Il est conseillé de déterminer vos besoins organisationnels et le type de sécurité correspondant le mieux à vos besoins avant le déploiement d'une machine dans un environnement de production ou la connexion de votre réseau à l'internet. Vu que l'objectif principal du Guide de sécurité de Red Hat Enterprise Linux est d'expliquer comment sécuriser Red Hat Enterprise Linux, un examen plus approfondi de la sécurité du matériel et du réseau physique s'étend au-delà du présent document. Toutefois, ce chapitre présente un bref aperçu sur l'établissement de politiques de sécurité concernant le matériel et les réseaux physiques. Les facteurs importants à considérer incluent la manière dont les besoins informatiques et les besoins de connectivité sont intégrés dans la stratégie de sécurité d'ensemble. Certains de ces facteurs sont expliqués en détails dans les pages qui suivent.
L'informatique implique bien plus que des postes de travail qui exécutent des logiciels de bureau. Les sociétés modernes nécessitent une importante puissance de traitement informatique ainsi que des services hautement disponibles qui peuvent inclure des ordinateurs centraux, des clusters d'applications ou d'ordinateurs, des postes de travail puissants et des dispositifs spécialisés. De ces besoins organisationnels découlent, cependant, une susceptibilité accrue aux échecs matériels, aux catastrophes naturelles et à l'altération ou au vol d'équipement.
La connectivité est la méthode par laquelle un administrateur compte connecter des ressources différentes sur un réseau. Un administrateur peut utiliser des technologies Ethernet (câblage CAT-5/RJ-45 concentré ou commuté), d'anneau à jetons, de câble coaxial ou même sans fil (802.11x). Selon le moyen choisi par l'administrateur, certains médias et certaines topologies de réseau nécessitent des technologies complémentaires comme des hubs, des routeurs, des commutateurs, des stations de base et des points d'accès. La détermination d'une architecture réseau fonctionnelle offrira un processus administratif plus facile si des problèmes de sécurité se présentent.
À partir de ces considérations générales, les administrateurs peuvent avoir une meilleure vue sur l'implémentation. La conception d'un environnement informatique peut alors être basée sur les besoins organisationnels ainsi que sur les considérations de sécurité — une implémentation qui évalue de façon égale les deux facteurs.
La base d'un LAN est la topologie ou architecture de réseau. La topologie est la structure logique et physique d'un LAN en termes de ressources fournies, de distance entre les noeuds et de moyen de transmission. Selon les besoins de l'organisation servie par le réseau, il existe plusieurs choix disponibles pour l'implémentation de réseau. Chaque topologie possède ses avantages et ses problèmes de sécurité que les architectes de réseau devraient considérer lors de la conception de leur structure de réseau.
Comme définies par l'institut IEEE (Institute of Electrical and Electronics Engineers), trois topologies courantes existent pour la connexion physique d'un LAN.
La topologie en anneau connecte chaque noeud par exactement deux connexions. Cela crée une structure d'anneaux où chaque noeud est accessible à l'autre, soit directement par ses deux noeuds voisins les plus proches physiquement, soit indirectement par l'anneau physique. Les réseaux en anneau à jetons, FDDI et SONET sont connectés de cette manière (FDDI utilisant une technique de double anneau) ; cependant aucune connexion Ethernet n'utilise cette topologie physique. Les anneaux ne sont donc pas couramment déployés sauf dans des situations institutionnelles ou dites « legacy » ayant une importante base installée de noeuds (par exemple, une faculté).
La topologie de bus linéaire est composée de noeuds qui se connectent à un câble linéaire principal (la dorsale ou backbone en anglais). La topologie de bus linéaire requiert la moindre quantité d'équipement de câblage et de réseau, la rendant la topologie la plus rentable. Cependant, le bus linéaire dépend de la disponibilité constante de la dorsale ce qui provoque un point d'échec si il doit être mis hors ligne ou si il est endommagé. Les topologies de bus linéaire sont souvent utilisées dans les LAN pair-à-pair à l'aide de câblage co-axial et de terminateurs de 50-93 ohm aux deux extrémités du bus.
La topologie en étoile incorpore un point central où les noeuds se connectent et par lequel passent les communications. Ce point central, appelé un hub, peut être soit diffusé, soit commuté. Cette topologie introduit un point unique de panne dans le matériel de réseau centralisé qui connecte les noeuds. Cependant, cette centralisation permet de remonter facilement à la source des problèmes de réseau qui affectent des segments ou la totalité du LAN.
Le concept de réseau diffusé et commuté a été introduit dans la Section A.1.1.3. Il existe plusieurs facteurs à considérer lors de l'évaluation du type de matériel réseau approprié et assez sécurisé pour votre environnement réseau. Ces deux formes distinctes de réseau sont examinées plus en détails par la suite.
Dans un réseau diffusé, un noeud envoie un paquet qui traverse tous les autres noeuds jusqu'à ce que le destinataire accepte le paquet. Chaque noeud sur le réseau peut recevoir ce paquet de données jusqu'à ce que le destinataire traite le paquet. Dans un réseau diffusé, tous les paquets sont envoyés de cette manière.
