Conseil de Celeste pour sécuriser vos connexions Internet
Les attaques DDOS mondiales, les demandes de rançons, les usurpations d'IP, les vols d'adresses emails... La presse fait régulièrement état de campagnes massives et violentes d'opérations de malveillance ou d'attaques d'entreprises. Or pour travailler, Internet est devenu indispensable. Les administrateurs Systèmes et Réseaux doivent mettre en place des solutions de plus en plus robustes, coûteuses et parfois complexes. Voici une check list de solutions possibles.
La meilleure façon de sécuriser un système est encore de ne pas utiliser Internet pour des échanges privés. Complexe mais toutefois pas impossible grâce aux technologies d'interconnexions en réseau privé (VPN IP). Dans ce cadre, un réseau privé est créé et les flux entre les sites d'une société ne transitent pas par Internet mais à travers ce réseau privé VPN. Reste cependant que l'accès Internet se fera soit via le cœur de réseau opérateur soit via un des sites du VPN.
Pour une sortie Internet depuis un site d'une entreprise, le plus simple est de mettre en place un firewall ou pare-feu. Les fonctionnalités de ces outils peuvent être intégrées dans le routeur d'extrémité de la connexion ou être proposées via des routeurs dédiés. Pour plus de simplicité, l'approche intégrée permet quand même de limiter le nombre d'équipements, switches et ainsi sources de dysfonctionnement ! Les pare-feux peuvent être ou non personnalisés et permettent de façon générale :
* Fermeture des ports en entrée et en sortie, ce qui permet de limiter les flux suivant les besoins métier réels
* Translation d'adresse entre le réseau privé et le réseau public (NAT), ce qui empêche tout tiers de pénétrer depuis l'extérieur au réseau interne
* Routage de plage IP , pour orienter les flux publics vers les bonnes destinations
* DMZ publique ou privée, pour isoler des serveurs utilisant des adresses publiques
Dans le cas d'entreprises multi-sites, la tendance est de mettre en place une protection centralisée en coeur de réseau opérateur. Dans ce cas l'opérateur de l'entreprise peut proposer une solution de Firewall dans "le Cloud". Ce firewall devra être puissant pour gérer le flux du trafic et ne pas "ralentir" les échanges entrants et sortants. Ce sont en général des matériels dits "UTM" qui sont utilisés. UTM signifie Unified Threat Management ou gestion unifiée des menaces. Outre le pare-feu traditionnel, il a des fonctionnalités très complètes :
1 - le filtrage anti-spam
2 - un logiciel antivirus
3 - un filtrage de contenu applicatif
4 - un système de détection ou de prévention d'intrusion (IDS ou IPS).
Cette architecture dans le Cloud peut aussi être déployée de manière décentralisée. Pour plus de sécurité, ce matériel est souvent doublé. Selon le volume de trafic à filtrer, le budget peut être élevé. Il est souvent préférable d'étudier une solution de firewall cloud pour débits au-delà de 100 Mb/s. Par ailleurs, la mise en place et la maintenance de ces outils nécessitent des compétences qu'une entreprise peut avoir du mal à recruter et maintenir dans la durée. C'est pour cela que beaucoup délèguent cette mission aux opérateurs. Les entreprises souhaitent souvent néanmoins garder la main sur la configuration des UTM, ce que proposent souvent les opérateurs.
Ces solutions ne sont cependant pas suffisantes car elles ne couvrent pas les attaques au niveau du réseau de l'entreprise ou encore le LAN. Pour ce faire, il est conseillé de mettre en place des solutions complèmentaires de protections des postes de travail... Comme il est conseillé de souscrire aux offres de protection de messagerie également.
De même, les pare-feux et les UTM ne permettent pas aux entreprises de se couvrir contre les attaques de déni de service "distribué" ou DDOS (Distributed Denial of Service); techniquement l'attaque fait intervenir un réseau de machines pour engorger et donc interrompre des services ciblés. Par exemple, les écoles sont souvent l'objet d'attaque de leurs étudiants qui s'amusent à saturer les réseaux et rendre leur fonctionnement impossible ! Dans ce cas, il est rare que les entreprises puissent se doter des moyens techniques contre ces attaques. Mieux vaut évaluer avec son fournisseur d'accès Internet les solutions de détection, filtrage voire nettoyage des flux visés.
En terme de sécurisation, la tendance actuelle consiste à externaliser les infrastructures de protection afin d'en garantir la puissance et les mises à jour, mais à compléter cette approche avec des prestations de personnalisation et de rapports afin de les adapter à chaque entreprise.
Source : Nicolas Aubé, président de CELESTE