Sécurité de votre réseau

Brien M. Posey, MCSE

Publié dans Windows NT Administrator Report de TechRepublic

Depuis l'avènement d'Internet, les réseaux d'entreprise sont plus exposés que jamais aux problèmes liés à la sécurité.
Du fait de ce danger, une abondante littérature a récemment été publiée sur la sécurisation des réseaux contre les
intrus venant d'Internet. Cependant, votre réseau est bien plus vulnérable aux défaillances de sécurité internes à votre
société qu'aux risques provenant d'Internet. Cet article traite des méthodes auxquelles vous pouvez faire appel pour
protéger votre réseau.

Il est important de souligner qu'en dépit du fait que certaines des techniques présentées dans cet article soient assez
évidentes, elles sont essentielles à l'établissement de principes de sécurité stricts. Les autres techniques citées sont
extrêmes et s'avèrent seulement nécessaires si vous recherchez le niveau le plus élevé de sécurité. Il est recommandé
de lire l'intégralité de cet article, puis de choisir les procédures de sécurité les mieux adaptées à votre situation.

De l'importance des mots de passe renforcés

Quelle que soit l'efficacité de votre système de sécurité, il suffit d'un mot de passe pour que quiconque puisse y
accéder. Par conséquent, il est important de protéger vos mots de passe de la manière la plus sécurisée possible. Il est
pratiquement impossible d'appliquer une protection intégrale aux mots de passe. Des dizaines d'utilitaires sont conçus
pour percer les mots de passe de Windows NT. Ces utilitaires peuvent être fondés sur un dictionnaire qui essaiera de
deviner tous les mots de passe possibles, ou encore sur la force brute, pour essayer toutes les combinaisons possibles
de chiffres et de lettres jusqu'à la découverte du mot de passe.

Il est facile de vous protéger contre les programmes qui s'appuient sur les dictionnaires : il vous suffit de ne pas utiliser
de mots de passe figurant dans un dictionnaire. Cela englobe également les noms propres ou les mots d'argot,
puisqu'ils figurent également dans la plupart des programmes dictionnaires.

La protection contre les outils de décryptage fondés sur la force brute est un peu plus compliquée. Ces programmes
finissent toujours par découvrir les mots de passe - si on leur en laisse le temps. Heureusement, il vous est possible de
compliquer la tâche d'un pirate de telle sorte qu'il lui faudrait une vie entière pour découvrir un mot de passe.

Mise en place de restrictions strictes

La première chose à faire pour protéger votre serveur des programmes de décryptage par la force consiste à renforcer
les restrictions associées à vos mots de passe. Comme le montre la boîte de dialogue Stratégie de compte représentée
à la Figure A, vous pouvez contrôler un certain nombre des caractéristiques d'un mot de passe. Il est donc
recommandé d'appliquer les paramètres suivants :

• Les mots de passe doivent expirer dans les 30 jours

• Autorisez les modifications immédiates.
• Exigez des mots de passe d'un minimum de huit caractères.
• Souvenez-vous des 12 derniers mots de passe.
• Verrouillez les mots de passe après trois tentatives incorrectes.
• Définissez la durée du verrouillage sur Permanent.
 Figure A Windows NT offre de nombreuses limitations sur les mots de passe.

L'utilitaire Passprop

Ces paramètres constituent un bon début, mais ne sont pas suffisants. Chargez maintenant l'utilitaire Passprop à partir
du kit de ressources Windows NT. Cet utilitaire, présent à la Figure B, demande aux utilisateurs de construire un mot
de passe à partir d'un mélange de chiffres ou de symboles et de lettres majuscules et minuscules. En instituant ces
conditions, vous venez d'augmenter considérablement le temps qu'il faudrait à un programme de décryptage par la
force brute pour percer vos mots de passe.

Figure B L'utilitaire Passprop peut augmenter considérablement la sécurité de votre réseau.

Du fait de ces restrictions, certains utilisateurs choisissent un mot de passe tel que Vendredi13. Lorsque le mot de
passe expire, ils ne peuvent pas le réutiliser car Windows NT mémorise les anciens mots de passe—et ils le
remplacement donc par Vendredi14. L'utilitaire Passprop vérifie si un nouveau mot de passe est semblable à l'ancien et
le refuse si c'est le cas.
Passprop peut également verrouiller le compte de l'Administrateur si ce dernier entre à plusieurs reprises successives
un mot de passe erroné. Il bénéficie toutefois d'une fonction de sécurité lui permettant de se connecter localement au
serveur, même si le compte est verrouillé.

