XpandIT CLOUD et FORMATIONS EN SECURITE POUR PME

XpandIT ne vous abreuvera pas de vocabulaire technique ni d’offre compliquée.

RÉDUISEZ votre budget informatique
AUGMENTEZ votre sécurité par la formation
FRANCHISSEZ le cap du cloud avec nous

XpandIT des experts en informatique avec un vocabulaire et un visage humain

Formation Sécurité Sécurisation des dispositifs de l’infrastructure réseau

Sécurisation des dispositifs de l’infrastructure réseau

Les dispositifs d’infrastructure réseau sont les composants d’un réseau qui transportent les communications nécessaires pour les données, les applications, les services et le multimédia. Ces dispositifs comprennent les routeurs, les pare-feu, les commutateurs, les serveurs, les équilibreurs de charge, les systèmes de détection des intrusions, les systèmes de noms de domaine et les réseaux de stockage.

Ces dispositifs sont des cibles idéales pour les cyberacteurs malveillants car la plupart ou la totalité du trafic de l’organisation et des clients doit passer par eux.

  • Un attaquant présent sur le routeur passerelle d’une organisation peut surveiller, modifier et refuser le trafic en provenance et à destination de l’organisation.
  • Un attaquant présent sur l’infrastructure de routage et de commutation interne d’une organisation peut surveiller, modifier et refuser le trafic à destination et en provenance des hôtes clés du réseau et tirer parti des relations de confiance pour effectuer des mouvements latéraux vers d’autres hôtes.

Les organisations et les personnes qui utilisent des protocoles anciens et non chiffrés pour gérer les hôtes et les services facilitent la récolte des informations d’identification pour les cyberacteurs malveillants. Quiconque contrôle l’infrastructure de routage d’un réseau contrôle essentiellement les données qui circulent sur le réseau.

Quelles sont les menaces de sécurité associées aux dispositifs d’infrastructure réseau ?

Les périphériques d’infrastructure réseau sont souvent des cibles faciles pour les attaquants. Une fois installés, de nombreux périphériques réseau ne sont pas maintenus au même niveau de sécurité que les ordinateurs de bureau et les serveurs à usage général. Les facteurs suivants peuvent également contribuer à la vulnérabilité des périphériques réseau :

  • Peu de périphériques réseau – en particulier les routeurs de classe bureautique/domestique et résidentielle – disposent d’un antivirus, d’une maintenance d’intégrité et d’autres outils de sécurité qui permettent de protéger les hôtes à usage général.
  • Les fabricants construisent et distribuent ces périphériques réseau avec des services exploitables, qui sont activés pour faciliter l’installation, l’exploitation et la maintenance.
  • Les propriétaires et les exploitants de périphériques réseau ne modifient souvent pas les paramètres par défaut du fournisseur, ne les renforcent pas pour l’exploitation et n’appliquent pas de correctifs réguliers.
  • Les fournisseurs d’accès à Internet peuvent ne pas remplacer l’équipement sur la propriété d’un client une fois que l’équipement n’est plus pris en charge par le fabricant ou le fournisseur.
  • Les propriétaires et les exploitants négligent souvent les périphériques réseau lorsqu’ils enquêtent, recherchent des intrus et restaurent des hôtes d’usage général après des cyberintrusions.

Comment améliorer la sécurité des dispositifs de l’infrastructure réseau ?

L’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) encourage les utilisateurs et les administrateurs de réseau à mettre en œuvre les recommandations suivantes pour mieux sécuriser leur infrastructure de réseau :

  • Segmentez et séparez les réseaux et les fonctions.
  • Limiter les communications latérales inutiles.
  • Durcir les dispositifs du réseau.
  • Sécuriser l’accès aux dispositifs d’infrastructure.
  • Effectuer une gestion de réseau hors bande (OoB).
  • Valider l’intégrité du matériel et des logiciels.

Segmenter et séparer les réseaux et les fonctions

Les architectes de la sécurité doivent tenir compte de l’agencement global de l’infrastructure, notamment de la segmentation et de la ségrégation. Une segmentation adéquate du réseau est un mécanisme de sécurité efficace pour empêcher un intrus de propager des exploits ou de se déplacer latéralement dans un réseau interne. Sur un réseau mal segmenté, les intrus sont en mesure d’étendre leur impact pour contrôler des dispositifs critiques ou accéder à des données sensibles et à la propriété intellectuelle. La ségrégation sépare les segments du réseau en fonction de leur rôle et de leur fonctionnalité. Un réseau séparé de manière sécurisée peut contenir les occurrences malveillantes, réduisant ainsi l’impact des intrus dans le cas où ils auraient pris pied quelque part dans le réseau.

