infectés reçoivent le correctif du fournisseur
approprié pour la vulnérabilité.
Le processus d'inoculation prive en outre le ver de toute cible disponible.
Un scanner réseau
peut aider à identifier les hôtes potentiellement vulnérables.
L'environnement mobile répandu sur les réseaux modernes
pose des défis importants. Les ordinateurs portables sont régulièrement
retirés de l'environnement réseau sécurisé
et connectés à des environnements potentiellement non sécurisés, tels que
les réseaux domestiques. Sans bon
En appliquant des correctifs au système, un ordinateur portable peut être
infecté par un ver ou un virus, puis le ramener dans
l’environnement sécurisé du réseau de l’organisation où il peut infecter
d’autres systèmes.
La phase de quarantaine consiste à rechercher et à identifier les machines
infectées au sein de la zone confinée.
zones et en les déconnectant, les bloquant ou les supprimant. Cela isole
ces systèmes de manière appropriée
pour la phase de traitement.
Pendant la phase de traitement, les systèmes activement infectés sont
désinfectés du ver. Cela peut impliquer
mettre fin au processus du ver, supprimer les fichiers modifiés ou les
paramètres système introduits par le ver,
et corriger la vulnérabilité utilisée par le ver pour exploiter le système.
Ou, de manière plus grave
Dans certains cas, cela peut nécessiter une réinstallation complète du
système pour garantir que le ver et ses sous-produits
sont enlevés.
Dans le cas du ver SQL Slammer, un trafic malveillant a été détecté sur le
port UDP 1434. Ce port devrait normalement être bloqué par un pare-feu sur
le périmètre. Cependant, la plupart des infections arrivent par voie des
portes dérobées et ne traversent pas le pare-feu ; par conséquent, pour
empêcher la propagation de ce
ver, il serait nécessaire de bloquer ce port sur tous les appareils du
réseau interne.
Dans certains cas, le port sur lequel le ver se propage peut être essentiel
au fonctionnement de l'entreprise. Pour
Par exemple, lors de la propagation de SQL Slammer, certaines organisations
ne pouvaient pas bloquer le port UDP
1434 car il était nécessaire pour accéder au serveur SQL pour des
transactions commerciales légitimes. Dans un tel
une situation, des alternatives doivent être envisagées.
Si les périphériques réseau utilisant le service sur le port concerné sont
connus, permettant un accès sélectif
est une option. Par exemple, si seul un petit nombre de clients utilisent
SQL Server, une option consiste à ouvrez le port UDP 1434 aux périphériques
critiques uniquement. L'accès sélectif n'est pas garanti pour résoudre le
problème, mais cela réduit certainement la probabilité d’infection.
Une option complète pour atténuer les effets des virus, des vers et des
chevaux de Troie est une solution basée sur l'hôte.
système de prévention des intrusions (HIPS).
Cisco Security Agent (CSA) est un système de prévention des intrusions basé
sur l'hôte qui peut être intégré
avec des logiciels antivirus de différents fournisseurs. CSA protège le
système d'exploitation contre les menaces sur
le réseau. CSA fournit une solution plus complète et centralisée qui ne
dépend pas
sur les utilisateurs finaux qui doivent être vigilants quant à la mise à
jour du logiciel antivirus et à l'utilisation de pare-feu basés sur l'hôte.
Une autre solution pour atténuer les menaces est Cisco Network Admission
Control (NAC). Le cisco
NAC Appliance est une solution clé en main pour contrôler l’accès au
réseau. Il n'admet que les hôtes authentifiés
et ont fait examiner et approuver leur posture de sécurité pour le réseau.
Cette solution
est un choix naturel pour les organisations dotées de réseaux de taille
moyenne qui ont besoin de solutions simplifiées et intégrées.
suivi des systèmes d'exploitation, des correctifs antivirus et des mises à
jour de vulnérabilités. L'appliance Cisco NAC
n'a pas besoin de faire partie d'un réseau Cisco pour fonctionner.
Le système de surveillance, d'analyse et de réponse de sécurité Cisco
(MARS) assure la surveillance de la sécurité
pour les dispositifs de sécurité réseau et les applications hôtes créées
par Cisco et d'autres fournisseurs. MARS
fait des recommandations précises pour la suppression des menaces, y
compris la possibilité de visualiser le chemin de l'attaque
et identifiez la source de la menace avec des graphiques topologiques
détaillés qui simplifient la réponse de sécurité.
Les virus, vers et chevaux de Troie peuvent ralentir ou arrêter les réseaux
et corrompre ou détruire les données. Logiciel
et des options matérielles sont disponibles pour atténuer ces menaces.
Professionnels de la sécurité des réseaux
doit maintenir une vigilance constante. Il ne suffit pas de réagir aux
menaces. Un bon réseau un professionnel de la sécurité examine l'ensemble
du réseau pour trouver les vulnérabilités et les corriger avant une attaque
se produit.

1.3 Méthodologies d'attaque

1.3.1 Attaques de reconnaissance

Il existe de nombreux types d’attaques réseau autres que les virus, les
vers et les chevaux de Troie.
Pour atténuer les attaques, il est utile de catégoriser d’abord les
différents types d’attaques. En catégorisant
attaques de réseau, il est possible de s’attaquer à des types d’attaques
plutôt qu’à des attaques individuelles. Là
Il n’existe pas de méthode standardisée pour catégoriser les attaques
réseau. La méthode utilisée dans ce cours classe
attaques en trois grandes catégories.
Attaques de reconnaissance
Les attaques de reconnaissance impliquent la découverte et la cartographie
non autorisées de systèmes, de services ou
vulnérabilités. Les attaques de reconnaissance font souvent appel à des
renifleurs de paquets et à des scanners de ports,
qui sont largement disponibles en téléchargement gratuit sur Internet. La
reconnaissance est analogue à une
voleur inspectant un quartier à la recherche de maisons vulnérables dans
lesquelles s'introduire par effraction, comme une résidence inoccupée
ou une maison avec une porte ou une fenêtre facile à ouvrir.
Attaques d'accès
Les attaques d'accès exploitent les vulnérabilités connues des services
d'authentification, des services FTP et du Web.
services pour accéder aux comptes Web, aux bases de données confidentielles
et à d’autres informations sensibles. Un
l’attaque d’accès peut être effectuée de différentes manières. Une attaque
d'accès utilise souvent un dictionnaire
attaque pour deviner les mots de passe du système. Il existe également des
dictionnaires spécialisés pour différentes langues
qui peut être utilisé.
Attaques par déni de service
Les attaques par déni de service envoient un très grand nombre de requêtes
sur un réseau ou sur Internet.
Ces requêtes excessives entraînent un fonctionnement sous-optimal du
périphérique cible. En conséquence, l'attaqué
l’appareil devient indisponible pour un accès et une utilisation légitimes.
En exécutant des exploits ou des combinaisons
d'exploits, les attaques DoS ralentissent ou font planter les applications
et les processus.
Attaques de reconnaissance
La reconnaissance est également connue sous le nom de collecte
d'informations et, dans la plupart des cas, précède un accès ou
Attaque DOS. Lors d'une attaque de reconnaissance, l'intrus malveillant
commence généralement par mener une
balayage ping du réseau cible pour déterminer quelles adresses IP sont
actives. L'intrus détermine alors
quels services ou ports sont disponibles sur les adresses IP en direct.
Nmap est le plus populaire
application pour effectuer des analyses de ports. A partir des informations
de port obtenues, l'intrus interroge le
ports pour déterminer le type et la version de l'application et du système
d'exploitation qui s'exécutent sur
l'hôte cible. Dans de nombreux cas, les intrus recherchent des services
vulnérables qui peuvent être exploités ultérieurement.
lorsqu'il y a moins de chances d'être attrapé.
Les attaques de reconnaissance utilisent divers outils pour accéder à un
réseau :
■ Renifleurs de paquets
■ Balayages ping
■ Analyses de ports
■ Requêtes d'informations sur Internet
Un renifleur de paquets est une application logicielle qui utilise une
carte réseau en mode promiscuité pour
capturez tous les paquets réseau envoyés sur un réseau local. Le mode
promiscuité est un mode dans lequel le
La carte adaptateur réseau envoie tous les paquets reçus à une application
pour traitement. Quelques
les applications réseau distribuent les paquets réseau en texte brut non
chiffré. Parce que le réseau
Les paquets ne sont pas cryptés, ils peuvent être compris par n'importe
quelle application capable de les récupérer sur le réseau.
réseau et les traiter.
Les renifleurs de paquets ne peuvent fonctionner que dans le même domaine
de collision que le réseau attaqué, à moins que
l'attaquant a accès aux commutateurs intermédiaires.
De nombreux renifleurs de paquets gratuits et shareware, tels que
Wireshark, sont disponibles et ne nécessitent pas
l'utilisateur de comprendre quoi que ce soit sur les protocoles sous-
jacents.
Lorsqu'elles sont utilisées comme outils légitimes, les applications de
balayage ping et d'analyse de ports exécutent une série de tests sur
hôtes et appareils pour identifier les services vulnérables. Les
informations sont collectées en examinant l'adressage IP
et le port, ou la bannière, les données des ports TCP et UDP. Un attaquant
utilise des balayages ping
et des analyses de ports pour acquérir des informations susceptibles de
compromettre le système.
Un balayage ping est une technique d'analyse réseau de base qui détermine
quelle plage d'adresses IP
carte vers les hôtes en direct. Un seul ping indique si un ordinateur hôte
spécifié existe sur le réseau.
Un balayage ping consiste en des requêtes d'écho ICMP envoyées à plusieurs
hôtes. Si une adresse donnée est
live, l'adresse renvoie une réponse d'écho ICMP. Les balayages ping font
partie des méthodes les plus anciennes et les plus lentes
utilisé pour analyser un réseau.
Chaque service sur un hôte est associé à un numéro de port bien connu.
L'analyse des ports est une analyse d'un
plage de numéros de port TCP ou UDP sur un hôte pour détecter les services
d'écoute. Cela consiste à envoyer un message
à chaque port sur un hôte. La réponse que reçoit l'expéditeur indique si le
port est utilisé.
Les requêtes d'informations sur Internet peuvent révéler des informations
telles que le propriétaire d'un domaine particulier et
quelles adresses ont été attribuées à ce domaine. Ils peuvent également
révéler qui possède une adresse IP particulière
adresse et quel domaine est associé à l’adresse.
Les balayages ping des adresses révélées par les requêtes d'informations
sur Internet peuvent présenter une image de la vie en direct.
hôtes dans un environnement particulier. Une fois cette liste générée, les
outils d'analyse des ports peuvent parcourir
via tous les ports connus pour fournir une liste complète de tous les
services exécutés sur les hôtes
que le balayage ping a découvert. Les pirates peuvent alors examiner les
caractéristiques des applications actives,
ce qui peut conduire à des informations spécifiques utiles à un pirate
informatique dont l'intention est de compromettre
ce service.
Gardez à l’esprit que les attaques de reconnaissance sont généralement le
précurseur d’attaques ultérieures visant à
d'obtenir un accès non autorisé à un réseau ou de perturber la
fonctionnalité du réseau. Un réseau
un professionnel de la sécurité peut détecter lorsqu'une attaque de
reconnaissance est en cours grâce à des alarmes configurées
qui se déclenchent lorsque certains paramètres sont dépassés, tels que les
requêtes ICMP par seconde. UN
Cisco ISR prend en charge les technologies de sécurité qui permettent de
déclencher ces types d'alarmes. Ce
est rendu disponible par la fonctionnalité de prévention des intrusions
basée sur le réseau prise en charge par Cisco IOS
images de sécurité exécutées sur les ISR.
Systèmes de prévention des intrusions basés sur l'hôte et systèmes de
détection des intrusions autonomes basés sur le réseau
peut également être utilisé pour avertir lorsqu’une attaque de
reconnaissance a lieu.