Dans un réseau commuté, les paquets ne sont pas diffusés, mais sont traités dans le hub commuté qui, à son tour, crée une connexion directe entre les noeuds d'origine et destinataire. Cela élimine le besoin de diffuser des paquets pour chaque noeud, réduisant ainsi le trafic.
Le réseau commuté évite également que les paquets soient interceptés par des noeuds ou des utilisateurs malveillants. Sur un réseau diffusé, où chaque noeud reçoit le paquet en chemin vers sa destination, des utilisateurs malveillants peuvent configurer leur périphérique Ethernet en mode promiscuous et accepter tous les paquets indépendamment du fait que les données leur soient destinées ou non. Une fois en mode promiscuous, une application de sniffeur peut être utilisée pour filtrer, analyser et reconstruire des paquets pour des mots de passe, des données personnelles, etc. Des applications de sniffeur sophistiquées peuvent stocker de telles informations dans les fichiers texte et, peut-être, même envoyer des informations à des sources arbitraires (par exemple, l'adresse électronique de l'utilisateur malveillant).
Un réseau commuté requiert un commutateur de réseau, un matériel spécialisé qui prend le rôle d'un hub traditionnel dans lequel sont connectés tous les noeuds sur un LAN. Les commutateurs stockent les adresses MAC de tous les noeuds à l'intérieur d'une base de données interne utilisée pour effectuer son routage direct. Plusieurs vendeurs, y compris Cisco Systems, D-Link, SMC et Netgear offrent divers types de commutateurs avec des fonctions telles que la compatibilité 10/100-Base-T, le support Gigabit Ethernet et le réseau IPv6.
La mobilité est aujourd'hui un nouveau problème pour les sociétés. Les travailleurs à distance, les techniciens et les directeurs nécessitent tous de solutions portables, comme des ordinateurs portables, des assistants personnels (PDA) et un accès sans fil aux ressources réseau. L'institut IEEE a établi un groupe de normes pour les spécifications sans fil 802.11 qui établit des normes pour les communications de données sans fil à travers toutes les industries. La norme actuellement approuvée par IEEE est 802.11g pour le réseau sans fil, alors que 802.11a et 802.11b sont des standards hérités. La norme 802.11g offre une compatibilité ascendante avec 802.11b, mais n'est pas compatible avec 802.11a.
Les spécifications 802.11b et 802.11g sont en fait un groupe de normes gouvernant les communications et le contrôle d'accès sans fil sur le spectre sur la bande de fréquences de 2.4 GHz ((802.11a utilise le spectre 5 GHz). Ces spécifications ont été approuvées comme normes par l'IEEE et plusieurs revendeurs offrent des produits et des services 802.11x. Les consommateurs ont également adopté ces normes pour les réseaux SOHO (small-office/home-office). Leur popularité s'est étendue des LAN aux MAN, spécialement dans des zones habitées où une concentration de points d'accès sans fil (WAP, de l'anglais wireless access points) est disponible. Il existe également des fournisseurs de services Internet sans fil (WISP, de l'anglais wireless Internet service providers) qui s'occupent des voyageurs fréquents qui nécessitent un accès internet à large bande pour pouvoir mener à bien leurs affaires à distance.
Les spécifications 802.11x permettent des connexions pair-à-pair directes entre les noeuds avec des NIC sans fil. Ce groupe de noeuds, appelé un réseau ad hoc, est idéal pour le partage de connexions rapides entre plusieurs noeuds, mais introduit les problèmes de modulabilité qui ne conviennent pas à la connectivité dédiée sans fil.
Une solution plus convenable à l'accès sans fil dans les structures fixes serait d'installer un ou plusieurs WAP qui se connectent au réseau traditionnel et permettent aux noeuds sans fil de se connecter au WAP comme si il se trouvait sur le réseau utilisant Ethernet. Le WAP agit de façon efficace comme un pont entre les noeuds qui lui sont connectés et le reste du réseau.
Bien que le réseau sans fil soit comparable en vitesse et qu'il soit certainement plus pratique que les moyens de mise en réseau traditionnels, il existe des limitations sur la spécification qui garantit une considération complète. La limitation la plus importante concerne l'implémentation de sa sécurité.
Emportés par la joie de réussir à déployer un réseau 802.11x, de nombreux administrateurs échouent de mettre en place les précautions de sécurité les plus élémentaires. Vu que toutes les mises en réseau 802.11x sont effectuées au moyen de signaux RF pour la bande haute, un utilisateur a facilement accès aux données transmises si il possède un NIC compatible, un outil de recherche de réseaux sans fil tel que NetStumbler ou Wellenreiter et des outils communs de reniflage tels que dsniff et snort. Pour éviter une telle utilisation aberrante de réseaux sans fil privés, la norme 802.11b utilise le protocole WEP (Wired Equivalency Privacy), une clé cryptée à 64- ou 128- octets basée sur RC4 qui est partagée entre chaque noeud ou entre l'arbre et le noeud. Cette clé crypte les transmissions et décrypte les paquets entrants de façon dynamique et transparente. Toutefois, les administrateurs échouent souvent de déployer ce schéma de cryptage de clés partagées ; soit ils oublient de le faire, soit ils choisissent de ne pas le faire à cause de la dégradation de performance (spécialement sur de longues distances). L'activation de WEP sur un réseau sans fil peut réduire considérablement la possibilité d'interception de données.