Séparation physique des informations sensibles

Les dispositifs de réseau traditionnels, tels que les routeurs, peuvent séparer les segments de réseau local (LAN). Les organisations peuvent placer des routeurs entre les réseaux pour créer des frontières, augmenter le nombre de domaines de diffusion et filtrer efficacement le trafic de diffusion des utilisateurs. Les organisations peuvent utiliser ces frontières pour contenir les brèches de sécurité en limitant le trafic à des segments séparés et peuvent même fermer des segments du réseau pendant une intrusion, limitant ainsi l’accès de l’adversaire.
Recommandations

  • Appliquer les principes du moindre privilège et du besoin d’en connaître lors de la conception des segments de réseau.
  • Séparez les informations sensibles et les exigences de sécurité en segments de réseau.
  • Appliquer les recommandations de sécurité et les configurations sécurisées à tous les segments et couches du réseau.

Séparation virtuelle des informations sensibles

À mesure que les technologies évoluent, de nouvelles stratégies sont élaborées pour améliorer l’efficacité des technologies de l’information et les contrôles de sécurité des réseaux. La séparation virtuelle est l’isolation logique des réseaux sur le même réseau physique. La segmentation virtuelle utilise les mêmes principes de conception que la segmentation physique mais ne nécessite aucun matériel supplémentaire. Les technologies existantes peuvent être utilisées pour empêcher un intrus de pénétrer dans d’autres segments de réseau interne.
Recommandations

  • Utilisez des réseaux locaux virtuels (VLAN) privés pour isoler un utilisateur du reste des domaines de diffusion.
  • Utilisez la technologie de routage et de transmission virtuels (VRF) pour segmenter le trafic réseau sur plusieurs tables de routage simultanément sur un seul routeur.
  • Utilisez les réseaux privés virtuels (VPN) pour étendre en toute sécurité un hôte/réseau en créant des tunnels à travers des réseaux publics ou privés.

Limiter les communications latérales inutiles

Le fait d’autoriser des communications d’égal à égal non filtrées, y compris de poste à poste, crée de graves vulnérabilités et peut permettre à un intrus d’accéder facilement à plusieurs systèmes. Une fois qu’un intrus a établi une tête de pont efficace dans le réseau, les communications latérales non filtrées lui permettent de créer des portes dérobées dans tout le réseau. Les portes dérobées aident l’intrus à persister dans le réseau et entravent les efforts des défenseurs pour contenir et éradiquer l’intrus.
Recommandations

  • Utilisez des réseaux locaux virtuels (VLAN) privés pour isoler un utilisateur du reste des domaines de diffusion.
  • Utilisez la technologie de routage et de transmission virtuels (VRF) pour segmenter le trafic réseau sur plusieurs tables de routage simultanément sur un seul routeur.
  • Utilisez les réseaux privés virtuels (VPN) pour étendre en toute sécurité un hôte/réseau en créant des tunnels à travers des réseaux publics ou privés.

Renforcer les dispositifs de réseau

Un moyen fondamental de renforcer la sécurité de l’infrastructure réseau consiste à protéger les périphériques réseau par des configurations sécurisées. Les agences gouvernementales, les organisations et les fournisseurs fournissent un large éventail de conseils aux administrateurs – y compris des repères et des meilleures pratiques – sur la manière de renforcer les périphériques réseau. Les administrateurs doivent mettre en œuvre les recommandations suivantes en tenant compte des lois, des règlements, des politiques de sécurité du site, des normes et des meilleures pratiques de l’industrie.