1.3.2 Attaques d'accès

Attaques d'accès

Les pirates utilisent des attaques d'accès aux réseaux ou aux systèmes pour
trois raisons : récupérer des données, obtenir un accès,
et élever les privilèges d'accès.
Les attaques d'accès utilisent souvent des attaques par mot de passe pour
deviner les mots de passe du système. Les attaques par mot de passe peuvent
être
mis en œuvre à l'aide de plusieurs méthodes, notamment des attaques par
force brute, des programmes de chevaux de Troie, des IP
l'usurpation d'identité et les renifleurs de paquets. Cependant, la plupart
des attaques par mot de passe font référence à des attaques par force
brute, qui
impliquent des tentatives répétées basées sur un dictionnaire intégré pour
identifier un compte utilisateur ou un mot de passe.
Une attaque par force brute est souvent réalisée à l'aide d'un programme
qui s'exécute sur le réseau et tente
pour vous connecter à une ressource partagée, telle qu'un serveur. Après
qu'un attaquant ait accès à une ressource, l'attaquant
a les mêmes droits d’accès que l’utilisateur dont le compte a été
compromis. Si ce compte a
privilèges suffisants, l'attaquant peut créer une porte dérobée pour un
accès futur sans se soucier de tout
modifications du statut et du mot de passe du compte utilisateur compromis.
À titre d'exemple, un utilisateur peut exécuter l'application L0phtCrack,
ou LC5, pour effectuer une attaque par force brute.
pour obtenir un mot de passe du serveur Windows. Une fois le mot de passe
obtenu, l'attaquant peut installer un
keylogger, qui envoie une copie de toutes les frappes au clavier vers une
destination souhaitée. Ou encore, un cheval de Troie peut être
installé pour envoyer une copie de tous les paquets envoyés et reçus par la
cible vers une destination particulière,
permettant ainsi la surveillance de tout le trafic vers et depuis ce
serveur.
Il existe cinq types d'attaques d'accès :
■ Attaque de mot de passe – Un attaquant tente de deviner les mots de passe
du système. Un exemple courant est un
attaque par dictionnaire.
■ Exploitation de la confiance - Un attaquant utilise les privilèges
accordés à un système de manière non autorisée,
pouvant conduire à compromettre la cible.
■ Redirection de port : un système compromis est utilisé comme point de
départ pour des attaques contre d'autres
cibles. Un outil d'intrusion est installé sur le système compromis pour la
redirection de session.
■ Attaque de l'homme du milieu : un attaquant est positionné au milieu des
communications
entre deux entités légitimes afin de lire ou modifier les données qui
transitent entre les deux
des soirées. Une attaque de type « man-in-the-middle » populaire implique
un ordinateur portable agissant comme un point d'accès malveillant à
capturer et copier tout le trafic réseau d’un utilisateur ciblé.
L'utilisateur se trouve souvent dans un lieu public
sur un point d'accès sans fil.
■ Dépassement de tampon - Un programme écrit des données au-delà de la
mémoire tampon allouée. Tampon
les débordements surviennent généralement à la suite d'un bug dans un
programme C ou C++.
le débordement signifie que des données valides sont écrasées ou exploitées
pour permettre l'exécution de code malveillant.
Les attaques d'accès en général peuvent être détectées en examinant les
journaux, l'utilisation de la bande passante et les charges de processus.
La politique de sécurité du réseau doit spécifier que les journaux sont
formellement conservés pour tous les périphériques réseau
et les serveurs. En examinant les journaux, le personnel de sécurité peut
déterminer si un nombre inhabituel de
Des tentatives de connexion ayant échoué ont eu lieu. Progiciels tels que
ManageEngine EventLog Analyzer
ou Cisco Secure Access Control Server (CSACS) conservent des informations
sur les tentatives de connexion échouées
aux appareils réseau. Les serveurs UNIX et Windows conservent également un
journal des tentatives de connexion infructueuses.
Les routeurs Cisco et les pare-feu peuvent être configurés pour empêcher
les tentatives de connexion pendant une durée donnée
d'une source particulière après un nombre prescrit de pannes dans un laps
de temps spécifié.
Les attaques de type « man-in-the-middle » impliquent souvent la
réplication de données. Une indication d'une telle attaque est inhabituelle
quantité d'activité du réseau et d'utilisation de la bande passante, comme
indiqué par la surveillance du réseau
logiciel.
De même, une attaque d'accès entraînant un système compromis serait
probablement révélée par un système lent.
activité due à des attaques par débordement de tampon en cours, comme
indiqué par les charges de processus actives visibles
sur un système Windows ou UNIX.

1.3.3 Attaques par déni de service

Attaques par déni de service

Une attaque DoS est une attaque réseau qui entraîne une sorte
d'interruption de service pour les utilisateurs, les appareils,
ou des candidatures. Plusieurs mécanismes peuvent générer une attaque DoS.
La méthode la plus simple consiste à
générer de grandes quantités de ce qui semble être du trafic réseau valide.
Ce type d'attaque DoS réseau
sature le réseau afin que le trafic utilisateur valide ne puisse pas
passer.
Une attaque DoS profite du fait que les systèmes cibles tels que les
serveurs doivent conserver les informations d'état.
Les applications peuvent s'appuyer sur les tailles de tampon attendues et
le contenu spécifique des paquets réseau.
Une attaque DoS peut exploiter cela en envoyant des tailles de paquets ou
des valeurs de données non attendues par le système.
réception de la candidature.
Il existe deux raisons principales pour lesquelles une attaque DoS se
produit :
■ Un hôte ou une application ne parvient pas à gérer une condition
inattendue, telle qu'un formatage malveillant
données d'entrée, une interaction inattendue des composants du système ou
un simple épuisement des ressources.
■ Un réseau, un hôte ou une application est incapable de gérer une énorme
quantité de données, ce qui entraîne
le système plante ou devient extrêmement lent.
Les attaques DoS tentent de compromettre la disponibilité d'un réseau, d'un
hôte ou d'une application. Ils sont
considérés comme un risque majeur car ils peuvent facilement interrompre un
processus métier et provoquer des
perte. Ces attaques sont relativement simples à mener, même par un
attaquant non qualifié.
Un exemple d’attaque DoS consiste à envoyer un paquet toxique. Un paquet
empoisonné est un
paquet formaté conçu pour amener le périphérique de réception à traiter le
paquet de manière inappropriée. Le paquet toxique provoque le crash ou le
fonctionnement très lent du périphérique de réception. Cette attaque peut
entraînerait une interruption de toutes les communications vers et depuis
l'appareil.
Dans un autre exemple, un attaquant envoie un flux continu de paquets, ce
qui sature l'espace disponible.
bande passante des liens réseau. Dans la plupart des cas, il est impossible
de différencier l'attaquant et légitime et de remonter rapidement une
attaque jusqu'à sa source. Si de nombreux systèmes dans le cœur Internet
est compromis, l'attaquant peut être en mesure de profiter d'un accès
pratiquement illimité bande passante pour déclencher des tempêtes de
paquets vers les cibles souhaitées.

Une attaque par déni de service distribué (DDoS) a une intention similaire
à une attaque DoS, sauf qu'un
Les attaques DDoS proviennent de plusieurs sources coordonnées. En plus
d'augmenter la quantité de
trafic réseau provenant de plusieurs attaquants distribués, une attaque
DDoS présente également le défi de
exigeant que la défense du réseau identifie et arrête chaque attaquant
distribué.
À titre d'exemple, une attaque DDoS pourrait se dérouler comme suit. Un
pirate informatique recherche les systèmes accessibles.
Une fois que le pirate a accédé à plusieurs systèmes de « gestionnaire »,
il installe un logiciel zombie.
sur eux. Les zombies analysent et infectent ensuite les systèmes d'agents.
Lorsque le pirate informatique accède aux systèmes d'agent,
le pirate informatique charge un logiciel d'attaque télécommandé pour mener
l'attaque DDoS.
Il est utile de détailler trois attaques DoS courantes pour mieux
comprendre comment les attaques DoS
travail.
Ping de la mort
Lors d'une attaque ping of death, un pirate informatique envoie une requête
d'écho dans un paquet IP plus grand que le maximum
taille de paquet de 65 535 octets. L'envoi d'un ping de cette taille peut
faire planter l'ordinateur cible. Une variante de
cette attaque consiste à planter un système en envoyant des fragments ICMP,
qui remplissent les tampons de réassemblage de
la cible.
Attaque de Schtroumpf
Lors d'une attaque schtroumpf, l'auteur envoie un grand nombre de requêtes
ICMP à des adresses de diffusion dirigées,
le tout avec des adresses sources usurpées sur le même réseau que la
diffusion dirigée respective.
Si le périphérique de routage délivrant le trafic vers ces adresses de
diffusion transmet le message dirigé
diffusions, tous les hôtes des réseaux de destination envoient des réponses
ICMP, multipliant le trafic par le
nombre d'hôtes sur les réseaux. Sur un réseau de diffusion multi-accès, des
centaines de machines
pourrait répondre à chaque paquet.