Service packs et corrections à chaud

Vous pouvez également augmenter la sécurité de Windows NT en procédant à l'installation des tous derniers Service
Packs et programmes de correction à chaud. Pour télécharger le dernier Service Pack, accédez à
www.microsoft.com/windowsnt et cliquez sur l'icône Service Pack. Comme l'indique la Figure C, vous avez le
choix entre deux versions du Service Pack : une sur 40 bits et l'autre sur 128 bits.

Figure C Le Service pack 128 bit crypte les mots de passe de façon plus stricte que la version sur 40 bits.

Le nombre de bits est une référence à la puissance de cryptage du mot de passe. Par conséquent, les mots de passe
cryptés sur 128 bit sont bien plus difficiles à percer par les programmes de piratage par la force brute.
Malheureusement, la loi de la plupart des pays interdit à Microsoft de mettre la version 128 bits à disposition. Vous
devez par conséquent répondre à plusieurs questions avant de vous qualifier pour la télécharger. Si vous habitez dans
l'un des pays qualifiés, mais que vous ne parvenez toujours pas à télécharger un Service Pack 128 bits, vous pouvez
directement passer une commande auprès de Microsoft pour une vingtaine de dollars U.S. (frais d'expédition inclus).

Comme vous le savez probablement, de nouvelles faiblesses en matière de sécurité sont sans cesse découvertes dans
Windows NT Server. À mesure de la découverte de ces problèmes, Microsoft met rapidement en circulation des
correctifs à chaud pour les rectifier. Lorsqu'un nouveau service pack est diffusé, Microsoft y incorpore tous ces
programmes de correction à chaud. Il vous est toutefois possible de vous procurer ces programmes sans attendre le
prochain Service Pack. Pour ce faire, accédez au site FTP de Microsoft : ftp.microsoft.com/bussys/winnt/winnt-
public/fixes/usa/nt40. Comme l'indique la Figure D, les programmes de correction à chaud sont organisés selon le
Service Pack que vous avez installé. Par exemple, si vous avez installé le Service Pack 4, appliquez les programmes de
correction qui résident dans le répertoire hotfixes-postSP4.
 Figure D Microsoft diffuse des correctifs à chaud pour remédier aux problèmes de sécurité découverts
depuis la mise en circulation du dernier Service Pack.

Sécurité physique

Pratiquement tous les ouvrages sur Windows NT couvrent en profondeur les aspects relatifs à la sécurité. Après tout, il
s'agit de l'une des caractéristiques les plus importantes de Windows NT. Cependant, la plupart de ces ouvrages
omettent complètement le sujet de la sécurité physique. Nous ne pourrons jamais insister suffisamment sur
l'importance d'une bonne sécurité physique. Quelle que soit la protection logicielle de votre serveur, un pirate pourra
accéder à votre système en quelques minutes s'il a la possibilité d'y accéder physiquement.

Du fait de l'importance considérable de la sécurité physique pour la protection de vos données, il n'est pas inutile
d'étudier dans le détail certaines méthodes de mise en œuvre d'une bonne sécurité physique. La meilleure façon de
présenter cela consiste vraisemblablement à examiner chacun des composants de base du réseau, puis à discuter des
méthodes qui les rendront plus sûrs.

Concentrateurs et routeurs

Comme vous le savez probablement, les concentrateurs et les routeurs sont responsables de l'acheminement des
données vers leur destination finale. En fonction de la configuration de votre réseau, il est concevable de supposer que
toutes les données envoyées sur l'ensemble du réseau passent par un concentrateur ou un routeur unique. Ces
périphériques constituent des cibles parfaites pour ceux qui cherchent à voler des informations.

S'il peut accéder physiquement à un concentrateur, il suffit à un pirate d'y connecter un analyseur de protocole et de
capturer une copie de tous les paquets qui y passent. Une fois qu'il a stocké ces paquets, il peut les décoder
ultérieurement—chez lui, avec tout le temps au monde et aucune crainte de se faire prendre. Même si ce scénario
semble un peu exagéré, il demeure réalisable. Les analyseurs de protocoles actuels fonctionnent sur batterie, peuvent
être aussi compacts qu'une calculette scientifique et capturer plusieurs Go de données. Il peut être très facile de
dissimuler un appareil de ce type au sein des faisceaux de fils de la plupart des armoires de câblage.

Il va sans dire que vous devez laisser sous clé tous vos concentrateurs, routeurs et autres périphériques de
commutation. À titre de précaution supplémentaire, vous pouvez acquérir des concentrateurs et des routeurs
montables en rack. Ces racks s'adaptent pour la plupart dans des armoires verrouillées et vous offrent ainsi deux
barrières contre les vols de données.