Recommandations

  • Désactiver les protocoles d’administration à distance non cryptés utilisés pour gérer l’infrastructure du réseau (par exemple, Telnet, File Transfer Protocol [FTP]).
  • Désactivez les services inutiles (par exemple, les protocoles de découverte, le routage source, le protocole de transfert hypertexte [HTTP], le protocole de gestion de réseau simple [SNMP], le protocole d’amorçage).
  • Utilisez SNMPv3 (ou une version ultérieure), mais n’utilisez pas de chaînes de communauté SNMP.
  • Sécurisez l’accès aux lignes de la console, du terminal auxiliaire et du terminal virtuel.
  • Mettez en œuvre des politiques de mot de passe robustes et utilisez le cryptage de mot de passe le plus puissant disponible.
  • Protégez les routeurs et les commutateurs en contrôlant les listes d’accès pour l’administration à distance.
  • Limitez l’accès physique aux routeurs et aux commutateurs.
  • Sauvegardez les configurations et stockez-les hors ligne. Utilisez la dernière version du système d’exploitation du périphérique réseau et maintenez-le à jour avec tous les correctifs.
  • Testez périodiquement les configurations de sécurité par rapport aux exigences de sécurité.
  • Protégez les fichiers de configuration par un cryptage ou des contrôles d’accès lors de l’envoi, du stockage et de la sauvegarde des fichiers.
  •  for 5HGAccès sécurisé aux dispositifs d’infrastructure

Accès sécurisé aux dispositifs d’infrastructure

Des privilèges administratifs peuvent être accordés pour permettre aux utilisateurs d’accéder à des ressources qui ne sont pas largement disponibles. La limitation des privilèges administratifs pour les dispositifs d’infrastructure est cruciale pour la sécurité, car les intrus peuvent exploiter les privilèges administratifs qui ne sont pas correctement autorisés, qui sont accordés largement ou qui ne sont pas étroitement audités. Les adversaires peuvent utiliser des privilèges compromis pour traverser un réseau, étendre l’accès et prendre le contrôle total de la dorsale de l’infrastructure. Les organisations peuvent limiter les accès non autorisés à l’infrastructure en mettant en œuvre des politiques et des procédures d’accès sécurisé.

Recommandations

  • Mettre en œuvre l’authentification multifactorielle (MFA). L’authentification est un processus utilisé pour valider l’identité d’un utilisateur. Les attaquants exploitent généralement les processus d’authentification faibles. L’AMF utilise au moins deux composants d’identité pour authentifier l’identité d’un utilisateur.
    • Les composants d’identité comprennent
    • Quelque chose que l’utilisateur connaît (par exemple, un mot de passe),
    • un objet dont l’utilisateur est en possession (par exemple, un jeton), et
    • une caractéristique unique de l’utilisateur (par exemple, une empreinte digitale).
  • Gérer les accès privilégiés. Utilisez un serveur qui fournit des services d’authentification, d’autorisation et de comptabilité (AAA) pour stocker les informations d’accès pour la gestion des périphériques du réseau. Un serveur AAA permettra aux administrateurs réseau d’attribuer différents niveaux de privilèges aux utilisateurs sur la base du principe du moindre privilège. Lorsqu’un utilisateur tente d’exécuter une commande non autorisée, celle-ci est rejetée. Si possible, mettez en œuvre un serveur d’authentification par jeton dur en plus de l’utilisation du serveur AAA. L’utilisation de MFA rend plus difficile pour les intrus de voler et de réutiliser les informations d’identification pour accéder aux périphériques du réseau.
  • Gérez les informations d’identification administratives. Prenez ces mesures si votre système ne peut pas respecter la meilleure pratique MFA :
    • Modifiez les mots de passe par défaut.
    • Veillez à ce que les mots de passe comportent au moins huit caractères et autorisez les mots de passe comportant jusqu’à 64 caractères (ou plus), conformément au document SP 800-63C Digital Identity Guidelines du National Institute of Standards and Technology et au document canadien User Authentication
    • Guidance for Information Technology Systems ITSP.30.031 V3.
    • Vérifiez les mots de passe en les comparant à des listes de valeurs inacceptables, comme les mots de passe couramment utilisés, attendus ou compromis.
    • Assurez-vous que tous les mots de passe stockés sont salés et hachés.
    • Conservez les mots de passe stockés pour un accès d’urgence dans un endroit protégé hors réseau, tel qu’un coffre-fort.