Inondation TCP SYN

Lors d'une attaque par inondation TCP SYN, un flot de paquets TCP SYN est
envoyé, souvent avec une adresse d'expéditeur falsifiée.
Chaque paquet est traité comme une demande de connexion, provoquant
l'apparition d'un message semi-ouvert sur le serveur.
connexion en renvoyant un paquet TCP SYN-ACK et en attendant un paquet en
réponse de
l'adresse de l'expéditeur. Cependant, l’adresse de l’expéditeur étant
falsifiée, la réponse n’arrive jamais.
Ces connexions semi-ouvertes saturent le nombre de connexions disponibles
que le serveur est capable d'exploiter.
faire, l’empêchant de répondre aux demandes légitimes jusqu’à la fin de
l’attaque.
Les attaques TCP SYN, ping of death et smurf démontrent à quel point une
attaque DoS est dévastatrice.
peut être. À ce jour, des centaines d’attaques DoS ont été documentées. Il
existe cinq manières fondamentales de
Les attaques DoS peuvent nuire :
■ Consommation de ressources, telles que la bande passante, l'espace disque
ou le temps processeur
■ Perturbation des informations de configuration, telles que les
informations de routage
■ Perturbation des informations d'état, telle qu'une réinitialisation non
sollicitée des sessions TCP
■ Perturbation des composants physiques du réseau
■ Obstruction de la communication entre la victime et les autres.
Il n’est généralement pas difficile de déterminer si une attaque DoS se
produit. Un grand nombre de plaintes
le fait de ne pas pouvoir accéder aux ressources est le premier signe d’une
attaque DoS. Pour minimiser le nombre de
attaques, un progiciel d’utilisation du réseau doit être exécuté à tout
moment. Cela devrait également être
requis par la politique de sécurité du réseau. Un graphique d'utilisation
du réseau montrant une activité inhabituelle
pourrait indiquer une attaque DoS.
Gardez à l’esprit que les attaques DoS pourraient faire partie d’une
offensive plus vaste. Les attaques DoS peuvent conduire à
problèmes dans les segments de réseau des ordinateurs attaqués. Par
exemple, le nombre de paquets par seconde
La capacité d'un routeur entre Internet et un réseau local peut être
dépassée par une attaque, compromettant
non seulement le système cible mais également l'ensemble du réseau. Si
l'attaque est menée sur un
à une échelle suffisamment grande, des régions géographiques entières de la
connectivité Internet pourraient être compromises.
Toutes les pannes de service, même celles résultant d’activités
malveillantes, ne sont pas nécessairement des attaques DoS.
Quoi qu’il en soit, les attaques DoS comptent parmi les types d’attaques
les plus dangereux, et il est essentiel qu’un
Les professionnels de la sécurité des réseaux agissent rapidement pour
atténuer les effets de telles attaques.
1.3.4 Atténuation des attaques réseau
Il existe une variété d'attaques réseau, de méthodologies d'attaque réseau
et de catégorisations de réseaux.
attaques. La question importante est la suivante : « Comment puis-je
atténuer ces attaques réseau ? »
Le type d'attaque, tel que spécifié par la catégorisation d'attaque de
reconnaissance, d'accès ou DoS, détermine
les moyens d’atténuer une menace réseau.
Les attaques de reconnaissance peuvent être atténuées de plusieurs
manières.
L’utilisation d’une authentification forte constitue une première option de
défense contre les renifleurs de paquets. Authentification forte
est une méthode d’authentification des utilisateurs qui ne peut pas être
facilement contournée. Un mot de passe à usage unique
(OTP) est une forme d’authentification forte. Les OTP utilisent une
authentification à deux facteurs. Authentification à deux facteurs
combine quelque chose que l'on possède, comme une carte symbolique, avec
quelque chose que l'on connaît, comme
comme code PIN. Les guichets automatiques bancaires (DAB) utilisent
l'authentification à deux facteurs.
Le chiffrement est également efficace pour atténuer les attaques par
renifleur de paquets. Si le trafic est crypté, il est pratiquement
cela n'est pas pertinent si un renifleur de paquets est utilisé car les
données capturées ne sont pas lisibles.
Les outils logiciels et matériels antisniffer détectent les changements
dans le temps de réponse des hôtes pour déterminer
si les hôtes traitent plus de trafic que ne l'indiqueraient leurs propres
charges de trafic. Alors que
cela n’élimine pas complètement la menace, mais dans le cadre d’un système
global d’atténuation, cela peut réduire
le nombre de cas de menace.
Une infrastructure commutée est la norme aujourd'hui, ce qui rend difficile
la capture de données, sauf celles-ci.
sur votre domaine de collision immédiat, qui ne contient probablement qu'un
seul hôte. Une infrastructure commutée
n’élimine pas la menace des renifleurs de paquets, mais peut réduire
considérablement l’efficacité des renifleurs.
Il est impossible d'atténuer l'analyse des ports. Mais l'utilisation d'un
IPS et d'un pare-feu peut limiter les informations
qui peut être découvert avec un scanner de ports. Les balayages ping
peuvent être arrêtés si ICMP fait écho et répond en écho
sont désactivés sur les routeurs périphériques. Cependant, lorsque ces
services sont désactivés, le diagnostic réseau
les données sont perdues. De plus, les analyses de ports peuvent être
exécutées sans balayages ping complets. Les scans simplement
prendre plus de temps car les adresses IP inactives sont également
analysées.
L'IPS basé sur le réseau et l'IPS basé sur l'hôte peuvent généralement
avertir un administrateur lorsqu'une reconnaissance
l'attaque est en cours. Cet avertissement permet à l'administrateur de
mieux se préparer à l'attaque à venir
ou pour informer le FAI d'où la sonde de reconnaissance est lancée.
Plusieurs techniques sont également disponibles pour atténuer les attaques
d’accès.
Un nombre surprenant d'attaques d'accès sont menées par simple devinette de
mot de passe ou par force brute.
attaques par dictionnaire contre les mots de passe. L'utilisation de
protocoles d'authentification chiffrés ou hachés,
associé à une politique de mot de passe stricte, réduit considérablement la
probabilité d'un accès réussi
attaques. Il existe des pratiques spécifiques qui contribuent à garantir
une politique de mot de passe solide :
■ Désactivation des comptes après un nombre spécifique de connexions
infructueuses. Cette pratique aide à
empêcher les tentatives continues de mot de passe.
■ Ne pas utiliser de mots de passe en clair. Utilisez soit un mot de passe
à usage unique (OTP), soit un mot de passe crypté.
■ Utiliser des mots de passe forts. Les mots de passe forts comportent au
moins huit caractères et contiennent des majuscules
lettres, lettres minuscules, chiffres et caractères spéciaux.
Le principe de confiance minimale doit également être intégré dans la
structure du réseau. Cela signifie
que les systèmes ne doivent pas s'utiliser les uns les autres inutilement.
Par exemple, si une organisation dispose d'un serveur
qui est utilisé par des appareils non fiables, tels que des serveurs Web,
l'appareil approuvé (serveur) ne doit pas faire confiance
les appareils non fiables (serveurs Web) sans condition.
La cryptographie est un élément essentiel de tout réseau sécurisé moderne.
Utilisation du cryptage pour la télécommande
l'accès à un réseau est recommandé. En outre, le trafic du protocole de
routage doit également être chiffré.
Plus le trafic est crypté, moins les pirates ont la possibilité
d'intercepter des données avec
attaques de l'homme du milieu.
Les entreprises ayant une présence Internet de haut niveau doivent
planifier à l'avance comment réagir aux potentiels
Attaques DoS. Historiquement, de nombreuses attaques DoS provenaient
d’adresses sources usurpées.
Ces types d'attaques peuvent être contrecarrés à l'aide de technologies
anti-usurpation d'identité sur les routeurs de périmètre et
pare-feu. Aujourd’hui, de nombreuses attaques DoS sont des attaques DoS
distribuées menées par des hôtes compromis.
sur plusieurs réseaux. L'atténuation des attaques DDoS nécessite un
diagnostic, une planification et une coopération minutieux
auprès des FAI.
Les éléments les plus importants pour atténuer les attaques DoS sont les
pare-feu et les IPS. Tous deux basés sur l'hôte
et les IPS basés sur le réseau sont fortement recommandés.
Les routeurs et commutateurs Cisco prennent en charge un certain nombre de
technologies anti-usurpation, telles que la sécurité des ports,
Surveillance DHCP, IP Source Guard, inspection ARP dynamique et ACL.
Enfin, même si la Qualité de Service (QoS) n'est pas conçue comme une
technologie de sécurité, une de ses applications,
la régulation du trafic peut être utilisée pour limiter le trafic entrant
provenant d'un client donné sur un périphérique
routeur. Cela limite l’impact qu’une seule source peut avoir sur
l’utilisation de la bande passante d’entrée.
Défendre votre réseau contre les attaques nécessite une vigilance et une
éducation constantes. Il y en a 10
les meilleures pratiques qui représentent la meilleure assurance pour votre
réseau.
Étape 1. Maintenez les correctifs à jour en les installant chaque semaine
ou quotidiennement, si possible, pour
empêcher les attaques par débordement de tampon et par élévation de
privilèges.
Étape 2. Arrêtez les services et ports inutiles.
Étape 3. Utilisez des mots de passe forts et changez-les souvent.
Étape 4. Contrôlez l'accès physique aux systèmes.
Étape 5. Évitez les entrées de page Web inutiles. Certains sites Web
permettent aux utilisateurs d'entrer
noms d'utilisateur et mots de passe. Un pirate informatique peut saisir
plus qu’un simple nom d’utilisateur. Pour
par exemple, en saisissant « jdoe ; rm -rf / » pourrait permettre à un
attaquant de supprimer le fichier racine
système à partir d’un serveur UNIX. Les programmeurs doivent limiter les
caractères saisis et non
accepter les caractères non valides tels que | ; < > comme entrée.
Étape 6. Effectuez des sauvegardes et testez régulièrement les fichiers
sauvegardés.
Étape 7. Éduquer les employés sur les risques de l'ingénierie sociale et
élaborer des stratégies
pour valider les identités par téléphone, par e-mail ou en personne.
Étape 8. Cryptez et protégez par mot de passe les données sensibles.
Étape 9. Mettre en œuvre du matériel et des logiciels de sécurité tels que
des pare-feu, des IPS, des réseaux privés virtuels
périphériques réseau (VPN), logiciels antivirus et filtrage de contenu.
Étape 10. Élaborer une politique de sécurité écrite pour l'entreprise.
Ces méthodes ne sont qu’un point de départ pour une bonne gestion de la
sécurité. Les organisations doivent rester
vigilant à tout moment pour se défendre contre des menaces en constante
évolution.
Utiliser ces méthodes éprouvées de sécurisation d'un réseau et appliquer
les connaissances acquises dans ce domaine
chapitre, vous êtes maintenant prêt à commencer à déployer des solutions de
sécurité réseau. L'un des premiers déploiements
Les considérations impliquent de sécuriser l’accès aux périphériques
réseau.
CHAPITRE 2