Câblage

L'aspect de la sécurité physique du réseau le plus souvent ignoré est celui du câblage. En effet, si des pirates ont accès
à des câbles exposés du réseau, ils disposent alors de plusieurs méthodes pour voler les données. Vous pouvez douter
de la véracité de cette affirmation, mais elle est réelle.

Sur la plupart des réseaux (de diffusion, tels qu'Ethernet ou à jetons), les données ne sont jamais envoyées
exclusivement au PC auquel elles sont destinées. En effet, elles sont envoyées sur tous les PC connectés mais sont
ignorées par tous, excepté le PC auquel elles sont destinées. Du fait de cette diffusion des données, chaque câble actif
du réseau présente la capacité de transporter des données. Par conséquent, il suffit à un pirate de se raccorder
clandestinement à un câble pour capturer les paquets qui transitent par la ligne.

Heureusement, vous pouvez défendre votre réseau contre ce type d'intrusions. Tout d'abord, évitez de faire passer les
câbles du réseau à des emplacements exposés. Le cas échéant, faites-les passer par les murs, le plafond ou un faux
plancher plutôt que les laisser apparents. Cela suffit à compliquer la tâche d'un pirate à la recherche d'un câble actif
auquel se raccorder.

Toutefois, si la sécurité à ce niveau vous préoccupe, vous empêchez déjà probablement quiconque de pénétrer dans
votre bâtiment. Par conséquent, si quelqu'un essaie de procéder à un accès physique pour vous voler des données, il y
a de fortes chances qu'il s'agisse d'un employé de confiance, qui dispose d'un compte de réseau légitime et n'a
aucunement besoin de matériel d'espionnage sophistiqué. Vous avez probablement pris des mesures pour contrôler les
heures auxquelles les employés peuvent se connecter et les PC qu'ils peuvent utiliser, mais un pirate habile trouvera
toujours un moyen de contourner ces restrictions.

Imaginons, à titre d'exemple, que vous ayez indiqué à NT que chaque employé peut seulement se connecter à partir de
son propre PC. Supposons ensuite que le PC d'un employé particulièrement sournois s'avère être un portable.
Absolument rien n'empêche cet employé de dénicher une prise libre dans un coin éloigné du bâtiment et de s'y
brancher pour s'adonner au piratage. Vous pouvez vous dire que l'absence de cette personne se ferait remarquer
pendant la journée et qu'elle ne serait pas autorisée à se connecter la nuit. Vrai, mais n'oubliez pas que cette personne
peut pirater pendant que tout le monde prend sa pause déjeuner. Si l'employé souhaite pirater la nuit, il peut tout
simplement se connecter et exécuter un programme d'analyse de protocole sur son portable, car ce type de
programme ne requiert aucune ouverture de session pour capturer des données.

Dans ces exemples, le piratage est rendu possible parce que le pirate a accès à une prise dans une pièce isolée. Par
conséquent, déconnectez toutes les prises inutilisées de vos concentrateurs. Ce faisant, vous empêcherez l'envoi de
données vers ces prises et les rendrez inexploitables par un éventuel pirate. Si votre réseau est équipé de câble de
type coaxial et non en paire torsadée, retirez tous les connecteurs en T inutilisés et remplacez-les par des connecteurs
à douille. Bien entendu, un pirate à toujours la possibilité de débrancher un câble de réseau de l'arrière d'un PC et de le
rebrancher dans son portable. Toutefois, les réseaux de PC sont généralement visibles de tous et un pirate serait
susceptible d'attirer l'attention avec cette méthode.

Sauvegardes sur bande

Tous les soirs, la plupart des administrateurs de réseau procèdent à la sauvegarde de l'intégralité de leur(s) serveur(s)
sur une cartouche de bande qui permet comme par enchantement de reconstruire tout ou partie du serveur en cas de
perte de données. Du point de vue du voleur de données, cela représente une opportunité en or. La sauvegarde
s'effectue presque toujours la nuit pendant que tout le monde dort et les résultats sont stockés sur une petite
cartouche, facilement transportable. Un voleur de données qui s'empare d'une copie de votre bande de sauvegarde
peut tout à fait installer un serveur chez lui et ne restaurer que la partie données de la bande, et ainsi éliminer toute
votre stratégie de sécurité.

Heureusement, vous pouvez rendre cette technique pratiquement impossible. Pour ce faire, commencer par veiller à ce
que votre unité de sauvegarde soit rangée sous clé. Ne conservez qu'une bande de sauvegarde récente sous la main
pour les urgences, mais rangez-la dans un coffre ignifugé. Rangez toutes les autres copies en sécurité hors site.

