Logo English Web Page
Accueil Association BSD Linux Dev Reseau Infologisme Mac OSX
tl tr
Sujet Structure Date 28-04-2013
Titre Principe fondamental de sécurité Réseau Section Infologisme
Article

Avant-propos

Pour la sérénité d‘une pléiade de Systèmes d‘Information, une directive sera toujours amplement justifiable et couramment sollicitée, une « Isolation Réseau » de certains services ou protocoles de connexions « Ethernet ».

Commentaire – Référence

En entreprise comme au domicile, peu de Réseaux Informatiques sont sécurisés. Il est aberrant de constater que tout humain protège une propriété privée et une Entreprise professionnelle avec une armada de protections passives comme une alarme, une porte blindée, du verre anti effraction et une vidéo surveillance, etc. Une panoplie de moyens contre l‘intrusion de tiers est déployée, mais pour ce qui concerne un Réseau Informatique, un laxisme inconscient sur les principes de sécurité engendre bien des désagréments et des dépenses inutiles. Il est utopique de penser un monde parfait et merveilleux par le fait que l‘on est sur Internet. C‘est pour le même genre de personnes que l‘on cadenasse nos biens immobiliers ou mobiliers et que l‘on doit impérativement rendre inviolable un Réseau privé et bannir cette brèche béante permettant tout type d‘intrusion.

Bien souvent un particulier ne se trouvera pas concerné et déclarera ne pas posséder de données sensibles, en réalité c‘est explicitement faux, pour la bonne raison que la personne consulte son compte bancaire, paye un achat avec une e-Card, déclare ses revenus aux impôts, relève sa boîte e-mail et moult services où l‘utilisateur doit s‘identifier. Hors de ce concept, mais pour l‘exemple, imaginer un cambriolage subtilisant un ordinateur lors d‘une effraction de propriété et concevoir qu‘il est de nouveau connecté sur Internet par une personne forcement mal intentionné et malveillante, cela aura des conséquences redoutables voir catastrophiques pour son propriétaire d‘origine.

En fait, il est possible de procéder de manière analogue avec le même écueil immuable, le vol de données personnels, sans aucune effraction physique de propriété, simplement par le biais d‘un Réseau Ethernet non sécurisé soutenu par un Système d‘exploitation peu sécuritaire et de surcroît sensible aux attaques virales (Virus informatique) et chevaux de Troie.

Le nombre croissant et incessant d‘attaque de Réseau privé est impressionnant, en respectant des principes de base de la vie courante, on peut s‘appuyer sur une situation inéluctable étayée par le réseau des trains TGV et le réseau des rames du métro qui ne se voient jamais et ne circulent jamais sur le même réseau ferroviaire. Il n‘existe que des passerelles dans les gares de TGV pour permettre aux voyageurs rejoindre les quais du métro souterrain. Pour un Réseau informatique il faut conserver ce fondement théorique et de pratique identique.

Service – Authentification

Avoir un comportement adulte et responsable face aux services disponibles par Internet, ne jamais enregistrer dans un ordinateur un Identifiant, Nom d‘utilisateur et Mot de Passe pour tous les services bancaire, il est impératif de les saisir pour chaque connexion. Réfléchissons un peu, est-il raisonnable de coller une étiquette où il est inscrit le code sur sa Carte Bancaire, surement pas. Le salutaire principe de suspicion et les comportements de la vie courante ne sont surtout pas à transgresser derrière un ordinateur, sous aucun prétexte.

Pour relever et lire une boîte e-mail professionnelle, également taper le Mot de Passe chaque fois.

Surtout être très vigilant pour désactiver l‘enregistrement machinal de l‘Identifiant et du Mot de Passe souvent nommé « Rester connecté », lorsque les e-mails sont toujours consultés par l‘intermédiaire d‘un Web Mail sur un ordinateur d‘une tierce personne.

Toujours régler pour un Web Mail le type de connexion en HTTPS qui est une connexion sécurisée.

Une extrême prudence en se qui concerne les « Spam », qui sont une communication par e-amail, non sollicitée par le destinataire via un courrier électronique. Dans la pratique, c‘est un envoi d‘un e-mail en très grand nombre (200 milliards par jour) ayant une finalité hostile, malveillante et publicitaire. Ce fait prouve bien, le nombre progressif d‘antagonistes inamicaux qui ont une certaine facheuse tendance de nuire au « Cybersurfer » que nous sommes.