Sécuriser les périphériques réseau

Introduction au chapitre

La sécurisation du trafic réseau sortant et l'examen minutieux du trafic

entrant sont des aspects critiques du réseau.
sécurité. Sécuriser le routeur périphérique, qui se connecte au réseau
extérieur, est une première étape importante
dans la sécurisation du réseau.
Le renforcement des appareils est une tâche essentielle qui ne doit jamais
être négligée. Il s’agit de mettre en œuvre
méthodes éprouvées pour sécuriser physiquement le routeur et protéger
l’accès administratif du routeur
à l'aide de l'interface de ligne de commande (CLI) Cisco IOS ainsi que du
routeur Cisco et du périphérique de sécurité
Gestionnaire (SDM). Certaines de ces méthodes impliquent de sécuriser
l'accès administratif, notamment
gérer les mots de passe, configurer des fonctionnalités de connexion
virtuelle améliorées et mettre en œuvre Secure
Coquille (SSH). Parce que tout le personnel informatique ne devrait pas
avoir le même niveau d’accès
aux dispositifs d'infrastructure, la définition des rôles administratifs en
termes d'accès est un autre point important
aspect de la sécurisation des dispositifs d’infrastructure.
Il est également important de sécuriser les fonctionnalités de gestion et
de reporting des appareils Cisco IOS. Recommandé
pratiques de sécurisation de syslog, à l'aide du protocole SNMP (Simple
Network Management Protocol), et
la configuration du Network Time Protocol (NTP) sont examinées.
De nombreux services de routeur sont activés par défaut. Un certain nombre
de ces fonctionnalités sont activées pour l'historique
raisons, mais ne sont plus nécessaires aujourd’hui. Ce chapitre traite de
certains de ces services et examine
configurations de routeur avec la fonctionnalité d'audit de sécurité de
Cisco SDM. Ce chapitre examine également
la fonctionnalité de verrouillage Cisco SDM en une étape et la commande de
sécurité automatique, qui peuvent être
utilisé pour automatiser les tâches de renforcement des appareils.
Un laboratoire pratique pour le chapitre Sécuriser le routeur pour l'accès
administratif est un cours très complet.
laboratoire qui offre l'opportunité de mettre en pratique les nombreuses
fonctionnalités de sécurité introduites
dans ce chapitre. Le laboratoire présente les différents moyens de
sécuriser l'accès administratif à un routeur,
y compris les meilleures pratiques en matière de mot de passe, la
configuration appropriée des bannières, les fonctionnalités de connexion
améliorées et
SSH. La fonctionnalité d'accès CLI basée sur les rôles repose sur la
création de vues comme moyen de fournir différents
niveaux d'accès aux routeurs. La fonctionnalité Cisco IOS Resilient
Configuration permet de sécuriser le routeur
images et fichiers de configuration. Syslog et SNMP sont utilisés pour les
rapports de gestion. Cisco AutoSécurité
est un outil automatisé pour sécuriser les routeurs Cisco à l'aide de la
CLI. L’audit de sécurité SDM
La fonctionnalité offre des fonctionnalités similaires à AutoSecure. Le
laboratoire se trouve dans le manuel du laboratoire sur Academy.
Connexion sur cisco.netacad.net.
Une activité Packet Tracer, Configurer les routeurs Cisco pour les
opérations Syslog, NTP et SSH, fournit
les apprenants s’entraîneront davantage à mettre en œuvre les technologies
présentées dans ce chapitre. En particulier,
les apprenants configurent les routeurs avec NTP, syslog, la journalisation
d'horodatage des messages, les comptes d'utilisateurs locaux,
connectivité SSH exclusive et paires de clés RSA pour les serveurs SSH.
Utilisation de l'accès client SSH à partir d'un
Un PC Windows et un routeur Cisco sont également explorés. Activités Packet
Tracer pour la sécurité CCNA
se trouvent sur Academy Connection à l'adresse cisco.netacad.net.

2.1 Sécurisation de l'accès aux appareils

2.1.1 Sécurisation du routeur Edge

La sécurisation de l’infrastructure réseau est essentielle à la sécurité

globale du réseau. L'infrastructure du réseau
inclut les routeurs, les commutateurs, les serveurs, les points finaux et
autres appareils.
Prenons l'exemple d'un employé mécontent qui regarde avec désinvolture par-
dessus l'épaule d'un administrateur réseau.
pendant que l'administrateur se connecte à un routeur périphérique. C'est
ce qu'on appelle le surf sur l'épaule, et c'est
un moyen étonnamment simple pour un attaquant d’obtenir un accès non
autorisé.
Si un attaquant accède à un routeur, la sécurité et la gestion de
l'ensemble du réseau peuvent être compromises.
compromis, laissant les serveurs et les points finaux en danger. Il est
essentiel que les politiques de sécurité appropriées
et des contrôles soient mis en œuvre pour empêcher tout accès non autorisé
à tous les dispositifs d'infrastructure. Bien que
tous les périphériques d'infrastructure sont menacés, les routeurs sont une
cible principale pour les attaquants réseau. Ce
C'est parce que les routeurs agissent comme une police de la circulation,
dirigeant le trafic vers, depuis et entre les réseaux.
Le routeur Edge est le dernier routeur entre le réseau interne et un réseau
non fiable tel que
l'Internet. Tout le trafic Internet d’une organisation passe par ce routeur
périphérique ; par conséquent, il
fonctionne souvent comme la première et la dernière ligne de défense d’un
réseau. Grâce au filtrage initial et final,
le routeur de périphérie permet de sécuriser le périmètre d'un réseau
protégé. Il est également chargé de mettre en œuvre
actions de sécurité basées sur les politiques de sécurité de
l’organisation. Pour ces
Pour ces raisons, il est impératif de sécuriser les routeurs réseau.
La mise en œuvre du routeur Edge varie en fonction de la taille de
l'organisation et de la complexité.
de la conception de réseau requise. Les implémentations de routeur peuvent
inclure un seul routeur protégeant
un réseau intérieur complet ou un routeur comme première ligne de défense
dans une approche de défense en profondeur.