Ensuite, configurez votre programme de sauvegarde pour qu'il écrive un mot de passe sur la bande. De la sorte, en cas
de vol, le malfaiteur devra tout d'abord percer le mot de passe avant de pouvoir exploiter la bande. Comme il a été
souligné plus haut, il existe de nombreux programmes destinés à percer les mots de passe de Windows NT, mais nous
n'en avons encore jamais vu aucun qui serve à percer les mots de passe de sauvegarde sur bande.

Enfin, utilisez une bande vierge pour la sauvegarde quotidienne. Si vous préférez recycler les bandes, effacez celle que
vous allez utiliser au moment où vous la chargez pour la sauvegarde. Consultez ensuite vos journaux de sauvegarde et
calculez la durée de votre sauvegarde nocturne. Si possible, essayez de la programmer de façon à ce qu'elle se termine
15 minutes après votre arrivée au bureau le matin.

Par exemple, si votre sauvegarde met deux heures à s'effectuer et que vous arrivez à 07:00, démarrez-la à 05:15. Ce
faisant, vous êtes certain que si quelqu'un vous vole une cassette en pleine nuit, il n'obtiendra qu'une bande vierge. À
votre arrivée, la cassette sera presque terminée et vous pourrez l'éjecter de l'unité dès que la sauvegarde se termine,
puis la mettre en sécurité dans le coffre.

Malheureusement, cette technique ne s'avère pas toujours pratique. Par exemple, si quelqu'un arrive au bureau avant
vous, il risque d'altérer les données en essayant d'y accéder avant la fin de la sauvegarde. Le cas échéant, vous pouvez
réorganiser l'ordre de sauvegarde des répertoires. Traitez tout d'abord les données utilisées par ceux qui arrivent plus
tôt, puis sauvegardez les fichiers de données non stratégiques par la suite.

Si d'autres personnes arrivent au bureau avant vous, mesurez le trafic de réseau généré par vos sauvegardes avant de
mettre en œuvre une stratégie de ce type. Sur certaines architectures de réseau, les sauvegardes peuvent générer un
trafic réseau tel qu'il s'avère pratiquement impossible à quiconque de travailler.
Serveurs

La plupart des techniques de sécurité physique concernant les serveurs sont assez évidentes. Veillez simplement à les
laisser dans une pièce sous clé et ne vous absentez pas lorsque le compte Administrateur est connecté.

Certains serveurs sont équipés d'un panneau de verrouillage qui empêche les accès physiques au lecteur de disquettes,
au lecteur de CD-ROM et à l'interrupteur marche/arrêt. Si votre serveur est doté d'un panneau de ce type, faites-en
usage. Dans le cas contraire, envisagez d'intervenir au niveau du CMOS pour désactiver les amorçages à partir d'une
disquette ou d'un CD-ROM. Protégez ensuite le CMOS par un mot de passe pour empêcher la modification de ces
options.

Cependant, n'oubliez pas que même si vous devez protéger le CMOS par un mot de passe, vous ne devez demander
aucun mot de passe pour le démarrage. En effet, si votre serveur est conçu pour redémarrer automatiquement après
un blocage, il resterait bloqué tant qu'il n'a pas reçu de mot de passe de mise sous tension.

Normalement, un serveur charge automatiquement Windows NT lorsqu'il démarre. Toutefois, un menu permettant de
sélectionner un démarrage sous DOS est configuré sur de nombreux serveurs, de manière à vous permettre de
démarrer sous DOS pour corriger un problème éventuel de partition système. Bien que cette configuration sont
excellente pour un serveur, si vous n'utilisez aucun dispositif RAID matériel, modifiez le fichier BOOT.INI pour
supprimer toute référence à l'environnement DOS. De cette manière, vous compliquerez la tâche d'un pirate qui
essaierait de redémarrer le serveur sous DOS en vue d'y exécuter un utilitaire tel que NTFSDOS pour voler des
informations. Si jamais vous avez besoin d'accéder à la partition DOS, il vous suffit d'activer temporairement
l'amorçage sur disquette et d'utiliser une disquette de démarrage.

Conclusion

Dans cet article, nous avons présenté de nombreuses méthodes de sécurisation de votre réseau contre les voleurs de
données ou les utilisateurs malintentionnés. En mettant en place votre propre stratégie de sécurité, notez bien que
certaines de nos techniques sont peut-être excessives pour les réseaux qui ne contiennent pas de données
ultrasensibles. Même si vous avez besoin d'une bonne stratégie de sécurité, veillez à laisser à vos utilisateurs une
liberté suffisante pour qu'ils puissent effectuer leur tâche de façon efficace sans avoir l'impression de travailler dans
une prison.