Une évidence en ce qui concerne un « Spam » ne pas l‘ouvrir, non jamais au grand jamais ouvrir cet e-mail dont le sujet aux propos mirobolants fait fantasmer, si la philanthropie et l‘altruisme existaient par e-mail émanant du monde commercial, cela aurait une notoriété de publication. Déclarer cet e-mail indésirable comme un « Spam » dans le logiciel Client Mail ou avec un Web Mail et toujours le supprimer immédiatement.

Carte Bancaire – e-Carte Bleue

Bien que cela ne soit pas nécessaire de payer un achat sur Internet pour subir un piratage d‘une Carte Bancaire, il est préférable d‘utiliser une e-Carte Bleue. Il est aussi impératif d‘assurer ses comptes bancaires contre les escroqueries au Carte Bancaire, qui est à l‘heure actuelle le seul moyen de se protéger contre ce type d‘exaction.

Modalité de protection e-Carte Bleue :

Un numéro unique de transaction
Un montant fixe pour une transaction unique
Un temps de vie limité de la transaction
Un pictogramme de sécurité unique pour la transaction
Une date de validité

Il est évident qu‘il faut se servir de ce moyen de payement que sur un Site Internet sécurisé, utilisant le Protocole HTTPS avec une Société ayant pignon sur rue et connu de tous. Bien que régler un achat avec sa Carte Bancaire sur Internet soit un acte banal pour la moitié de la population, il faut rester vigilant et proscrire certaines mauvaises habitudes, dont celle de sortir sa Carte Bancaire et de régler une dépense avec un « Poste Informatique » autre que le sien. Pour la bonne raison que l‘utilisateur préteur en toute bonne foi, ne peut évaluer correctement si son ordinateur présente un risque quelconque (Cheval de Troie, Firewall, Vers, Virus, Rootkit, etc.). Bannir l‘énoncé des informations de sa Carte Bancaire par téléphone, personne ne peut jurer de rien et peut-être un jour en serez vous victime.

Messagerie – Instantanée

Très en vogue chez les jeunes et parfois pour ceux qui le sont moins aussi, de préférence utiliser un type de Messagerie instantanée comme Gmail de Google où il n‘est pas nécessaire d‘installer un logiciel propriétaire dans son ordinateur pour pouvoir utiliser ce type de service. Un simple navigateur ou client Web comme Firefox de Mozilla suffit pour exercer sereinement un « Chat » privé avec des correspondants approuvés et validés en utilisant le protocole sécurisé HTTPS sur Internet. Un avantage considérable concerne cette méthode commune qui reste identique sur une pléiade de Systèmes d‘exploitation, pour l‘utilisateur, le fonctionnement et la pratique sont analogues ettoujours immuables.

Pour un Service de messagerie interne utiliser Jabber qui est un système standard et ouvert de messagerie instantanée basé sur le protocole XMPP – il permet aux personnes de communiquer en temps réel sur Internet et de voir quand leurs contacts sont connectés. Jabber n‘est pas seulement composé d‘un logiciel, mais d‘une multitude de logiciels (Client) pouvant se connecter au même service (Réseau) en utilisant des points d‘accès différents (Serveur).

Virtualisation – Système d‘exploitation

Une alternative de choix, la « Virtualisation » est basée sur le principe d‘une machine logique ou ordinateur virtuel constitué par un environnement matériel discursif, produit par un logiciel qui permet une émulation de machine physique dans un Système d‘exploitation hôte. Ce dernier peut héberger plusieurs machines virtuelles fonctionnant indépendamment dans une limite de dimension matérielle définie dans la machine hôte, nombre de processeur(s), mémoire vive et espace disque.

La « Virtualisation » de Système d‘exploitation est devenue incontournable et représente un domaine instituant les prémices et fondements, pour l‘architecture de systèmes d‘information, par une facilité d‘administration, de la sécurité informatique et une réduction de leurs coûts en entreprise. Ce qui permet de reconsidérer le poste client utilisateur, car la « Virtualisation » procure une pérennité pour les applications dont le portage tardent pour être disponible pour le dernier Système d‘exploitation concerné, il suffit de virtualiser le précédent Système d‘exploitation et le tour est joué.