Approche de routeur unique

Dans l'approche à routeur unique, un seul routeur connecte le réseau
protégé, ou LAN interne, à
l'Internet. Toutes les politiques de sécurité sont configurées sur cet
appareil. Ceci est plus couramment déployé
dans les implémentations de sites plus petits tels que les sites de
succursales et SOHO. Dans les réseaux plus petits, le besoin
les fonctionnalités de sécurité peuvent être prises en charge par les ISR
sans entraver les capacités de performances du routeur.
Approche de défense en profondeur
Une approche de défense en profondeur est plus sécurisée que l’approche à
routeur unique. Dans cette approche, le
Le routeur de périphérie agit comme la première ligne de défense et est
connu sous le nom de routeur de filtrage. Il passe toutes les connexions
qui sont destinés au réseau local interne du pare-feu.
La deuxième ligne de défense est le pare-feu. Le pare-feu détecte
généralement là où le routeur périphérique
s'arrête et effectue un filtrage supplémentaire. Il fournit un contrôle
d'accès supplémentaire en suivant les
état des connexions et agit comme un dispositif de point de contrôle.
Le routeur périphérique dispose d'un ensemble de règles spécifiant le
trafic qu'il autorise et refuse. Par défaut, le pare-feu
refuse l'initiation de connexions depuis les réseaux extérieurs (non
fiables) vers l'intérieur (fiables)
réseau. Cependant, il permet aux utilisateurs internes d'établir des
connexions aux réseaux non fiables.
et permet aux réponses de revenir à travers le pare-feu. Il peut également
effectuer l'authentification des utilisateurs
(proxy d'authentification) où les utilisateurs doivent être authentifiés
pour accéder aux ressources du réseau.
Approche DMZ
Une variante de l'approche de défense en profondeur consiste à offrir une
zone intermédiaire, souvent appelée zone démilitarisée.
(DMZ). La DMZ peut être utilisée pour les serveurs qui doivent être
accessibles depuis Internet
ou un autre réseau externe. La DMZ peut être configurée entre deux
routeurs, avec un
routeur se connectant au réseau protégé et un routeur externe se connectant
au réseau non protégé
réseau, ou simplement être un port supplémentaire sur un seul routeur. Le
pare-feu, situé entre le
réseaux protégés et non protégés, est configuré pour permettre les
connexions requises (par exemple,
HTTP) depuis les réseaux extérieurs (non fiables) vers les serveurs publics
de la DMZ. Le pare-feu sert comme protection principale pour tous les
appareils de la DMZ. Dans l'approche DMZ, le routeur fournit
une certaine protection en filtrant une partie du trafic, mais laisse
l'essentiel de la protection au pare-feu.
(Ce cours se concentre sur les fonctionnalités de sécurité ISR, y compris
des explications sur la façon de configurer
ces fonctionnalités. En ce qui concerne l'appliance de sécurité adaptative
Cisco (ASA), la discussion est limitée
concevoir la mise en œuvre dans ce cours. Pour la configuration du
périphérique ASA, consultez www.cisco.com.)
La sécurisation du routeur périphérique est une première étape essentielle
dans la sécurisation du réseau. S'il y a d'autres internes
routeurs, ils doivent également être configurés de manière sécurisée. Trois
domaines de sécurité du routeur doivent être maintenus.
Sécurité physique
Assurer la sécurité physique des routeurs :
■ Placez le routeur et les appareils physiques qui s'y connectent dans une
pièce sécurisée et verrouillée.
accessible uniquement au personnel autorisé, est exempt d'interférences
électrostatiques ou magnétiques, a
suppression des incendies et dispose de contrôles de température et
d’humidité.
■ Installez une alimentation sans interruption (UPS) et gardez les
composants de rechange disponibles. Ce
réduit la possibilité d'une attaque DoS due à une perte de courant dans le
bâtiment.
Sécurité du système d'exploitation
Sécurisez les fonctionnalités et les performances des systèmes
d’exploitation du routeur :
■ Configurez le routeur avec la quantité de mémoire maximale possible. La
disponibilité de
La mémoire peut aider à protéger le réseau contre certaines attaques DoS,
tout en prenant en charge les plus larges
gamme de services de sécurité.
■ Utilisez la dernière version stable du système d'exploitation qui répond
aux exigences en matière de fonctionnalités du
réseau. Les fonctionnalités de sécurité d'un système d'exploitation
évoluent avec le temps. Gardez à l'esprit que le
la dernière version d'un système d'exploitation peut ne pas être la version
la plus stable disponible.
■ Conservez une copie sécurisée de l'image du système d'exploitation du
routeur et du fichier de configuration du routeur comme
sauvegarde.
Durcissement du routeur
Éliminez les abus potentiels des ports et services inutilisés :
■ Contrôle administratif sécurisé. Assurez-vous que seul le personnel
autorisé y a accès et que
leur niveau d'accès est contrôlé.
■ Désactivez les ports et interfaces inutilisés. Réduisez le nombre de
façons d’accéder à un appareil.
■ Désactivez les services inutiles. Comme de nombreux ordinateurs, un
routeur dispose de services
activé par défaut. Certains de ces services sont inutiles et peuvent être
utilisés par un attaquant pour
recueillir des informations ou à des fins d'exploitation.
Un accès administratif est requis à des fins de gestion du routeur ; par
conséquent, assurer l'administration
l'accès est une tâche de sécurité extrêmement importante. Si une personne
non autorisée obtenait des droits administratifs
accès à un routeur, cette personne pourrait modifier les paramètres de
routage, désactiver les fonctions de routage ou
découvrir et accéder à d’autres systèmes du réseau.
Plusieurs tâches importantes sont impliquées dans la sécurisation de
l'accès administratif à un périphérique d'infrastructure :
■ Restreindre l'accessibilité des appareils - Limitez les ports
accessibles, restreignez les
communicateurs et restreindre les méthodes d’accès autorisées.
■ Connectez-vous et comptez pour tous les accès - À des fins d'audit,
enregistrez toute personne qui accède à un
appareil, y compris ce qui se produit et quand.
■ Authentifier l'accès : assurez-vous que l'accès est accordé uniquement
aux utilisateurs, groupes et utilisateurs authentifiés.
prestations de service. Limitez le nombre de tentatives de connexion
infructueuses et le temps entre les connexions.
■ Autoriser les actions - Restreindre les actions et les vues autorisées
par un utilisateur, un groupe ou un groupe particulier.
service.
■ Présenter les mentions légales - Afficher une mention légale, élaborée en
collaboration avec l'entreprise
conseiller juridique, pour des séances interactives.
■ Garantir la confidentialité des données - Protégez les données sensibles
stockées localement contre la visualisation et
copier. Considérez la vulnérabilité des données en transit sur un canal de
communication pour
le reniflage, le détournement de session et les attaques de l'homme du
milieu (MITM).
Il existe deux manières d'accéder à un appareil à des fins
administratives : localement et à distance.
Tous les périphériques de l'infrastructure réseau sont accessibles
localement. L'accès local à un routeur nécessite généralement
une connexion directe à un port de console sur le routeur Cisco à l'aide
d'un ordinateur en cours d'exécution
logiciel d'émulation de terminal.
Certains périphériques réseau sont accessibles à distance. L'accès à
distance implique généralement d'autoriser Telnet,
Connexions Secure Shell (SSH), HTTP, HTTPS ou Simple Network Management
Protocol (SNMP)
au routeur depuis un ordinateur. L'ordinateur peut se trouver sur le même
sous-réseau ou sur un autre
sous-réseau. Certains protocoles d'accès à distance envoient les données, y
compris les noms d'utilisateur et les mots de passe, au
routeur en texte clair. Si un attaquant peut collecter le trafic réseau
alors qu'un administrateur est à distance
connecté à un routeur, l'attaquant peut capturer des mots de passe ou des
informations de configuration du routeur.
Pour cette raison, il est préférable de n'autoriser que l'accès local au
routeur. Cependant, l'accès à distance
pourrait encore être nécessaire. Lors de l'accès au réseau à distance,
quelques précautions doivent être prises :
■ Chiffrez tout le trafic entre l'ordinateur de l'administrateur et le
routeur. Par exemple, au lieu de
en utilisant Telnet, utilisez SSH. Ou au lieu d'utiliser HTTP, utilisez
HTTPS.
■ Établir un réseau de gestion dédié. Le réseau de gestion ne doit
comprendre que
hôtes d'administration identifiés et connexions à une interface dédiée sur
le routeur.
■ Configurez un filtre de paquets pour autoriser uniquement les hôtes
d'administration identifiés et préférés
protocoles pour accéder au routeur. Par exemple, autorisez uniquement les
requêtes SSH provenant de l'adresse IP de
l'hôte d'administration pour établir une connexion aux routeurs du réseau.
Ces précautions sont précieuses, mais elles ne protègent pas complètement
le réseau. Autres lignes de défense
doit également être mise en œuvre. L’un des plus fondamentaux et des plus
importants est l’utilisation d’un mot de passe sécurisé.
2.1.2 Configuration de l'accès administratif sécurisé
Les attaquants déploient diverses méthodes pour découvrir les mots de passe
administratifs. Ils peuvent épauler
surfer, tenter de deviner des mots de passe en fonction des informations
personnelles de l'utilisateur ou renifler des paquets TFTP
contenant des fichiers de configuration en texte brut. Les attaquants
peuvent également utiliser des outils tels que L0phtCrack et Cain
& Abel pour tenter des attaques par force brute et deviner les mots de
passe.
Pour protéger les actifs tels que les routeurs et les commutateurs, suivez
ces directives communes pour choisir
mots de passe forts. Ces directives sont conçues pour rendre les mots de
passe plus difficiles à découvrir par les
outils de devinettes et de crack :
■ Utilisez un mot de passe de 10 caractères ou plus. Plus c'est long, mieux
c'est.
■ Rendre les mots de passe complexes. Incluez un mélange de lettres
majuscules et minuscules, de chiffres,
symboles et espaces.
■ Évitez les mots de passe basés sur la répétition, les mots du
dictionnaire, les séquences de lettres ou de chiffres,
noms d'utilisateur, noms de parents ou d'animaux de compagnie, informations
biographiques, telles que dates de naissance, numéros d'identification,
noms d'ancêtres ou autres éléments d'information facilement identifiables.
■ Mal orthographier délibérément un mot de passe. Par exemple, Smith =
Smyth = 5mYth ou Security =
5sécurité.
■ Changez souvent vos mots de passe. Si un mot de passe est compromis sans
le savoir, la fenêtre de
la possibilité pour l'attaquant d'utiliser le mot de passe est limitée.
■ N'écrivez pas les mots de passe et ne les laissez pas dans des endroits
visibles, comme sur le bureau ou
moniteur.
Sur les routeurs Cisco et de nombreux autres systèmes, les espaces en début
de mot de passe sont ignorés, mais les espaces après
le premier caractère n'est pas ignoré. Par conséquent, une méthode pour
créer un mot de passe fort consiste à utiliser le
barre d'espace dans le mot de passe et créez une phrase composée de
plusieurs mots. C'est ce qu'on appelle une phrase de passe. UN
la phrase secrète est souvent plus facile à retenir qu’un simple mot de
passe. Il est également plus long et plus difficile de
deviner.
Les administrateurs doivent s'assurer que des mots de passe forts sont
utilisés sur le réseau. Une façon d'accomplir
il s'agit d'utiliser les mêmes outils de cracking et d'attaque par force
brute que les attaquants utilisent pour
vérifier la force du mot de passe.
De nombreux ports d'accès nécessitent des mots de passe sur un routeur
Cisco, notamment le port de console, le port auxiliaire,
et connexions de terminaux virtuels. La gestion des mots de passe dans un
grand réseau doit être maintenue
en utilisant un serveur d'authentification central TACACS+ ou RADIUS tel
que Cisco Secure Access Control
Serveur (ACS). Tous les routeurs doivent être configurés avec les mots de
passe utilisateur et EXEC privilégié. UN
La base de données de noms d'utilisateur locale est également recommandée
comme sauvegarde en cas d'accès à une authentification, une autorisation,
et le serveur de comptabilité (AAA) est compromis. Utiliser un mot de passe
et attribuer des niveaux de privilèges
est un moyen simple de fournir un contrôle d'accès aux terminaux dans un
réseau. Les mots de passe doivent être établis
pour un accès privilégié au mode EXEC et aux lignes individuelles telles
que la console et les lignes auxiliaires.

Activer le mot de passe secret

La commande de configuration globale d'enable secret password restreint
l'accès aux utilisateurs privilégiés EXEC
mode. Le mot de passe secret d'activation est toujours haché dans la
configuration du routeur à l'aide d'un message
Algorithme de hachage Digest 5 (MD5). Si le mot de passe secret
d'activation est perdu ou oublié, il doit
être remplacé à l'aide de la procédure de récupération du mot de passe du
routeur Cisco.
Ligne de consoles
Par défaut, le port de console ne nécessite pas de mot de passe pour
l'accès administratif à la console ; cependant,
il doit toujours être configuré comme mot de passe au niveau de la ligne du
port de console. Utiliser la console de ligne
0 suivie des sous-commandes login et password pour exiger la connexion et
établir un
mot de passe de connexion sur la ligne de la console.
Lignes de terminaux virtuels
Par défaut, les routeurs Cisco prennent en charge jusqu'à cinq sessions
simultanées de terminal virtuel (Telnet ou SSH).
Sur le routeur, les ports vty sont numérotés de 0 à 4. Utilisez la commande
line vty 0 4
suivi des sous-commandes login et password pour exiger une connexion et
établir une connexion
mot de passe sur les sessions Telnet entrantes.