Red Hat Enterprise Linux supporte divers produits 802.11x provenant de plusieurs vendeurs. L'Outil d'administration réseau inclut une option pour configurer la sécurité WEP et NIC sans fil. Pour obtenir davantage d'informations sur l'utilisation de l'Outil d'administration réseau, reportez-vous au Guide d'administration système de Red Hat Enterprise Linux.
Il est toutefois déconseillé de se reposer sur WEP qui n'est pas un moyen de protection assez solide contre des utilisateurs malveillants déterminés. Il existe des utilitaires spécialisés conçus spécifiquement pour briser l'algorithme de cryptage WEP RC4 qui protège un réseau sans fil et pour exposer la clé partagée. AirSnort et WEP Crack sont deux de ces applications spécialisées. Pour se protéger contre cela, les administrateurs devraient adhérer aux politiques strictes sur l'utilisation de méthodes sans fil pour accéder aux informations confidentielles. Les administrateurs peuvent choisir d'augmenter la sécurité de connectivité sans fil en la limitant uniquement aux connexions SSH ou VPN. Cela introduit une couche de cryptage supplémentaire au-dessus du cryptage WEP. Avec cette politique, un utilisateur malveillant au-dehors du réseau qui brise le cryptage WEP doit, en outre, briser le cryptage VPN ou SSH qui, selon la méthode de cryptage, peut même utiliser des algorithmes de cryptage 168-bit DES (3DES) ou des algorithmes propriétaires d'une puissance supérieure. Les administrateurs qui appliquent ces politiques devraient restreindre les protocoles en texte clair comme Telnet ou FTP, vu que les mots de passe et les données peuvent être exposés à l'aide de toute attaque mentionnée ci-dessus.
Une méthode récente de sécurité et d'authentification qui a été adoptée par les vendeurs d'équipement de réseau sans fil est le WPA (de l'anglais, Wi-fi Protected Access). Les administrateurs peuvent configurer le WPA sur leur réseau en utilisant un serveur d'authentification qui gère les clés pour les clients qui accèdent au réseau sans fil. Le WPA améliore le cryptage WEP en utilisant le protocole TKIP (Temporal Key Integrity Protocol), une méthode qui utilise une clé partagée et l'associe à l'adresse MAC de la carte de réseau sans fil installée sur le système client. La valeur de la clé partagée et l'adresse MAC sont alors traitées par un vecteur d'initialisation (IV), qui est utilisé pour générer une clé qui crypte chaque paquet de données. L'IV change la clé chaque fois qu'un paquet est transféré, évitant ainsi les attaques les plus courantes de réseau sans fil.
Cependant, le WPA utilisant TKIP est uniquement considéré comme une solution temporaire. Les solutions utilisant des chiffres de cryptage plus solides (comme AES) sont en cours de développement et pourront améliorer la sécurité du réseau sans fil dans les sociétés.
Pour obtenir davantage d'informations sur les normes 802.11, consultez l'URL suivant :
http://standards.ieee.org/getieee802/802.11.html |
Pour les administrateurs qui souhaitent exécuter des services qui sont accessibles de l'extérieur tels que HTTP, email, FTP et DNS, il est recommandé que ces services disponibles publiquement soient segmentés physiquement et/ou logiquement à partir du réseau interne. Les pare-feu et le renforcement des hôtes et des applications sont des moyens efficaces pour décourager des intrus occasionnels. Cependant, les craqueurs déterminés peuvent toujours trouver des moyens pour entrer dans le réseau interne si les services qu'ils ont brisés se trouvent sur le même segment de réseau. Les services accessibles de l'extérieur devraient se trouver sur ce que l'industrie de la sécurité considère comme une zone démilitarisée (DMZ), un segment de réseau logique où le trafic entrant de l'internet ne pourrait accéder qu'à ces services et ne serait pas autorisé à accéder au réseau interne. Même si un utilisateur malveillant exploite une machine sur le DMZ, le reste du réseau interne reste derrière un pare-feu sur un segment séparé, de ce fait, efficace.
La plupart des sociétés ont un ensemble limité d'adresses IP publiquement routables à partir duquel elles peuvent être l'hôte de services externes. Les administrateurs utilisent donc des règles de pare-feu élaborées pour accepter, retransmettre, rejeter et refuser des transmissions de paquets. Les politiques de pare-feu implémentées avec iptables ou les pare-feu dédiés au matériel permettent la définition de règles de retransmission et de routage complexes. Les administrateurs peuvent ensuite utiliser ces règles pour segmenter le trafic entrant en services spécifiques à des adresses et à des ports spécifiés, ainsi que permettre uniquement au LAN d'accéder aux services internes. Cela peut empêcher les exploits d'usurpation d'identité. Pour davantage d'informations sur l'implémentation de iptables, consultez le Chapitre 7.
| Précédent | Sommaire | Suivant |
| Annexes | Niveau supérieur | Sécurité matérielle |