Une spécificité de la « Virtualisation » d‘un Système d‘exploitation est une isolation binaire du Système hôte de type Unix du Système hébergé, avec de surcroît une aisance pour la sauvegarde et la facilité de restauration du Système virtuel.

Voir le logiciel libre VirtualBox en version 4.0.2 de Oracle.

Tunneling VPN – Réseau Privé Virtuel

Un Réseau Privé Virtuel est une méthode d‘échange de données par réseau avec un Site distant, incluant une protection par l‘intermédiaire de réseau logique crypté privé sur le réseau publique Internet.

Voir article : VPN Réseau Privé Virtuel - Tunneling

Intrusion – Virus Informatique

Un Système d‘exploitation comme FreeBSD, Mac OS X et tous les BSD sont des Unix, ainsi que tous les dérivés de type Linux, ils possèdent tous une architecture système conçue pour prohiber la pénétration, la réplication et la propagation de tous Virus. Ces OS (Operating System) de type Unix ne sont pas sensibles aux Virus par leur concept intrinsèque, qui protège le Système d‘exploitation.

Les premiers Virus apparurent sur Unix vers 1975, évidement de suite les concepteurs du Système Unix ont placé un nombre conséquent de barrières de sécurité, depuis bien des lustres les Unix ignorent les Virus.

Cependant, comme l‘humain possède qu‘une idée de la perfection, après lecture et relecture puissance dix du code source, les programmeurs trouvent parfois encore une faille de sécurité potentielles. Un correctif de mise à jour de sécurité est promptement réalisé dans les heures qui suivent, ces corrections sont aussitôt disponibles pour l‘utilisateur qui arrivent la plus part du temps avant que les failles de sécurité puissent être exploitées.

A contrario dans un cas, par analogie aux les maladies virales contagieuses, on fait de la prophylaxie pour un Système Unix et pour un autre on vend des médicaments, voir une trithérapie pour le Système de la « Firme de Redmond ».

Une légende urbaine actuelle d‘une inexistence virale sur FreeBSD, Mac OS X et Linux reposerait sur le fait de leur faible diffusion, ce qui est totalement dénuée de fondement. Rumeur soigneusement entretenue par la « Firme de Redmond » et les fournisseurs d‘Anti-Virus qui perdent un manque à gagner certain. Car la propagation des OS de base Unix comme FreeBSD, Mac OS X et Linux s‘effectuent et gagnent du terrain à la vitesse d‘une pandémie pour rester dans le médical, seul réel antiseptique du Système d‘exploitation de la « Firme de Redmond ».

Matériel – Mise en œuvre

Moi je suis PC et Unix est une bonne idée !

Connexion externe Internet Connexion interne Réseau
Routeur Firewall WAN
xDSL ou Fibre optique
Switch LAN
Administrable Layer III *
Classe Réseau 192.168.1.0 Masque /24 Classe Réseau 172.16.1.0 Masque /16
Routeur 192.168.1.254 Routeur 172.16.1.254
Protocole TCP/IP Port 21 53 80 et UDP Port 53 Protocole et Port nécessaires ouverts

LAN – Un acronyme de Local Area Network en français Réseau Local.
WAN – Un acronyme de Wide Area Network en français Réseau Étendu.


* Ce type de schéma Réseau théorique est très sécuritaire, mais cela implique deux Interfaces Ethernet de connexion par ordinateur et un double câblage pour obtenir un maximum de sécurité. Ce genre de configuration convient très bien pour isoler un Service comptable ou de Recherche en Entreprise ou pour de petit « Workgroup ». Lorsque ce n‘est pas le cas ou pour un nombre conséquent d‘ordinateurs, un Routeur avec un Switch Administrable de type Layer III aura une fonction pratiquement similaire, une administration sérieuse, ne souffrant pas la médiocrité, par une personne compétente et surtout sensibilisée aux problèmes liés à la Sécurité Informatique.

Configuration – Exemple de Plan d‘adressage IP

En informatique, on ne peut pas parler du matériel que l‘on ne possède pas, car c‘est par l‘usage que l‘on peut vanter son efficacité et sa cohérence. Dans l‘exemple présenté ci-dessous, remplaçant avantageusement une « Box » de connexion, un Routeur ADSL ZyXEL P653HWi-11, le principe de réglage est identique pour ce genre de matériel. Ce modèle n‘est plus commercialisé par ZyXEL il est remplacé par le Routeur ADSL modèle ZyXEL P-662H-61 acceptant ADSL 2Plus.

Remarque : Le port WAN du Routeur Firewall est connecté sur le deuxième port LAN hors DMZ du Routeur ADSL.

Une DMZ ou « Zone démilitarisée » (en anglais demilitarized zone) est dans un Routeur, un sous-réseau dans lequel sont placés certains Serveurs. Par convention, on adressera avec cette classe réseau les Serveurs hébergeant les services accessibles par Internet et aussi depuis un réseau local Intranet (Serveurs Domaine, FTP, Mail et Web). Un Firewall matériel applique une politique de sécurité spécifique pour sa DMZ avec une incidence sur l‘accessibilité et la sécurité. Une interface réseau connectée sur une DMZ ne doit servit que pour une Machine Bastion.

Communément nommée Machine Bastion ou en anglais Bastion Host est un élément de Firewall constitué d‘une machine séparant le réseau Internet et le réseau privé qu‘elle protège, sur laquelle opèrent des logiciels de sécurité. Tout application Firewall dont le rôle est la sécurité de niveau critique sur un réseau est appelée Machine Bastion. Pour mettre en œuvre ce type de Serveur pour un rôle de cerbère Internet, il est impératif de choisir un Système d‘exploitation de concept hautement sécuritaire, parmi les Unix-like FreeBSD, OpenBSD et certain Linux comme ArchLinux qui est susceptible de dérouter moult Linuxien ou encore une distribution Slackware, se prévalant d‘être une distribution légère, rapide et sans fioritures. Ces deux distributions Linux sont très proches des BSD, quand aux autres distributions, comme on dit dans le désert « Inch‘Allah ». Ce genre de Machine doit pouvoir résister au maximum de types d‘attaques possibles. Ma préférence se porte sur les Systèmes d‘exploitation BSD pour cet utilisation spécifique.

En théorie, une Machine Bastion Internet fonctionne au niveau de l‘applicatif, contrairement pour un Routeur qui analyse par filtrage de paquets IP de la trame réseau. Mais dans la pratique, une Machine Bastion inclue une installation et configuration de Firewall logiciel.

Les paramètres TCP/IP de cet exemple ne prennent pas en compte les régles de sécurité du Firewall de chaque Routeur, qui sont de surcroît absolument à constituer.

On obtient trois Classes Réseau avec chacune sa Passerelle ou Gateway.

Classe Réseau Passerelle
192.168.1.0 192.168.1.254
192.168.20.0 192.168.20.254
172.16.1.0 172.16.1.254

Remarque : Exemple de Plan d‘adressage TCP/IP facilement transposable sur du matériel analogue ou similaire.

Routeur ADSL – ZyXEL P653HWi-11

LAN – LAN Setup
DHCP
DHCP
None
Client IP Pool Starting Address
0  .  0  .  0  .  0
Size of Client IP Pool
0  .  0  .  0  .  0
Primary DNS Server
0  .  0  .  0  .  0
Secondary DNS Server
0  .  0  .  0  .  0
Remote DHCP Server
0  .  0  .  0  .  0
TCP/IP
IP Address
192.168.1.254
IP Subnet Mask
255.255.255.0
RIP Direction
None
RIP Version
N/A
Multicast
None

Routeur Firewall – ZyXEL ZyWALL 5 + Carte WIFI

NETWORK – LAN
LAN TCP/IP
IP Address
192.168.20.254
RIP Direction
Both
IP Subnet Mask
255.255.255.0
RIP Version
RIP-1
Multicast
None
DHCP Setup
DHCP
Server
IP Pool Starting Address
192.168.20.80
Pool Size
20
DHCP Server Address
0  .  0  .  0  .  0
DHCP WINS Server 1
0  .  0  .  0  .  0
DHCP WINS Server 2
0  .  0  .  0  .  0
IP Alias
Enable IP Alias 1
IP Address
172.16.1.254
IP Subnet Mask
255.255.255.0
RIP Direction
None
RIP Version
RIP-1
Enable IP Alias 2
IP Address
0  .  0  .  0  .  0
IP Subnet Mask
0  .  0  .  0  .  0
RIP Direction
None
RIP Version
RIP-1
NETWORK – WAN
WAN 1
ISP Parameters Internet Access
Encapsulation
Ethernet
Service Type
Standard
WAN IP Address Assignment
Get Automatically from ISP
Use Fixed IP Address
My WAN IP Address
192.168.1.64
My WAN Subnet Mask
255.255.255.0
Gateway IP Address
192.168.1.254
Advanced Setup
Enable NAT (Network Address Translation)
RIP Direction
None
RIP Version
RIP-1
Enable Multicast
Multicast Version
IGMP-v1
Spoof WAN MAC Address From LAN
Clone the computer‘s MAC address - IP Address
0  .  0  .  0  .  0

