Développement d une stratégie de sécurité

La première étape qu une organisation devrait entreprendre pour se prémunir et protéger ses données contre les risques consiste à développer une stratégie de sécurité. Une stratégie est un ensemble de principes qui guident les prises de décision et permettent aux dirigeants d une organisation de déléguer l autorité en toute confiance. Une stratégie de sécurité vise les buts suivants :

informer les utilisateurs, le personnel et les responsables de leur obligation de protéger les données vitales et les ressources technologiques de l entreprise ; spécifier les mécanismes permettant de respecter ces exigences ;

fournir une base de référence à partir de laquelle acquérir, configurer et auditer les systèmes informatiques pour qu ils soient conformes à la stratégie.

La norme ISO/CEI 27002 doit servir de base commune et de ligne directrice pratique pour élaborer les référentiels de sécurité de l organisation et les pratiques efficaces de gestion de la sécurité. Ce document comprend les 12 sections suivantes :

-

Évaluation des risques Stratégie de sécurité Organisation de la sécurité des informations Gestion des biens Sécurité liée aux ressources humaines Sécurité physique et environnementale Gestion opérationnelle et gestion des communications Contrôle d accès Acquisition, développement et maintenance des systèmes d information

-

Gestion des incidents liés à la sécurité des informations Gestion de la continuité de l activité Conformité

Une stratégie de sécurité apporte les avantages suivants à l entreprise :

-

Elle fournit les moyens d auditer la sécurité d un réseau et de comparer les exigences de sécurité avec ce qui est en place. Elle permet de planifier des améliorations de sécurité, notamment en matière d équipements, de logiciels et de procédures. Elle définit les rôles et responsabilités des cadres, des administrateurs et des utilisateurs. Elle définit les comportements autorisés et ceux qui ne le sont pas. Elle définit une procédure de traitement des incidents de sécurité. Elle permet la mise en uvre et l application d une sécurité globale en tant que norme de sécurité entre des sites. Elle constitue la base d actions en justice lorsque cela s avère nécessaire.

Une stratégie de sécurité exhaustive remplit les fonctions essentielles suivantes :
Elle protège les personnes et les informations. Elle définit les règles de comportement des utilisateurs, des administrateurs système, de la direction et du personnel de sécurité. Elle autorise le personnel de sécurité à surveiller et à effectuer des sondages et des enquêtes. Elle définit les conséquences des violations et les applique.

-

-

.

.

.

Menaces non organisées Ces menaces proviennent pour la plupart d individus inexpérimentés qui utilisent des outils de piratage facilement accessibles comme des scripts d interpréteur de commande et des casseurs .

Logiciel Cisco IOS sur les routeurs Cisco à services intégrés (ISR) Cisco fournit un grand nombre de mesures de sécurité aux clients.. les systèmes Cisco de prévention contre les intrusions. l agent de sécurité Cisco pour ordinateurs de bureau . le pare-feu PIX était le seul périphérique qui permettait de déployer un réseau .. Ils arrivent à pénétrer dans un réseau à partir d Internet ou de serveurs d accès commuté. SSL VPN et IPS. le public n en est pas informé. le contrôle d accès au réseau (NAC) . Même si le site Web est séparé des informations privées protégées derrière un pare-feu.) Voici quelques périphériques qui apportent une solution de contrôle des menaces : les plateformes Cisco ASA de la gamme 5500 . Les routeurs Cisco ISR avec la solution Cisco IOS VPN. le piratage du site Web d une entreprise peut nuire à la réputation de cette entreprise.de mot de passe. Par exemple. D'Autres types de menaces existent (ex : Menace organisé. Sécurisation des communications : sécurise les périphériques d extrémité par des réseaux privés virtuels (VPN). ces menaces peuvent causer de sérieux dommages aux réseaux. Contrôle d accès au réseau (NAC) : procure une méthode basée sur des rôles pour prévenir les accès non autorisés au réseau. et les commutateurs Cisco 5500 ASA et Cisco Catalyst 6500 sont des périphériques qui permettent de déployer des réseaux privés virtuels. le site est donc considéré comme un environnement peu sûr pour des activités commerciales. les routeurs à services intégrés (ISR) . Le logiciel Cisco IOS intègre un pare-feu et les services IPsec. Les menaces externes peuvent présenter des degrés de gravité variables selon que l assaillant est un amateur (non organisé) ou un expert (organisé). Même si elles ne sont utilisées que pour tester l habilité de l assaillant. Menaces externes Les menaces externes peuvent provenir d individus ou d organisations agissant depuis l extérieur d une entreprise et qui ne sont pas autorisés à accéder au réseau et aux ordinateurs de cette dernière. Plateformes Cisco ASA de la gamme 5500 Auparavant. Cisco propose un appareil NAC. Vu de l extérieur.

