Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux - Guide de securite - Protection du mat�riel et du r�seau

Annexe A. Protection du mat�riel et du r�seau

Il est conseill� de d�terminer vos besoins organisationnels et le type de s�curit� correspondant le mieux � vos besoins avant le d�ploiement d'une machine dans un environnement de production ou la connexion de votre r�seau � l'internet. Vu que l'objectif principal du Guide de s�curit� de Red Hat Enterprise Linux est d'expliquer comment s�curiser Red Hat Enterprise Linux, un examen plus approfondi de la s�curit� du mat�riel et du r�seau physique s'�tend au-del� du pr�sent document. Toutefois, ce chapitre pr�sente un bref aper�u sur l'�tablissement de politiques de s�curit� concernant le mat�riel et les r�seaux physiques. Les facteurs importants � consid�rer incluent la mani�re dont les besoins informatiques et les besoins de connectivit� sont int�gr�s dans la strat�gie de s�curit� d'ensemble. Certains de ces facteurs sont expliqu�s en d�tails dans les pages qui suivent.

  • L'informatique implique bien plus que des postes de travail qui ex�cutent des logiciels de bureau. Les soci�t�s modernes n�cessitent une importante puissance de traitement informatique ainsi que des services hautement disponibles qui peuvent inclure des ordinateurs centraux, des clusters d'applications ou d'ordinateurs, des postes de travail puissants et des dispositifs sp�cialis�s. De ces besoins organisationnels d�coulent, cependant, une susceptibilit� accrue aux �checs mat�riels, aux catastrophes naturelles et � l'alt�ration ou au vol d'�quipement.

  • La connectivit� est la m�thode par laquelle un administrateur compte connecter des ressources diff�rentes sur un r�seau. Un administrateur peut utiliser des technologies Ethernet (c�blage CAT-5/RJ-45 concentr� ou commut�), d'anneau � jetons, de c�ble coaxial ou m�me sans fil (802.11x). Selon le moyen choisi par l'administrateur, certains m�dias et certaines topologies de r�seau n�cessitent des technologies compl�mentaires comme des hubs, des routeurs, des commutateurs, des stations de base et des points d'acc�s. La d�termination d'une architecture r�seau fonctionnelle offrira un processus administratif plus facile si des probl�mes de s�curit� se pr�sentent.

� partir de ces consid�rations g�n�rales, les administrateurs peuvent avoir une meilleure vue sur l'impl�mentation. La conception d'un environnement informatique peut alors �tre bas�e sur les besoins organisationnels ainsi que sur les consid�rations de s�curit� — une impl�mentation qui �value de fa�on �gale les deux facteurs.

A.1. Topologies de r�seau s�curis�

La base d'un LAN est la topologie ou architecture de r�seau. La topologie est la structure logique et physique d'un LAN en termes de ressources fournies, de distance entre les noeuds et de moyen de transmission. Selon les besoins de l'organisation servie par le r�seau, il existe plusieurs choix disponibles pour l'impl�mentation de r�seau. Chaque topologie poss�de ses avantages et ses probl�mes de s�curit� que les architectes de r�seau devraient consid�rer lors de la conception de leur structure de r�seau.

A.1.1. Topologies physiques

Comme d�finies par l'institut IEEE (Institute of Electrical and Electronics Engineers), trois topologies courantes existent pour la connexion physique d'un LAN.

A.1.1.1. Topologie en anneau

La topologie en anneau connecte chaque noeud par exactement deux connexions. Cela cr�e une structure d'anneaux o� chaque noeud est accessible � l'autre, soit directement par ses deux noeuds voisins les plus proches physiquement, soit indirectement par l'anneau physique. Les r�seaux en anneau � jetons, FDDI et SONET sont connect�s de cette mani�re (FDDI utilisant une technique de double anneau)�; cependant aucune connexion Ethernet n'utilise cette topologie physique. Les anneaux ne sont donc pas couramment d�ploy�s sauf dans des situations institutionnelles ou dites ��legacy�� ayant une importante base install�e de noeuds (par exemple, une facult�).