ComputerApple MacBook Pro – Mac OSX Snow Leopard

Préférences Système – Réseau
Ethernet
Configurer :
Manuellement
Adresse IP :
 192.168.20.8
IP Sous-réseau :
 255.255.255.0
Routeur :
 192.168.20.254
Serveur DNS :
 80.10.246.2, 80.10.246.129
Domaine de recherche :
 
Eth0 Alias:0
Configurer :
Manuellement
Adresse IP :
 192.168.1.8
IP Sous-réseau :
 255.255.255.0
Routeur :
 192.168.1.254
Serveur DNS :
 
Domaine de recherche :
 
Eth0 Alias:1
Configurer :
Manuellement
Adresse IP :
 172.16.1.8
IP Sous-réseau :
 255.255.255.0
Routeur :
 172.16.1.254
Serveur DNS :
 
Domaine de recherche :
 
AirPort
Bouton    – Onglet TCP/IP
Configurer IPV4 :
Manuellement
Adresse IPV4 :
 192.168.20.12
IP Sous-réseau :
 255.255.255.0
Routeur :
 192.168.20.254
Configurer IPV6 :
Automatiquement
Routeur :
 
Adresse IPV6 :
 
Long préfixe :
 
Bouton    – Onglet DNS
Serveur DNS :
 80.10.246.2
 80.10.246.129
Remarque : Adresse IP des Serveurs DNS primaire et secondaire de Orange.fr – 80.10.246.2 – 80.10.246.129

Matériel – Budget

Pour une configuration Informatique de quatre postes fixes.
ZyXEL ZyWALL 5 - Firewall 4 ports 10/100 Mbps - Sans ventilateur 349,96 €
ZyXEL GS-110016 - Switch 16 ports 10/100/1000 Mbps - Sans ventilateur 154,95 €
Total TTC 504,91 €
Pour une configuration Informatique de seize postes fixes.
ZyXEL ZyWALL USG 200 - Firewall 4 ports 10/100/1000 Mbps + 3 ports WAN - Sans ventilateur 699,96 €
ZyXEL GS-110016 - Switch 16 ports 10/100/1000 Mbps - Sans ventilateur 154,95 €
ZyXEL GS-110016 - Switch 16 ports 10/100/1000 Mbps - Sans ventilateur 154,95 €
Total TTC 1 009,86 €
Remarque : Le tarif indiqué est celui du Site Web www.ldlc.com le 20-05-2011. – Il faut prévoir une heure travail pour une configuration simpliste, sans VPN ni WLAN, un Routeur Firewall de type ZyWALL se connecte derrière une Box, un modem ADSL ou après un « Transceiver » Fibre optique. On peut également insérer dans ces Routeurs une carte Réseau WIFI si cela est nécessaire et utile.

Avec une grande Entreprise et une PME importante, si le principe de base est conservé et peut-être retenu pour la sécurité Réseau, la mise en œuvre en sera fait de manière différente avec un matériel beaucoup plus sophistiqué et forcement bien plus onéreux.
« On ne peut pas chasser le brouillard avec un éventail. » – Proverbe Japonais


Article connexe du sujet

Un Serveur BSD ou Linux pour quoi faire ?
Mise en œuvre d‘un Service de développement Web
Présentation de Système BSD - FreeBSD
Serveur Virtuel FreeBSD-8.4 dans Mac OSX Snow Leopard
Configuration Oracle VM VirtualBox pour FreeBSD-8.4
VPN Réseau Privé Virtuel - Tunneling

Auteur
Eric Douzet
Début de page
bl br
C-extra.com v. 1.2.2 © 2000-2014, tous droits réservés  –  Mise à jour le 12 Avril 2014 Infologisme.com