Le PIX a évolué depuis en une plateforme qui intègre un grand nombre de fonctions de sécurité et qui s appelle Cisco ASA (Adaptive Security Appliance).sécurisé. catégorise et arrête le trafic malveillant du réseau. Un filtre de trafic mal configuré sur un routeur peut exposer les parties internes du réseau à des attaques. ce qui permet aux assaillants de passer plus facilement . Appareil Cisco NAC L appareil Cisco NAC utilise l infrastructure du réseau pour faire respecter la stratégie de sécurité sur tous les périphériques qui tentent d accéder aux ressources informatiques du réseau. les capteurs Cisco IPS de la gamme 4200 forment un système de prévention en ligne contre les intrusions. Des tables de routage compromises peuvent réduire les performances. ainsi que des services de sécurité vocale. ils constituent des cibles évidentes et sont soumis à une variété d attaques. IPS et un service de sécurité du contenu. Voici quelques exemples des différents problèmes de sécurité rencontrés : - Un contrôle d accès compromis peut révéler les détails de configuration du réseau et faciliter ainsi les attaques contre d autres parties du réseau. La plateforme Cisco ASA intègre dans un seul appareil un pare-feu. Les routeurs sont des cibles Comme les routeurs sont des passerelles vers d autres réseaux. fournir un accès aux segments de réseau et aux sous-réseaux. Le capteur identifie. SSL et VPN IPSec. refuser des services de communication et exposer des données sensibles. Sécurisation des routeurs Les routeurs remplissent les rôles suivants : annoncer les réseaux et filtrer les utilisateurs . Capteurs Cisco IPS de la gamme 4200 Pour des réseaux de grande taille.

Cette méthode est définie par le mot clé password avec secret. Elle doit être utilisée autant que possible.inaperçus. Exemple : . Les différentes manières de compromettre un routeur sont similaires aux attaques exposées précédemment dans ce chapitre. La sécurité des routeurs s envisage en réfléchissant aux aspects suivants : - Sécurité physique Mise à jour du logiciel IOS du routeur chaque fois qu elle est conseillée Sauvegarde de la configuration du routeur et de son logiciel IOS Durcissement du routeur pour éliminer l abus éventuel des ports et des services inutilisés Gestion de la sécurité des routeurs : Chiffrer les mots de passes avec l algorithme de type 7 : R1(config)# service password-encryption Le chiffrement MD5 est une méthode de chiffrement forte. la mystification d adresse IP. le piratage de session et les attaques de l homme du milieu. Base de donnée Local : Les noms d utilisateur de la base de données locale doivent également être configurés à l aide de la commande de configuration globale username nom_utilisateur secret mot_de_passe. notamment les attaques par exploitation de la confiance. il n existe donc pas de méthode unique permettant aux administrateurs de les combattre. Les assaillants peuvent compromettre les routeurs de différentes manières.

Bien que l efficacité de cette méthode soit relativement limitée contre les attaques délibérées. Une fois exécutée. les autres lignes VTY pouvant accepter des connexions à partir de n importe quelle adresse du réseau de l entreprise. vous devez configurer des listes de contrôle d accès avec la commande ip access-class sur la dernière ligne VTY. enable. cette commande affecte tous les nouveaux mots de passe définis. Vous évitez ainsi d occuper indéfiniment une ligne VTY par une session inactive. Cette commande améliore la sécurité d accès au routeur en permettant de spécifier une longueur minimale de mot de passe. Une autre tactique utile consiste à configurer des délais d attente sur les lignes VTY à l aide la commande exec-timeout. qu il s agisse de mots de passe utilisateur. Cette méthode garantit qu au moins une ligne sera toujours disponible pour l administrateur.3(1) et ultérieures du logiciel Cisco IOS autorisent les administrateurs à définir la longueur minimale en caractères de tous les mots de passe du routeur à l aide de la commande de configuration globale security passwords min-length. Les versions 12. secret ou de ligne. Il s agit de la configuration par défaut pour les lignes VTY. Router À distance Il est possible d empêcher toute ouverture de session sur chaque ligne en configurant le routeur à l aide des commandes login et no password. mais pas pour les lignes TTY et le port auxiliaire. comme « lab » et « cisco ». Cela permet d éliminer les mots de passe courants qui prédominent sur la plupart des routeurs. elle offre néanmoins une certaine protection dans le cas de sessions .R1(config)# username Student secret cisco R1(config)# do show run | include username username Student secret 5 $1$z245$lVSTJzuYgdQDJiacwP2Tv/ Remarque : il se peut que certains processus ne soient pas capables d utiliser des mots de passe chiffrés de type 5. La commande n affecte pas les mots de passe existants du routeur. il convient de configurer la dernière ligne VTY pour n accepter que les connexions d une station d administration spécifique. Attention au Dos (pirate) qui pourrait utiliser toute les lignes : Pour réduire l exposition à ce type de risque. les protocoles PAP et CHAP requièrent des mots de passe en texte normal et ne peuvent pas utiliser des mots de passe chiffrés avec l algorithme MD5. Pour la mettre en uvre. Par exemple.

accidentellement inactives. vous devez définir les paramètres suivants : Nom d hôte Nom de domaine Clés asymétriques Authentification locale . De la même manière. l activation du test d activité TCP sur les connexions entrantes. Session distante Pour activer le protocole SSH sur un routeur. peut faciliter la protection contre les attaques malveillantes ou contre les sessions orphelines causées par une panne du système distant. à l aide de la commande service tcp-keepalives-in.

.

comme un hôte de journalisation compromis. il vaut mieux régler l horloge du routeur à l aide de deux serveurs de synchronisation fiables. Une bonne compréhension du fonctionnement normal reflété dans les journaux vous aide à identifier les conditions anormales ou les attaques. Durcissez l hôte de journalisation en supprimant tous les services et comptes inutiles. comme la mémoire du routeur ou un serveur Syslog spécialisé. Les journaux peuvent être transférés à différents emplacements. Il peut s avérer nécessaire de configurer un serveur NTP (Network Time Protocol) afin de disposer d une source de synchronisation fiable pour les horloges de tous les périphériques. Les routeurs prennent en charge différents niveaux de journalisation. Kiwi Syslog Daemon est un exemple d application du type serveur Syslog. pour vous prémunir contre les pires scénarios. Leur vérification régulière vous permet d acquérir le sens du bon fonctionnement de votre réseau. Un horodatage précis a aussi son importance dans la journalisation. L horodatage vous permet de mieux suivre la trace des attaques du réseau. mais ce n est généralement pas suffisant. La configuration de cette option sort du cadre de ce cours.Journalisation de l activité du routeur La configuration des journaux (Syslog) sur le routeur est une opération à effectuer avec précaution. par exemple un support en écriture seule ou une imprimante spécialisée. L aspect le plus important est de ne pas oublier de passer régulièrement les journaux en revue. La plage de 8 niveaux va de 0 (urgences indiquant que le système est instable) à 7 (messages de débogage reprenant toutes les données de routage). Envisagez également d envoyer les journaux à un deuxième périphérique de stockage. ou encore à une interface de routeur isolée et spécialisée. Exemple : R2(config)#service timestamps ? debug Timestamp debug messages log Timestamp log messages <cr> R2(config)#service timestamps . La meilleure solution reste le serveur Syslog. Tous les routeurs sont capables de maintenir l heure de leur propre horloge. Pour garantir la précision et la disponibilité des données horaires. Envoyez les journaux du routeur à un hôte de journalisation désigné. L hôte de journalisation doit être connecté à un réseau de confiance ou à un réseau protégé. étant donné que tous les périphériques réseau peuvent transférer leurs journaux à une station centrale où un administrateur peut les passer en revue.

Services à désactiver .

.

DNS : Malheureusement. le protocole DNS de base n offre aucune assurance d authentification ou d intégrité.255. utilisez une liste d accès.Autres protocols : SNMP: Utiliser la version 3. Si un ou plusieurs serveurs de noms sont disponibles sur le réseau et qu il est souhaitable d utiliser des noms dans les commandes Cisco IOS. les demandes d adresse sont envoyées à l adresse de diffusion 255.255. définissez explicitement les adresses de ces serveurs de noms à l aide de la commande de configuration globale ip name-server . Pour rejeter tous les messages NTP sur une interface particulière.255. NTP (horologe hiérarchie avec routers) : La désactivation de NTP sur une interface n empêche pas le passage des messages NTP par le routeur. Par défaut.

