La Sécurité des Réseaux
La sécurité recouvre à la fois l’accès aux informations sur les postes de travail, sur les serveurs ainsi que le réseau de transport des données. Dans cette partie, nous nous concentrerons sur les problèmes posés par la sécurité des informations lors des échanges au travers de réseaux publics ou privés. Internet, le réseau des réseaux, est un outil qui permet à tous les ordinateurs quel que soit leur type de communiquer entre eux. La technologie utilisée (TCP/IP) a permis de simplifier la mise en place des réseaux, donc de réduire le coût des télécommunications. En revanche, les fonctions de sécurité ne sont pas traitées par ce protocole. La sécurité du système d’information est au cœur de la préoccupation des responsables informatiques. Ils se doivent de garantir la protection du réseau et l’intégrité des données face aux menaces qui évoluent en permanence. Il est important pour l’entreprise de faire face à l’évolution des menaces et de savoir répondre aux réglementations imposées.
C’est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, dont la mise en œuvre se fait selon les quatre étapes suivantes :
Identifier les besoins en termes de sécurité, les risques informatiques pesant sur l’entreprise et leurs éventuelles conséquences ;
Elaborer des règles et des procédures à mettre en œuvre dans les différents services de l’organisation pour les risques identifiés ;
Surveiller et détecter les vulnérabilités du système d’information et se tenir informé des failles sur les applications et matériels utilisés ;
Définir les actions à entreprendre et les personnes à contacter en cas de détection d’une menace ; Quelles sont ces menaces pour votre système d’information : Attaques de type déni de service, attaques applicatives, Intrusion, vols de donnée, Virus, spyware, keylogger, Spam, phishing, Usurpation d’identité. La mise en place de solutions de sécurité dans le système d’information n’est pas une simple affaire. Mais, nous pensons à des solutions que nous proposons et qui répondent à chacune des problématiques posées.
Principe de Fonctionnement de NAC
Network Admission Control (NAC) permet aux entreprises d’améliorer de manière considérable la sécurité de leurs systèmes d’informations. Il leur offre une nouvelle approche qui permet aux entreprises d’appliquer de façon directive des politiques de correctifs logiciels sur les postes de travail et qui permet d’isoler les systèmes non conformes et potentiellement vulnérables dans des zones de quarantaine disposant de peu, voire d’aucun accès au réseau.
Il tire le meilleur profit des investissements existants en matière d’infrastructures de réseau et de technologie de protection des postes en associant les deux fonctionnalités pour réaliser un système de contrôle d’admission au réseau. L’entreprise peut, par exemple, s’assurer que les éléments du réseau Cisco – routeurs, commutateurs, équipements sans fil ou serveurs de sécurité dédiés – contrôlent l’usage d’un logiciel anti-virus. De la sorte, NAC complète plus qu’il ne remplace les technologies classiques de sécurité déjà couramment utilisées –passerelle pare-feu, systèmes de protection contre les intrusions, authentification d’identité et sécurité des communications. Le Contrôle d’accès réseau (NAC) est une solution qui permet aux seuls équipements autorisés d’accéder à votre réseau tout en ayant vérifié au préalable qu’ils répondent aux critères établis pour y accéder.
C’est le principe de base des NAC. Cependant aujourd’hui, le contrôle d’accès NAC est aussi généralement capable de dicter à chaque utilisateur et administrateur son niveau d’accès une fois qu’il est sur le réseau.
Le contrôle d’accès réseau NAC occupe une place particulière dans le plan de sécurité d’un réseau parce que, à la différence du firewall qui offre une barrière de protection contre l’extérieur, il contrôle l’intérieur du réseau. Un firewall arrête l’hacker en empêchant son accès à votre réseau d’entreprise par le réseau internet. Le NAC arrête l’hacker à l’intérieur de votre réseau d’entreprise en l’empêchant de s’infiltrer par un port Ethernet ou un point d’accès sans-fil.
Même si une alliance NAC permet aussi de piloter l’activité d’un réseau, de faire respecter ses règles, de contrôler ses ressources, l’essentiel de sa fonction est d’authentifier les équipements «de confiance» et de contrôler qui peut accéder au réseau. Il est important de se rappeler que le contrôle d’accès NAC est seulement un des éléments du plan de sécurité d’un réseau. Il ne remplace pas un firewall et n’empêchera pas l’évasion des données via un e-mail, une impression papier ou une clef USB.
Le processus de contrôle fait intervenir trois acteurs : Le client : l’entité qui fait la demande d’accès au réseau ; Le point de contrôle : le point de contrôle est chargé d’appliquer la politique d’accès définie au niveau du point de décision au client qui fait la demande d’accès au réseau ; Le point de décision : le point de décision communique au point de contrôle la politique à appliquer vis-à-vis du client.
La décision du point de décision est basée sur les informations suivantes : L’authentification réciproque des correspondants pour être sûr de son interlocuteur. L’intégrité des données transmises pour être sûr qu‘elles n’ont pas été modifiées accidentellement ou intentionnellement. La confidentialité pour éviter que les données soient lues par des systèmes ou des personnes non autorisées La non-répudiation pour éviter la contestation par l’émetteur de l’envoi de données.
Failles de sécurité sur internet
La sécurité informatique est affaire de balance entre les risques et les bénéfices. Le choix d’une solution de sécurité ne doit pas seulement réduire les risques mais aussi, et peut-être surtout, optimiser la probabilité de succès d’une mission. Avec le développement de l’utilisation d’internet, de plus en plus d’entreprises ouvrent leur système d’information à leurs partenaires ou leurs fournisseurs, il est donc essentiel de connaître les ressources de l’entreprise à protéger et de maîtriser le contrôle d’accès et les droits des utilisateurs du système d’information. Il en va de même lors de l’ouverture de l’accès de l’entreprise sur internet.
Par ailleurs, avec le nomadisme, consistant à permettre aux personnels de se connecter au système d’information à partir de n’importe quel endroit, les personnels sont amenés à «transporter» une partie du système d’information hors de l’infrastructure sécurisé de l’entreprise. La menace représente le type d’action susceptible de nuire dans l’absolu, tandis que la vulnérabilité appelée parfois faille ou brèche représente le niveau d’exposition face à la menace dans un contexte particulier. Enfin la contre-mesure est l’ensemble des actions mises en œuvre en prévention de la menace.
Une faille c’est en fait une faiblesse dans un code qui peut être exploitée pour détourner un site de sa fonction première. Le pirate va pouvoir récupérer des données confidentielles (comme les infos personnelles des inscrits) ou modifier le comportement du site. Mais heureusement pour nous, il est possible de se protéger de ces fameuses failles, et c’est ce que nous allons montrer les failles courantes.
Solutions libres du NAC
Il existe une multitude de solutions libres pour un NAC. Nous n’en retiendrons que quelques-unes à savoir :
PacketFence : Basé sur la récupération de trap SNMP (link up/down) comme déclencheur du processus; Au départ, tous les ports des commutateurs sont configurés avec un VLAN nommé «MAC detection». L’évaluation est basée sur un scan Nessus puis le choix du VLAN est fait à partir de l’adresse MAC du poste, VLAN de mise en conformité ( portail Web captif), VLAN d’enregistrement (portail Web captif) ou VLAN légitime (connu à partir d’une base de données). L’outil peut s’interfacer avec le protocole 802.1X et FreeRADIUS. L’outil de détection d’intrusion Snort est utilisé pour modifier le contexte de connexion en cas de besoin.
FreeNAC : Présenté comme offrant une gestion simplifiée des VLANs, un contrôle d’accès au réseau et un outil d’inventaire, FreeNac est basé principalement sur le protocole VMPS (authentification sur adresse MAC). Il permet aussi l’utilisation 802.1X en interaction avec un serveur RADIUS. La partie évaluation n’est pas vraiment prise en compte.
NetPass : Présenté comme offrant une gestion simplifiée des VLANs, un contrôle d’accès au réseau et un outil d’inventaire, FreeNac est basé principalement sur le protocole VMPS (authentification sur adresse MAC). Il permet aussi l’utilisation 802.1X en interaction avec un serveur RADIUS. La partie évaluation n’est pas vraiment prise en compte.
Ring Security Analyser : C’est un portail Web qui utilise une applet Java pour évaluer (système, logiciel anti-virus, etc…) les machines cherchant à accéder au réseau (autorisation valide pendant sept jours). En cas d’échec, les accès sont réduits aux sites de mises à jour de logiciels, d’anti-virus,..
Table des matières
Introduction Générale
CHAPITRE I : GENERALITES
1.1 INTRODUCTION
1.2 Présentation de l’entreprise
1.3 Présentation de la formation
1.4 PRESENTATION DU SUJET : la sécurité des réseaux
1.4.1 PRINCIPES DE FONCTIONEMENT DE NAC
1.4.2 FAILLES DE SÉCURITÉ SUR INTERNET
1.4.3 PROTECTIONS
CHAPITRE II : ÉTUDE PRÉALABLE ET ANALYSE DE L’EXISTANT
2.1 INTRODUCTION
2.2 ETUDE DE L’EXISTENCE
2.3 PROBLEMATIQUE
2.4 SOLUTIONS LIBRES ET COMMERCIALES
2.4.1 SOLUTIONS COMMERCIALES
2.4.1.1 Cisco System
2.4.1.2 NetClarity NAC Walls
2.4.1.3 Microsoft : Network Access Protection
2.4.1.4 McAfee NAC
2.4 2 Solutions libres du NAC
2.4.2.1 PacketFence
2.4.2.2 FreeNAC
2.4.2.3 NetPass
2.4.2.4 Ring Security Analyser
2.5 SOLUTION PRÉCONISÉE
2.6 DELIMITATION DE NOTRE SUJET
2.7 COMPOSANTES D’UNE ARCHITECTURE NAC
2.8 BESOINS LIES A UNE SOLUTION NAC
CHAPITRE III : IMPLÉMENTATION DE LA SOLUTION
3.1 INTRODUCTION
3.2 PREREQUIS POUR L’IMPLEMENTATION DE NAC
3.2.1 LES OUTILS
3.2.2 INSTALLATIONS ET CONFIGURATIONS DES OUTILS
3.2.2.1 Free Radius
3.2.2.2 Mysql
3.2.2.3 Apache
3.2.2.4 Net-SNMP
3.2.2.5 Nessus
3.2.2.6 Snort
3.2.2.6.1 Configuration réseaux
3.2.2.6.2 Configuration des règles
3.2.2.6.3 Configuration des alertes
3.2.2.6.4 Configuration des références
3.3 ARCHITECTURE RESEAU DEPLOYE
3.4. INSTALLATION ET CONFIGURATION DE NAC
3.4.1 Configuration de packetfence
3.4.2 CONFIGURATION DES PERIPHERIQUES RESEAU
3.4.2.1 Plan d’adressage
3.4.2.2 Architecture du réseau
3.4.2.3 Attribution d’adresses aux interfaces
3.4.2.4 Configuration de l’interface de packetfence
3.4.2.5 Configuration des autres interfaces
3.4.2.6 Configuration de snmp
CONCLUSION GENERALE ET PERSPECTIVES
WEBOGRAPHIE