Chapitre 10 Planifier une stratgie de lutte contre la enace
Opportunits dattaques
Atta!ue de la couche " #spoofing$% anipulations S&P' (edirection de trafic a)ec un routeur * rogue +% anipulation des protocoles de routage #e,eple d-atta!ue sur un .A/ entre deu, aires de routage$'
0e cryptage des donnes est essentiel pour ettre en dfaut les assaillants'
Le plus gros risque dattaque
1algr la scurit ise en place sur )otre rseau% une faille sera tou2ours prsente 3 l-utilisateur final #incluant )ous-4e et les adinistrateurs$ 5rreur huaine% social engineering'
0a foration des utilisateurs et les accords d-utilisations des ressources inforati!ues #charte$ sont iportants' 0es utilisateurs doi)ent faire attention et 4tre de 6onne )olont )is-7-)is de la politi!ue de scurit de l-entreprise'
Processus de cration de la stratgie, mise en uvre et vrification
0a direction est responsa6le de la stratgie de scurit' 0e tra)ail de l-adinistrateur est d-iplenter celle-ci' 8n histori!ue des changeents doit 4tre conser) et sign par la direction' Cha!ue r9le est distinct% tout ne doit pas 4tre centralis sur un 4e indi)idu #il ne faut pas donner trop de pou)oir 7 une personne$'
Politiques dattnuations et techniques
8ne politi!ue doit 4tre ise en place pour spcifier coent ragir en cas d-atta!ue'
Formation des utilisateurs finaux Sartphone% :PN et acc;s distants sont utilisa6les partout de nos 2ours' /l faut a)oir une stratgie pour les utilisateurs finau,' 5du!uer les utilisateurs et )rifier de fa<on peranente leurs acc;s et la 2ournalisation de ces derniers'
Dfense en profondeur 1ultiples priphri!ues de scurit% responsa6ilits partages sur le S/% )iter 7 tout pri, le phno;ne de SP=.'
Monitoring centralis et analses Plusieurs priphri!ues g;rent la scurit Centralisation des logs% onitoring 7 ettre en place' Ces donnes seront sau)egardes et accessi6les 7 un groupe tr;s restreint de personnes #(SS/% >S/ ou >irection gnrale$'
!isi"ilit de la couche application 1odification des protocoles par l-atta!uant' .iltrage des protocoles et )rification #sondes$ 7 faire de teps 7 autre sur le rseau'
#ncident$%ponse ?ue fait-on si une atta!ue se produit @ 0a rponse peut 4tre autoati!ue #/>SA/PS$% anuelle #ise en place d-AC0$ ou adinistrati)e #si atta!ue dli6re d-un eploy$' &curiser un rseau via le matriel, le logiciel et les services
&'#()*&
Port$&ecurit 0iitation du no6re d-B1AC apprises% sparation des ports dans plusieurs :0ANs diffrents #traes unicast en)oyes sur un 4e :0AN$ D*)P &nooping 8n atta!uant )eut ettre en place un >CCP )oleur #reconfiguration de l-B/P de passerelle 1an in the iddle$' >CCP Snooping autorise seuleent le trafic >CCP 7 passer sur les ports dsigns #rate-liit du trafic &CP re!uest en)oys par inter)alle$' D+# Protection de la couche "% spoofing #P &ource ,uard 8tilis pour )rifier !ue les clients sur un port donn ne sont pas spoofs %oot ,uard, -PD., -PD. Filtering Protection du S&P% protection du sDitch pont racine &torm )ontrol 0iitation du trafic de 6roadcastAulticast' =n stoppe le trafic #ou on le liite$ si 50E des capacits du sDitch sont utiliss #par e,eple$ Modules addtionnels /PS% :PN% .ireDall% Anti-1alDare
%O.(/.%&