Empêcher la propagation des mises à jour de routage RIP. OSPF. procédez comme suit : Étape 1. Dans le cas contraire. . Authentification des protocoles de routage Présentation de l authentification des protocoles de routage En tant qu administrateur réseau. Les mises à jour de routage ne doivent jamais être annoncées aux interfaces qui ne sont pas connectées à d autres routeurs. Pour sécuriser les mises à jour de RIPv2. IS-IS et BGP prennent tous en charge les différentes formes d authentification MD5. les systèmes de routage peuvent être attaqués de deux façons : Interruption entre homologues Falsification des informations de routage Les protocoles RIPv2. EIGRP. Au moyen d un analyseur de paquets comme Wireshark. Il est également conseillé d affecter un nom au routeur avec la commande hostname. En général. désactivez la résolution de noms DNS avec la commande no ip domain-lookup.adresses. n importe qui peut lire les informations qui se propagent entre les routeurs. vous devez savoir que vos routeurs risquent de subir des attaques tout comme les systèmes des utilisateurs finaux. Le nom du routeur apparaît alors dans l invite.

La chaîne RIP_KEY et la mise à jour de routage sont traitées par l algorithme MD5 pour générer une signature unique. Cette clé est similaire à un mot de passe et les routeurs qui échangent des clés d authentification doivent être configurés avec la même chaîne de caractères de clé. L interface S0/0/0 est configurée pour prendre en charge l authentification MD5. Vérifier le fonctionnement du routage RIP.la commande passive-interface default désactive les annonces de routage sur toutes les interfaces. La commande no passive-interface s0/0/0 active l envoi et la réception de mises à jour RIP sur l interface S0/0/0. « Key 1 » est configurée pour contenir une chaîne de caractères appelée cisco. notre exemple n en montre qu une. Empêcher la réception non autorisée de mises à jour RIP. y compris l interface S0/0/0. Bien qu il soit possible d envisager des clés multiples. Étape 2. Étape 3. .

La commande suivante active l authentification MD5. Ces commandes génèrent une chaîne de clés appelée EIGRP_KEY et placent le terminal en mode de configuration « keychain » . Les étapes de configuration de l authentification du protocole de routage EIGRP sur le routeur R1 sont les suivantes : Étape 1. elles créent également une clé numérotée 1 et la chaîne de caractères cisco.EIGRP Ces commandes sont très semblables à celles utilisées pour l authentification MD5 du RIPv2. . OSPF La figure présente les commandes permettant de configurer l authentification du protocole de routage OSPF sur l interface S0/0/0 du routeur R1. La zone surlignée en haut montre comment créer la chaîne de clés que tous les routeurs du réseau doivent utiliser. La première commande spécifie la clé utilisée pour l authentification MD5. Étape 2. La zone surlignée en bas montre comment activer l authentification MD5 dans les paquets EIGRP passant par une interface.

Mode non interactif : ce mode exécute automatiquement la commande auto secure avec les paramètres par défaut recommandés par Cisco. L écran illustré dans la figure affiche la sortie partielle d une configuration Cisco AutoSecure. Il s agit du mode par défaut. Il est préinstallé par défaut sur tous les nouveaux routeurs Cisco à services intégrés. sur un PC ou les deux. Il est conçu pour configurer les fonctions de réseau local. L installation sur un PC présente l avantage d économiser la mémoire du routeur et permet d utiliser SDM pour la . lancez la commande auto secure. S il n est pas préinstallé sur votre routeur. SDM Qu est-ce que Cisco SDM ? Cisco Router and Security Device Manager (SDM) est un outil Web de gestion des périphériques facile à utiliser. de réseau étendu et de sécurité sur les routeurs doté du logiciel Cisco IOS. Cisco AutoSecure vous demande un certain nombre d éléments dont voici la liste : Éléments d interface spécifiques Bannières Mots de passe SSH Fonctions de pare-feu du logiciel IOS Remarque : Cisco Router and Security Device Manager (SDM) offre une fonction similaire à celle de la commande Cisco AutoSecure. Cette fonction est décrite dans la section « Utilisation de Cisco SDM ».Vous pouvez configurer AutoSecure en mode d exécution privilégié à l aide de la commande auto secure dans l un des deux modes suivants : - Mode interactif : ce mode vous présente des invites permettant d activer ou de désactiver des services et autres fonctions de sécurité. Cisco SDM prend en charge la plupart des versions du logiciel Cisco IOS. Ce mode est activé avec l option no-interact de la commande. Pour démarrer le processus de sécurisation d un routeur. Les fichiers SDM peuvent être installés sur le routeur. vous aurez à l installer vous-même.