Ligne auxiliaire
Par défaut, les ports auxiliaires du routeur Cisco ne nécessitent pas de
mot de passe pour l'accès administratif à distance.
Les administrateurs utilisent parfois ce port pour configurer et surveiller
à distance le routeur à l'aide d'un
connexion par modem commuté.
Pour accéder à la ligne auxiliaire utilisez la commande line aux 0.
Utilisez les sous-commandes login et password
pour exiger une connexion et établir un mot de passe de connexion sur les
connexions entrantes.
Par défaut, à l'exception du mot de passe secret d'activation, tous les
mots de passe des routeurs Cisco sont stockés
en texte brut dans la configuration du routeur. Ces mots de passe peuvent
être consultés avec le spectacle en cours d'exécution.
commande de configuration. Les renifleurs peuvent également voir ces mots
de passe si la configuration du serveur TFTP
les fichiers transitent par une connexion intranet ou Internet non
sécurisée. Si un intrus accède au TFTP
serveur où sont stockés les fichiers de configuration du routeur, l'intrus
est en mesure d'obtenir ces mots de passe.
Pour augmenter la sécurité des mots de passe, les éléments suivants doivent
être configurés :
■ Appliquez des longueurs minimales de mot de passe.
■ Désactivez les connexions sans surveillance.
■ Chiffrez tous les mots de passe dans le fichier de configuration.
Longueur minimale des caractères
À partir de Cisco IOS version 12.3(1) et versions ultérieures, les
administrateurs peuvent définir le nombre minimum de caractères
longueur de tous les mots de passe du routeur de 0 à 16 caractères à l'aide
de la commande de configuration globale
longueur minimale des mots de passe de sécurité. Il est fortement
recommandé que le minimum
la longueur du mot de passe doit être définie sur au moins 10 caractères
pour éliminer les mots de passe courants qui sont courts et
répandu sur la plupart des réseaux, tels que « lab » et « cisco ».
Cette commande affecte les mots de passe utilisateur, active les mots de
passe secrets et les mots de passe de ligne créés
après l'exécution de la commande. Les mots de passe du routeur existants ne
sont pas affectés. Toute tentative de
la création d'un nouveau mot de passe inférieur à la longueur spécifiée
échoue et entraîne un message d'erreur
semblable à ce qui suit :
Mot de passe trop court - doit comporter au moins 10 caractères.
Configuration du mot de passe
échoué.
Désactiver les connexions sans surveillance
Par défaut, une interface d'administration reste active et connectée
pendant 10 minutes après la dernière session
activité. Après cela, l'interface expire et se déconnecte de la session.
Si un administrateur est absent du terminal alors que la connexion console
est active, un attaquant
dispose de 10 minutes maximum pour obtenir un accès au niveau privilège. Il
est recommandé que ces minuteries soient réglées avec précision
limiter la durée à deux ou trois minutes maximum. Ces minuteries peuvent
être
ajusté à l'aide de la commande exec-timeout en mode configuration de ligne
pour chacun des types de ligne
qui sont utilisés.
Il est également possible de désactiver le processus d'exécution pour une
ligne spécifique, comme sur le port auxiliaire,
en utilisant la commande no exec dans le mode de configuration de ligne.
Cette commande permet uniquement un
connexion sortante sur la ligne. La commande no exec permet de désactiver
le processus EXEC
pour les connexions susceptibles de tenter d'envoyer des données non
sollicitées au routeur.
Chiffrer tous les mots de passe
Par défaut, certains mots de passe sont affichés en texte clair, c'est-à-
dire non chiffrés, dans le logiciel Cisco IOS.
configuration. À l'exception du mot de passe secret d'activation, tous les
autres mots de passe en clair dans le fichier de configuration peut être
chiffré dans le fichier de configuration à l'aide du mot de passe de
service-
commande de chiffrement. Cette commande hache les mots de passe en texte
clair actuels et futurs dans la configuration
fichier dans un texte chiffré. Pour arrêter le cryptage des mots de passe,
utilisez la forme no du
commande. Seuls les mots de passe créés après l'émission de la commande no
seront non chiffrés. Existant
les mots de passe précédemment cryptés le resteront.
La commande service password-encryption est principalement utile pour
garder les personnes non autorisées
de visualiser les mots de passe dans le fichier de configuration.
L'algorithme utilisé par le service
La commande de cryptage de mot de passe est simple et peut être facilement
annulée par une personne ayant accès à
le texte chiffré et une application de craquage de mot de passe. Pour cette
raison, cette commande
ne doit pas être utilisé dans le but de protéger les fichiers de
configuration contre des attaques graves.
La commande activate secret est beaucoup plus sécurisée car elle crypte le
mot de passe à l'aide de MD5,
qui est un algorithme plus fort.
Une autre fonctionnalité de sécurité disponible est l'authentification. Les
routeurs Cisco peuvent conserver une liste de noms d'utilisateur
et des mots de passe dans une base de données locale sur le routeur pour
effectuer une authentification de connexion locale. Là
Il existe deux méthodes de configuration des comptes de nom d'utilisateur
local.
nom d'utilisateur nom mot de passe mot de passe
nom d'utilisateur nom secret mot de passe
La commande username secret est plus sécurisée car elle utilise
l'algorithme le plus puissant, le hachage MD5,
pour dissimuler les mots de passe. MD5 est un bien meilleur algorithme que
le type 7 standard utilisé par
la commande de chiffrement de mot de passe du service. La couche
supplémentaire de protection MD5 est utile dans les environnements
dans lequel le mot de passe traverse le réseau ou est stocké sur un serveur
TFTP. Gardez à l'esprit
que lors de la configuration d'une combinaison nom d'utilisateur et mot de
passe, des restrictions sur la longueur du mot de passe doivent
être suivi. Utilisez la commande login local sur la configuration de la
ligne pour activer la base de données locale
pour l'authentification.
Tous les exemples restants de ce chapitre utilisent à la place la
configuration du secret du nom d'utilisateur.
du mot de passe du nom d'utilisateur.

2.1.3 Configuration de la sécurité améliorée pour les connexions virtuelles

L'attribution de mots de passe et l'authentification locale n'empêchent pas

un appareil d'être la cible d'une attaque.
Les attaques DoS inondent un appareil avec tellement de demandes de
connexion que l'appareil pourrait ne pas fournir
service de connexion normal aux administrateurs système légitimes. Une
attaque par dictionnaire, utilisée pour
obtenir un accès administratif à un appareil, inonde un appareil avec des
milliers de nom d'utilisateur et de mot de passe
combinaisons. Le résultat final est à peu près le même qu’une attaque DoS,
dans le sens où l’appareil ne peut pas traiter
demandes légitimes des utilisateurs. Le réseau doit disposer de systèmes
pour détecter et aider à prévenir
ces attaques.
En activant un profil de détection, un périphérique réseau peut être
configuré pour réagir aux échecs répétés
tentatives de connexion en refusant d'autres demandes de connexion (blocage
de connexion). Ce bloc peut être configuré
pendant une période de temps appelée période de calme. Des tentatives de
connexion légitimes peuvent toujours
être autorisé pendant une période de silence en configurant une liste de
contrôle d'accès (ACL) avec les adresses
qui sont connus pour être associés aux administrateurs système.
La fonctionnalité d'amélioration de la connexion Cisco IOS offre davantage
de sécurité aux périphériques Cisco IOS lorsque
créer une connexion virtuelle, telle que Telnet, SSH ou HTTP, en
ralentissant les attaques par dictionnaire
et arrêter les attaques DoS. Pour mieux configurer la sécurité des
connexions de connexion virtuelle, le login
le processus doit être configuré avec des paramètres spécifiques :
■ Délais entre les tentatives de connexion successives
■ Arrêt de la connexion si des attaques DoS sont suspectées
■ Génération de messages de journalisation système pour la détection de
connexion
Ces améliorations ne s'appliquent pas aux connexions de console. Il est
supposé que seul le personnel autorisé
avoir un accès physique aux appareils.
Les commandes suivantes sont disponibles pour configurer un périphérique
Cisco IOS afin de prendre en charge la version améliorée
fonctionnalités de connexion.
Routeur# configurer le terminal
Routeur (config) # bloc de connexion - tentatives en quelques secondes
tentatives en quelques secondes
Routeur (config) # connexion classe d'accès en mode silencieux {acl-name |
numéro-acl}
Routeur (config) # secondes de délai de connexion
Journal d'échec de connexion du routeur (config) # [chaque connexion]
Journal de réussite du routeur (config) # de connexion [chaque connexion]
L'authentification sur les lignes VTY doit être configurée pour utiliser
une combinaison de nom d'utilisateur et de mot de passe. Si
les lignes vty sont configurées pour utiliser uniquement un mot de passe,
les fonctionnalités de connexion améliorées ne sont pas activées.
Qu'accomplit chaque commande ?
Toutes les fonctionnalités d'amélioration de la connexion sont désactivées
par défaut. Utilisez la commande login block-for pour activer
améliorations de connexion.
La fonctionnalité de blocage de connexion surveille l'activité du
périphérique de connexion et fonctionne selon deux modes :
■ Mode normal (mode surveillance) - Le routeur compte le nombre de
tentatives de connexion échouées
dans un délai déterminé.
■ Mode silencieux (période de silence) - Si le nombre de connexions
échouées dépasse le seuil configuré,
toutes les tentatives de connexion via Telnet, SSH et HTTP sont refusées.
Lorsque le mode silencieux est activé, toutes les tentatives de connexion,
y compris un accès administratif valide, ne sont pas autorisées.
Cependant, pour fournir à tout moment un accès aux hôtes critiques, ce
comportement peut être remplacé en utilisant
une liste de contrôle d'accès. L'ACL doit être créée et identifiée à l'aide
de la classe d'accès en mode silencieux de connexion.
commande.