A.1.1.2. Topologie de bus lin�aire

La topologie de bus lin�aire est compos�e de noeuds qui se connectent � un c�ble lin�aire principal (la dorsale ou backbone en anglais). La topologie de bus lin�aire requiert la moindre quantit� d'�quipement de c�blage et de r�seau, la rendant la topologie la plus rentable. Cependant, le bus lin�aire d�pend de la disponibilit� constante de la dorsale ce qui provoque un point d'�chec si il doit �tre mis hors ligne ou si il est endommag�. Les topologies de bus lin�aire sont souvent utilis�es dans les LAN pair-�-pair � l'aide de c�blage co-axial et de terminateurs de 50-93 ohm aux deux extr�mit�s du bus.

A.1.1.3. Topologie en �toile

La topologie en �toile incorpore un point central o� les noeuds se connectent et par lequel passent les communications. Ce point central, appel� un hub, peut �tre soit diffus�, soit commut�. Cette topologie introduit un point unique de panne dans le mat�riel de r�seau centralis� qui connecte les noeuds. Cependant, cette centralisation permet de remonter facilement � la source des probl�mes de r�seau qui affectent des segments ou la totalit� du LAN.

A.1.2. Consid�rations de transmission

Le concept de r�seau diffus� et commut� a �t� introduit dans la Section A.1.1.3. Il existe plusieurs facteurs � consid�rer lors de l'�valuation du type de mat�riel r�seau appropri� et assez s�curis� pour votre environnement r�seau. Ces deux formes distinctes de r�seau sont examin�es plus en d�tails par la suite.

Dans un r�seau diffus�, un noeud envoie un paquet qui traverse tous les autres noeuds jusqu'� ce que le destinataire accepte le paquet. Chaque noeud sur le r�seau peut recevoir ce paquet de donn�es jusqu'� ce que le destinataire traite le paquet. Dans un r�seau diffus�, tous les paquets sont envoy�s de cette mani�re.

Dans un r�seau commut�, les paquets ne sont pas diffus�s, mais sont trait�s dans le hub commut� qui, � son tour, cr�e une connexion directe entre les noeuds d'origine et destinataire. Cela �limine le besoin de diffuser des paquets pour chaque noeud, r�duisant ainsi le trafic.

Le r�seau commut� �vite �galement que les paquets soient intercept�s par des noeuds ou des utilisateurs malveillants. Sur un r�seau diffus�, o� chaque noeud re�oit le paquet en chemin vers sa destination, des utilisateurs malveillants peuvent configurer leur p�riph�rique Ethernet en mode promiscuous et accepter tous les paquets ind�pendamment du fait que les donn�es leur soient destin�es ou non. Une fois en mode promiscuous, une application de sniffeur peut �tre utilis�e pour filtrer, analyser et reconstruire des paquets pour des mots de passe, des donn�es personnelles, etc. Des applications de sniffeur sophistiqu�es peuvent stocker de telles informations dans les fichiers texte et, peut-�tre, m�me envoyer des informations � des sources arbitraires (par exemple, l'adresse �lectronique de l'utilisateur malveillant).

Un r�seau commut� requiert un commutateur de r�seau, un mat�riel sp�cialis� qui prend le r�le d'un hub traditionnel dans lequel sont connect�s tous les noeuds sur un LAN. Les commutateurs stockent les adresses MAC de tous les noeuds � l'int�rieur d'une base de donn�es interne utilis�e pour effectuer son routage direct. Plusieurs vendeurs, y compris Cisco Systems, D-Link, SMC et Netgear offrent divers types de commutateurs avec des fonctions telles que la compatibilit� 10/100-Base-T, le support Gigabit Ethernet et le r�seau IPv6.

A.1.3. R�seaux sans fil

La mobilit� est aujourd'hui un nouveau probl�me pour les soci�t�s. Les travailleurs � distance, les techniciens et les directeurs n�cessitent tous de solutions portables, comme des ordinateurs portables, des assistants personnels (PDA) et un acc�s sans fil aux ressources r�seau. L'institut IEEE a �tabli un groupe de normes pour les sp�cifications sans fil 802.11 qui �tablit des normes pour les communications de donn�es sans fil � travers toutes les industries. La norme actuellement approuv�e par IEEE est 802.11g pour le r�seau sans fil, alors que 802.11a et 802.11b sont des standards h�rit�s. La norme 802.11g offre une compatibilit� ascendante avec 802.11b, mais n'est pas compatible avec 802.11a.

