Les 5 fonctions incontournables pour la sécurisation d’un réseau

La multiplication et la diversification des usages sur les réseaux obligent à la plus grande prudence et au plus grand soin dans la mise en œuvre des processus de sécurisation. Le réseau local doit participer activement à la politique de sécurité de l’entreprise afin de garantir l’intégrité des données et le bon fonctionnement du réseau pour chaque utilisateur, chaque usage.

Les mots de passe !

On y pense trop peu, mais les switches sont également des périphériques réseaux disposant d’une @IP et, généralement, d’une interface Web accessible par un navigateur. Comme pour tout périphérique réseau, il est primordial de modifier les mots de passe des switches et ne pas laisser les accès administrateurs par défaut !

Et si votre mot de passe est dans cette liste …. Il est temps de le changer !

Les 25 mots de passe les plus utilisés en 2016

Les VLAN – 802.1q

L’usage des VLANs (réseaux privés virtuels) sur le réseau permettra une segmentation efficace du réseau garantissant ainsi, à chaque usage, de bénéficier de la qualité de réseau idoine, sans perturber les autres flux/utilisateurs et tout en protégeant l’ensemble du réseau d’un problème de sécurité éventuel circonscrit uniquement à un sous-réseau.

Voir le billet : « Pourquoi faut-il systématiser la création des VLANs quelle que soit la taille du réseau ? »

DHCP Screening

L’activation des fonctions DHCP Screening vous permet d’identifier à tout moment le « vrai » serveur DHCP de votre réseau et fournir ainsi un niveau de sécurité supérieur. La fonction DHCP Screening permettra d’exclure tous les paquets issus d’autres serveurs DHCP non validés sur le réseau et qui pourraient alors délivrer des adresses IP engendrant des problèmes de sécurité  incluant :

  • L’obtention d’IP dans des plages différentes
  • Le renvoi de paquets vers une passerelle pirate pouvant capturer les paquets
  • La connexion involontaire d’un autre serveur DCHP (routeur, point d’accès Wi-Fi) sur le réseau pouvant engendrer des pertes de connexion et de paquets

IP-MAC-Port Binding

L’utilisation de la fonction IP-MAC-Port Binding (IMPB) permet de garantir l’authentification des utilisateurs sur un réseau en vérifiant l’exactitude des données matérielles (@MAC), utilisateurs (@IP) et localisation (Port connecté). Les paquets échangés sur le réseau sont alors monitorés en permanence afin de s’assurer qu’ils viennent tous d’une source connue et validée. L’objectif ici est de protéger le réseau des attaques de type ARP Spoofing ou ARP Poisoning. Un utilisateur cherchant à usurper l’identité (@IP) ou la machine (@MAC) d’un autre sera alors bloqué.

N’oubliez pas : « Les hackers mentent. Les hackers doués mentent bien. Et les hackers expérimentés peuvent mentir à la fois aux personnes et aux machines » (Source Watchguard)

Loop Back Detection

La création volontaire ou involontaire d’une boucle non-désirée peut avoir des effets dévastateurs sur le réseau. En effet, lorsque plusieurs chemins physiques sont disponibles entre des switches, plusieurs problèmes peuvent survenir :

  • Broadcast Storm: La trame est envoyée sur tous les ports du réseau mais la redondance conduit à diffuser cette trame en boucle … sans jamais s’arrêter !
  • Multiple Frame Transmission: Les applications sont généralement prévues pour ne recevoir qu’un exemplaire d’une trame. La réception multiple peut engendrer des erreurs de fonctionnement.
  • MAC address Table Instability: Une boucle va conduire à mettre des informations différentes dans la table des @MAC … et donc engendrer une charge CPU élevée pour le switch qui doit traiter des informations qui ne cessent de changer

Le recours à la fonction Loop Back Detection permettra de repérer ces boucles sur le réseau et, aux choix, de :

  • Couper le port concerné pour la boucle
  • Couper le VLAN dans lequel la boucle est détectée.

 

Il est clair que le réseau informatique propose une multitude de fonctions et solutions pour parfaire la politique de sécurité de l’entreprise. Ne pas mettre en œuvre ces fonctions réduirait considérablement les efforts des actions de sécurité mises en place par ailleurs notamment en termes de pare-feu ou d’antivirus. Le réseau informatique est un élément important dans la protection des données de l’entreprise et de la sauvegarde de la continuité d’activité.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Thème : Baskerville 2 par Anders Noren.

Retour en haut ↑

%d blogueurs aiment cette page :