Par défaut, les appareils Cisco IOS peuvent accepter les connexions, telles
que Telnet, SSH et HTTP, aussi rapidement que possible.
car ils peuvent être traités. Cela rend les appareils sensibles aux outils
d'attaque par dictionnaire, tels que Cain ou
L0phtCrack, capable d'effectuer des milliers de tentatives de mot de passe
par seconde. Le bloc de connexion pour
La commande invoque un délai automatique de 1 seconde entre les tentatives
de connexion. Les attaquants doivent
attendez 1 seconde avant de pouvoir essayer un mot de passe différent.
Ce délai peut être modifié à l'aide de la commande login delay. La commande
login delay introduit
un délai uniforme entre les tentatives de connexion successives. Le délai
se produit pour toutes les tentatives de connexion,
y compris les tentatives échouées ou réussies.
Les commandes login block-for, login quiet-mode access-class et login delay
aident
bloquer les tentatives de connexion ayant échoué pendant une période de
temps limitée, mais ne peut pas empêcher un attaquant d'essayer
encore. Comment un administrateur peut-il savoir quand quelqu'un tente
d'accéder au réseau en devinant
le mot de passe?
La commande auto secure active la journalisation des messages pour les
tentatives de connexion infructueuses. Journalisation réussie
les tentatives de connexion ne sont pas activées par défaut.
Ces commandes peuvent être utilisées pour suivre le nombre de tentatives de
connexion réussies et échouées.
Le journal d'échec de connexion [chaque connexion] génère des journaux pour
les demandes de connexion ayant échoué.
Le journal de réussite de la connexion [chaque connexion] génère des
messages de journal pour les demandes de connexion réussies.
Le nombre de tentatives de connexion avant la génération d'un message peut
être spécifié à l'aide de l'option [chaque
connexion] paramètre. La valeur par défaut est 1 tentative. La plage valide
va de 1 à 65 535.
Comme alternative, la commande de journal de taux de seuil de taux d'échec
d'authentification de sécurité
génère un message de journal lorsque le taux d'échec de connexion est
dépassé.
Pour vérifier que la commande login block-for est configurée et dans quel
mode le routeur est actuellement
dans, utilisez la commande show login. Le routeur est en mode normal ou
silencieux, selon
si les seuils de connexion ont été dépassés.
La commande show login fails affiche plus d'informations sur les tentatives
échouées,
comme l'adresse IP à partir de laquelle proviennent les tentatives de
connexion échouées.
Utilisez des bannières de messages pour présenter une notification légale
aux intrus potentiels afin de les informer qu'ils
ne sont pas les bienvenus sur un réseau. Les bannières sont très
importantes pour le réseau d’un point de vue juridique.
Les intrus ont gagné des procès parce qu'ils n'ont pas reçu de messages
d'avertissement appropriés.
lors de l'accès aux réseaux de routeurs. En plus d'avertir les intrus
potentiels, des bannières sont également utilisées
pour informer les administrateurs distants des restrictions d'utilisation.
Le choix de ce qu'il faut placer dans les messages de bannière est
important et doit être examiné par un conseiller juridique.
avant de les mettre sur les routeurs réseau. N'utilisez jamais le mot
bienvenue ou toute autre salutation familière
cela peut être interprété à tort comme une invitation à utiliser le réseau.
Les bannières sont désactivées par défaut et doivent être explicitement
activées. Utilisez la commande bannière de
mode de configuration globale pour spécifier les messages appropriés.
bannière {exécutable | entrant | connexion | mot | slip-ppp} d message d
Les jetons sont facultatifs et peuvent être utilisés dans la section
message de la commande bannière :
$(hostname) - Affiche le nom d'hôte du routeur.
$(domain) - Affiche le nom de domaine du routeur.
$(line) - Affiche le numéro de ligne vty ou tty (asynchrone).
$(line-desc) - Affiche la description attachée à la ligne.
Soyez prudent lorsque vous placez ces informations dans la bannière car
elles fournissent plus d'informations à un éventuel
intrus.
Cisco SDM peut également être utilisé pour configurer des messages de
bannière.

2.1.4 Configurer SSH

Lors de l'activation de l'accès administratif à distance, il est également

important de prendre en compte les implications en matière de sécurité.
d'envoyer des informations à travers le réseau. Traditionnellement, l'accès
à distance sur les routeurs était configuré
en utilisant Telnet sur le port TCP 23. Cependant, Telnet a été développé à
l'époque où la sécurité
n'était pas un problème, par conséquent, tout le trafic Telnet est transmis
en texte clair. En utilisant ce protocole, critique
les données, telles que les configurations des routeurs, sont facilement
accessibles aux attaquants. Les pirates peuvent capturer des paquets
transmis par l’ordinateur d’un administrateur à l’aide d’un analyseur de
protocole tel que Wireshark. Si l'initiale
Le flux Telnet est découvert et suivi, les attaquants peuvent connaître le
nom d'utilisateur de l'administrateur et
mot de passe.
Cependant, disposer d'une capacité d'accès à distance peut permettre à une
organisation d'économiser du temps et de l'argent lors de la réalisation de
projets.
modifications de configuration nécessaires. Alors, comment établir une
connexion d'accès à distance sécurisée pour
gérer les appareils Cisco IOS ?
SSH a remplacé Telnet comme pratique recommandée pour assurer
l'administration du routeur à distance avec
connexions qui prennent en charge la confidentialité et l’intégrité de la
session. Il offre des fonctionnalités similaires à
une connexion Telnet sortante, sauf que la connexion est cryptée et
fonctionne sur le port 22. Avec
Authentification et cryptage, SSH permet une communication sécurisée sur un
réseau non sécurisé.
Quatre étapes doivent être complétées avant de configurer les routeurs pour
le protocole SSH :
Étape 1. Assurez-vous que les routeurs cibles exécutent une image Cisco IOS
version 12.1(1)T ou ultérieure pour prendre en charge
SSH. Seules les images cryptographiques Cisco IOS contenant l'ensemble de
fonctionnalités IPsec prennent en charge SSH.
Plus précisément, Cisco IOS 12.1 ou version ultérieure IPsec DES ou Triple
Data Encryption Standard (3DES) cryptographique
les images prennent en charge SSH. En règle générale, ces images ont les
identifiants d'image k8 ou k9 dans leur image.
des noms. Par exemple, c1841-advipservicesk9-mz.124-10b.bin est une image
pouvant prendre en charge SSH.
Étape 2. Assurez-vous que chacun des routeurs cibles possède un nom d'hôte
unique.
Étape 3. Assurez-vous que chacun des routeurs cibles utilise le nom de
domaine correct du réseau.
Étape 4. Assurez-vous que les routeurs cibles sont configurés pour
l'authentification locale ou les services AAA pour
authentification par nom d'utilisateur et mot de passe. Ceci est
obligatoire pour une connexion SSH de routeur à routeur.
À l'aide de la CLI, il existe quatre étapes pour configurer un routeur
Cisco afin qu'il prenne en charge SSH :
Étape 1. Si le routeur possède un nom d'hôte unique, configurez le nom de
domaine IP du réseau à l'aide de
la commande ip domain-name domain-name en mode de configuration globale.
Étape 2. Des clés secrètes unidirectionnelles doivent être générées pour
qu'un routeur chiffre le trafic SSH. Ces clés
sont appelées clés asymétriques. Le logiciel Cisco IOS utilise Rivest,
Shamir et Adleman
(RSA) pour générer des clés. Pour créer la clé RSA, utilisez la clé crypto
générer rsa
Commande general-keys module module-size en mode de configuration globale.
Le module détermine
la taille de la clé RSA et peut être configurée de 360 bits à 2048 bits.
Plus le
module, plus la clé RSA est sécurisée. Cependant, les clés avec des valeurs
de module élevées prennent légèrement
plus long à générer et plus long à crypter et déchiffrer également. Le
module minimum recommandé
la longueur de la clé est de 1024 bits.
Pour vérifier SSH et afficher les clés générées, utilisez la commande show
crypto key mypubkey rsa
en mode EXEC privilégié. S'il existe des paires de clés existantes, il est
recommandé de les écraser
à l’aide de la commande crypto key zeroize rsa.
Étape 3. Assurez-vous qu'il existe une entrée de nom d'utilisateur de base
de données locale valide. Sinon, créez-en un en utilisant le
nom d'utilisateur nom secret commande secrète.
Étape 4. Activez les sessions SSH entrantes vty à l'aide des commandes de
ligne vty login local et
entrée de transport ssh.
SSH est automatiquement activé une fois les clés RSA générées. Le service
SSH du routeur est accessible
en utilisant le logiciel client SSH.
Commandes SSH facultatives
En option, les commandes SSH peuvent être utilisées pour configurer les
éléments suivants :
■ Version SSH
■ Délai d'expiration SSH
■ Nombre de tentatives d'authentification
Les routeurs Cisco prennent en charge deux versions de SSH : SSH version 1
(SSHv1) et la version plus récente et plus sécurisée.
SSH version 2 (SSHv2). SSHv2 offre une meilleure sécurité grâce à l'échange
de clés Diffie-Hellman
et le code d'authentification de message (MAC) à contrôle d'intégrité
puissant.
Cisco IOS version 12.1(1)T et versions ultérieures prend en charge SSHv1.
Cisco IOS version 12.3(4)T et versions ultérieures fonctionne
en mode de compatibilité et prend en charge à la fois SSHv1 et SSHv2. Pour
changer de compatibilité
mode vers une version spécifique, utilisez la version ip ssh {1 | 2}
commande de configuration globale.
L'intervalle de temps pendant lequel le routeur attend la réponse du client
SSH pendant la négociation SSH
la phase peut être configurée à l'aide de la commande ip ssh time-out
seconds dans la configuration globale
mode. La valeur par défaut est de 120 secondes. Lorsque la session EXEC
démarre, le délai d'expiration standard configuré
pour le vty s'applique.
Par défaut, un utilisateur qui se connecte dispose de trois tentatives
avant d'être déconnecté. Pour configurer un autre
nombre de tentatives SSH consécutives, utilisez la commande ip ssh
Authentication-retries integer
en mode configuration globale.
Pour vérifier les paramètres facultatifs de la commande SSH, utilisez la
commande show ip ssh.
Une fois SSH configuré, un client SSH est requis pour se connecter à un
routeur compatible SSH.
Il existe deux manières différentes de se connecter à un routeur compatible
SSH :
■ Connectez-vous à l'aide d'un routeur Cisco compatible SSH à l'aide de la
commande ssh en mode EXEC privilégié.
■ Connectez-vous à l'aide d'un client SSH disponible publiquement et
commercialement exécuté sur un hôte. Exemples
parmi ces clients sont PuTTY, OpenSSH et TeraTerm.
Les routeurs Cisco sont capables d'agir comme serveur SSH et comme client
SSH se connectant à un autre
Appareil compatible SSH. Par défaut, ces deux fonctions sont activées sur
le routeur lorsque SSH est activé.
En tant que serveur, un routeur peut accepter les connexions client SSH. En
tant que client, un routeur peut se connecter en SSH à un autre
Routeur compatible SSH.
La procédure de connexion à un routeur Cisco varie en fonction de
l'application client SSH utilisée.
est en train d'être utilisé. Généralement, le client SSH initie une
connexion SSH au routeur. Le routeur SSH
Le service vous demande la combinaison correcte de nom d'utilisateur et de
mot de passe. Une fois la connexion vérifiée,
le routeur peut être géré comme si l'administrateur utilisait une session
Telnet standard.
Utilisez la commande show ssh pour vérifier l'état des connexions client.
Cisco SDM peut être utilisé pour configurer un démon SSH sur un routeur.
Pour voir les paramètres actuels de la clé SSH,
choisissez Configurer > Tâches supplémentaires > Accès au routeur > SSH.
Les paramètres de la clé SSH ont
deux options de statut.
■ La clé RSA n'est pas définie sur ce routeur - Cet avis apparaît s'il n'y
a pas de clé cryptographique
configuré pour l'appareil. Si aucune clé n'est configurée, entrez une
taille de module et générez un
clé.
■ La clé RSA est définie sur ce routeur - Cet avis apparaît si une clé
cryptographique a été générée,
auquel cas SSH est activé sur ce routeur.
Le fichier de configuration par défaut fourni avec un routeur compatible
Cisco SDM active automatiquement
Accès Telnet et SSH depuis l'interface LAN et génère une clé RSA.
Le bouton Générer une clé RSA configure une clé cryptographique si aucune
n'est définie. Le module clé
La boîte de dialogue Taille apparaît. Si la valeur du module doit être
comprise entre 512 et 1024, saisissez un nombre entier
valeur qui est un multiple de 64. Si la valeur du module doit être
supérieure à 1024, entrez 1536 ou
2048. Si une valeur supérieure à 512 est saisie, la génération de clé peut
prendre une minute ou plus.
Une fois SSH activé sur le routeur, les lignes vty prenant en charge SSH
doivent être configurées. Choisir
Configurer > Tâches supplémentaires > Accès au routeur > VTY. La fenêtre
Lignes VTY affiche le vty
paramètres sur le routeur. Cliquez sur le bouton Modifier pour configurer
les paramètres vty.