Les sp�cifications 802.11b et 802.11g sont en fait un groupe de normes gouvernant les communications et le contr�le d'acc�s sans fil sur le spectre sur la bande de fr�quences de 2.4 GHz ((802.11a utilise le spectre 5 GHz). Ces sp�cifications ont �t� approuv�es comme normes par l'IEEE et plusieurs revendeurs offrent des produits et des services 802.11x. Les consommateurs ont �galement adopt� ces normes pour les r�seaux SOHO (small-office/home-office). Leur popularit� s'est �tendue des LAN aux MAN, sp�cialement dans des zones habit�es o� une concentration de points d'acc�s sans fil (WAP, de l'anglais wireless access points) est disponible. Il existe �galement des fournisseurs de services Internet sans fil (WISP, de l'anglais wireless Internet service providers) qui s'occupent des voyageurs fr�quents qui n�cessitent un acc�s internet � large bande pour pouvoir mener � bien leurs affaires � distance.

Les sp�cifications 802.11x permettent des connexions pair-�-pair directes entre les noeuds avec des NIC sans fil. Ce groupe de noeuds, appel� un r�seau ad hoc, est id�al pour le partage de connexions rapides entre plusieurs noeuds, mais introduit les probl�mes de modulabilit� qui ne conviennent pas � la connectivit� d�di�e sans fil.

Une solution plus convenable � l'acc�s sans fil dans les structures fixes serait d'installer un ou plusieurs WAP qui se connectent au r�seau traditionnel et permettent aux noeuds sans fil de se connecter au WAP comme si il se trouvait sur le r�seau utilisant Ethernet. Le WAP agit de fa�on efficace comme un pont entre les noeuds qui lui sont connect�s et le reste du r�seau.

A.1.3.1. S�curit� 802.11x

Bien que le r�seau sans fil soit comparable en vitesse et qu'il soit certainement plus pratique que les moyens de mise en r�seau traditionnels, il existe des limitations sur la sp�cification qui garantit une consid�ration compl�te. La limitation la plus importante concerne l'impl�mentation de sa s�curit�.

Emport�s par la joie de r�ussir � d�ployer un r�seau 802.11x, de nombreux administrateurs �chouent de mettre en place les pr�cautions de s�curit� les plus �l�mentaires. Vu que toutes les mises en r�seau 802.11x sont effectu�es au moyen de signaux RF pour la bande haute, un utilisateur a facilement acc�s aux donn�es transmises si il poss�de un NIC compatible, un outil de recherche de r�seaux sans fil tel que NetStumbler ou Wellenreiter et des outils communs de reniflage tels que dsniff et snort. Pour �viter une telle utilisation aberrante de r�seaux sans fil priv�s, la norme 802.11b utilise le protocole WEP (Wired Equivalency Privacy), une cl� crypt�e � 64- ou 128- octets bas�e sur RC4 qui est partag�e entre chaque noeud ou entre l'arbre et le noeud. Cette cl� crypte les transmissions et d�crypte les paquets entrants de fa�on dynamique et transparente. Toutefois, les administrateurs �chouent souvent de d�ployer ce sch�ma de cryptage de cl�s partag�es�; soit ils oublient de le faire, soit ils choisissent de ne pas le faire � cause de la d�gradation de performance (sp�cialement sur de longues distances). L'activation de WEP sur un r�seau sans fil peut r�duire consid�rablement la possibilit� d'interception de donn�es.

Red Hat Enterprise Linux supporte divers produits 802.11x provenant de plusieurs vendeurs. L'Outil d'administration r�seau inclut une option pour configurer la s�curit� WEP et NIC sans fil. Pour obtenir davantage d'informations sur l'utilisation de l'Outil d'administration r�seau, reportez-vous au Guide d'administration syst�me de Red Hat Enterprise Linux.