+)L - AC0 standards Au plus proche de la destination - AC0 tendues Au plus proche de la source #consoation de ressources$ - AC0 rfle,i)es Autorisent les utilisateurs lgities 7 en)oyer et rece)oir des pa!uets )ia le routeur tout en suppriant les pa!uets des autres h9tes #il identifie les B/P lors de l-ta6lisseent d-une session &CP et >(=P le reste$'
.tilisateur +)L &tandard +((+0.+1( &/%!/.% '/- +ttaque de tpe DO&
Sur l-e,eple ci-dessus nous pou)ons ettre en place une AC0 de type standard perettant au flu, De6 de passer entre l-utilisateur et le ser)eur Fe6' Seul ce flu, est autoris% un >(=P any est ipliciteent e,cut 7 la fin de l-AC0'
Gaccess-list 101 perit tcp any e! DDD any
Cependant un pirate peut rpondre au, contraintes de l-AC0 et faire une atta!ue >=S' >ans ce cas un AC0 rfle,i)e est 7 ettre en place' 0-AC0 )a identifier l-ta6lisseent d-une conne,ion entre l-utilisateur et le flu, De6 et autoriser la rponse 7 cette conne,ion #du ser)eur De6 )ers l-utilisateur$' &out le reste sera >(=P #notaent le trafic de l-atta!uant$'
)-+) 5)olution /=S% supporte le filtrage d-tat #a)ec identification des conne,ions$ sans utilisation d-AC0 rfle,i)es /=S .ireDall 2-F 32one -ased Fire4all5 (eplace CHAC% actuelleent recoand pour scuriser un routeur' 8tilisation de class-ap pour identifier le trafic% policy-ap pour identifier !uoi faire en fonction du trafic' .iltrage applicatif% inspection d-applications et filtrage d-8(0 #chapitre 1I consacr au JH.$ Filtrage de paquets +)L 8tilisation d-AC0 standards et tendues #autorisation ou refus du trafic sur les interfaces du routeur$ +++ 8tilisation d-AAA a)ec des ser)eurs e,ternes pour les diffrents r9les #&ACAS% (A>/8S$ !P1 /=S supporte les :PN acc;s distants utilisant SS0 ou /PSec' Support galeent les :PN site 7 site /PSec #SS0 n-est gnraleent pas utilis pour les :PN site 7 site$ #P& 0ogiciel ou odule #slot$' A)ec la fonction /PS sur un routeur )ous pou)eK influencer de fa<on autoati!ue les fonctions de scurit Protocoles de routage authentifis Pr)ention contre l-usurpation de routeur et anipulations des ta6les de routage Protocoles de management scuriss
8tilisation de SSC et SS0 pour anager les routeurs
Fire4all +&+
Filtrage dtat Peret 7 l-ASA de se sou)enir de l-tat d-une conne,ion #e,eple L 8n client acc;de 7 un ser)eur F5H% dynai!ueent le retour de flu, est autoris )ers le client$' Peut-4tre iplent au ni)eau " ou I% peut analyser le trafic 2us!u-7 la couche application #M$'
Modular Policy Framework (MPF$ 8tilis par ASA #class-ap% policy-ap% ser)ice policy rules$ perettent l-inspection de protocoles siples% inspection de la couche application'
Filtrage dURL Peret de filtrer l-acc;s 7 certains sites Fe6 #en fonction de l-8(0$'
Filtrage de paquets 8tilisation d-AC0 standards ou tendues'
AAA 8tilisation d-AAA% tra)aille a)ec des ser)eurs e,ternes #e,eple du ser)eur ACS Centralisation$'
VPN Supporte les :PN identifis dans le ta6leau ci-dessus #site 7 site et acc;s distants$'
P! 1odule atriel #slot$ possi6le dans l-ASA'
+utres sst6mes et services
P! Analyse le trafic rseau% peut identifier le trafic alicieu, et prendre des contres-esures' /plent sur des appliances% dans des laes #chassis 6500$ ou odules dans les routeurs ou ASA' 0a prei;re thode d-identification est de regarder les signatures'
"isco !ecurity Ma#ager ("!M$ Peret de anager plusieurs priphri!ues de scurit
"isco !ecurity #tellige#ce $peratio#s (!$% 0es recherches et analyses S/= perettent des ises 7 2ours en teps rel httpLAADDD'cisco'coAgoAsio