2.2 Attribution des rôles administratifs

2.2.1 Configuration des niveaux de privilèges

Même s'il est important qu'un administrateur système puisse se connecter et

gérer un appareil en toute sécurité,
davantage de configurations sont nécessaires pour assurer la sécurité du
réseau. Par exemple, devrait compléter l'accès
être prévu pour tous les salariés d'une entreprise ? La réponse à cette
question est généralement non. La plupart des entreprises
les employés n'ont besoin que de zones spécifiques d'accès au réseau. Qu'en
est-il de l'accès complet
pour tous les employés du service informatique ? Gardez à l’esprit que les
grandes organisations ont de nombreux
fonctions au sein d'un service informatique. Par exemple, les titres de
poste incluent Directeur de l'information
(CIO), Opérateur de sécurité, Administrateur réseau, Ingénieur WAN,
Administrateur LAN, Logiciel
Administrateur, support technique PC, support Help Desk et autres. Toutes
les fonctions professionnelles ne devraient pas avoir
le même niveau d’accès aux dispositifs d’infrastructure.
A titre d'exemple, un administrateur réseau senior part en vacances et, par
mesure de précaution, fournit un
administrateur junior avec les mots de passe du mode EXEC privilégié pour
tous les périphériques de l'infrastructure. Quelques
quelques jours plus tard, le curieux administrateur junior désactive
accidentellement le réseau de l'entreprise. Ce n'est pas
un scénario rare, car trop souvent un routeur est sécurisé avec un seul
EXEC privilégié
mot de passe. Toute personne connaissant ce mot de passe a un accès libre à
l'ensemble du routeur.
La configuration des niveaux de privilèges est la prochaine étape pour
l'administrateur système qui souhaite sécuriser le réseau.
Les niveaux de privilège déterminent qui doit être autorisé à se connecter
à l'appareil et ce que cette personne doit faire.
devrait pouvoir faire avec ça. La CLI du logiciel Cisco IOS dispose de deux
niveaux d'accès aux commandes.
■ Mode d'exécution utilisateur (niveau de privilège 1) : fournit les
privilèges utilisateur en mode d'exécution les plus bas et
autorise uniquement les commandes au niveau de l'utilisateur disponibles à
l'invite router>.
■ Mode d'exécution privilégié (niveau de privilège 15) : inclut toutes les
commandes de niveau d'activation au niveau
invite du numéro de routeur.
Bien que ces deux niveaux assurent un contrôle, un niveau de contrôle plus
précis est parfois nécessaire.
Le logiciel Cisco IOS dispose de deux méthodes pour fournir un accès à
l'infrastructure : niveau de privilège et basé sur les rôles.
CLI.
Attribution de niveaux de privilège
Depuis Cisco IOS version 10.3, les routeurs Cisco permettent à un
administrateur de configurer plusieurs privilèges
les niveaux. La configuration des niveaux de privilèges est
particulièrement utile dans un environnement de service d'assistance où
certains
les administrateurs doivent être capables de configurer et de surveiller
chaque partie du routeur (niveau 15), et
les autres administrateurs doivent uniquement surveiller, et non
configurer, le routeur (niveaux personnalisés 2 à 14).
Il existe 16 niveaux de privilèges au total. Les niveaux 0, 1 et 15 ont des
paramètres prédéfinis.
Un administrateur peut définir plusieurs niveaux de privilèges
personnalisés et attribuer différentes commandes à
chaque niveau. Plus le niveau de privilège est élevé, plus l'utilisateur
dispose d'un accès au routeur. Les commandes qui sont
disponibles à des niveaux de privilèges inférieurs sont également
exécutables à des niveaux de privilèges supérieurs, car un niveau de
privilège inclut
les privilèges de tous les niveaux inférieurs. Par exemple, un utilisateur
autorisé au niveau de privilège 10 est
accordé l'accès aux commandes autorisées aux niveaux de privilège 0 à 10
(si également définis). Un niveau de privilège-
L'utilisateur 10 ne peut pas accéder aux commandes accordées au niveau de
privilège 11 (ou supérieur). Un utilisateur autorisé
pour le niveau de privilège 15 peut exécuter toutes les commandes Cisco
IOS.
Pour attribuer des commandes à un niveau de privilège personnalisé,
utilisez la commande privilège de la configuration globale
mode.
Routeur (config) # mode privilège {commande de niveau niveau | commande
réinitialiser}
Il est important de noter que l'attribution d'une commande avec plusieurs
mots-clés, tels que show ip route,
à un niveau de privilège spécifique attribue automatiquement toutes les
commandes associées aux premières touches.
Chapitre 2 : Sécurisation des périphériques réseau 39
mots au niveau de privilège spécifié. Par exemple, la commande show et la
commande show ip
sont automatiquement définis sur le niveau de privilège où show ip route
est défini. C'est nécessaire parce que
la commande show ip route ne peut pas être exécutée sans accès au show et
show ip
commandes. Les sous-commandes relevant de show ip route sont également
automatiquement affectées au
même niveau de privilège. L'attribution de la route show ip permet à
l'utilisateur d'émettre toutes les commandes show,
comme la version d'exposition.
Les niveaux de privilège doivent également être configurés pour
l'authentification. Il existe deux méthodes pour attribuer
mots de passe aux différents niveaux :
■ Au niveau de privilège à l'aide de la commande de configuration globale
activer le niveau secret
mot de passe.
■ À un utilisateur bénéficiant d'un niveau de privilège spécifique, à
l'aide de la commande de configuration globale
nom d'utilisateur nom niveau de privilège mot de passe secret.
Par exemple, un administrateur peut attribuer quatre niveaux d'accès aux
appareils au sein d'une organisation :
■ Un compte UTILISATEUR (nécessitant le niveau 1, hors ping)
■ Un compte SUPPORT (nécessitant tous les accès de niveau 1, plus la
commande ping)
■ Un compte JR-ADMIN (nécessitant tous les accès de niveau 1 et 5, plus la
commande reload)
■ Un compte ADMIN (nécessitant un accès complet)
La mise en œuvre des niveaux de privilèges varie en fonction de la
structure de l’organisation et des différents
fonctions professionnelles qui nécessitent un accès aux périphériques de
l'infrastructure.
Dans le cas de l'UTILISATEUR, qui nécessite un accès par défaut de niveau 1
(Routeur>), pas de privilège personnalisé
Le niveau est défini. En effet, le mode utilisateur par défaut est
équivalent au niveau 1.
Le compte SUPPORT peut se voir attribuer un niveau d'accès supérieur tel
que le niveau 5. Le niveau 5 automatiquement
hérite des commandes des niveaux 1 à 4, et des commandes supplémentaires
peuvent être attribuées.
Gardez à l'esprit que lorsqu'une commande est attribuée à un niveau
spécifique, l'accès à cette commande est pris
loin de tout niveau inférieur. Par exemple, pour attribuer le niveau 5 à la
commande ping, utilisez ce qui suit
séquence de commandes.
privilège exécutif niveau 5 ping
Le compte UTILISATEUR (niveau 1) n'a plus accès à la commande ping, car un
utilisateur doit avoir
accès au niveau 5 ou supérieur pour exécuter la fonction ping.
Pour attribuer un mot de passe au niveau 5, entrez la commande suivante.
activer le niveau secret 5 Cisco5
Pour accéder au niveau 5, le mot de passe cisco5 doit être utilisé.
Pour attribuer un nom d'utilisateur spécifique au niveau de privilège 5,
entrez la commande suivante.
nom d'utilisateur support privilège 5 secret cisco5
Un utilisateur qui se connecte sous le support du nom d'utilisateur ne peut
accéder qu'au niveau de privilège 5, qui également
hérite du niveau de privilège 1.
Le compte JR-ADMIN doit accéder à toutes les commandes de niveau 1 et
niveau 5 ainsi qu'au rechargement
commande. Ce compte doit disposer d'un niveau d'accès supérieur, tel que le
niveau 10. Niveau 10 automatiquement
hérite de toutes les commandes des niveaux inférieurs.
Pour attribuer le niveau 10 à la commande de rechargement du mode EXEC
privilégié, utilisez la commande suivante
séquence.