Gestion hors bande

La gestion hors bande utilise des chemins de communication alternatifs pour gérer à distance les dispositifs de l’infrastructure réseau. La configuration de ces voies de communication dédiées peut varier, allant du tunnelage virtuel à la séparation physique. L’utilisation de l’accès hors bande pour gérer l’infrastructure réseau renforce la sécurité en limitant l’accès et en séparant le trafic utilisateur du trafic de gestion du réseau. La gestion OoB permet de surveiller la sécurité et d’effectuer des actions correctives sans que l’adversaire (même celui qui a déjà compromis une partie du réseau) puisse observer ces changements.

La gestion OoB peut être mise en œuvre physiquement, virtuellement ou par une combinaison des deux. Bien que la construction d’une infrastructure de réseau physique supplémentaire puisse être coûteuse à mettre en œuvre et à entretenir, c’est l’option la plus sûre à adopter pour les gestionnaires de réseau. La mise en œuvre virtuelle est moins coûteuse, mais nécessite tout de même d’importants changements de configuration et d’administration. Dans certaines situations, comme l’accès à des sites distants, les tunnels cryptés virtuels peuvent être la seule option viable.

Recommandations

  • Séparez le trafic réseau standard du trafic de gestion.
  • Veillez à ce que le trafic de gestion sur les appareils provienne uniquement de l’OoB.
  • Appliquez le cryptage à tous les canaux de gestion.
  • Cryptez tous les accès à distance aux dispositifs d’infrastructure tels que les terminaux ou les serveurs d’accès.
  • Gérez toutes les fonctions d’administration à partir d’un hôte dédié, entièrement corrigé, via un canal sécurisé, de préférence sur le site d’exploitation.
  • Renforcez les dispositifs de gestion du réseau en testant les correctifs, en désactivant les services inutiles sur les routeurs et les commutateurs, et en appliquant des politiques de mots de passe forts. Surveillez le réseau et examinez les journaux. Mettre en place des contrôles d’accès qui n’autorisent que les services d’administration ou de gestion nécessaires (par exemple, SNMP, Network Time Protocol, Secure Shell, FTP, Trivial FTP, Remote Desktop Protocol [RDP], Server Message Block [SMB]).

Valider l’intégrité du matériel et des logiciels

Les produits achetés par des canaux non autorisés sont souvent connus sous le nom de dispositifs contrefaits, secondaires ou du marché gris. De nombreux rapports médiatiques ont décrit l’introduction de matériel et de logiciels du marché gris sur le marché. Le matériel et les logiciels illégitimes présentent un risque sérieux pour les informations des utilisateurs et l’intégrité globale de l’environnement réseau. Les produits du marché gris peuvent présenter des risques pour le réseau car ils n’ont pas été testés de manière approfondie pour répondre aux normes de qualité. L’achat de produits sur le marché secondaire comporte le risque d’acquérir des appareils contrefaits, volés ou d’occasion en raison de brèches dans la chaîne d’approvisionnement. En outre, les brèches dans la chaîne d’approvisionnement offrent la possibilité d’installer des logiciels et du matériel malveillants sur l’équipement. Un matériel ou un logiciel compromis peut affecter les performances du réseau et compromettre la confidentialité, l’intégrité ou la disponibilité des ressources du réseau. Enfin, des logiciels non autorisés ou malveillants peuvent être chargés sur un appareil après son utilisation opérationnelle ; les organisations doivent donc vérifier régulièrement l’intégrité des logiciels.

Recommandations

  • Maintenir un contrôle strict de la chaîne d’approvisionnement et n’acheter que chez les revendeurs autorisés.
  • Exiger des revendeurs qu’ils appliquent des contrôles d’intégrité de la chaîne d’approvisionnement pour valider l’authenticité du matériel et du logiciel.
  • Lors de l’installation, inspectez tous les dispositifs pour détecter les signes de falsification.
  • Validez les numéros de série provenant de sources multiples.
  • Téléchargez les logiciels, les mises à jour, les correctifs et les mises à niveau à partir de sources validées.
  • Effectuez une vérification du hachage et comparez les valeurs à la base de données du fournisseur pour détecter toute modification non autorisée du micrologiciel.
  • Surveiller et consigner les dispositifs – vérifier les configurations réseau des dispositifs – à intervalles réguliers.
  • Former les propriétaires de réseaux, les administrateurs et le personnel chargé de l’approvisionnement pour les sensibiliser aux dispositifs du marché gris.