Il est toutefois d�conseill� de se reposer sur WEP qui n'est pas un moyen de protection assez solide contre des utilisateurs malveillants d�termin�s. Il existe des utilitaires sp�cialis�s con�us sp�cifiquement pour briser l'algorithme de cryptage WEP RC4 qui prot�ge un r�seau sans fil et pour exposer la cl� partag�e. AirSnort et WEP Crack sont deux de ces applications sp�cialis�es. Pour se prot�ger contre cela, les administrateurs devraient adh�rer aux politiques strictes sur l'utilisation de m�thodes sans fil pour acc�der aux informations confidentielles. Les administrateurs peuvent choisir d'augmenter la s�curit� de connectivit� sans fil en la limitant uniquement aux connexions SSH ou VPN. Cela introduit une couche de cryptage suppl�mentaire au-dessus du cryptage WEP. Avec cette politique, un utilisateur malveillant au-dehors du r�seau qui brise le cryptage WEP doit, en outre, briser le cryptage VPN ou SSH qui, selon la m�thode de cryptage, peut m�me utiliser des algorithmes de cryptage 168-bit DES (3DES) ou des algorithmes propri�taires d'une puissance sup�rieure. Les administrateurs qui appliquent ces politiques devraient restreindre les protocoles en texte clair comme Telnet ou FTP, vu que les mots de passe et les donn�es peuvent �tre expos�s � l'aide de toute attaque mentionn�e ci-dessus.

Une m�thode r�cente de s�curit� et d'authentification qui a �t� adopt�e par les vendeurs d'�quipement de r�seau sans fil est le WPA (de l'anglais, Wi-fi Protected Access). Les administrateurs peuvent configurer le WPA sur leur r�seau en utilisant un serveur d'authentification qui g�re les cl�s pour les clients qui acc�dent au r�seau sans fil. Le WPA am�liore le cryptage WEP en utilisant le protocole TKIP (Temporal Key Integrity Protocol), une m�thode qui utilise une cl� partag�e et l'associe � l'adresse MAC de la carte de r�seau sans fil install�e sur le syst�me client. La valeur de la cl� partag�e et l'adresse MAC sont alors trait�es par un vecteur d'initialisation (IV), qui est utilis� pour g�n�rer une cl� qui crypte chaque paquet de donn�es. L'IV change la cl� chaque fois qu'un paquet est transf�r�, �vitant ainsi les attaques les plus courantes de r�seau sans fil.

Cependant, le WPA utilisant TKIP est uniquement consid�r� comme une solution temporaire. Les solutions utilisant des chiffres de cryptage plus solides (comme AES) sont en cours de d�veloppement et pourront am�liorer la s�curit� du r�seau sans fil dans les soci�t�s.

Pour obtenir davantage d'informations sur les normes 802.11, consultez l'URL suivant�:

https://standards.ieee.org/getieee802/802.11.html

A.1.4. Segmentation des r�seaux et DMZ

Pour les administrateurs qui souhaitent ex�cuter des services qui sont accessibles de l'ext�rieur tels que HTTP, email, FTP et DNS, il est recommand� que ces services disponibles publiquement soient segment�s physiquement et/ou logiquement � partir du r�seau interne. Les pare-feu et le renforcement des h�tes et des applications sont des moyens efficaces pour d�courager des intrus occasionnels. Cependant, les craqueurs d�termin�s peuvent toujours trouver des moyens pour entrer dans le r�seau interne si les services qu'ils ont bris�s se trouvent sur le m�me segment de r�seau. Les services accessibles de l'ext�rieur devraient se trouver sur ce que l'industrie de la s�curit� consid�re comme une zone d�militaris�e (DMZ), un segment de r�seau logique o� le trafic entrant de l'internet ne pourrait acc�der qu'� ces services et ne serait pas autoris� � acc�der au r�seau interne. M�me si un utilisateur malveillant exploite une machine sur le DMZ, le reste du r�seau interne reste derri�re un pare-feu sur un segment s�par�, de ce fait, efficace.

La plupart des soci�t�s ont un ensemble limit� d'adresses IP publiquement routables � partir duquel elles peuvent �tre l'h�te de services externes. Les administrateurs utilisent donc des r�gles de pare-feu �labor�es pour accepter, retransmettre, rejeter et refuser des transmissions de paquets. Les politiques de pare-feu impl�ment�es avec iptables ou les pare-feu d�di�s au mat�riel permettent la d�finition de r�gles de retransmission et de routage complexes. Les administrateurs peuvent ensuite utiliser ces r�gles pour segmenter le trafic entrant en services sp�cifiques � des adresses et � des ports sp�cifi�s, ainsi que permettre uniquement au LAN d'acc�der aux services internes. Cela peut emp�cher les exploits d'usurpation d'identit�. Pour davantage d'informations sur l'impl�mentation de iptables, consultez le Chapitre 7.

 
 
  Published under the terms of the GNU General Public License Design by Interspire