sans interrompre le trafic. de configurer et de surveiller rapidement et facilement des routeurs d accès Cisco. en configurant systématiquement les interfaces de réseau local et de réseau étendu. Activez les serveurs HTTP et HTTPS sur le routeur. Cisco SDM est stocké dans la mémoire flash du routeur. Cisco vous recommande de l utiliser pour effectuer la configuration initiale. Étape 3. Il peut également résider sur un PC local. Accédez à l interface ILC du routeur Cisco à l aide de la connexion de console ou Telnet. procédez comme suit : Étape 1. Les assistants intelligents de Cisco SDM détectent automatiquement les erreurs de configuration et proposent des corrections. Les assistants intelligents de Cisco SDM guident les utilisateurs étape par étape dans la configuration du routeur et de la sécurité. utilisez le protocole HTTPS et tapez l adresse IP du routeur dans . Créez un compte utilisateur avec niveau de privilège 15 (activez les privilèges). le système de protection contre les intrusions et les réseaux privés virtuels. Si Cisco SDM est préinstallé sur le routeur. Pour configurer Cisco SDM sur un routeur en exploitation. Cisco SDM = plusieurs assistants intelligents qui permettent de configurer efficacement un réseau privé virtuel et les paramètres de pare-feu du logiciel Cisco IOS.gestion d autres routeurs du réseau. Configurez SSH et Telnet pour une session locale avec niveau de privilège 15. Étape 2. Étape 4. le pare-feu. Cette possibilité permet aux administrateurs de déployer. vous devez vérifier la présence de quelques paramètres dans le fichier de configuration du routeur. telles que permettre le trafic DHCP au travers d un pare-feu si l interface de réseau étendu est adressée selon le protocole DHCP Installation : . Pour lancer Cisco SDM.

Parmi les différents systèmes de fichiers affichés. . le type de système de fichiers et un indicateur d autorisation.20. Souvenez-vous que l IOS amorçable se trouve dans la mémoire flash. les seuls qui nous intéressent sont les systèmes tftp. la sortie de la commande show file systems qui affiche la liste de tous les systèmes de fichiers d un routeur Cisco 1841. par exemple. Vous devez garder la fenêtre de ce programme ouverte pendant l exécution de Cisco SDM. Remarquez que la ligne du système de fichiers flash est marquée d un astérisque. Gestion des images logiciels : La figure présente. La figure représente le navigateur avec l adresse https://198. l écriture seule (wo).162. Une fois la page de lancement affichée. un programme Java signé Cisco SDM apparaît. TFTP (FTP trivial) ou Remote Copy Protocol (RCP).le navigateur. Les systèmes de fichiers réseau (Network File System) comprennent l utilisation des protocoles FTP. Les autres systèmes de fichiers sortent du cadre de ce cours. ainsi que la page de démarrage de Cisco SDM. ainsi que la lecture et l écriture (rw). Le préfixe http:// peut être utilisé lorsque le protocole SSL n est pas disponible. Cette commande fournit des informations intuitives comme la quantité de mémoire disponible. flash et NVRAM. La présence du symbole dièse (#) en fin de ligne indique donc qu il s agit d un « disque amorçable ». Les opérations autorisées sont la lecture seule (ro). Le présent cours se concentre sur le protocole TFTP. Lorsque la boîte de dialogue demandant le nom d utilisateur et le mot de passe s affiche (non représentée dans la figure). entrez le nom d utilisateur et le mot de passe du compte privilégié du routeur (niveau de privilège 15). indiquant qu il s agit du système de fichiers par défaut.1.

20. Tout ce qui se trouve après la double barre oblique (//) définit l emplacement. L expression « tftp: » s appelle le préfixe. 192.168.254/configs/backupconfigs. Le répertoire principal correspond à « configs ». Le nom de fichier est « backup-configs » .Importation et exportation des images : La figure illustre l exemple TFTP suivant : tftp://192.168.20.254 est l emplacement du serveur TFTP.

Restauration de l image IOS : La commande tftpdnld est une méthode très rapide permettant de copier le fichier image. Étape 1. Le paramètre nom_de_ficher est le nom du fichier à transférer. Ouvrez une session d émulation de terminal entre le routeur R1 et le PC de l administrateur système. y indique le protocole Ymodem et r copie l image en mémoire vive. -c indique CRC-16. Étape 2. L utilisation de Xmodem est une autre méthode de restauration de l image du logiciel Cisco IOS. Par exemple. Connectez le PC de l administrateur système au port console du routeur affecté. La syntaxe de cette commande est xmodem [-cyr] [nom_de_fichier]. Démarrez le routeur et lancez la commande xmodem à l invite ROMmon. L option cyr varie en fonction de la configuration. .

Dans ce cas. . La figure représente l envoi d un fichier à l aide de l application HyperTerminal. comme illustré dans la figure. Étape 3.Acceptez toutes les confirmations. sélectionnez Transfert > Envoyer un fichier.