mardi 17 octobre 2017

Nettoyer son LAN

Thibault Michel, Décision Informatique

lundi 27 mars 2006, sélectionné par Spyworld

logo

Une politique de sécurité efficace exige d’auditer le réseau afin d’identifier les points sensibles. Sans oublier d’impliquer les utilisateurs.

Philippe R. vient d’être nommé administrateur réseau et sécurité d’une PME de 300 personnes. Sa première mission consiste à auditer le système d’information afin d’évaluer les types de flux et de détecter les logiciels installés de façon sauvage. Par la suite, il devra proposer des solutions appropriées pour assainir le réseau. Ce scénario, assez classique en entreprise, n’est pourtant pas des plus simples, et une méthode rigoureuse s’impose. Afin d’aider Philippe R., nous avons soumis le problème à des intégrateurs, analystes et éditeurs.

Tous s’accordent sur la première étape, qui consiste à réaliser une analyse fine de l’architecture. « Nous détectons d’abord les points d’interconnexion, les adresses IP et les différents protocoles utilisés. Lorsque tout cela est bien posé, nous utilisons des IDS pour observer ce qui transite sur le réseau. Nous travaillons avec les outils de McAfee, d’ISS ou des solutions open source. Les IDS sont préférés aux IPS, car ils ne viennent pas perturber le réseau », explique Bruno Leclerc, directeur technique de l’intégrateur Integralis.

Cette méthode d’écoute réseau est également employée par l’intégrateur Nomios, qui, lui, préfère utiliser les IPS : « Lorsque les flux ont été identifiés et que l’on détecte, par exemple, qu’un poste envoie beaucoup d’e-mails avec des contenus identiques, il convient de l’isoler rapidement du reste du réseau. Nous utilisons les IPS de McAfee disponibles sur le poste de travail et sur la passerelle », détaille Vincent Duquesne, directeur technique de Nomios. IDS et IPS ne sont pas les seuls outils à témoigner des flux du réseau et à assurer l’isolation des postes de travail.

Certains éditeurs proposent des offres plus globales. Le logiciel Spectator Professional de Promisec permet de faire un audit des codes malveillants actifs sur les postes de travail et sur les serveurs avec Windows, de vérifier la conformité avec la politique de sécurité et, éventuellement, de bloquer certains processus.

La solution proposée par l’intégrateur Securalis présente la particularité d’être entièrement passive : « Notre boîtier, positionné en miroir sur un port du commutateur, identifie l’ensemble du trafic. Nous détectons aussi bien les anomalies du réseau, par exemple des machines configurées avec les anciens DNS, que les applications illégitimes, telles que les logiciels poste à poste, la messagerie instantanée ou la ToIP », affirme Boris Rogier, directeur de Securalis.

Décapsuler, réencapsuler

Comme le souligne Vincent Bonneau, consultant à l’Idate (lire encadré), les applications installées de façon sauvage par les utilisateurs peuvent créer de nouveaux trous de sécurité dans l’entreprise. Or, le contrôle de ces logiciels est d’autant plus difficile que la plupart utilisent des ports dynamiques, voire encapsulent les données dans des paquets HTTP. Dans ce dernier cas de figure, la solution proposée par les intégrateurs à Philippe R. est d’utiliser des proxy HTTP, qui vont décapsuler les paquets, les analyser et les encapsuler de nouveau.

La solution de BlueCoat, ProxySG, revient souvent dans leur discours, de même que les boîtiers NetCache de NetApp ou bien CF Series de Bloxx. Rendu à ce stade, Philippe R. a normalement connaissance des différents flux du réseau et peut proposer une méthode pour nettoyer les postes de travail.

La tâche, là aussi, peut se révéler ardue. « Lorsqu’une machine ralentit, et que nous procédons à une analyse puis à une éradication des données, nous ne sommes jamais sûrs à 100 % que tous les spyware et tous les virus ont bien été éradiqués », affirme Jérôme Lahalle, consultant sécurité au cabinet d’audit Lexsi. L’idéal est alors de réinstaller les postes clients du réseau en créant un poste type (master) que l’on déploie par la suite. Ces opérations peuvent être effectuées par des logiciels comme ImageCast Enterprise de Phoenix Technologies ou Ghost de Symantec.

Le filtrage systématique, une course sans fin

« Il est indispensable de brider les droits des postes de travail afin que l’utilisateur ne soit pas autorisé à installer autre chose que ce qui lui a été fourni par l’administrateur », préconise Jérôme Lahalle. Dans certains cas cependant, plutôt que de tout interdire, il peut se révéler intéressant de contrôler ce qui est installé. Cisco, avec son logiciel CSA, permet d’effectuer une gestion centralisée des règles. « CSA outrepasse les droits Windows sur le poste de travail. Il permet ainsi un contrôle de l’ensemble des exécutions » , précise Philippe Cunningham, responsable marketing sécurité chez Cisco.

Au final, quelles que soient les solutions adoptées, les utilisateurs doivent être impliqués au plus tôt dans la politique de sécurité : « C’est une course sans fin de faire du filtrage systématique, car on ne pourra jamais tout filtrer sur le LAN. En revanche, on peut toujours passer un contrat avec les utilisateurs tout en surveillant les flux qui transitent », conclut Boris Rogier.

Une évolution préoccupante

JPEG - 25.7 ko

Il aura suffi d’un an pour multiplier par vingt le nombre de programmes malveillants ciblant la messagerie instantanée.

Interpréter les flux pour prévenir les menaces

JPEG - 46.3 ko

Suite de l’article
- Vincent Bonneau (Idate)
- Pascal Lointier (Clusif)


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :